クラウド管理ゲートウェイのセキュリティとプライバシー

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

この記事には、Configuration Manager クラウド管理ゲートウェイ (CMG) のセキュリティとプライバシーに関する情報が含まれています。 詳細については、「 クラウド管理ゲートウェイの概要」を参照してください。

セキュリティの詳細

CMG は、CMG 接続ポイントからの接続を受け入れて管理します。 証明書と接続 ID を使用して相互認証を使用します。

CMG は、次の方法を使用してクライアント要求を受け入れて転送します。

  • PKI ベースのクライアント認証証明書またはMicrosoft Entra ID を使用して、相互 HTTPS を使用して接続を事前認証します。

    • CMG VM インスタンス上の IIS は、CMG にアップロードする信頼されたルート証明書に基づいて証明書パスを検証します。

    • 証明書失効を有効にした場合、VM インスタンスの IIS でもクライアント証明書の失効が確認されます。 詳細については、「 証明書失効リストを発行する」を参照してください。

  • 証明書信頼リスト (CTL) は、クライアント認証証明書のルートを確認します。 また、クライアントの管理ポイントと同じ検証も行います。 詳細については、「 サイトの証明書信頼リストのエントリを確認する」を参照してください。

  • クライアント要求 (URL) を検証してフィルター処理し、CMG 接続ポイントが要求を処理できるかどうかをチェックします。

  • 発行エンドポイントごとにコンテンツの長さを確認します。

  • ラウンド ロビン動作を使用して、同じサイト内の CMG 接続ポイントの負荷分散を行います。

CMG 接続ポイントは、次の方法を使用します。

  • CMG のすべての VM インスタンスへの一貫性のある HTTPS/TCP 接続を構築します。 これらの接続を 1 分ごとにチェックして維持します。

  • 証明書を使用して CMG との相互認証を使用します。

  • URL マッピングに基づいてクライアント要求を転送します。

  • 接続状態を報告して、コンソールにサービスの正常性状態を表示します。

  • エンドポイントごとのトラフィックを 5 分ごとにレポートします。

Configuration Managerは、CMG のストレージ アカウント キーをローテーションします。 このプロセスは、180 日ごとに自動的に実行されます。

セキュリティメカニズムと保護

Azure の CMG リソースは、サービスとしての Azure プラットフォーム (PaaS) の一部です。 これらは、Azure 内の他のすべてのリソースと同じ既定の保護を使用して、同じ方法で保護されます。 Azure の CMG リソースまたはアーキテクチャの構成を変更することはサポートされていません。 これらの変更には、CMG の前にある任意の種類のファイアウォールを使用して、CMG に到達する前にトラフィックをインターセプト、フィルター処理、またはその他の方法で処理することが含まれます。 CMG 宛てのすべてのトラフィックは、Azure ロード バランサーを介して処理されます。 仮想マシン スケール セットとしての CMG デプロイは、クラウドのMicrosoft Defenderによって保護されます。

サービス プリンシパルと認証

サービス プリンシパルは、Microsoft Entra ID のサーバー アプリ登録によって認証されます。 このアプリは 、Web アプリとも呼ばれます。 このアプリの登録は、CMG を作成するときに自動的に作成するか、Azure 管理者が事前に手動で作成します。 詳細については、「CMG のMicrosoft Entra アプリを手動で登録する」を参照してください。

Azure アプリの秘密キーは暗号化され、Configuration Manager サイト データベースに格納されます。 セットアップ プロセスの一環として、サーバー アプリには Microsoft Graph APIに対するディレクトリ データの読み取りアクセス許可があります。 また、CMG をホストするリソース グループに対する共同作成者ロールもあります。 アプリは、Microsoft Graph などのリソースにアクセスする必要があるたびに、クラウド リソースへのアクセスに使用するアクセス トークンを Azure から取得します。

Microsoft Entra ID は、これらのアプリの秘密キーを自動的にローテーションするか、手動で行うことができます。 秘密キーが変更されたら、Configuration Managerで秘密キーを更新する必要があります。

詳細については、「 アプリの登録の目的」を参照してください。

クライアントに接続するロールをConfiguration Managerする

IIS の管理ポイントとソフトウェア更新ポイントのホスト エンドポイントは、クライアント要求にサービスを提供します。 CMG では、すべての内部エンドポイントが公開されるわけではありません。 CMG に発行されたすべてのエンドポイントには URL マッピングがあります。

