在 Configuration Manager 中設定安全性

  • 發行項

適用於:Configuration Manager (目前的分支)

使用本文中的資訊,協助您設定Configuration Manager的安全性相關選項。 開始之前,請確定您有 安全性規劃

重要事項

從 Configuration Manager 2103 版開始,允許 HTTP 用戶端通訊的網站已被取代。 設定 HTTPS 或增強式 HTTP 的網站。 如需詳細資訊,請參閱 啟用僅限 HTTPS 或增強 HTTP 的網站

用戶端 PKI 憑證

如果您想要使用公開金鑰基礎結構 (PKI) 憑證來連線到使用 Internet Information Services (IIS) 的月臺系統,請使用下列程式來設定這些憑證的設定。

  1. 在Configuration Manager主控台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [月臺] 節點。 選取要設定的主要月臺。

  2. 在功能區中,選擇 [ 屬性]。 然後切換至 [ 通訊安全性] 索引 標籤。

  3. 選取使用 IIS 之月臺系統的設定。

    • 僅限 HTTPS:指派給月臺的用戶端在連線到使用 IIS 的月臺系統時,一律會使用用戶端 PKI 憑證。 例如,管理點和發佈點。

    • HTTPS 或 HTTP:您不需要用戶端使用 PKI 憑證。

    • 針對 HTTP 月臺系統使用Configuration Manager產生的憑證:如需此設定的詳細資訊,請參閱增強 HTTP

  4. 選取用戶端電腦的設定。

    • 使用用戶端 PKI 憑證 (用戶端驗證功能) :如果您選擇 HTTPS 或 HTTP 月臺伺服器設定,請選擇此選項以使用用戶端 PKI 憑證進行 HTTP 連線。 用戶端會使用此憑證而非自我簽署憑證,向月臺系統驗證本身。 如果您只選擇 HTTPS,則會自動選擇此選項。

      當用戶端上有多個有效的 PKI 用戶端憑證可用時,請選取 [ 修改 ] 以設定用戶端憑證選取方法。 如需用戶端憑證選取方法的詳細資訊,請參閱 規劃 PKI 用戶端憑證選取

    • 用戶端會檢查月臺系統 (CRL) 的憑證撤銷清單:啟用此設定,讓用戶端檢查貴組織的 CRL 是否有已撤銷的憑證。 如需用戶端 CRL 檢查的詳細資訊,請參閱 規劃 PKI 憑證撤銷

  5. 若要匯入、檢視及刪除受信任根憑證授權單位的憑證,請選取 [ 設定]。 如需詳細資訊,請參閱 規劃 PKI 受信任的根憑證和憑證簽發者清單

針對階層中的所有主要月臺重複此程式。

管理受信任的根金鑰

使用這些程式預先布建並驗證Configuration Manager用戶端的受根信任金鑰。

注意事項

如果用戶端可以從Active Directory 網域服務或用戶端推入取得受信任的根金鑰,您就不需要預先布建它。

當用戶端對管理點使用 HTTPS 通訊時,您不需要預先布建受信任的根金鑰。 它們會建立 PKI 憑證的信任。

如需受根信任金鑰的詳細資訊,請參閱 規劃安全性

使用檔案預先布建具有受根信任金鑰的用戶端

  1. 在月臺伺服器上,流覽至Configuration Manager安裝目錄。 在子資料夾中 \bin\<platform> ,在文字編輯器中開啟下列檔案: mobileclient.tcf

  2. 找出專案 。 SMSPublicRootKey 從該行複製值,並關閉檔案而不儲存任何變更。

  3. 建立新的文字檔,並貼上您從 mobileclient.tcf 檔案複製的金鑰值。

  4. 將檔案儲存在所有電腦都可以存取的位置,但檔案安全不受竄改的位置。

  5. 使用接受 client.msi 屬性的任何安裝方法來安裝用戶端。 指定下列屬性: SMSROOTKEYPATH=<full path and file name>

    重要事項

    當您在用戶端安裝期間指定受信任的根金鑰時,也請指定月臺碼。 使用下列 client.msi 屬性: SMSSITECODE=<site code>

使用受信任的根金鑰預先布建用戶端,而不使用檔案

  1. 在月臺伺服器上,流覽至Configuration Manager安裝目錄。 在子資料夾中 \bin\<platform> ,在文字編輯器中開啟下列檔案: mobileclient.tcf

  2. 找出專案 。 SMSPublicRootKey 從該行複製值,並關閉檔案而不儲存任何變更。

  3. 使用接受 client.msi 屬性的任何安裝方法來安裝用戶端。 指定下列 client.msi 屬性: SMSPublicRootKey=<key> 其中 <key> 是您從 mobileclient.tcf 複製的字串。

