Configuration Manager のクライアントのセキュリティとプライバシー
適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1
このセクションには、System Center 2012 Configuration Manager におけるクライアントおよび Exchange Server コネクタで管理されるモバイル デバイスに関する次のセキュリティ情報とプライバシー情報を紹介します。
Configuration Manager クライアントおよび Exchange Server コネクタで管理されるモバイル デバイスに関するセキュリティのベスト プラクティス
- Configuration Manager クライアントのセキュリティの問題
Configuration Manager クライアントのプライバシー情報
Exchange Server コネクタを使用して管理されるモバイル デバイスのプライバシー情報
Configuration Manager クライアントおよび Exchange Server コネクタで管理されるモバイル デバイスに関するセキュリティのベスト プラクティス
Configuration Manager クライアントを実行するデバイスからのデータを Configuration Manager が受け入れる際には、サイトが攻撃されるリスクが伴います。 たとえば、クライアントが形式の正しくないインベントリを送信したり、サイト システムに過剰な負荷をかけようとしたりする可能性があります。Configuration Manager クライアントは、信頼されているデバイスにのみ展開してください。 また、セキュリティに関する次のベスト プラクティスに従うと、許可されていないデバイスや危険性のあるデバイスからサイトを保護するのに役立ちます。
セキュリティのベスト プラクティス |
説明 |
|---|---|
IIS を実行するサイト システムとのクライアント通信には公開キー基盤 (PKI) 証明書を使用する
|
これらの証明書は、モバイル デバイス クライアントおよびインターネット上でのクライアント コンピューター接続に必要であり、配布ポイントを除き、イントラネット上でのすべてのクライアント接続に使用することが推奨されます。 PKI 証明書の要件および Configuration Manager の保護のために PKI 証明書を使用する方法の詳細については、「Configuration Manager での PKI 証明書の要件」を参照してください。 |
信頼されているドメインのクライアントを自動的に承認し、他のコンピューターは手動で確認して承認する |
PIK 認証を使用できない場合に、承認処理により、Configuration Manager での管理対象となる信頼されるコンピューターを識別します。 承認を、手動、信頼されているドメインのコンピューターについては自動、すべてのコンピューターについて自動という階層形式に構成することができます。 最も安全な承認方法は、信頼されているドメインのメンバーであるクライアントを自動で承認し、他のすべてのコンピューターを手動で確認して承認するという方法です。 すべてのクライアントを自動で承認することは、他のアクセス制御によって信頼できないコンピューターがネットワークにアクセスできないようにしていない限り、推奨されません。 コンピュータのプロビジョニングを行う方法の詳細については、「[デバイス] ノードを使用してクライアントを管理する」を参照してください。 |
クライアントが Configuration Manager 階層にアクセスするのを防ぐためにブロックに依存しない |
ブロックされたクライアントは、Configuration Manager インフラストラクチャによって拒否されるため、サイト システムと通信してポリシーをダウンロードしたり、インベントリ データをアップロードしたり、状態またはステータス メッセージを送信したりすることはできなくなります。 ただし、サイト システムで HTTP クライアント接続を受け入れる場合、信頼されていないコンピューターから Configuration Manager 階層を保護するためにブロックに依存しないでください。 このシナリオでは、ブロックされているクライアントが、新しい自己署名証明書とハードウェア ID でサイトに再参加できる可能性があります。 ブロック機能は、オペレーティングシステムをクライアントに展開するとき、また、すべてのサイト システムが HTTPS クライアント接続を受け入れるとき、失われた、またはセキュリティ上問題のあるブート メディアをブロックするように設計されています。 公開キー基盤 (PKI) を使用する場合に証明書失効リスト (CRL) がサポートされているのであれば、危険性がある証明書に対しては、常に証明書失効が第 1 の防御ラインとなるものと考えてください。Configuration Manager でクライアントをブロックすることは、階層を保護するための第 2 の防御ラインとなります。 詳細については、「Configuration Manager でクライアントをブロックするがどうかを判断する」をご覧ください。 |
環境について実用的である最も安全なクライアント インストール方法を使用する
|