  • 外部 URL は、クライアントが CMG との通信に使用する URL です。

  • 内部 URL は、内部サーバーに要求を転送するために使用される CMG 接続ポイントです。

URL マッピングの例

管理ポイントで CMG トラフィックを有効にすると、Configuration Managerは、各管理ポイント サーバーの URL マッピングの内部セットを作成します。 たとえば、ccm_system、ccm_incoming、sms_mp。 エンドポイントccm_system管理ポイントの外部 URL は次のようになります。
https://<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>/CCM_System
URL は、管理ポイントごとに一意です。 その後、Configuration Manager クライアントは、CMG 対応の管理ポイント名をインターネット管理ポイントの一覧に配置します。 この名前は次のようになります。
<CMG service name>/CCM_Proxy_MutualAuth/<MP Role ID>
サイトは、発行されたすべての外部 URL を CMG に自動的にアップロードします。 この動作により、CMG は URL フィルタリングを実行できます。 すべての URL マッピングは CMG 接続ポイントにレプリケートされます。 次に、クライアント要求からの外部 URL に従って、内部サーバーに通信を転送します。

セキュリティ ガイダンス

証明書失効リストを発行する

インターネット ベースのクライアントがアクセスできるように、PKI の証明書失効リスト (CRL) を発行します。 PKI を使用して CMG を展開する場合は、[設定] タブで クライアント証明書の失効を確認 するようにサービスを構成します。この設定は、公開された CRL を使用するようにサービスを構成します。 詳細については、「 PKI 証明書失効の計画」を参照してください。

この CMG オプションは、クライアント認証証明書を検証します。

  • クライアントがMicrosoft Entra ID またはトークン ベースの認証Configuration Manager使用している場合、CRL は関係ありません。

  • PKI を使用し、CRL を外部で発行する場合は、このオプションを有効にします (推奨)。

  • PKI を使用する場合は、CRL を発行せず、このオプションを無効にします。

  • このオプションを誤って構成すると、クライアントから CMG へのトラフィックが増える可能性があります。 このトラフィックにより、Azure エグレス データが増加し、Azure のコストが増加する可能性があります。

サイトの証明書信頼リストのエントリを確認する

各Configuration Manager サイトには、信頼されたルート証明機関の一覧、証明書信頼リスト (CTL) が含まれています。 [管理] ワークスペースに移動して一覧を表示および変更し、[サイトの構成] を展開し、[サイト] を選択します。 サイトを選択し、リボンの [プロパティ ] を選択します。 [通信セキュリティ] タブに切り替え、[信頼されたルート証明機関] で [設定] を選択します。

PKI クライアント認証を使用して CMG を使用するサイトに対して、より制限の厳しい CTL を使用します。 それ以外の場合、管理ポイントに既に存在する信頼されたルートによって発行されたクライアント認証証明書を持つクライアントは、クライアントの登録に自動的に受け入れられます。

このサブセットにより、管理者はセキュリティをより詳細に制御できます。 CTL は、CTL 内の証明機関から発行されたクライアント証明書のみを受け入れるようにサーバーを制限します。 たとえば、Windows には、多くのパブリックおよびグローバルに信頼された証明書プロバイダーの証明書が付属しています。 既定では、IIS を実行しているコンピューターは、これらの既知の証明機関 (CA) にチェーンされている証明書を信頼します。 CTL を使用して IIS を構成しないと、これらの CA から発行されたクライアント証明書を持つコンピューターは、有効なConfiguration Manager クライアントとして受け入れられます。 これらの CA を含まない CTL で IIS を構成した場合、証明書がこれらの CA にチェーンされている場合、クライアント接続は拒否されます。

TLS 1.2 を適用する

CMG 設定を使用して TLS 1.2 を適用します。 これは、Azure クラウド サービス VM にのみ適用されます。 これは、オンプレミスのConfiguration Managerサイト サーバーまたはクライアントには適用されません。

バージョン 2107 以降の 更新プログラムのロールアップでは、この設定は CMG ストレージ アカウントにも適用されます。

TLS 1.2 の詳細については、「 TLS 1.2 を有効にする方法」を参照してください。

トークンベースの認証を使用する

次の条件の 1 つ以上を持つデバイスがある場合は、トークン ベースの認証Configuration Manager使用することを検討してください。

  • 内部ネットワークに頻繁に接続しないインターネット ベースのデバイス
  • デバイスが Microsoft Entra ID に参加できない
  • PKI で発行された証明書をインストールする方法がありません

トークンベースの認証では、サイトは内部ネットワークに登録されているデバイスのトークンを自動的に発行します。 インターネット ベースのデバイスの一括登録トークンを作成できます。 詳細については、「 CMG のトークン ベースの認証」を参照してください。