Segurança e privacidade para gestão de aplicações no System Center Configuration ManagerSecurity and privacy for application management in System Center Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Melhores práticas de segurança para gestão de aplicaçõesSecurity best practices for application management

Procedimento recomendado de segurançaSecurity best practice Mais informaçõesMore information
Configure os pontos do Catálogo de Aplicações para utilizarem ligações HTTPS e informe os utilizadores sobre os perigos dos Web sites maliciosos.Configure the Application Catalog points to use HTTPS connections and educate users about the dangers of malicious websites. Configure o ponto de Web sites do Catálogo de Aplicações e o ponto de serviço Web do Catálogo de Aplicações para aceitarem ligações HTTPS, por forma a que o servidor seja autenticado para os utilizadores e os dados transmitidos sejam protegidos contra adulteração e visualização.Configure the Application Catalog website point and the Application Catalog web service point to accept HTTPS connections so that the server is authenticated to users and the data that is transmitted is protected from tampering and viewing. Ajude a evitar ataques de engenharia social ensinando os utilizadores a ligar apenas a Web sites fidedignos.Help to prevent social engineering attacks by educating users to connect to trusted websites only.

Não utilize as opções de configuração de imagem corporativa que apresentam o nome da sua organização no catálogo de aplicações como prova de identidade quando não utilizar HTTPS.Do not use the branding configuration options that show the name of your organization in the Application Catalog as proof of identity when you do not use HTTPS.
Utilize a separação de funções e instale o ponto de Web sites do Catálogo de Aplicações e o ponto de serviço do Catálogo de Aplicações em servidores separados.Use role separation, and install the Application Catalog website point and the Application Catalog service point on separate servers. Se o ponto de Web site do catálogo de aplicações for comprometido, instale-o num servidor separado do ponto de serviço web do catálogo de aplicações.If the Application Catalog website point is compromised, install it on a separate server from the Application Catalog web service point. Isto irá ajudar a proteger os clientes do Configuration Manager e a infraestrutura do Configuration Manager.This will help to protect the Configuration Manager clients and the Configuration Manager infrastructure. Isto é especialmente importante se o ponto de Web sites do Catálogo de Aplicações aceitar ligações de cliente a partir da Internet, porque esta configuração torna o servidor vulnerável a ataques.This is particularly important if the Application Catalog website point accepts client connections from the Internet because this configuration makes the server vulnerable to attack.
Informe os utilizadores de que devem fechar a janela do browser quando terminarem de utilizar o Catálogo de Aplicações.Educate users to close the browser window when they finish using the Application Catalog. Se os utilizadores navegarem para um Web site externo na mesma janela de browser que utilizaram para o Catálogo de Aplicações, o browser continuará a utilizar as definições de segurança adequadas aos sites fidedignos da intranet.If users browse to an external website in the same browser window that they used for the Application Catalog, the browser continues to use the security settings that are suitable for trusted sites in the intranet.
Especifique manualmente a afinidade dispositivo / utilizador em vez de permitir que os utilizadores identifiquem o respetivo dispositivo primário.Manually specify the user device affinity instead of letting users identify their primary device. Não ative a configuração baseada na utilização.Do not enable usage-based configuration. Não considere as informações recolhidas junto dos utilizadores ou do dispositivo como autoritativos.Do not consider information that is collected from users or from the device to be authoritative. Se implementar software utilizando uma afinidade dispositivo/utilizador não especificada por um utilizador administrativo fidedigno, o software poderá ser instalado em computadores e para utilizadores que não têm autorização para receber esse software.If you deploy software by using user device affinity that is not specified by a trusted administrative user, the software might be installed on computers and to users who are not authorized to receive that software.
Configure sempre as implementações para transferirem conteúdo a partir de pontos de distribuição em vez de executarem a partir destes.Always configure deployments to download content from distribution points rather than run from distribution points. Quando configura implementações para transferir conteúdo de um ponto de distribuição e executar localmente, o Gestor de configuração cliente verifica o hash do pacote depois de transferir o conteúdo.When you configure deployments to download content from a distribution point and run locally, the Configuration Manager client verifies the package hash after it downloads the content. O cliente elimina o pacote se o hash não coincidir com o hash existente na política.The client discards the package if the hash does not match the hash in the policy. Em comparação, se configurar a implementação para execução direta a partir de um ponto de distribuição, o cliente do Configuration Manager não verificar o hash do pacote, o que significa que o Configuration Manager de cliente pode instalar software que tenha sido adulterado.In comparison, if you configure the deployment to run directly from a distribution point, the Configuration Manager client does not verify the package hash, which means that the Configuration Manager client can install software that has been tampered with.

