次の方法で共有


Configuration Manager クライアントのセキュリティとプライバシー

Configuration Manager (現在のブランチ) に適用

この記事では、Configuration Manager クライアントのセキュリティとプライバシーに関する情報について説明します。 また、Exchange Server コネクタによって管理されるモバイル デバイスの情報も含まれます。

クライアントのセキュリティ ガイダンス

Configuration Manager サイトは、Configuration Manager クライアントを実行するデバイスからのデータを受け入れます。 この動作により、クライアントがサイトを攻撃するリスクが発生します。 たとえば、不正な形式のインベントリを送信したり、サイト システムを過負荷にしようとしたりする可能性があります。 信頼できるデバイスにのみConfiguration Manager クライアントを展開します。

不正なデバイスや侵害されたデバイスからサイトを保護するには、次のセキュリティ ガイダンスを使用します。

IIS を実行するサイト システムとのクライアント通信に公開キー インフラストラクチャ (PKI) 証明書を使用する

  • サイト プロパティとして、HTTPS 専用のサイト システム設定を構成します。 詳細については、「セキュリティの 構成」を参照してください。

  • UsePKICert CCMSetup プロパティを使用してクライアントをインストールします。

  • 証明書失効リスト (CRL) を使用します。 クライアントと通信サーバーが常にアクセスできることを確認します。

モバイル デバイス クライアントと一部のインターネット ベースのクライアントでは、これらの証明書が必要です。 Microsoft では、イントラネット上のすべてのクライアント接続に対してこれらの証明書を推奨しています。

Configuration Managerでの証明書の使用の詳細については、「証明書の計画」を参照してください。

重要

バージョン 2103 Configuration Manager以降、HTTP クライアント通信を許可するサイトは非推奨となりました。 HTTPS または拡張 HTTP 用にサイトを構成します。 詳細については、「 HTTPS 専用または拡張 HTTP のサイトを有効にする」を参照してください。

信頼されたドメインからクライアント コンピューターを自動的に承認し、他のコンピューターを手動でチェックして承認する

PKI 認証を使用できない場合、承認は、Configuration Managerによって管理される信頼できるコンピューターを識別します。 階層には、クライアントの承認を構成するための次のオプションがあります。

  • Manual
  • 信頼されたドメイン内のコンピューターの自動
  • すべてのコンピューターの自動

最も安全な承認方法は、信頼されたドメインのメンバーであるクライアントを自動的に承認することです。 このオプションには、接続されたMicrosoft Entraテナントからのクラウド ドメイン参加済みクライアントが含まれます。 その後、手動でチェックし、他のすべてのコンピューターを承認します。 信頼できないコンピューターがネットワークにアクセスできないように他のアクセス制御がない限り、すべてのクライアントを自動的に承認することは推奨されません。

コンピューターを手動で承認する方法の詳細については、「 デバイス ノードからクライアントを管理する」を参照してください。

クライアントがConfiguration Manager階層にアクセスできないようにブロックに依存しない

ブロックされたクライアントは、Configuration Manager インフラストラクチャによって拒否されます。 クライアントがブロックされている場合、サイト システムと通信してポリシーのダウンロード、インベントリ データのアップロード、状態または状態メッセージの送信を行うことはできません。

ブロックは、次のシナリオ用に設計されています。

  • OS をクライアントに展開するときに、紛失または侵害されたブート メディアをブロックするには
  • すべてのサイト システムが HTTPS クライアント接続を受け入れる場合

サイト システムが HTTP クライアント接続を受け入れる場合は、信頼されていないコンピューターからConfiguration Manager階層を保護するためにブロックに依存しないでください。 このシナリオでは、ブロックされたクライアントが、新しい自己署名証明書とハードウェア ID を使用してサイトに再参加する可能性があります。

証明書失効は、侵害される可能性のある証明書に対する主要な防御ラインです。 証明書失効リスト (CRL) は、サポートされている公開キー インフラストラクチャ (PKI) からのみ使用できます。 Configuration Managerでクライアントをブロックすると、階層を保護するための 2 番目の防御ラインが提供されます。

詳細については、「 クライアントをブロックするかどうかを決定する」を参照してください。

環境に適した最も安全なクライアント インストール方法を使用する

  • ドメイン コンピューターの場合、 グループ ポリシー クライアントのインストールと ソフトウェア更新ベースの クライアント インストール方法は、 クライアント プッシュ インストールよりも安全です。

