Configurar a segurança no Configuration ManagerConfigure security in Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

Utilize as informações neste artigo para ajudar a configurar as opções relacionadas com a segurança para o Configuration Manager.Use the information in this article to help you set up security-related options for Configuration Manager. Ela abrange as seguintes opções de segurança:It covers the following security options:

Configurar definições para certificados PKI de clienteConfigure settings for client PKI certificates

Se pretender utilizar certificados da infraestrutura de chaves públicas (PKI) para ligações de cliente aos sistemas de sites que utilizam os Serviços de Informação Internet (IIS), utilize o seguinte procedimento para configurar as definições destes certificados.If you want to use public key infrastructure (PKI) certificates for client connections to site systems that use Internet Information Services (IIS), use the following procedure to configure settings for these certificates.

Para configurar as definições de certificados PKI de clienteTo configure client PKI certificate settings

  1. Na consola do Configuration Manager, vá para o Administration área de trabalho, expanda configuração do Sitee selecione o Sites nó.In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. Selecione o site primário a configurar.Select the primary site to configure.

  2. No Friso, selecione propriedades.In the ribbon, choose Properties. Em seguida, mude para o comunicação do computador cliente separador.Then switch to the Client Computer Communication tab.

    Este separador apenas está disponível num site primário.This tab is available on a primary site only. Se não vir a comunicação do computador cliente separador, certifique-se de que não está ligado a um site de administração central ou um site secundário.If you don't see the Client Computer Communication tab, make sure that you're not connected to a central administration site or a secondary site.

  3. Selecione as definições para os sistemas de sites que utilizam IIS.Select the settings for site systems that use IIS.

    • Apenas HTTPS: Os clientes que estão atribuídos ao site sempre utilizar um certificado PKI de cliente ao estabelecerem ligações aos sistemas de sites que utilizam IIS.HTTPS only: Clients that are assigned to the site always use a client PKI certificate when they connect to site systems that use IIS.

    • HTTPS ou HTTP: Não precisa que os clientes utilizem certificados PKI.HTTPS or HTTP: You don't require clients to use PKI certificates.

    • Sistemas de sites de certificados gerados pelo utilize o Gestor de configuração para HTTP: Para obter mais informações sobre esta definição, consulte avançada HTTP.Use Configuration Manager-generated certificates for HTTP site systems: For more information on this setting, see Enhanced HTTP.

  4. Selecione as definições para computadores cliente.Select the settings for client computers.

    • Utilizar um certificado cliente PKI (capacidade de autenticação de cliente) quando estiverem disponíveis: Se tiver escolhido o HTTPS ou HTTP definição do servidor do site, selecione esta opção para utilizar um cliente certificado PKI para ligações HTTP.Use client PKI certificate (client authentication capability) when available: If you chose the HTTPS or HTTP site server setting, choose this option to use a client PKI certificate for HTTP connections. O cliente utiliza este certificado em vez de um certificado autoassinado para se autenticar perante os sistemas de site.The client uses this certificate instead of a self-signed certificate to authenticate itself to site systems. Se escolheu apenas HTTPS, esta opção será automaticamente escolhida.If you chose HTTPS only, this option is automatically chosen.

    Quando mais do que um certificado de cliente PKI válido está disponível num cliente, escolha modificar para configurar os métodos de seleção de certificado de cliente.When more than one valid PKI client certificate is available on a client, choose Modify to configure the client certificate selection methods.

    Para mais informações sobre o método de seleção de certificados de cliente, consulte Planning for PKI client certificate selection.For more information about the client certificate selection method, see Planning for PKI client certificate selection.

    • Os clientes verificam a lista de revogação de certificados (CRL) para sistemas de sites: Ative esta definição para clientes verificar a CRL da sua organização para certificados revogados.Clients check the certificate revocation list (CRL) for site systems: Enable this setting for clients to check your organization's CRL for revoked certificates.