Se tiver de executar implementações diretamente a partir de pontos de distribuição, utilizar o NTFS, pelo menos, permissões nos pacotes em pontos de distribuição e, utilize segurança de protocolo de Internet (IPsec) para proteger o canal entre o cliente e os pontos de distribuição e entre os pontos de distribuição e o servidor do site.If you must run deployments directly from distribution points, use NTFS least permissions on the packages on the distribution points, and use Internet protocol security (IPsec) to secure the channel between the client and the distribution points and between the distribution points and the site server.
Não permitir que os utilizadores interajam com programas se a executar com direitos administrativos opção é necessária.Do not let users interact with programs if the Run with administrative rights option is required. Quando configurar um programa, pode definir o permitir que os utilizadores interajam com este programa opção para que os utilizadores possam responder a serem apresentados quaisquer pedidos necessários na interface de utilizador.When you configure a program, you can set the Allow users to interact with this program option so that users can respond to any required prompts in the user interface. Se o programa também for configurado com Executa com direitos de administrador, um atacante no computador que executa o programa poderá utilizar a interface de utilizador para aumentar os privilégios no computador cliente.If the program is also configured to Run with administrative rights, an attacker at the computer that runs the program could use the user interface to escalate privileges on the client computer.

Utilize os programas que utilizam o Windows Installer para a configuração e de utilizador elevados privilégios para implementações de software que necessitem de credenciais administrativas.Use programs that use Windows Installer for setup and per-user elevated privileges for software deployments that require administrative credentials. A configuração tem de ser executada no contexto de um utilizador que tenha credenciais administrativas.Setup must be run in the context of a user who does not have administrative credentials. Por utilizador do Windows Installer privilégios elevados fornecer a forma mais segura de implementar as aplicações que tenham este requisito.Windows Installer per-user elevated privileges provide the most secure way to deploy applications that have this requirement.
Restrinja a capacidade de os utilizadores instalarem software interativamente utilizando a definição Permissões de instalação do cliente.Restrict whether users can install software interactively by using the Installation permissions client setting. Configurar o agente do computador dispositivo cliente permissões de instalação definição para restringir os tipos de utilizadores que podem instalar o software utilizando o catálogo de aplicações ou centro de Software.Configure the Computer Agent client device Install permissions setting to restrict the types of users who can install software by using the Application Catalog or Software Center. Por exemplo, crie uma definição personalizada de cliente com Permissões de instalação definida como Apenas administradores.For example, create a custom client setting with Install permissions set to Only administrators. Em seguida, aplique esta definição de cliente numa coleção de servidores para impedir que os utilizadores sem permissões administrativas de instalar software nesses computadores.Then, apply this client setting to a collection of servers to prevent users without administrative permissions from installing software on those computers.
Para dispositivos móveis, implemente apenas aplicações assinadas.For mobile devices, deploy only applications that are signed. Implemente aplicações para dispositivos móveis apenas se estiverem código assinado por uma autoridade de certificação (AC) considerada fidedigna pelo dispositivo móvel.Deploy mobile device applications only if they are code-signed by a certification authority (CA) that is trusted by the mobile device. Por exemplo:For example:

  • Uma aplicação de um fornecedor assinada por uma AC conhecida, como VeriSign.An application from a vendor, which is signed by a well-known CA, like VeriSign.
  • Uma aplicação interna que inicia sessão independente do Configuration Manager utilizando a AC interna.An internal application that you sign independent from Configuration Manager by using your internal CA.
  • Uma aplicação interna que seja assinada utilizando o Gestor de configuração ao criar o tipo de aplicação e utilizar um certificado de assinatura.An internal application that you sign by using Configuration Manager when you create the application type and use a signing certificate.
Se assinar aplicações para dispositivos móveis utilizando o Assistente para criar aplicação no Configuration Manager, proteja a localização do ficheiro de certificado de assinatura e Proteja o canal de comunicação.If you sign mobile device applications by using the Create Application Wizard in Configuration Manager, secure the location of the signing certificate file, and secure the communication channel. Para ajudar a proteger contra ataques de elevação de privilégios e ataques man-in-the-middle, guarde o ficheiro de certificado de assinatura numa pasta protegida e utilize IPsec ou o bloco de mensagem de servidor (SMB) entre os seguintes computadores:To help protect against elevation of privileges and against man-in-the-middle attacks, store the signing certificate file in a secured folder and use IPsec or Server Message Block (SMB) between the following computers:

  • O computador que executa a consola do Configuration ManagerThe computer that runs the Configuration Manager console
  • O computador que armazena o certificado de assinatura de ficheiroThe computer that stores the certificate signing file
  • O computador que armazena os ficheiros de origem da aplicaçãoThe computer that stores the application source files
Em alternativa, assine a aplicação independente do Configuration Manager e antes de executar o Assistente para criar aplicação.Alternatively, sign the application independent of Configuration Manager and before you run the Create Application Wizard.
Implemente controlos de acesso para proteger computadores de referência.Implement access controls to protect reference computers. Quando um utilizador administrativo configurar o método de deteção num tipo de implementação navegando para um computador de referência, certifique-se de que esse computador não foi comprometido.When an administrative user configures the detection method in a deployment type by browsing to a reference computer, make sure that the computer has not been compromised.
Restrinja e monitorize os utilizadores administrativos a quem sejam concedidas as funções de segurança baseadas em funções relacionadas com gestão de aplicações:Restrict and monitor the administrative users who are granted the role-based security roles that are related to application management:

  • Administrador da aplicaçãoApplication Administrator
  • Autor da aplicaçãoApplication Author
  • Gestor de implementação de aplicaçãoApplication Deployment Manager
Mesmo quando configura a administração baseada em funções, os utilizadores administrativos que criem e implementem aplicações poderão ter mais permissões do que pensa.Even when you configure role-based administration, administrative users who create and deploy applications might have more permissions than you realize. Por exemplo, os utilizadores administrativos que criar ou alterar uma aplicação podem selecionar aplicações dependentes que não se encontram no respectivo âmbito de segurança.For example, administrative users who create or change an application can select dependent applications that are not in their security scope.
Quando configurar ambientes virtuais do Microsoft Application Virtualization (App-V), selecione as aplicações que tenham o mesmo nível de confiança no ambiente virtual.When you configure Microsoft Application Virtualization (App-V) virtual environments, select applications that have the same trust level in the virtual environment. Porque as aplicações num ambiente virtual App-V podem partilhar recursos, como a área de transferência, configure o ambiente virtual para que as aplicações selecionadas tenham o mesmo nível de fidedignidade.Because applications in an App-V virtual environment can share resources, like the clipboard, configure the virtual environment so that the selected applications have the same trust level.