  • アクセス制御と変更制御を適用する場合は、イメージングと手動インストール方法を使用します。

  • クライアント プッシュ インストールで Kerberos 相互認証を使用します。

すべてのクライアント インストール方法の中で、クライアント プッシュ インストールは、多くの依存関係があるため、最も安全性が低くなります。 これらの依存関係には、ローカルの管理アクセス許可、共有、ファイアウォールの Admin$ 例外が含まれます。 これらの依存関係の数と種類によって、攻撃対象領域が増加します。

クライアント プッシュを使用する場合、接続を確立する前に NTLM へのフォールバックを許可しないことで、サイトで Kerberos 相互認証が必要になる場合があります。 この機能強化は、サーバーとクライアント間の通信をセキュリティで保護するのに役立ちます。 詳細については、「 クライアント プッシュを使用してクライアントをインストールする方法」を参照してください。

さまざまなクライアント インストール方法の詳細については、「 クライアント のインストール方法」を参照してください。

可能な限り、Configuration Managerで最小限のセキュリティ アクセス許可を必要とするクライアント インストール方法を選択します。 クライアントの展開以外の目的で使用できるアクセス許可を持つセキュリティ ロールが割り当てられている管理ユーザーを制限します。 たとえば、クライアントの自動アップグレードを構成するには、管理者ユーザーにすべてのセキュリティ アクセス許可を付与する 完全な管理者 セキュリティ ロールが必要です。

各クライアント のインストール方法に必要な依存関係とセキュリティアクセス許可の詳細については、「 コンピューター クライアントの前提条件」を参照してください。

クライアント プッシュ インストールを使用する必要がある場合は、クライアント プッシュ インストール アカウントをセキュリティで保護します

クライアント プッシュ インストール アカウントは、Configuration Manager クライアントをインストールする各コンピューターのローカル Administrators グループのメンバーである必要があります。 クライアント プッシュ インストール アカウントを Domain Admins グループに追加しないでください。 代わりに、グローバル グループを作成し、そのグローバル グループをクライアントのローカル Administrators グループに追加します。 制限 付きグループ 設定を追加するグループ ポリシー オブジェクトを作成し、クライアント プッシュ インストール アカウントをローカル の Administrators グループに追加します。

セキュリティを強化するには、複数のクライアント プッシュ インストール アカウントを作成し、それぞれに制限された数のコンピューターへの管理アクセス権を持ちます。 1 つのアカウントが侵害された場合、そのアカウントがアクセス権を持つクライアント コンピューターのみが侵害されます。

イメージング クライアントの前に証明書を削除する

OS イメージを使用してクライアントを展開する場合は、イメージをキャプチャする前に必ず証明書を削除してください。 これらの証明書には、クライアント認証用の PKI 証明書と自己署名証明書が含まれます。 これらの証明書を削除しないと、クライアントが互いに偽装する可能性があります。 各クライアントのデータを確認することはできません。

詳細については、「OS を キャプチャするためのタスク シーケンスの作成」を参照してください。

Configuration Managerクライアントが証明書の承認されたコピーを取得することを確認します

信頼されたルート キー証明書Configuration Manager

次の両方のステートメントが true の場合、クライアントはConfiguration Manager信頼されたルート キーに依存して有効な管理ポイントを認証します。

  • Configuration Managerの Active Directory スキーマを拡張していない
  • クライアントが管理ポイントと通信するときに PKI 証明書を使用しない

このシナリオでは、クライアントは、信頼されたルート キーを使用しない限り、管理ポイントが階層に対して信頼されていることを確認する方法がありません。 信頼されたルート キーがないと、熟練した攻撃者がクライアントを不正な管理ポイントに誘導する可能性があります。

クライアントが PKI 証明書を使用せず、Active Directory グローバル カタログから信頼されたルート キーをダウンロードできない場合は、信頼されたルート キーを使用してクライアントを事前にプロビジョニングします。 このアクションにより、不正な管理ポイントに誘導できなくなります。 詳細については、「 信頼されたルート キーの計画」を参照してください。

サイト サーバー署名証明書

クライアントは、サイト サーバー署名証明書を使用して、サイト サーバーが管理ポイントからダウンロードしたポリシーに署名したことを確認します。 この証明書はサイト サーバーによって自己署名され、Active Directory Domain Servicesに発行されます。

