Configuration Managerの証明書プロファイルのセキュリティとプライバシー

Configuration Manager (現在のブランチ) に適用

重要

バージョン 2203 以降、この会社のリソース アクセス機能はサポートされなくなりました。 詳細については、「 リソース アクセスの非推奨に関してよく寄せられる質問」を参照してください。

セキュリティ ガイダンス

ユーザーとデバイスの証明書プロファイルを管理する場合は、次のガイダンスを使用します。

ネットワーク デバイス登録サービス (NDES) のセキュリティ ガイダンスに従う

NDES のセキュリティ ガイダンスを特定して従います。 たとえば、インターネット インフォメーション サービス (IIS) で NDES Web サイトを構成して HTTPS を要求し、クライアント証明書を無視します。

詳細については、「 ネットワーク デバイス登録サービス ガイダンス」を参照してください。

証明書プロファイルの最も安全なオプションを選択する

SCEP 証明書プロファイルを構成する場合は、デバイスとインフラストラクチャでサポートできる最も安全なオプションを選択します。 デバイスとインフラストラクチャに推奨されるセキュリティ ガイダンスを特定し、実装し、従います。

ユーザー デバイス アフィニティを一元的に指定する

ユーザーがプライマリ デバイスを識別できるようにする代わりに、ユーザー デバイス アフィニティを手動で指定します。 使用量ベースの構成を有効にしないでください。

SCEP 証明書プロファイルの オプションを使用して 、ユーザーのプライマリ デバイスでのみ証明書の登録を許可する場合は、ユーザーまたはデバイスから収集された情報が権限があるとは考えないでください。 この構成で SCEP 証明書プロファイルを展開し、信頼された管理ユーザーがユーザー デバイス アフィニティを指定していない場合、承認されていないユーザーは管理者特権を受け取り、認証用の証明書が付与される可能性があります。

注:

使用状況ベースの構成を有効にした場合、この情報は状態メッセージを使用して収集されます。 Configuration Managerは状態メッセージをセキュリティで保護しません。 この脅威を軽減するには、クライアント コンピューターと管理ポイントの間で SMB 署名または IPsec を使用します。

証明書テンプレートのアクセス許可を管理する

ユーザーの 読み取り アクセス許可と 登録 アクセス許可を証明書テンプレートに追加しないでください。 証明書テンプレートのチェックをスキップするように証明書登録ポイントを構成しないでください。

Configuration Managerでは、ユーザーの読み取りと登録のセキュリティ アクセス許可を追加した場合の追加チェックがサポートされます。 認証が不可能な場合は、このチェックをスキップするように証明書登録ポイントを構成できます。 ただし、どちらの構成も推奨されません。

詳細については、「 証明書プロファイルの証明書テンプレートのアクセス許可の計画」を参照してください。

プライバシー情報

証明書プロファイルを使用して、ルート証明機関 (CA) とクライアント証明書を展開し、クライアントがプロファイルを適用した後で、それらのデバイスが準拠しているかどうかを評価できます。 管理ポイントは、コンプライアンス情報をサイト サーバーに送信し、その情報をサイト データベースに格納Configuration Manager。 コンプライアンス情報には、サブジェクト名や拇印などの証明書プロパティが含まれます。 クライアントは、管理ポイントに送信されるときにこの情報を暗号化しますが、サイト データベースは暗号化された形式で格納しません。 コンプライアンス情報はMicrosoftに送信されません。

証明書プロファイルでは、検出を使用して収集Configuration Manager情報が使用されます。 詳細については、「 検出のプライバシー情報」を参照してください。

既定では、デバイスは証明書プロファイルを評価しません。 証明書プロファイルを構成し、ユーザーまたはデバイスに展開する必要があります。

注:

ユーザーまたはデバイスに発行された証明書により、機密情報へのアクセスが許可される場合があります。