すべてのクライアント インストール方法の中で最も安全性が低いのがクライアント プッシュ インストールです。それは、ローカル管理許可、Admin$ の共有、多数のファイアウオール例外など、多くの要素に依存するからです。 そのような依存性により、攻撃対象が増えることになります。 各種のクライアント インストール方法の詳細については、「Configuration Manager でコンピューターで使用するクライアント インストール方法を決定する」を参照してください。 また、可能な場合は、Configuration Manager でセキュリティが最も低いアクセス許可を必要とするクライアント インストール方法を選択し、クライアントの展開以外の目的で使用できるアクセス許可を含むセキュリティ ロールが割り当てられている管理ユーザーを制限してください。 たとえば、自動クライアント アップグレードには、管理ユーザーにすべてのセキュリティ アクセス許可を付与する [完全な権限を持つ管理者] セキュリティ ロールが必要です。 それぞれのクライアント インストール方法に関する依存関係および必要なセキュリティ アクセス許可の詳細については、「コンピューター クライアントの前提条件」の「Configuration Manager での Windows クライアント展開の前提条件」セクションで「インストール方法の依存関係」を参照してください。 |
クライアント プッシュ インストールを使用する必要がある場合は、追加手順を実行し、クライアント プッシュ インストール アカウントを保護する |
このアカウントは、Configuration Manager クライアントのソフトウェアをインストールする各コンピューター上のローカルの Administrators グループのメンバーである必要がありますが、クライアント プッシュ インストール アカウントを Domain Admins グループに追加しないでください。 代わりに、グローバル グループを作成して、そのグローバル グループを、クライアント コンピューター上のローカルの [Administrators] グループに追加します。 また、グループ ポリシー オブジェクトを作成し、制限されたグループ設定を追加して、クライアント プッシュ インストール アカウントをローカルの [Administrators] グループに追加することもできます。 セキュリティを強化するため、クライアント プッシュ インストール アカウントを複数作成し、各アカウントが限られた数のコンピューターに対して管理アクセスを持つようにします。そのようにすると、1 つのアカウントが侵害された場合に影響を受けるのは、そのアカウントがアクセスできるクライアント コンピューターのみになります。 |
イメージングによるクライアント コンピューターの展開の前に証明書を削除する |
クライアントの展開にイメージング テクノロジを使用する場合は、イメージをキャプチャする前に、クライアント認証証明書や自己署名証明書を含む PKI 証明書などの証明書を必ず削除してください。 それらの証明書を削除しないと、クライアントが互い偽装し、各クライアントのデータを検証できなくなる可能性があります。 Sysprep を使用してイメージング用にコンピューターの準備をする方法の詳細については、Windows の展開のドキュメントを参照してください。 |
Configuration Manager クライアント コンピューターが次の証明書の正規コピーを取得することを確認する
|
|
クライアントが接続した最初の管理ポイントから、信頼されたルート キーをダウンロードする場合に、サイトの自動割り当てを使用しない |
このセキュリティ ベスト プラクティスは前のエントリに関連します。 新しいクライアントが不正な管理ポイントから信頼されるルート キーをダウンロードするリスクを回避するために、次のシナリオでのみサイトの自動割り当てを使用してください。
信頼されたルート キーの詳細については、「信頼されたルート キーの計画」トピックの「Planning for Security in Configuration Manager (Configuration Manager でのセキュリティ計画)」セクションを参照してください。 |
CCMSetup Client.msi オプション SMSDIRECTORYLOOKUP=NoWINS を指定してクライアント コンピューターをインストールする |
クライアントで使用できる最も安全なサイトおよび管理ポイントの検出方法は、Active Directory ドメイン サービスを使用することです。 それが不可能な場合、たとえば、Configuration Manager 用に Active Directory スキーマを拡張できない場合やクライアントが信頼されていないフォレストまたはワークグループに属している場合などは、代わりに DNS 発行をサービス検出方法として使用することができます。 これら両方の方法が失敗すると、管理ポイントが HTTPS クライアント接続用に構成されていない場合、WINS を使用するようにクライアントが切り替えられることがあります。 WINS への発行は他の公開方法に比べて安全性が低いので、SMSDIRECTORYLOOKUP=NoWINS を指定することにより、WINS を使用するように切り替えられないようにクライアント コンピューターを構成します。 サービスの検出に WINS を使用する必要がある場合は、SMSDIRECTORYLOOKUP=WINSSECURE (既定の設定) を指定してください。そうすることで、Configuration Manager の信頼できるルート キーを使用して管理ポイントの自己署名証明書が確認されるようになります。