クライアントが Active Directory グローバル カタログからこの証明書をダウンロードできない場合、既定で管理ポイントから証明書をダウンロードします。 インターネットなどの信頼されていないネットワークに管理ポイントが公開されている場合は、クライアントにサイト サーバー署名証明書を手動でインストールします。 このアクションにより、侵害された管理ポイントから改ざんされたクライアント ポリシーをダウンロードできなくなります。

サイト サーバー署名証明書を手動でインストールするには、CCMSetup client.msi プロパティ SMSSIGNCERT を使用します。

クライアントが接続する最初の管理ポイントから信頼されたルート キーをダウンロードする場合は、サイトの自動割り当てを使用しないでください

新しいクライアントが不正な管理ポイントから信頼されたルート キーをダウンロードするリスクを回避するには、次のシナリオでのみ自動サイト割り当てを使用します。

  • クライアントは、Active Directory Domain Servicesに発行Configuration Managerサイト情報にアクセスできます。

  • 信頼されたルート キーを使用してクライアントを事前にプロビジョニングします。

  • エンタープライズ証明機関の PKI 証明書を使用して、クライアントと管理ポイント間の信頼を確立します。

信頼されたルート キーの詳細については、「信頼されたルート キーの計画」を参照してください。

重要なソフトウェア更新プログラムを展開するのに十分なメンテナンス期間があることを確認します

デバイス コレクションのメンテナンス期間は、これらのデバイスにソフトウェアConfiguration Managerインストールできる時間を制限します。 メンテナンス期間が小さすぎるよう構成した場合、クライアントは重要なソフトウェア更新プログラムをインストールしない可能性があります。 この動作により、クライアントはソフトウェア更新プログラムによって軽減される攻撃に対して脆弱になります。

書き込みフィルターを使用して Windows Embedded デバイスの攻撃対象を減らすセキュリティ対策を講じる

Windows Embedded デバイスで書き込みフィルターを有効にすると、ソフトウェアのインストールまたは変更はオーバーレイにのみ行われます。 これらの変更は、デバイスの再起動後も保持されません。 Configuration Managerを使用して書き込みフィルターを無効にすると、この期間中、埋め込みデバイスはすべてのボリュームに対する変更に対して脆弱になります。 これらのボリュームには、共有フォルダーが含まれます。

Configuration Managerは、ローカル管理者のみがサインインできるように、この期間中にコンピューターをロックします。 可能な限り、コンピューターの保護に役立つその他のセキュリティ対策を講じてください。 たとえば、ファイアウォールの制限を有効にします。

メンテナンス期間を使用して変更を保持する場合は、これらのウィンドウを慎重に計画してください。 書き込みフィルターが無効になる時間を最小限に抑えますが、ソフトウェアのインストールと再起動を完了するのに十分な長さにします。

ソフトウェア更新ベースのクライアント インストールで最新のクライアント バージョンを使用する

ソフトウェア更新ベースのクライアント インストールを使用し、サイトに新しいバージョンのクライアントをインストールする場合は、公開されているソフトウェア更新プログラムを更新します。 その後、クライアントはソフトウェアの更新ポイントから最新バージョンを受け取ります。

サイトを更新すると、ソフトウェアの更新ポイントに発行されたクライアント展開用のソフトウェア更新プログラムは自動的に更新されません。 Configuration Manager クライアントをソフトウェアの更新ポイントに再発行し、バージョン番号を更新します。

詳細については、「ソフトウェア更新プログラム ベースのインストールを使用してConfiguration Manager クライアントをインストールする方法」を参照してください。

信頼されたデバイスと制限付きアクセスデバイスでのみ BitLocker PIN エントリを一時停止する

信頼し、物理的なアクセスが制限されているコンピューターの場合にのみ、再起動時に BitLocker PIN エントリを中断するようにクライアント設定を構成します。

このクライアント設定を Always に設定すると、Configuration Managerソフトウェアのインストールを完了できます。 この動作は、重要なソフトウェア更新プログラムをインストールし、サービスを再開するのに役立ちます。 攻撃者が再起動プロセスを傍受した場合、コンピューターを制御できます。 この設定は、コンピューターを信頼する場合と、コンピューターへの物理的なアクセスが制限されている場合にのみ使用します。 たとえば、この設定は、データ センター内のサーバーに適している場合があります。

