Konfigurowanie zabezpieczeń w Configuration ManagerConfigure security in Configuration Manager

Dotyczy: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Informacje przedstawione w tym artykule ułatwiają konfigurowanie opcji związanych z zabezpieczeniami dla Configuration Manager.Use the information in this article to help you set up security-related options for Configuration Manager. Obejmuje on następujące opcje zabezpieczeń:It covers the following security options:

Konfigurowanie ustawień certyfikatów PKI klientaConfigure settings for client PKI certificates

Aby użyć certyfikatów infrastruktury klucza publicznego (PKI) dla połączeń klienckich z systemami lokacji, które korzystają z programu Internet Information Services (IIS), należy wykonać poniższą procedurę w celu skonfigurowania ustawień tych certyfikatów.If you want to use public key infrastructure (PKI) certificates for client connections to site systems that use Internet Information Services (IIS), use the following procedure to configure settings for these certificates.

Aby skonfigurować ustawienia certyfikatu PKI klientaTo configure client PKI certificate settings

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja , rozwiń węzeł Konfiguracja lokacji, a następnie wybierz węzeł Lokacje .In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. Wybierz lokację główną do skonfigurowania.Select the primary site to configure.

  2. Na wstążce wybierz Właściwości.In the ribbon, choose Properties. Następnie przejdź na kartę komunikacja komputera klienckiego .Then switch to the Client Computer Communication tab.

    Uwaga

    Począwszy od wersji 1906, ta karta jest nazywana zabezpieczeniami komunikacji.Starting in version 1906, this tab is called Communication Security.

  3. Wybierz ustawienia dla systemów lokacji korzystających z usług IIS.Select the settings for site systems that use IIS.

    • Tylko https: klienci przypisani do lokacji zawsze używają certyfikatu PKI klienta, gdy łączą się z systemami lokacji, które korzystają z usług IIS.HTTPS only: Clients that are assigned to the site always use a client PKI certificate when they connect to site systems that use IIS.

    • Https lub http: nie jest wymagane, aby klienci korzystali z certyfikatów PKI.HTTPS or HTTP: You don't require clients to use PKI certificates.

    • Użyj certyfikatów wygenerowanych przez Configuration Manager dla systemów lokacji http: Aby uzyskać więcej informacji na temat tego ustawienia, zobacz ulepszony protokół http.Use Configuration Manager-generated certificates for HTTP site systems: For more information on this setting, see Enhanced HTTP.

  4. Wybierz ustawienia dla komputerów klienckich.Select the settings for client computers.

    • Użyj certyfikatu PKI klienta (możliwość uwierzytelniania klienta), jeśli jest dostępna: w przypadku wybrania ustawienia serwer lokacji https lub http wybierz tę opcję, aby użyć certyfikatu PKI klienta dla połączeń HTTP.Use client PKI certificate (client authentication capability) when available: If you chose the HTTPS or HTTP site server setting, choose this option to use a client PKI certificate for HTTP connections. Klient korzysta z tego certyfikatu zamiast z certyfikatu z podpisem własnym, aby uwierzytelniać się w systemach lokacji.The client uses this certificate instead of a self-signed certificate to authenticate itself to site systems. W przypadku wybrania tylko protokołu HTTPSta opcja jest wybierana automatycznie.If you chose HTTPS only, this option is automatically chosen.

    Jeśli na kliencie jest dostępny więcej niż jeden ważny certyfikat klienta PKI, wybierz pozycję Modyfikuj , aby skonfigurować metody wyboru certyfikatu klienta.When more than one valid PKI client certificate is available on a client, choose Modify to configure the client certificate selection methods.

    Więcej informacji o metodzie wyboru certyfikatu klienta znajduje się w temacie Planning for PKI client certificate selection.For more information about the client certificate selection method, see Planning for PKI client certificate selection.

    • Klienci sprawdzają listę odwołania certyfikatów (CRL) dla systemów lokacji: Włącz to ustawienie dla klientów, aby sprawdzić listę CRL w organizacji dla odwołanych certyfikatów.Clients check the certificate revocation list (CRL) for site systems: Enable this setting for clients to check your organization's CRL for revoked certificates.

    Więcej informacji o sprawdzaniu listy CRL znajduje się w temacie Planning for PKI certificate revocation.For more information about CRL checking for clients, see Planning for PKI certificate revocation.