Para obter mais informações, consulte ambientes virtuais App-V criar.For more information, see Create App-V virtual environments.
Caso implemente aplicações para computadores Mac, certifique-se de que os ficheiros de origem são provenientes de uma fonte fidedigna.If you deploy applications for Mac computers, make sure that the source files are from a trustworthy source. A ferramenta CMAppUtil não valida a assinatura do pacote de origem, pelo que deve certificar-se de que o pacote provém de uma origem em que confia.The CMAppUtil tool does not validate the signature of the source package, so make sure that it comes from a source that you trust. A ferramenta CMAppUtil não consegue detetar se os ficheiros foram adulterados.The CMAppUtil tool cannot detect whether the files have been tampered with.
Se implementar aplicações para computadores Mac, proteja a localização do . cmmac de ficheiros e Proteja o canal de comunicação quando importar este ficheiro para o Configuration Manager.If you deploy applications for Mac computers, secure the location of the .cmmac file and secure the communication channel when you import this file to Configuration Manager. O . cmmac ficheiros que a ferramenta CMAppUtil gera e que é importado para o Configuration Manager não estão assinado ou validado.The .cmmac file that the CMAppUtil tool generates and that you import to Configuration Manager is not signed or validated. Para ajudar a impedir a adulteração deste ficheiro, guarde-o numa pasta protegida e utilize IPsec ou SMB entre os seguintes computadores:To help prevent tampering with this file, store it in a secured folder, and use IPsec or SMB between the following computers:

  • O computador que executa a consola do Configuration ManagerThe computer that runs the Configuration Manager console
  • O computador que armazena o . cmmac ficheiroThe computer that stores the .cmmac file
..
Se configurar um tipo de implementação de aplicações web, utilize HTTPS em vez de HTTP para proteger a ligação.If you configure a web application deployment type, use HTTPS rather than HTTP to secure the connection. Se implementar uma aplicação web utilizando uma ligação HTTP em vez de uma ligação HTTPS, o dispositivo poderá ser redirecionado para um servidor não autorizado e dados que são transferidos entre o dispositivo e o servidor poderão ser adulterados.If you deploy a web application by using an HTTP link rather than an HTTPS link, the device could be redirected to a rogue server and data that's transferred between the device and server could be tampered with.

Problemas de segurança para gestão de aplicaçõesSecurity issues for application management

  • Os utilizadores com direitos restritos podem copiar ficheiros da cache do cliente no computador cliente.Low-rights users can copy files from the client cache on the client computer.

    Os utilizadores podem ler a cache do cliente, mas não é possível escrever no mesmo.Users can read the client cache but cannot write to it. Com permissões de leitura, um utilizador pode copiar ficheiros de instalação de aplicações de um computador para outro.With read permissions, a user can copy application installation files from one computer to another.

  • Os utilizadores direitos restritos podem alterar ficheiros que registam o histórico de implementação de software no computador cliente.Low-rights users can change files that record software deployment history on the client computer.

    Porque as informações de histórico de aplicação não estão protegidas, um utilizador pode alterar os ficheiros que indicam se uma aplicação é instalada.Because the application history information is not protected, a user can change files that report whether an application is installed.

  • Os pacotes de App-V não são assinados.App-V packages are not signed.

    Pacotes de App-V no Configuration Manager não suportam assinatura para confirmar que o conteúdo é de uma origem fidedigna e que não foram alterado em trânsito.App-V packages in Configuration Manager do not support signing to verify that the content is from a trusted source and that it has not been altered in transit. Não há nenhuma atenuação para este problema de segurança.There is no mitigation for this security issue. Certifique-se de que segue a prática de segurança para transferir o conteúdo de uma origem fidedigna e a partir de uma localização segura.Make sure that you follow the security best practice to download the content from a trusted source and from a secure location.

  • As aplicações de App-V publicadas podem ser instaladas por todos os utilizadores do computador.Published App-V applications can be installed by all users on the computer.

    Quando uma aplicação de App-V é publicada num computador, todos os utilizadores que inicie sessão computador podem instalar a aplicação.When an App-V application is published on a computer, all users who sign in to that computer can install the application. Isto significa que não é possível restringir os utilizadores podem instalar a aplicação depois da sua publicação.This means that you cannot restrict the users who can install the application after it is published.

  • Não é possível restringir as permissões de instalação para o portal da empresa.You cannot restrict install permissions for the company portal.