このクライアント設定の詳細については、「 クライアント設定について」を参照してください。

PowerShell 実行ポリシーをバイパスしない

PowerShell 実行ポリシーの Configuration Manager クライアント設定をバイパスに構成した場合、Windows では署名されていない PowerShell スクリプトの実行が許可されます。 この動作により、マルウェアがクライアント コンピューターで実行される可能性があります。 organizationでこのオプションが必要な場合は、カスタム クライアント設定を使用します。 署名されていない PowerShell スクリプトを実行する必要があるクライアント コンピューターにのみ割り当てます。

このクライアント設定の詳細については、「 クライアント設定について」を参照してください。

モバイル デバイスのセキュリティ ガイダンス

境界ネットワークに登録プロキシ ポイントをインストールし、イントラネットに登録ポイントをインストールする

Configuration Managerで登録するインターネット ベースのモバイル デバイスの場合は、境界ネットワークに登録プロキシ ポイントをインストールし、イントラネットに登録ポイントをインストールします。 このロールの分離は、登録ポイントを攻撃から保護するのに役立ちます。 攻撃者が登録ポイントを侵害した場合、認証用の証明書を取得する可能性があります。 また、モバイル デバイスを登録するユーザーの資格情報を盗むこともできます。

承認されていないアクセスからモバイル デバイスを保護するためにパスワード設定を構成する

Configuration Managerによって登録されているモバイル デバイスの場合: モバイル デバイス構成項目を使用して、パスワードの複雑さを PIN として構成します。 少なくとも既定の最小パスワード長を指定します。

Configuration Manager クライアントがインストールされていないが、Exchange Server コネクタによって管理されているモバイル デバイスの場合: パスワードの複雑さが PIN になるように、Exchange Server コネクタのパスワード設定を構成します。 少なくとも既定の最小パスワード長を指定します。

信頼できる企業によって署名されたアプリケーションの実行のみを許可する

信頼できる企業が署名した場合にのみアプリケーションを実行できるようにすることで、インベントリ情報と状態情報の改ざんを防ぎます。 デバイスが署名されていないファイルをインストールできないようにします。

Configuration Managerによって登録されているモバイル デバイスの場合: モバイル デバイス構成項目を使用して、セキュリティ設定 [署名されていないアプリケーション] を [禁止] として構成します。 署名されていないファイルのインストールを信頼できるソースに構成します。

Configuration Manager クライアントがインストールされていないが、Exchange Server コネクタによって管理されているモバイル デバイスの場合: 署名されていないファイルのインストール署名されていないアプリケーション禁止されるように、Exchange Server コネクタのアプリケーション設定を構成します。

使用されていないときにモバイル デバイスをロックする

モバイル デバイスが使用されていないときにロックすることで、特権攻撃の昇格を防ぐのに役立ちます。

Configuration Managerによって登録されているモバイル デバイスの場合: モバイル デバイス構成項目を使用して、モバイル デバイスがロックされるまでのアイドル時間 (分単位) のパスワード設定を構成します。

Configuration Manager クライアントがインストールされていないが、Exchange Server コネクタによって管理されているモバイル デバイスの場合: Exchange Server コネクタパスワード設定を構成して、モバイル デバイスがロックされるまでのアイドル時間を数分で設定します。

モバイル デバイスを登録できるユーザーを制限する

モバイル デバイスを登録できるユーザーを制限することで、特権の昇格を防ぐのに役立ちます。 既定のクライアント設定ではなくカスタム クライアント設定を使用して、承認されたユーザーのみがモバイル デバイスを登録できるようにします。

モバイル デバイスのユーザー デバイス アフィニティ ガイダンス

次のシナリオでは、Configuration Managerによって登録されたモバイル デバイスを持つユーザーにアプリケーションを展開しないでください。

  • モバイル デバイスは、複数のユーザーによって使用されます。

  • デバイスは、ユーザーの代わりに管理者によって登録されます。

  • デバイスは、リタイアせずに別のユーザーに転送された後、デバイスを再登録します。

デバイス登録では、ユーザー デバイス アフィニティ関係が作成されます。 このリレーションシップは、登録を行うユーザーをモバイル デバイスにマップします。 別のユーザーがモバイル デバイスを使用している場合、元のユーザーにデプロイされたアプリケーションを実行できるため、特権が昇格される可能性があります。 同様に、管理者がユーザーのモバイル デバイスを登録した場合、ユーザーにデプロイされたアプリケーションはモバイル デバイスにインストールされません。 代わりに、管理者にデプロイされたアプリケーションがインストールされる可能性があります。