|
重要なソフトウェア更新プログラムを展開するのに十分なメンテナンス期間を確保する |
デバイス コレクションのメンテナンス期間を構成して、Configuration Manager がソフトウェアをそれらのデバイスにインストールできる時間を制限することができます。 メンテナンス期間の構成で十分な時間が確保されていない場合、クライアントは重要なソフトウェア更新プログラムをインストールできない可能性があり、その結果、ソフトウェア更新プログラムによって緩和される攻撃に対して脆弱なままになります。 |
ソフトウェアのインストールと変更を実行するために Configuration Manager で書き込みフィルターが無効にされている場合に、攻撃対象を減らす目的で、書き込みフィルターが有効な Windows Embedded デバイスに対する追加のセキュリティ予防措置を取る |
Windows Embedded デバイスで書き込みフィルターを有効にすると、ソフトウェアのインストールまたは変更はオーバーレイに対してのみ実行され、デバイスの再起動後には維持されません。Configuration Manager を使用して書き込みフィルターを一時的に無効にして、ソフトウェアのインストールと変更を維持すると、その期間中の組み込みデバイスは、共有フォルダーを含むすべてのボリュームの変更に対して脆弱になります。 この期間中は、ローカル管理者のみがログオンできるように、Configuration Manager はコンピューターをロックしますが、可能な限り、コンピューターを保護できるように追加のセキュリティ予防措置を取ってください。 たとえば、ファイアウォールで追加の制限を有効にし、ネットワークからデバイスを切断します。 メンテナンス期間を使用して変更を維持する場合、書き込みフィルターを無効にする期間を、ソフトウェアのインストールと再起動を完了できる程度に最短に抑えるように計画します。 |
ソフトウェア更新プログラムに基づくクライアント インストールを使用し、新しいバージョンのクライアントをサイトにインストールする場合、クライアントが最新のバージョンを受け取るようにするため、ソフトウェアの更新ポイントで公開されているソフトウェア更新プログラムを更新する |
新しいバージョンのクライアントをサイトにインストールする場合 (たとえば、サイトをアップグレードする場合など)、そのクライアントを展開するためにソフトウェアの更新ポイントで公開されているソフトウェア更新プログラムは自動的には更新されません。Configuration Manager クライアントをソフトウェアの更新ポイントに再公開し、[はい] をクリックしてバージョン番号を更新する必要があります。 詳細については、「ソフトウェアの更新に基づいたインストールを使用した Configuration Manager クライアントのインストール方法」トピックの「Configuration Manager で Windows ベースのコンピューターにクライアントをインストールする方法」セクションの「ソフトウェアの更新ポイントに Configuration Manager クライアントを発行する」を参照してください。 |
信頼することができ、物理アクセスが制限されているコンピューターについてのみ、[コンピューター エージェント] のクライアント デバイス設定 [再起動時の BitLocker PIN の入力を一時停止する] が [常時] となるように構成する |
このクライアント設定を [常時] に設定すると、Configuration Manager がソフトウェアのインストールを完了することができ、確実に重要なソフトウェア更新プログラムがインストールされて該当のサービスが再開されるようにするのに役立ちます。 ただし、攻撃者が再開プロセスをインターセプトすると、コンピューターの制御が奪われる可能性があります。 この設定は、コンピューターが信頼できるものである場合およびコンピューターへの物理アクセスが制限されている場合にのみ使用してください。 たとえば、この設定はデータ センターのサーバーに適している場合があります。 |
[コンピューター エージェント] のクライアント デバイス設定 [PowerShell 実行ポリシー] を [バイパス] に構成しない |
このクライアント設定は、Configuration Manager クライアントが署名されていない PowerShell スクリプトを実行することを許可するものであり、その結果、マルウェアがクライアント コンピューターで実行されるのを許可することになる可能性があります。 このオプションを選択する必要がある場合は、カスタム クライアント設定を使用し、署名されていない PowerShell スクリプトを実行しなければならないクライアント コンピューターにのみ、そのカスタム クライアント設定を割り当ててください。 |
Configuration Manager に登録され、インターネットでサポートされるモバイル デバイスの場合:登録プロキシ ポイントを境界ネットワークにインストールし、登録ポイントをイントラネットにインストールする |