    Embora seja possível configurar uma definição de cliente para restringir permissões de instalação, por exemplo, para os utilizadores primários de um dispositivo ou apenas aos administradores locais, esta definição não funciona para o portal da empresa.Although you can configure a client setting to restrict install permissions, for example, to primary users of a device or to local administrators only, this setting does not work for the company portal. Isto pode resultar numa elevação de privilégios porque os utilizadores pode instalar uma aplicação que não deve ser permitidos para instalar.This could result in an elevation of privileges because users could install an app that they should not be allowed to install.

Certificados para o Microsoft Silverlight 5 e modo de confiança elevada necessários para o catálogo de aplicaçõesCertificates for Microsoft Silverlight 5 and elevated trust mode required for the application catalog

Clientes do Configuration Manager necessitam do Microsoft Silverlight 5, que deve ser executado no modo de confiança elevada para que os utilizadores instalem software do catálogo de aplicações.Configuration Manager clients require Microsoft Silverlight 5, which must run in elevated trust mode for users to install software from the Application Catalog. Por predefinição, as aplicações Silverlight são executadas no modo de confiança parcial para impedir que acedam aos dados do utilizador.By default, Silverlight applications run in partial trust mode to prevent applications from accessing user data. Configuration Manager instala automaticamente Microsoft Silverlight 5 nos clientes se ainda não esteja instalado.Configuration Manager automatically installs Microsoft Silverlight 5 on clients if it is not already installed. Por predefinição, o Configuration Manager define o agente do computador permitir que aplicações Silverlight sejam executadas em modo de confiança elevada definição de cliente para Sim.By default, Configuration Manager sets the Computer Agent Allow Silverlight applications to run in elevated trust mode client setting to Yes. Esta definição permite-lhe com sessão iniciado e fidedigno modo de confiança elevada Silverlight aplicações pedido.This setting lets signed and trusted Silverlight applications request elevated trust mode.

Quando instalar a função de sistema de sites do ponto de Web site do catálogo de aplicações, o cliente também instala uma certificado no arquivo de certificados fabricantes fidedignos computador em cada computador cliente do Configuration Manager de assinatura da Microsoft.When you install the Application Catalog website point site system role, the client also installs a Microsoft signing certificate in the Trusted Publishers computer certificate store on each Configuration Manager client computer. Este certificado permite que as aplicações Silverlight assinadas por este certificado executar no modo de confiança elevada que os computadores necessitam para instalar software no catálogo de aplicações.This certificate lets Silverlight applications that are signed by this certificate run in the elevated trust mode that computers require to install software from the Application Catalog. O Gestor de configuração gere automaticamente este certificado de assinatura.Configuration Manager automatically manages this signing certificate. Para assegurar a continuidade do serviço, não elimine nem mova manualmente este certificado de assinatura da Microsoft.To ensure service continuity, do not manually delete or move this Microsoft signing certificate.

Aviso

Quando ativada, o permitir que aplicações Silverlight sejam executadas em modo de confiança elevada permite de definição de cliente armazenam todas as aplicações Silverlight assinadas por certificados o certificado de fabricantes fidedignos no arquivo do computador ou o utilizador executar no modo de confiança elevada.When enabled, the Allow Silverlight applications to run in elevated trust mode client setting lets all Silverlight applications that are signed by certificates in the Trusted Publishers certificate store in either the computer store or the user store run in elevated trust mode. A definição de cliente não é possível ativar o modo de confiança elevada especificamente para o catálogo de aplicações do Configuration Manager ou para o arquivo de certificados fabricantes fidedignos no arquivo do computador.The client setting cannot enable elevated trust mode specifically for the Configuration Manager Application Catalog or for the Trusted Publishers certificate store in the computer store. Se for adicionado um certificado não autorizado ao arquivo Fabricantes Fidedignos por software maligno, no arquivo de utilizador por exemplo, o software maligno que utiliza uma aplicação Silverlight própria poderá agora ser executado também no modo de confiança elevada.If malware adds a rogue certificate in the Trusted Publishers store, for example, in the user store, malware that uses its own Silverlight application can now also run in elevated trust mode.

Se definir o permitir que aplicações Silverlight sejam executadas em modo de confiança elevada definição de cliente para não, isto não remove o certificado de assinatura da Microsoft dos clientes.If you set the Allow Silverlight applications to run in elevated trust mode client setting to No, this does not remove the Microsoft signing certificate from clients.