Configuration Manager サイト サーバーとExchange Server間の接続を保護する

Exchange Serverがオンプレミスの場合は、IPsec を使用します。 ホステッド Exchange は、HTTPS との接続を自動的にセキュリティで保護します。

Exchange コネクタの最小特権の原則を使用する

Exchange Server コネクタで必要な最小コマンドレットの一覧については、「Configuration Managerと Exchange を使用してモバイル デバイスを管理する」を参照してください。

macOS デバイスのセキュリティ ガイダンス

セキュリティで保護された場所からクライアント ソース ファイルを格納してアクセスする

macOS コンピューターにクライアントをインストールまたは登録する前に、Configuration Managerは、これらのクライアント ソース ファイルが改ざんされているかどうかを確認しません。 信頼できるソースからこれらのファイルをダウンロードします。 安全に保存してアクセスします。

証明書の有効期間を監視および追跡する

macOS コンピューターで使用する証明書の有効期間を監視して追跡します。 Configuration Managerでは、この証明書の自動更新がサポートされていないか、証明書の有効期限が切れそうであることを警告します。 一般的な有効期間は 1 年間です。

証明書を更新する方法の詳細については、「 macOS クライアント証明書を手動で更新する」を参照してください。

SSL 専用の信頼されたルート証明書を構成する

特権の昇格から保護するには、信頼されたルート証明機関の証明書を構成して、SSL プロトコルに対してのみ信頼されるようにします。

Mac コンピューターを登録すると、Configuration Manager クライアントを管理するユーザー証明書が自動的にインストールされます。 このユーザー証明書には、信頼チェーンに信頼されたルート証明書が含まれています。 このルート証明書の信頼を SSL プロトコルのみに制限するには、次の手順を使用します。

  1. Mac コンピューターで、ターミナル ウィンドウを開きます。

  2. 次のコマンドを入力します。 sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. [ キーチェーン アクセス ] ダイアログ ボックスの [ キーチェーン ] セクションで、[ システム] を選択します。 次に、[ カテゴリ ] セクションで [証明書] を選択 します

  4. Mac クライアント証明書のルート CA 証明書を見つけて開きます。

  5. ルート CA 証明書のダイアログ ボックスで、[ 信頼 ] セクションを展開し、次の変更を行います。

    1. この証明書を使用する場合: [Always Trust]\(常に信頼\) 設定を [ システムの既定値を使用する] に変更します。

    2. Secure Sockets Layer (SSL): Always Trust指定された値を変更しません

  6. ダイアログ ボックスを閉じます。 メッセージが表示されたら、管理者のパスワードを入力し、[設定の 更新] を選択します。

この手順を完了すると、ルート証明書は SSL プロトコルを検証するためにのみ信頼されます。 このルート証明書で信頼されていないその他のプロトコルには、Secure Mail (S/MIME)、拡張認証 (EAP)、またはコード署名があります。

注:

また、クライアント証明書をConfiguration Managerとは別にインストールした場合も、この手順を使用します。

クライアントのセキュリティに関する問題

次のセキュリティの問題には、軽減策はありません。

状態メッセージが認証されない

管理ポイントはステータス メッセージを認証しません。 管理ポイントが HTTP クライアント接続を受け入れると、どのデバイスでもステータス メッセージを管理ポイントに送信できます。 管理ポイントが HTTPS クライアント接続のみを受け入れる場合、デバイスには有効なクライアント認証証明書が必要ですが、ステータス メッセージを送信することもできます。 管理ポイントは、クライアントから受信した無効なステータス メッセージを破棄します。

この脆弱性に対する攻撃の可能性がいくつかあります。

  • 攻撃者は偽のステータス メッセージを送信して、ステータス メッセージ クエリに基づくコレクションのメンバーシップを取得する可能性があります。
  • どのクライアントでも、管理ポイントに対してサービス拒否を開始し、ステータス メッセージであふれさせる可能性があります。
  • ステータス メッセージがステータス メッセージ フィルター ルールでアクションをトリガーしている場合、攻撃者はステータス メッセージ フィルター ルールをトリガーする可能性があります。
  • 攻撃者は、レポート情報が不正確になる状態メッセージを送信する可能性があります。