このようにロールを分けることで、登録ポイントを攻撃から保護するのに役立ちます。 登録ポイントが侵害された場合、攻撃者が認証用の証明書を取得して、モバイル デバイスを登録しているユーザーの資格情報を盗み出す可能性があります。 |
モバイル デバイスの場合:モバイル デバイスに対する不正アクセスを防ぐのに役立つパスワード設定を構成する |
Configuration Manager によって登録されるモバイル デバイスの場合:モバイル デバイス構成項目を使用して、パスワードの複雑さが PIN となり、最低限必要なパスワードの長さが少なくとも既定の長さになるように構成します。 Configuration Manager クライアントがインストールされておらず、Exchange Server コネクタによって管理されているモバイル デバイスの場合:Exchange Server コネクタの [パスワードの設定] で、パスワードの複雑さが PIN となり、最低限必要なパスワードの長さが少なくとも既定の長さになるように構成します。 |
モバイル デバイスの場合:信頼できる企業によって署名されている場合にのみアプリケーションの実行を許可し、署名されていないファイルのインストールを許可しないようにすると、インベントリ情報およびステータス情報が改ざんされるのを防ぐのに役立つ |
Configuration Manager に登録したモバイル デバイスの場合:モバイル デバイス構成項目を使用して、セキュリティ設定 [署名されていないアプリケーションを実行する] が [禁止] となるように、また、[署名されていないファイルのインストール] が信頼できるソースとなるように構成します。 Configuration Manager クライアントがインストールされておらず、Exchange Server コネクタによって管理されているモバイル デバイスの場合:Exchange Server コネクタの [アプリケーション設定] で [署名されていないファイルのインストール] および [署名されていないアプリケーション] が [禁止] となるように構成します。 |
モバイル デバイスの場合:モバイル デバイスを使用していないときにロックすると特権の評価に対する攻撃を防ぐのに役立つ |
Configuration Manager に登録したモバイル デバイスの場合:モバイル デバイス設定項目を使ってパスワード設定 [モバイル デバイスがロックされるまでのアイドル時間 (分)] を構成します。 Configuration Manager クライアントがインストールされておらず、Exchange Server コネクタによって管理されているモバイル デバイスの場合:Exchange Server コネクタの [パスワードの設定] を構成して [モバイル デバイスがロックされるまでのアイドル時間 (分)] を構成します。 |
モバイル デバイスの場合:モバイル デバイスを登録できるユーザーを制限すると、権限の昇格を防ぐのに役立つ |
許可されたユーザーだけがモバイル デバイスを登録できるようにするには、既定のクライアント設定ではなくカスタム クライアント設定を使用します。 |
モバイル デバイスの場合:次のシナリオでは、Configuration Manager または Microsoft Intune で登録されたモバイル デバイスを持つユーザーにアプリケーションを展開しない
|
ユーザーとデバイスのアフィニティは登録中に作成されます。この処理によって、登録を実行するユーザーがモバイル デバイスにマップされます。 別のユーザーがモバイル デバイスを使用する場合、元のユーザーに展開したアプリケーションを実行できます。その結果、特権が昇格する可能性があります。 同様に、管理者がユーザーのモバイル デバイスを登録する場合、そのユーザーに展開されたアプリケーションはモバイル デバイスにインストールされず、代わりに管理者に展開されたアプリケーションがインストールされる可能性があります。 Windows コンピューターのユーザーとデバイスのアフィニティとは異なり、Microsoft Intune が登録したモバイル デバイスではユーザーとデバイスのアフィニティ情報を手動で定義できません。 Intune が登録したモバイル デバイスの所有権を譲渡する場合、Intune からモバイル デバイスを削除してユーザーとデバイスのアフィニティを削除し、現在のユーザーにデバイスを再登録するように依頼します。 |
モバイル デバイスの場合:ユーザーが必ず自分の所有する Microsoft Intune モバイル デバイスを登録する |
登録中にユーザーとデバイスのアフィニティの関係が作成され、登録を実行するユーザーがモバイル デバイスにマップされるため、管理者がユーザーのモバイル デバイスを登録する場合、そのユーザーに展開されたアプリケーションはモバイル デバイスにインストールされません。代わりに、管理者に展開されたアプリケーションがインストールされる可能性があります。 |
Exchange Server コネクタの場合:Configuration Manager サイト サーバーと Exchange Server コンピューターの間の接続が保護されていることを確認する |
Exchange Server が内部設置されている場合は IPsec を使用します。Hosted Exchange は、SSL を使って自動的に接続を保護します。 |
Exchange Server コネクタの場合:コンピューターに対する最小限の特権という原則を使用する |