Para obter mais informações sobre aplicações fidedignas no Silverlight, consulte aplicações fidedignas.For more about trusted applications in Silverlight, see Trusted Applications.

Informações de privacidade para gestão de aplicaçõesPrivacy information for application management

Gestão de aplicações permite-lhe executar qualquer aplicação, programa ou script em qualquer computador cliente ou dispositivo móvel cliente na hierarquia.Application management lets you to run any application, program, or script on any client computer or client mobile device in the hierarchy. O Configuration Manager possui não controla os tipos de aplicações, programas ou scripts que executar ou o tipo de informações que transmitem.Configuration Manager has no control over the types of applications, programs, or scripts that you run or the type of information that they transmit. Durante o processo de implementação de aplicação, o Configuration Manager pode transmitir informações que identifica o dispositivo e as contas de início de sessão entre clientes e servidores.During the application deployment process, Configuration Manager might transmit information that identifies the device and sign-in accounts between clients and servers.

O Configuration Manager mantém as informações de estado sobre o processo de implementação de software.Configuration Manager maintains status information about the software deployment process. As informações do estado de implementação do software não são encriptadas durante a transmissão, a menos que o cliente efetue a comunicação por HTTPS.Software deployment status information is not encrypted during transmission unless the client communicates by using HTTPS. As informações de estado não são armazenadas em formato encriptado na base de dados.The status information is not stored in encrypted form in the database.

A utilização da instalação da aplicação do Configuration Manager remoto, interativo ou silencioso instalar software nos clientes pode estar sujeita aos termos de licenciamento de software para esse software.The use of Configuration Manager application installation to remotely, interactively, or silently install software on clients might be subject to software license terms for that software. Esta utilização é separada dos termos de licenciamento de Software para o System Center Configuration Manager.This use is separate from the Software License Terms for System Center Configuration Manager. Reveja e aceite os termos de licenciamento para Software antes de implementar o software utilizando o Gestor de configuração sempre.Always review and agree to the Software Licensing Terms before you deploy software by using Configuration Manager.

Implementação de aplicação não acontece por predefinição e requer vários passos de configuração.Application deployment does not happen by default and requires several configuration steps.

Duas funcionalidades que permitem uma implementação eficaz do software são a afinidade dispositivo/utilizador e o Catálogo de Aplicações:Two optional features that help efficient software deployment are user device affinity and the Application Catalog:

  • Afinidade dispositivo / utilizador mapeia um utilizador para dispositivos, para que um administrador do Configuration Manager pode implementar software num utilizador e o software é instalado automaticamente num ou mais computadores que o utilizador utiliza com maior frequência.User device affinity maps a user to devices so that a Configuration Manager admin can deploy software to a user, and the software is automatically installed on one or more computers that the user uses most often.

  • O catálogo de aplicações é um Web site que permite que o software de pedido de utilizadores a instalar.The Application Catalog is a website that lets users request software to install.

    Veja as secções seguintes para obter informações de privacidade sobre a afinidade dispositivo/utilizador e o Catálogo de Aplicações.View the following sections for privacy information about user device affinity and the Application Catalog.

    Antes de configurar a gestão de aplicações, considere os requisitos de privacidade.Before you configure application management, consider your privacy requirements.