ポリシーは、ターゲット以外のクライアントに再ターゲットできます

攻撃者が 1 つのクライアントを対象とするポリシーをまったく異なるクライアントに適用するために使用できる方法がいくつかあります。 たとえば、信頼できるクライアントの攻撃者は、偽のインベントリや検出情報を送信して、コンピューターが属してはならないコレクションにコンピューターを追加する可能性があります。 その後、そのクライアントは、そのコレクションへのすべてのデプロイを受け取ります。

攻撃者がポリシーを直接変更できないようにするためのコントロールが存在します。 ただし、攻撃者は、OS を再フォーマットして再デプロイし、別のコンピューターに送信する既存のポリシーを受け取る可能性があります。 このリダイレクトされたポリシーは、サービス拒否を作成する可能性があります。 このような攻撃には、Configuration Manager インフラストラクチャに関する正確なタイミングと広範な知識が必要です。

クライアント ログでは、ユーザー アクセスが許可されます

すべてのクライアント ログ ファイルでは、読み取りアクセス権を持つ Users グループと、データを書き込むアクセス権を持つ特別な対話型ユーザーが許可されます。 詳細ログを有効にした場合、攻撃者はログ ファイルを読み取って、コンプライアンスまたはシステムの脆弱性に関する情報を探す可能性があります。 クライアントがユーザーのコンテキストでインストールするソフトウェアなどのプロセスは、権限の低いユーザー アカウントを持つログに書き込む必要があります。 この動作は、攻撃者が権限の低いアカウントを使用してログに書き込む可能性があることを意味します。

最も深刻なリスクは、攻撃者がログ ファイル内の情報を削除する可能性があるということです。 管理者は、監査と侵入の検出にこの情報を必要とすることがあります。

コンピューターを使用して、モバイル デバイス登録用に設計された証明書を取得できます

Configuration Managerは、登録要求を処理するときに、コンピューターではなくモバイル デバイスから送信された要求を確認できません。 要求がコンピューターからの場合は、PKI 証明書をインストールして、Configuration Managerに登録できます。

このシナリオで特権の昇格攻撃を防ぐために、信頼されたユーザーのみがモバイル デバイスを登録できるようにします。 サイト内のデバイス登録アクティビティを注意深く監視します。

ブロックされたクライアントは、引き続き管理ポイントにメッセージを送信できます

信頼しなくなったクライアントをブロックしても、クライアント通知用のネットワーク接続が確立された場合、Configuration Managerはセッションを切断しません。 ブロックされたクライアントは、クライアントがネットワークから切断されるまで、その管理ポイントにパケットを送信し続けることができます。 これらのパケットは、小さいキープアライブ パケットのみです。 このクライアントは、ブロックが解除されるまで、Configuration Managerによって管理できません。

クライアントの自動アップグレードで管理ポイントが確認されない

クライアントの自動アップグレードを使用する場合、クライアントを管理ポイントに転送してクライアント ソース ファイルをダウンロードできます。 このシナリオでは、クライアントは管理ポイントを信頼されたソースとして検証しません。

ユーザーが最初に macOS コンピューターを登録すると、DNS スプーフィングのリスクにさらされます

登録中に macOS コンピューターが登録プロキシ ポイントに接続する場合、macOS コンピューターに信頼されたルート CA 証明書が既に存在する可能性は低いです。 この時点で、macOS コンピューターはサーバーを信頼せず、ユーザーに続行を求めます。 不正な DNS サーバーが登録プロキシ ポイントの完全修飾ドメイン名 (FQDN) を解決した場合、macOS コンピューターに不正登録プロキシ ポイントに誘導して、信頼されていないソースから証明書をインストールする可能性があります。 このリスクを軽減するには、DNS ガイダンスに従って、環境内でのスプーフィングを回避します。

macOS 登録で証明書要求が制限されない

ユーザーは、新しいクライアント証明書を要求するたびに、macOS コンピューターを再登録できます。 Configuration Managerは、複数の要求にチェックしたり、1 台のコンピューターから要求された証明書の数を制限したりしません。 不正なユーザーは、コマンド ライン登録要求を繰り返すスクリプトを実行する可能性があります。 この攻撃により、ネットワークまたは発行元証明機関 (CA) でサービス拒否が発生する可能性があります。 このリスクを軽減するには、発行元 CA でこの種類の疑わしい動作を慎重に監視します。 この動作パターンを示すコンピューターをConfiguration Manager階層から直ちにブロックします。