Exchange Server コネクタが要求する最低限のコマンドレットの一覧については、「Configuration Manager と Exchange を使用してモバイル デバイスを管理する方法」を参照してください。 |
Mac コンピューターの場合:クライアント ソース ファイルを安全な場所に保存し、アクセスします。 |
Configuration Manager では、Mac コンピューターにクライアントをインストールまたは登録する前に、クライアント ソース ファイルが改ざんされたかどうかを検証しません。 信頼できるソースからこれらのファイルをダウンロードして、安全な場所に保存し、アクセスしてください。 |
Mac コンピューターの場合:Configuration Manager とは独立して、ユーザーに対して登録された証明書の有効期限を監視、追跡する |
業務の継続性を確保するには、Mac コンピューター用に使用する証明書の有効期間を監視および追跡します。Configuration Manager SP1 はこの証明書の自動更新をサポートしたり、証明書の期限切れが近いことを警告したりしません。 一般的な有効期間は 1 年間です。 証明書の更新方法については、「Configuration Manager でクライアントを Mac コンピューターにインストールする方法」トピックの「Mac クライアント証明書の更新」セクションを参照してください。 |
Mac コンピューターの場合:特権の昇格から保護するために、SSL プロトコルに対してのみ、信頼されたルート CA 証明書を信頼するように、証明書を構成することを考慮します。 |
Mac コンピューターを登録するときに、Configuration Manager クライアントを管理するためのユーザー証明書と共に、ユーザー証明書がチェーンされている信頼されたルート証明書が自動的にインストールされます。 SSL プロトコルに対してのみこのルート証明書を信頼するように制限する場合、次の手順を使用できます。 この手順が完了した後、SSL 以外のプロトコル (Secure Mail (S/MIME)、Extensible Authentication (EAP)、またはコード署名など) の検証で、ルート証明書は信頼されません。
ルート CA 証明書を SSL プロトコルのみに制限するには:
|
Configuration Manager クライアントのセキュリティの問題
次のセキュリティに関する問題には軽減策がありません。
ステータス メッセージが認証されない
ステータス メッセージに対しては認証作業は行われません。 管理ポイントが HTTP クライアント接続を受け入れると、どのデバイスでも管理ポイントにステータス メッセージを送信できます。 管理ポイントが HTTPS クライアント接続しかを受け入れない場合は、デバイスは、信頼されたルート証明機関から有効なクライアント認証証明書を取得する必要がありますが、その後でステータス メッセージを送信することもできます。 クライアントが無効なステータス メッセージを送信した場合、そのメッセージは破棄されます。
この脆弱性に対していくつかの攻撃の可能性が考えられます。 攻撃者は、偽のステータス メッセージを送信し、ステータス メッセージ クエリに基づいてコレクションのメンバーシップを取得することができます。 任意のクライアントが、管理ポイントに大量のステータス メッセージを送信することで管理ポイントに対するサービス拒否攻撃を開始する可能性があります。 ステータス メッセージがステータス メッセージ フィルター規則内の動作をトリガーしている場合、攻撃者はステータス メッセージ フィルター規則をトリガーできます。 攻撃者は、レポート情報を不正確なものにするステータス メッセージを送信することもできます。
対象外のクライアントがポリシーの対象に変更される可能性がある
1 つのクライアントを対象としたポリシーをまったく異なるクライアントに適用するために攻撃者が使用できる方法がいくつかあります。 たとえば、信頼されたクライアントを使用する攻撃者が、偽のインベントリ情報や探索情報を送信して、所属すべきでないコンピューターをコレクションに追加し、コレクション向けのすべての展開を受けることができます。 攻撃者がポリシーを直接変更することを防ぐために役立つ制御方法が存在しても、攻撃者は、既存のポリシーを取得して再フォーマットし、オペレーティング システムを再展開して異なるコンピューターに送信し、サービス拒否攻撃を行うことができます。 これらの種類の攻撃には、正確なタイミングと、Configuration Manager インフラストラクチャに関する広範囲にわたる知識が必要です。
クライアント ログに対するユーザー アクセスが許可される
すべてのクライアント ログ ファイルでは、ユーザーの読み取りアクセス権と、対話ユーザーの書き込みアクセス権が許可されます。 詳細ログ記録を有効にすると、攻撃者がログ ファイルを読み取って、コンプライアンス対応またはシステムの脆弱性に関する情報を探す可能性があります。 ソフトウェアのインストールなど、ユーザーのコンテキストで実行されるプロセスでは、権限の低いユーザー アカウントを使用してログに書き込める必要があります。 このことは、攻撃者も権限の低いアカウントを使用してログに書き込めることになります。