  5. Aby importować, wyświetlać i usuwać certyfikaty dla zaufanych głównych urzędów certyfikacji, wybierz pozycję Ustaw.To import, view, and delete the certificates for trusted root certification authorities, choose Set.

    Aby uzyskać więcej informacji, zobacz Planowanie dla zaufanych certyfikatów głównych PKI i listy wystawców certyfikatów.For more information, see Planning for the PKI trusted root certificates and the certificate issuers List.

Powtórz te czynności dla wszystkich lokacji podstawowych w hierarchii.Repeat this procedure for all primary sites in the hierarchy.

Konfigurowanie podpisywania i szyfrowaniaConfigure signing and encryption

Należy skonfigurować najbardziej bezpieczne ustawienia podpisywania i szyfrowania dla systemów lokacji, jakie obsługują wszyscy klienci w tej lokacji.Configure the most secure signing and encryption settings for site systems that all clients in the site can support. Te ustawienia są szczególnie ważne, gdy umożliwiają klientom komunikację z systemami lokacji przy użyciu certyfikatów z podpisem własnym za pośrednictwem protokołu HTTP.These settings are especially important when you let clients communicate with site systems by using self-signed certificates over HTTP.

Aby skonfigurować podpisanie i szyfrowanie dla lokacjiTo configure signing and encryption for a site

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja , rozwiń węzeł Konfiguracja lokacji, a następnie wybierz węzeł Lokacje .In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. Wybierz lokację główną do skonfigurowania.Select the primary site to configure.

  2. Na wstążce wybierz pozycję Właściwości, a następnie przejdź na kartę podpisywanie i szyfrowanie .In the ribbon, select Properties, and then switch to the Signing and Encryption tab.

    Ta karta jest dostępna tylko w lokacji głównej.This tab is available on a primary site only. Jeśli nie widzisz karty podpisywanie i szyfrowanie , upewnij się, że nie masz połączenia z centralną lokacją administracyjną lub lokacją dodatkową.If you don't see the Signing and Encryption tab, make sure that you're not connected to a central administration site or a secondary site.

  3. Skonfiguruj opcje podpisywania i szyfrowania dla klientów w celu komunikowania się z lokacją programu.Configure the signing and encryption options for clients to communicate with the site.

    • Wymagaj podpisywania: klienci podpisują dane przed wysłaniem ich do punktu zarządzania.Require signing: Clients sign data before sending to the management point.

    • Wymagaj SHA-256: klienci używają algorytmu sha-256 podczas podpisywania danych.Require SHA-256: Clients use the SHA-256 algorithm when signing data.

    Ostrzeżenie

    Nie należy wymagać algorytmu SHA-256 bez wcześniejszego potwierdzenia, że wszyscy klienci obsługują ten algorytm wyznaczania wartości skrótu.Don't Require SHA-256 without first confirming that all clients support this hash algorithm. Ci klienci obejmują te, które mogą zostać przypisane do lokacji w przyszłości.These clients include ones that might be assigned to the site in the future.

    W przypadku wybrania tej opcji, a klienci z certyfikatami z podpisem własnym nie mogą obsługiwać algorytmu SHA-256, Configuration Manager odrzuca je.If you choose this option, and clients with self-signed certificates can't support SHA-256, Configuration Manager rejects them. Składnik SMS_MP_CONTROL_MANAGER rejestruje komunikat o IDENTYFIKATORze 5443.The SMS_MP_CONTROL_MANAGER component logs the message ID 5443.

    • Użyj szyfrowania: klienci szyfrują dane spisu klienta i komunikaty o stanie przed wysłaniem ich do punktu zarządzania.Use encryption: Clients encrypt client inventory data and status messages before sending to the management point. Używają algorytmu 3DES.They use the 3DES algorithm.

Powtórz te czynności dla wszystkich lokacji podstawowych w hierarchii.Repeat this procedure for all primary sites in the hierarchy.

Konfigurowanie administracji opartej na rolachConfigure role-based administration

Administracja oparta na rolach łączy role zabezpieczeń, zakresy zabezpieczeń i przypisane kolekcje w celu zdefiniowana zakresu administracyjnego dla każdego użytkownika administracyjnego.Role-based administration combines security roles, security scopes, and assigned collections to define the administrative scope for each administrative user. Zakres obejmuje obiekty, które użytkownik może wyświetlać w konsoli programu, i zadania związane z tymi obiektami, do których mają uprawnienia.A scope includes the objects that a user can view in the console, and the tasks related to those objects that they have permission to do. Konfiguracje administracji opartej na rolach są stosowane w każdej lokacji w hierarchii.Role-based administration configurations are applied at each site in a hierarchy.

