次の方法で共有

Configuration Managerでクライアントをブロックするかどうかを判断する

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

クライアント コンピューターまたはクライアント モバイル デバイスが信頼されなくなった場合は、System Center 2012 Configuration Manager コンソールでクライアントをブロックできます。 ブロックされたクライアントは、ポリシーのダウンロード、インベントリ データのアップロード、状態または状態メッセージの送信をサイト システムと通信できないように、Configuration Manager インフラストラクチャによって拒否されます。

セカンダリ サイトまたは中央管理サイトではなく、割り当てられたサイトからクライアントをブロックおよびブロック解除する必要があります。

重要

Configuration ManagerでのブロックはConfiguration Managerサイトのセキュリティ保護に役立ちますが、ブロックされたクライアントが新しい自己署名証明書とハードウェア ID でサイトに再参加する可能性があるため、クライアントが HTTP を使用してサイト システムと通信できるようにする場合は、信頼されていないコンピューターやモバイル デバイスからサイトを保護するためにこの機能に依存しないでください。 代わりに、ブロッキング機能を使用して、オペレーティング システムの展開に使用する紛失または侵害されたブート メディア、およびサイト システムが HTTPS クライアント接続を受け入れるタイミングをブロックします。

ISV プロキシ証明書を使用してサイトにアクセスするクライアントはブロックできません。 ISV プロキシ証明書の詳細については、「Configuration Manager ソフトウェア開発キット (SDK)」を参照してください。

サイト システムが HTTPS クライアント接続を受け入れ、公開キー インフラストラクチャ (PKI) が証明書失効リスト (CRL) をサポートしている場合は、常に証明書失効を、侵害される可能性のある証明書に対する主要な防御ラインと見なします。 Configuration Managerでクライアントをブロックすると、階層を保護するための 2 番目の防御ラインが提供されます。

クライアントのブロックに関する考慮事項

  • このオプションは HTTP および HTTPS クライアント接続で使用できますが、クライアントが HTTP を使用してサイト システムに接続する場合のセキュリティは制限されます。

  • 管理ユーザー Configuration Managerクライアントをブロックする権限があり、アクションは Configuration Manager コンソールで実行されます。

  • クライアント通信は、Configuration Manager階層からのみ拒否されます。

    注:

    同じクライアントが別のConfiguration Manager階層に登録できます。

  • クライアントは、Configuration Manager サイトから直ちにブロックされます。

  • 侵害される可能性のあるコンピューターやモバイル デバイスからサイト システムを保護するのに役立ちます。

証明書失効の使用に関する考慮事項

  • 公開キー インフラストラクチャが証明書失効リスト (CRL) をサポートしている場合、HTTPS Windows クライアント接続でこのオプションを使用できます。

    Mac クライアントは常に CRL チェックを実行し、この機能を無効にすることはできません。

    モバイル デバイス クライアントは、証明書失効リストを使用してサイト システムの証明書を確認しませんが、証明書を失効させ、Configuration Managerで確認できます。

  • 公開キー インフラストラクチャ管理者は証明書を取り消す権限を持ち、アクションは Configuration Manager コンソールの外部で実行されます。

  • クライアント通信は、このクライアント証明書を必要とする任意のコンピューターまたはモバイル デバイスから拒否できます。

  • 証明書の取り消しと、変更された証明書失効リスト (CRL) をダウンロードするサイト システムの間で遅延が発生する可能性があります。

  • 多くの PKI 展開では、この遅延は 1 日以上になる可能性があります。 たとえば、Active Directory Certificate Services では、既定の有効期限は完全な CRL の場合は 1 週間、差分 CRL の場合は 1 日です。

  • 侵害される可能性のあるコンピューターやモバイル デバイスからサイト システムとクライアントを保護するのに役立ちます。

    注:

    IIS で証明書信頼リスト (CTL) を構成することで、不明なクライアントから IIS を実行するサイト システムをさらに保護できます。