最も重大なリスクは、管理者が監査および侵入者の検知で必要とするログ ファイル内の情報を攻撃者が削除する可能性があることです。
モバイル デバイス登録用に設計された証明書を取得するのにコンピューターが使用される
Configuration Manager は、登録要求を処理するとき、その要求がコンピューターではなくモバイル デバイスから送られたことを確認することはできません。 要求がコンピューターから送られた場合、そのコンピューターは PKI 証明書をインストールし、その証明書を使ってコンピューターを Configuration Manager に登録することができます。 このような権限の昇格攻撃を防ぐため、信頼されたユーザーにのみモバイル デバイスの登録を許可し、登録アクティビティを注意して監視してください。
あるクライアントをブロックした場合にクライアントから管理ポイントへの接続が削除されず、そのブロックされたクライアントは、その後も管理ポイントにキープアライブ メッセージとしてクライアント通知パケットを送信することがある
System Center 2012 Configuration Manager SP1 以降:
信頼していないクライアントをブロックし、クライアント通知通信を確立すると、Configuration Manager はセッションを切断しません。 ブロックされたクライアントは、ネットワークから切断されるまで、引き続き管理ポイントにパケットを送信できます。 これらのパケットはサイズがごく小さなキープアライブ パケットであり、クライアントのブロックが解除されるまで、これらのクライアントを Configuration Manager で管理できません。
自動クライアント アップグレードを使用し、クライアント ソース ファイルをダウンロードするためにクライアントが管理ポイントに誘導された場合、その管理ポイントが信頼されたソースとして確認されない
System Center 2012 Configuration Manager SP1 以降:
一部のサイトが Configuration Manager SP1 を実行し、一部のサイトがサービス パックが適用されていない Configuration Manager を実行している Configuration Manager 階層で、自動クライアント更新を使用する場合、サービス パックが適用されていない Configuration Manager サイトのクライアントは、配布ポイントではなく、割り当てられている管理ポイントのクライアント ソース ファイルをダウンロードするように指示されます。 これによって、サービス パックが適用されていない Configuration Manager を実行するサイトに割り当てられたクライアントによって、Configuration Manager SP1 クライアント ソース ファイルがインストールされ、結果としてクライアントが管理対象にならない問題を回避できます。 このシナリオでは、管理ポイントはクライアントによって信頼されるソースとして検証されません。また、クライアント インストール ファイルについてクライアントが不正な管理ポイントにリダイレクトされる可能性があります。 ただし、クライアントは、Microsoft が署名していないすべてのクライアント インストール ファイルを拒否するため、このリスクは低いものです。 クライアントは常に信頼性を検証してから、管理ポイントからクライアント ポリシーをダウンロードします。
初めて Mac コンピューターを登録する場合、DNS スプーフィングのリスクがある
Mac コンピューターが登録中に登録プロキシ ポイントに接続するときに、多くの場合、Mac コンピューターにはルート CA 証明書がありません。 この時点で、サーバーは Mac コンピューターによって信頼されず、ユーザーは続行するように求められます。 登録プロキシ ポイントの完全修飾名が偽の DNS サーバーによって解決されると、Mac コンピューターが偽の登録プロキシ ポイントに接続され、信頼されていないソースから証明書がインストールされる可能性があります。 このリスクを低減するには、使用する環境での DNS スプーフィングを回避するベスト プラクティスに従います。
Mac の登録では証明書の要求に制限がない
ユーザーは新しいクライアント証明書を要求するたびに Mac コンピューターを再登録できます。Configuration Manager は複数の要求をチェックせず、1 台のコンピューターから要求される証明書の数を制限しません。 偽のユーザーがコマンドラインの登録要求を繰り返すスクリプトを実行すると、ネットワークや、発行元の証明機関 (CA) でサービス拒否が発生します。 このリスクを低減するには、発行元の CA で、こうした種類の疑わしい動作を注意深く監視します。 こうしたパターンの動作を示すコンピューターは、Configuration Manager 階層からすぐにブロックする必要があります。
ワイプの確認では、デバイスが正常にワイプされたかどうかが検証されない
モバイル デバイスのワイプ操作を開始すると、Configuration Manager でワイプ状態の確認が表示されますが、これは、Configuration Manager が正常にメッセージが送信したことを検証するもので、操作の対象となるデバイスは検証されません。 また、Exchange Server コネクタで管理されるモバイル デバイスでは、ワイプの確認は、Exchange でコマンドが受信されたことを検証しますが、デバイスで受信されたかどうかは検証しません。