Aby uzyskać więcej informacji, zobacz Konfigurowanie administrowania opartego na rolach.For more information, see Configure role-based administration. W tym artykule szczegółowo opisano następujące akcje:This article details the following actions:

  • Tworzenie niestandardowych ról zabezpieczeńCreate custom security roles

  • Konfigurowanie ról zabezpieczeńConfigure security roles

  • Konfigurowanie zakresów zabezpieczeń dla obiektuConfigure security scopes for an object

  • Konfigurowanie kolekcji w celu zarządzania zabezpieczeniamiConfigure collections to manage security

  • Tworzenie nowego użytkownika administracyjnegoCreate a new administrative user

  • Modyfikacja zakresu administracyjnego użytkownika administracyjnegoModify the administrative scope of an administrative user

Ważne

Zakres administracyjny danego użytkownika określa obiekty i ustawienia, które można przypisać podczas konfigurowania administracji opartej na rolach dla innego użytkownika administracyjnego.Your own administrative scope defines the objects and settings that you can assign when you configure role-based administration for another administrative user. Informacje o planowaniu administracji opartej na rolach znajdują się w temacie Podstawowe informacje dotyczące administrowania opartego na rolach.For information about planning for role-based administration, see Fundamentals of role-based administration.

Zarządzaj kontami, których Configuration Manager używaManage accounts that Configuration Manager uses

Configuration Manager obsługuje konta systemu Windows dla wielu różnych zadań i użycia.Configuration Manager supports Windows accounts for many different tasks and uses. Aby wyświetlić konta skonfigurowane dla różnych zadań i zarządzać hasłem używanym przez Configuration Manager dla każdego konta, należy wykonać następującą procedurę:To view accounts that are configured for different tasks, and to manage the password that Configuration Manager uses for each account, use the following procedure:

Aby zarządzać kontami, których Configuration Manager używaTo manage accounts that Configuration Manager uses

  1. W konsoli Configuration Manager przejdź do obszaru roboczego Administracja , rozwiń węzeł zabezpieczenia, a następnie wybierz węzeł konta .In the Configuration Manager console, go to the Administration workspace, expand Security, and then choose the Accounts node.

  2. Aby zmienić hasło dla konta, wybierz konto na liście.To change the password for an account, select the account in the list. Następnie wybierz Właściwości na Wstążce.Then choose Properties in the ribbon.

  3. Wybierz pozycję Ustaw , aby otworzyć okno dialogowe konto użytkownika systemu Windows .Choose Set to open the Windows User Account dialog box. Określ nowe hasło dla Configuration Manager, które ma być używane dla tego konta.Specify the new password for Configuration Manager to use for this account.

    Uwaga

    Podane hasło musi być zgodne z hasłem tego konta w Active Directory.The password that you specify must match this account's password in Active Directory.

Aby uzyskać więcej informacji, zobacz konta używane w Configuration Manager.For more information, see Accounts used in Configuration Manager.

Konfigurowanie Azure Active DirectoryConfigure Azure Active Directory

Integruj Configuration Manager z usługą Azure Active Directory (Azure AD), aby uprościć i włączyć obsługę środowiska w chmurze.Integrate Configuration Manager with Azure Active Directory (Azure AD) to simplify and cloud-enable your environment. Umożliwienie uwierzytelniania lokacji i klientów przy użyciu usługi Azure AD.Enable the site and clients to authenticate by using Azure AD. Aby uzyskać więcej informacji, zobacz Usługa zarządzania chmurą w artykule Konfigurowanie usług platformy Azure.For more information, see the Cloud Management service in Configure Azure services.

Konfigurowanie uwierzytelniania dostawcy programu SMSConfigure SMS Provider authentication

Począwszy od wersji 1810, można określić minimalny poziom uwierzytelniania dla administratorów, aby uzyskiwać dostęp do witryn Configuration Manager.Starting in version 1810, you can specify the minimum authentication level for administrators to access Configuration Manager sites. Ta funkcja wymusza od administratorów logowanie się do systemu Windows przy użyciu wymaganego poziomu.This feature enforces administrators to sign in to Windows with the required level. Aby uzyskać więcej informacji, zobacz Planowanie dla dostawcy programu SMS.For more information, see Plan for the SMS Provider.

Zobacz takżeSee also