ワイプ受信確認では、デバイスが正常にワイプされたことを確認できません

モバイル デバイスのワイプ 操作を開始し、ワイプを確認Configuration Manager場合、確認はメッセージConfiguration Manager正常に送信されたということです。 デバイスが要求に 対して動作したことを 確認しません。

Exchange Server コネクタによって管理されているモバイル デバイスの場合、ワイプ受信確認は、デバイスではなく Exchange によってコマンドが受信されたことを確認します。

オプションを使用して Windows Embedded デバイスで変更をコミットすると、アカウントが予想よりも早くロックアウトされる可能性があります

Windows Embedded デバイスが Windows 7 より前の OS バージョンを実行していて、ユーザーがConfiguration Managerによって書き込みフィルターが無効になっている間にサインインしようとすると、アカウントがロックアウトされる前に、Windows では構成された不正な試行回数の半分のみが許可されます。

たとえば、 アカウント ロックアウトしきい値 のドメイン ポリシーを 6 回の試行に構成します。 ユーザーがパスワードを 3 回誤って入力すると、アカウントはロックアウトされます。この動作により、サービス拒否が効果的に作成されます。 このシナリオでユーザーが埋め込みデバイスにサインインする必要がある場合は、ロックアウトしきい値が低下する可能性について注意してください。

クライアントのプライバシー情報

Configuration Manager クライアントを展開するときは、Configuration Manager機能のクライアント設定を有効にします。 機能の構成に使用する設定は、Configuration Manager階層内のすべてのクライアントに適用できます。 この動作は、内部ネットワークに直接接続されているか、リモート セッションを介して接続されているか、インターネットに接続されているかに関係なく同じです。

クライアント情報は、SQL ServerのConfiguration Manager サイト データベースに格納され、Microsoft に送信されません。 情報は、90 日ごとに期限 切れの探索データを削除 するサイト メンテナンス タスクによって削除されるまでデータベースに保持されます。 削除間隔を構成できます。

要約または集計された診断と使用状況データの一部が Microsoft に送信されます。 詳細については、「 診断と使用状況データ」を参照してください。

Microsoft のデータ収集と使用の詳細については、「 Microsoft プライバシーに関する声明」を参照してください。

クライアントの状態

Configuration Managerは、クライアントのアクティビティを監視します。 Configuration Manager クライアントを定期的に評価し、クライアントとその依存関係に関する問題を修復できます。 クライアントの状態は既定で有効になっています。 クライアント アクティビティ チェックにはサーバー側のメトリックが使用されます。 クライアントの状態では、自己チェック、修復、およびクライアントの状態情報をサイトに送信するために、クライアント側のアクションが使用されます。 クライアントは、構成したスケジュールに従って自己チェックを実行します。 クライアントは、チェックの結果をConfiguration Manager サイトに送信します。 この情報は転送中に暗号化されます。

クライアントの状態情報は、SQL ServerのConfiguration Manager データベースに格納され、Microsoft に送信されません。 情報は、暗号化された形式でサイト データベースに格納されません。 この情報は、 次の日数のクライアント状態設定の [クライアント状態履歴の保持 ] に構成されている値に従って削除されるまで、データベースに保持されます。 この設定の既定値は 31 日ごとです。

Exchange Server コネクタのプライバシー情報

Exchange Server コネクタは、ActiveSync プロトコルを使用して、オンプレミスまたはホステッド Exchange Serverに接続するデバイスを検索して管理します。 Exchange Server コネクタによって検出されたレコードは、SQL ServerのConfiguration Manager データベースに格納されます。 情報は、Exchange Serverから収集されます。 モバイル デバイスがExchange Serverに送信する内容に関する追加情報は含まれません。

モバイル デバイス情報は Microsoft に送信されません。 モバイル デバイス情報は、SQL ServerのConfiguration Manager データベースに格納されます。 情報は、90 日ごとに期限 切れの探索データを削除 するサイト メンテナンス タスクによって削除されるまでデータベースに保持されます。 削除間隔を構成します。

Microsoft のデータ収集と使用の詳細については、「 Microsoft プライバシーに関する声明」を参照してください。