Configuration Manager中合規性設定的安全性和隱私權

適用於：Configuration Manager (目前的分支)

安全性指引

不要監視敏感性資料

若要協助避免資訊洩漏，請勿設定設定專案來監視潛在的敏感性資訊。

請勿設定使用使用者可修改之資料的合規性規則

如果您根據使用者可以修改的資料建立合規性規則，例如組態選擇的登錄設定，合規性結果將不可靠。

僅從已數位簽署的外部來源匯入組態套件

只有當組態套件具有來自受信任發行者的有效數位簽章時，才從外部來源匯入組態套件和其他設定資料。

已發佈的設定資料可以數位簽署，讓您可以驗證發佈來源，並確定資料未遭到竄改。 如果數位簽章驗證檢查失敗，系統會警告您並提示您繼續匯入。 如果您無法驗證資料的來源和完整性，請勿匯入未簽署的資料。

實作存取控制以保護參照電腦

請確定當系統管理使用者藉由流覽至參照電腦來設定登錄或檔案系統設定時，參照電腦不會遭到入侵。

當您流覽至參照電腦時，請保護通道

若要避免在透過網路傳輸資料時遭到竄改，請在執行 Configuration Manager 主控台的電腦與參照電腦之間簽署時，使用網際網路通訊協定安全性 (IPsec) 或伺服器訊息區 (SMB) 簽署。

限制和監視相容性設定的角色型系統管理

限制和監視獲授與 合規性設定管理員 角色型安全性角色的系統管理使用者。

具有此角色的系統管理使用者可以將設定專案部署到階層中的所有裝置和所有使用者。 設定專案功能強大，例如腳本和登錄重新設定。

隱私權資訊

您可以使用合規性設定來評估用戶端裝置是否符合您在設定基準中部署的設定專案。 某些設定如果不符合規範，可以自動補救。 合規性資訊會由管理點傳送至月臺伺服器，並儲存在月臺資料庫中。 當裝置將資訊傳送至管理點時，資訊會加密，但不會以加密格式儲存在月臺資料庫中。 合規性資訊不會傳送至Microsoft。

根據預設，裝置不會評估合規性設定。 您可以設定設定專案和設定基準，然後將它們部署到裝置。