    重要事項

    當您在用戶端安裝期間指定受信任的根金鑰時,也請指定月臺碼。 使用下列 client.msi 屬性: SMSSITECODE=<site code>

確認用戶端上受信任的根金鑰

  1. 以系統管理員身分開啟Windows PowerShell主控台。

  2. 執行下列命令:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey

傳回的字串是受信任的根金鑰。 確認它符合月臺伺服器上 mobileclient.tcf 檔案中的 SMSPublicRootKey 值。

移除或取代受信任的根金鑰

使用 client.msi 屬性 RESETKEYINFORMATION = TRUE ,從用戶端移除受信任的根金鑰。

若要取代受信任的根金鑰,請將用戶端與新的受根信任金鑰一起重新安裝。 例如,使用用戶端推入,或指定 client.msi 屬性 SMSPublicRootKey

如需這些安裝屬性的詳細資訊,請 參閱關於用戶端安裝參數和屬性

簽署和加密

針對月臺中所有用戶端都可支援的月臺系統,設定最安全的簽署和加密設定。 當您讓用戶端透過 HTTP 使用自我簽署憑證與月臺系統通訊時,這些設定特別重要。

  1. 在Configuration Manager主控台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [月臺] 節點。 選取要設定的主要月臺。

  2. 在功能區中,選取 [ 屬性],然後切換至 [ 簽署和加密] 索引卷 標。

    此索引標籤僅適用于主要月臺。 如果您沒有看到 [ 簽署和加密] 索引 標籤,請確定您未連線到管理中心網站或次要網站。

  3. 設定簽署和加密選項,讓用戶端與月臺通訊。

    • 需要簽署:用戶端在傳送至管理點之前先簽署資料。

    • 需要 SHA-256:用戶端在簽署資料時使用 SHA-256 演算法。

      警告

      請勿先確認所有用戶端都支援此雜湊演算法,而 需要 SHA-256 。 這些用戶端包含未來可能會指派給網站的用戶端。

      如果您選擇此選項,且具有自我簽署憑證的用戶端無法支援 SHA-256,Configuration Manager拒絕它們。 SMS_MP_CONTROL_MANAGER元件會記錄訊息識別碼 5443。

    • 使用加密:用戶端會先加密用戶端清查資料和狀態訊息,再傳送至管理點。

針對階層中的所有主要月臺重複此程式。

角色型管理

以角色為基礎的系統管理結合了安全性角色、安全性範圍和指派的集合,以定義每個系統管理使用者的系統管理範圍。 範圍包含使用者可在主控台中檢視的物件,以及與有權執行之物件相關的工作。 角色型系統管理設定會套用至階層中的每個月臺。

如需詳細資訊, 請參閱設定以角色為基礎的系統管理。 本文詳細說明下列動作:

  • 建立自訂安全性角色

  • 設定安全性角色

  • 設定物件的安全性範圍

  • 設定集合以管理安全性

  • 建立新的系統管理使用者

  • 修改系統管理使用者的系統管理範圍

重要事項

您自己的系統管理範圍會定義當您為另一個系統管理使用者設定以角色為基礎的系統管理時,可以指派的物件和設定。 如需規劃以角色為基礎的系統管理的相關資訊,請參閱 角色型系統管理的基本概念

管理帳戶

Configuration Manager支援 Windows 帳戶進行許多不同的工作和用途。 若要檢視針對不同工作設定的帳戶,以及管理Configuration Manager用於每個帳戶的密碼,請使用下列程式:

  1. 在Configuration Manager主控台中,移至 [系統管理] 工作區,展開 [安全性],然後選擇 [帳戶]節點。

  2. 若要變更帳戶的密碼,請選取清單中的帳戶。 然後選擇功能區中的 [ 屬性 ]。

  3. 選擇 [設定 ] 以開啟 [Windows 使用者帳戶 ] 對話方塊。 指定要用於此帳戶之Configuration Manager的新密碼。

    注意事項

    您指定的密碼必須符合此帳戶在 Active Directory 中的密碼。

如需詳細資訊,請參閱Configuration Manager中使用的帳戶

Microsoft Entra ID

將Configuration Manager與Microsoft Entra識別碼整合,以簡化和啟用雲端環境。 讓網站和用戶端使用Microsoft Entra識別碼進行驗證。

如需詳細資訊,請參閱設定Azure 服務中的雲端管理服務。

SMS 提供者驗證

您可以指定最小驗證層級,讓系統管理員存取Configuration Manager網站。 此功能會強制系統管理員以必要的層級登入 Windows,才能存取Configuration Manager。 如需詳細資訊,請參閱 規劃 SMS 提供者驗證

重要事項

此設定是整個階層的設定。 變更此設定之前,請確定所有Configuration Manager系統管理員都可以使用必要的驗證層級登入 Windows。

若要設定此設定,請使用下列步驟:

  1. 第一次使用預期的驗證層級登入 Windows。

  2. 在Configuration Manager主控台中,移至 [系統管理] 工作區,展開 [月臺設定],然後選取 [月臺] 節點。

  3. 選取功能 區中的 [階層設定 ]。

  4. 切換至 [ 驗證] 索引 標籤。選取所需的 驗證層級,然後選取 [ 確定]

    • 只有在必要時,選取 [新增 ] 以排除特定使用者或群組。 如需詳細資訊,請參閱排除。

排除項目

從 [階層設定] 的 [ 驗證 ] 索引標籤中,您也可以排除特定使用者或群組。 請謹慎使用此選項。 例如,當特定使用者需要存取Configuration Manager主控台,但無法在必要層級向 Windows 進行驗證時。 在系統帳戶的內容下執行的自動化或服務可能也必須這麼做。

後續步驟