    Para mais informações sobre a verificação CRL para clientes, consulte Planning for PKI certificate revocation.For more information about CRL checking for clients, see Planning for PKI certificate revocation.

  5. Para importar, visualizar e eliminar os certificados de autoridades de certificação de raiz fidedigna, escolha definir.To import, view, and delete the certificates for trusted root certification authorities, choose Set.

    Para obter mais informações, consulte planear a PKI fidedigna de certificados de raiz e os lista de emissores de certificados.For more information, see Planning for the PKI trusted root certificates and the certificate issuers List.

Repita este procedimento para todos os sites primários da hierarquia.Repeat this procedure for all primary sites in the hierarchy.

Configurar a assinatura e encriptaçãoConfigure signing and encryption

Configure as definições de assinatura e encriptação mais seguras para os sistemas de site que todos os clientes do site possam suportar.Configure the most secure signing and encryption settings for site systems that all clients in the site can support. Estas definições são especialmente importantes quando permitir que os clientes comuniquem com os sistemas de site utilizando certificados autoassinados através de HTTP.These settings are especially important when you let clients communicate with site systems by using self-signed certificates over HTTP.

Para configurar a assinatura e encriptação para um siteTo configure signing and encryption for a site

  1. Na consola do Configuration Manager, vá para o Administration área de trabalho, expanda configuração do Sitee selecione o Sites nó.In the Configuration Manager console, go to the Administration workspace, expand Site Configuration, and select the Sites node. Selecione o site primário a configurar.Select the primary site to configure.

  2. No Friso, selecione propriedadese, em seguida, mude para o assinatura e encriptação separador.In the ribbon, select Properties, and then switch to the Signing and Encryption tab.

    Este separador apenas está disponível num site primário.This tab is available on a primary site only. Se não vir a assinatura e encriptação separador, certifique-se de que não está ligado a um site de administração central ou um site secundário.If you don't see the Signing and Encryption tab, make sure that you're not connected to a central administration site or a secondary site.

  3. Configure as opções de assinatura e encriptação para os clientes comuniquem com o site.Configure the signing and encryption options for clients to communicate with the site.

    • Exigir assinatura: Os clientes assinar dados antes de enviar para o ponto de gestão.Require signing: Clients sign data before sending to the management point.

    • Exigir SHA-256: Os clientes utilizam o algoritmo SHA-256, quando a assinatura de dados.Require SHA-256: Clients use the SHA-256 algorithm when signing data.

    Aviso

    Não exigir SHA-256 sem primeiro confirmar que todos os clientes suportar este algoritmo hash.Don't Require SHA-256 without first confirming that all clients support this hash algorithm. Esses clientes incluem aqueles que possam ser atribuídos ao site no futuro.These clients include ones that might be assigned to the site in the future.

    Se escolher esta opção e os clientes com certificados autoassinados não suportam SHA-256, o Configuration Manager rejeita-los.If you choose this option, and clients with self-signed certificates can't support SHA-256, Configuration Manager rejects them. O componente SMS_MP_CONTROL_MANAGER regista o ID de mensagem 5443.The SMS_MP_CONTROL_MANAGER component logs the message ID 5443.

    • Utilize a encriptação: Os clientes para encriptar mensagens de estado e dados de inventário do cliente antes de enviar para o ponto de gestão.Use encryption: Clients encrypt client inventory data and status messages before sending to the management point. Eles usam o algoritmo 3DES.They use the 3DES algorithm.

Repita este procedimento para todos os sites primários da hierarquia.Repeat this procedure for all primary sites in the hierarchy.

Configurar a administração baseada em funçõesConfigure role-based administration

A administração baseada em funções combina funções de segurança, âmbitos de segurança e coleções atribuídas para definir o âmbito administrativo de cada utilizador administrativo.Role-based administration combines security roles, security scopes, and assigned collections to define the administrative scope for each administrative user. Um âmbito inclui os objetos que um utilizador pode ver na consola e as tarefas relacionadas com esses objetos que têm permissão para o fazer.A scope includes the objects that a user can view in the console, and the tasks related to those objects that they have permission to do. As configurações de administração baseadas em funções são aplicadas em cada site de uma hierarquia.Role-based administration configurations are applied at each site in a hierarchy.