Afinidade dispositivo / utilizadorUser device affinity

  • O Configuration Manager pode transmitir informações entre clientes e sistemas de sites do ponto de gestão.Configuration Manager might transmit information between clients and management point site systems. As informações poderão identificar a conta de computador e inicie sessão e a utilização resumida das contas de início de sessão.The information might identify the computer and sign-in account and the summarized usage for sign-in accounts.
  • As informações que são transmitidas entre o cliente e o servidor não estão encriptadas, a menos que o ponto de gestão está configurado para exigir que os clientes comuniquem por HTTPS.The information that is transmitted between the client and server is not encrypted unless the management point is configured to require clients to communicate by using HTTPS.
  • Os computador e inicie sessão utilização informações de conta que são utilizadas para mapear um utilizador para um dispositivo são armazenadas nos computadores cliente, enviadas para os pontos de gestão e depois armazenadas na base de dados do Configuration Manager.The computer and sign-in account usage information that is used to map a user to a device is stored on client computers, sent to management points, and then stored in the Configuration Manager database. Por predefinição, as informações antigas são eliminadas da base de dados após 90 dias.The old information is deleted from the database by default after 90 days. O comportamento de eliminação é configurável através da definição da tarefa de manutenção do site Eliminar Dados de Afinidade Dispositivo/Utilizador Desatualizados .The deletion behavior is configurable by setting the Delete Aged User Device Affinity Data site maintenance task.
  • O Configuration Manager mantém as informações de estado sobre a afinidade de dispositivo do utilizador.Configuration Manager maintains status information about user device affinity. As informações de estado não são encriptadas durante a transmissão, a menos que os clientes sejam configurados para comunicar com pontos de gestão por HTTPS.Status information is not encrypted during transmission unless clients are configured to communicate with management points by using HTTPS. As informações de estado não são armazenadas em formato encriptado na base de dados.Status information is not stored in encrypted form in the database.
  • Computador, informações de utilização da conta de início de sessão e as informações de estado não são enviadas à Microsoft.Computer, sign-in account usage information, and status information are not sent to Microsoft.
  • Informações de utilização computador e início de sessão que são utilizadas para estabelecer a afinidade dispositivo / utilizador está sempre ativadas.Computer and sign-in usage information that is used to establish user and device affinity is always enabled. Além disso, os utilizadores e os utilizadores administrativos podem fornecer informações sobre a afinidade dispositivo/utilizador.In addition, users and administrative users can supply user device affinity information.

Catálogo de aplicaçõesApplication Catalog

  • O catálogo de aplicações permite que o administrador do Configuration Manager publicar qualquer aplicação ou programa ou script para os utilizadores executarem.The Application Catalog lets the Configuration Manager admin publish any application or program or script for users to run. O Configuration Manager possui não controla os tipos de programas ou scripts que são publicados no catálogo ou o tipo de informações que transmitem.Configuration Manager has no control over the types of programs or scripts that are published in the catalog or the type of information that they transmit.
  • O Configuration Manager pode transmitir informações entre clientes e as funções de sistema de sites do catálogo de aplicações.Configuration Manager might transmit information between clients and the Application Catalog site system roles. As informações poderão identificar as contas de computador e inicie sessão.The information might identify the computer and sign-in accounts. As informações que são transmitidas entre o cliente e os servidores não estão encriptadas, a menos que estas funções do sistema de sites sejam configuradas para requerer que os clientes estabeleçam ligação através do HTTPS.The information that is transmitted between the client and servers is not encrypted unless these site system roles are configured to require that clients connect by using HTTPS.
  • As informações sobre o pedido de aprovação de aplicações são armazenadas na base de dados do Configuration Manager.The information about the application approval request is stored in the Configuration Manager database. Pedidos que são cancelados ou negados e as entradas do histórico de pedido correspondente são eliminadas por predefinição após 30 dias.Requests that are canceled or denied and the corresponding request history entries are deleted by default after 30 days. O comportamento de eliminação é configurável através da definição da tarefa de manutenção do site Eliminar Dados de Pedidos de Aplicação Desatualizados .The deletion behavior is configurable by setting the Delete Aged Application Request Data site maintenance task. Pedidos de aprovação de aplicações que são aprovados e pendente Estados nunca são eliminados.Application approval requests that are in approved and pending states are never deleted.
  • As informações que são enviadas de e para o Catálogo de Aplicações não são enviadas à Microsoft.Information that is sent to and from the Application Catalog is not sent to Microsoft.
  • Por predefinição, o Catálogo de Aplicações não está instalado.The Application Catalog is not installed by default. Esta instalação requer vários passos de configuração.This installation requires several configuration steps.