Configuration Manager SP1 で、Windows Embedded デバイスでの変更をコミットするオプションを使用している場合、予想よりも早くアカウントが使用不可になることがある
Windows Embedded デバイスが、Windows 7 よりも前のオペレーティング システムを実行し、Configuration Manager SP1 による変更をコミットするために書き込みフィルターが無効にされている間に、ユーザーがログオンしようとすると、アカウントが使用不可になるまで許容されるログオン試行回数が実質的に半分になります。 たとえば、[アカウントのロックアウトのしきい値] を 6 と構成し、ユーザーがパスワードの入力を 3 回間違えると、アカウントが使用不可になり、実質的にサービス拒否の状況が作られます。 このシナリオでユーザーが組み込みデバイスにログオンする必要がある場合、使用不可のしきい値が低くなる可能性についてユーザーに注意してください。
Configuration Manager クライアントのプライバシー情報
Configuration Manager クライアントを展開すると、クライアント設定を有効にして Configuration Manager 管理機能を使用できます。 機能を構成するために使用する設定は Configuration Manager 階層内のすべてのクライアントに適用されます。これは、クライアントが企業ネットワークに直接接続しているか、リモート セッションを介して接続しているか、インターネットに接続しているが Configuration Manager にサポートされているかに関係ありません。
クライアント情報は Configuration Manager データベースに格納されます。Microsoft に送信されることはありません。 情報は、90 日ごとに実行されるサイトのメンテナンス タスク [期限切れの探索データの削除] によって削除されるまで、データベースに保持されます。 削除間隔は構成できます。
Configuration Manager クライアントを構成する前に、プライバシー要件について検討してください。
Configuration Managerに登録されたモバイル デバイス クライアントのプライバシー情報
Configuration Manager にモバイル デバイスを登録したときのプライバシー情報の詳細については、「Microsoft System Center 2012 Configuration Manager のプライバシーに関する声明 - モバイル デバイスに関する補遺」を参照してください。
クライアント ステータス
Configuration Manager はクライアントのアクティビティを監視します。また、Configuration Manager クライアントとその依存関係を定期的に評価して、修復できます。 クライアント ステータスは既定で有効になっています。また、クライアント アクティビティのチェックにはサーバー側の指標を使用し、自己チェック、修復、Configuration Manager サイトへのクライアント ステータス.情報の送信にはクライアント側の操作を使用します。 クライアントは構成できるスケジュールに従って、自己チェックを実行します。 クライアントはチェックの結果を Configuration Manager サイトに送信します。 この情報は、転送中、暗号化されます。
クライアント ステータス情報は Configuration Manager データベースに格納されます。Microsoft に送信されることはありません。 この情報は、暗号化された形式でデータベースに格納されるわけではありません。 この情報は、クライアント ステータス設定 [クライアント ステータス履歴を保持する日数] で構成された値に従って削除されるまで、データベースに保持されます。 この設定の既定値は 31 日ごとです。
Configuration Manager クライアントをクライアント ステータス チェック機能と共にインストールする前に、プライバシー要件を検討してください。
Exchange Server コネクタを使用して管理されるモバイル デバイスのプライバシー情報
Exchange Server コネクタは、Exchange Server (内部設置型またはホスト型) に ActiveSync プロトコルで接続するデバイスを見つけて管理します。 Exchange Server コネクタが見つけたレコードは、Configuration Manager データベースに格納されます。 この情報は、Exchange Server から収集されます。 これには、モバイル デバイスが Exchange Server に送信したその他の情報は一切含まれません。
モバイル デバイス情報がマイクロソフトに送信されることはありません。 モバイル デバイス情報は Configuration Manager データベースに格納されます。 情報は、90 日ごとに実行されるサイトのメンテナンス タスク [期限切れの探索データの削除] によって削除されるまで、データベースに保持されます。 削除間隔は構成できます。
Exchange Server をインストールして構成する前に、プライバシー要件を検討してください。