Para obter mais informações, consulte configurar a administração baseada em funções.For more information, see Configure role-based administration. Este artigo detalha as seguintes ações:This article details the following actions:

  • Criar funções de segurança personalizadasCreate custom security roles

  • Configurar funções de segurançaConfigure security roles

  • Configurar âmbitos de segurança para um objetoConfigure security scopes for an object

  • Configurar coleções para gerir a segurançaConfigure collections to manage security

  • Criar um novo utilizador administrativoCreate a new administrative user

  • Modificar o âmbito administrativo de um utilizador administrativoModify the administrative scope of an administrative user

Importante

O seu próprio âmbito administrativo define os objetos e definições que pode atribuir ao configurar a administração baseada em funções para outro utilizador administrativo.Your own administrative scope defines the objects and settings that you can assign when you configure role-based administration for another administrative user. Para obter informações sobre o planeamento da administração baseada em funções, consulte Noções básicas da administração baseada em funções.For information about planning for role-based administration, see Fundamentals of role-based administration.

Gerir contas utilizadas pelo Configuration ManagerManage accounts that Configuration Manager uses

O Configuration Manager suporta contas do Windows para muitas tarefas diferentes e utiliza.Configuration Manager supports Windows accounts for many different tasks and uses. Para ver as contas que estão configuradas para diferentes tarefas e para gerir a palavra-passe utilizadas pelo Configuration Manager para cada conta, utilize o seguinte procedimento:To view accounts that are configured for different tasks, and to manage the password that Configuration Manager uses for each account, use the following procedure:

Para gerir contas utilizadas pelo Configuration ManagerTo manage accounts that Configuration Manager uses

  1. Na consola do Configuration Manager, vá para o administração área de trabalho, expanda Securitye, em seguida, selecione o contas nó.In the Configuration Manager console, go to the Administration workspace, expand Security, and then choose the Accounts node.

  2. Para alterar a palavra-passe para uma conta, selecione a conta na lista.To change the password for an account, select the account in the list. Em seguida, escolha propriedades na faixa de opções.Then choose Properties in the ribbon.

  3. Escolher definir para abrir o conta de utilizador do Windows caixa de diálogo.Choose Set to open the Windows User Account dialog box. Especifique a palavra-passe nova para o Configuration Manager para utilizar para esta conta.Specify the new password for Configuration Manager to use for this account.

    Nota

    A palavra-passe que especificar tem de corresponder à palavra-passe desta conta no Active Directory.The password that you specify must match this account's password in Active Directory.

Para obter mais informações, consulte contas utilizadas no Configuration Manager.For more information, see Accounts used in Configuration Manager.

Configurar o Azure Active DirectoryConfigure Azure Active Directory

Integre o Configuration Manager com o Azure Active Directory (Azure AD) para simplificar e seu ambiente de cloud os.Integrate Configuration Manager with Azure Active Directory (Azure AD) to simplify and cloud-enable your environment. Ative o site e os clientes para autenticar com o Azure AD.Enable the site and clients to authenticate by using Azure AD. Para obter mais informações, consulte a gestão na Cloud serviço na dos serviços do Azure configurar.For more information, see the Cloud Management service in Configure Azure services.

Configurar a autenticação de fornecedor de SMSConfigure SMS Provider authentication

A partir da versão 1810, pode especificar o nível mínimo de autenticação para os administradores aceder a sites do Configuration Manager.Starting in version 1810, you can specify the minimum authentication level for administrators to access Configuration Manager sites. Esta funcionalidade aplica os administradores para iniciar sessão no Windows com o nível necessário.This feature enforces administrators to sign in to Windows with the required level. Para obter mais informações, consulte planear o fornecedor de SMS.For more information, see Plan for the SMS Provider.

Consulte tambémSee also