構成マネージャーの証明書

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

Configuration Managerでは、自己署名および公開キー 基盤 (PKI) デジタル証明書の組み合わせを使用します。

可能な限り PKI 証明書を使用します。 詳細については、「 PKI 証明書の要件」を参照してください。 Configuration Managerがモバイル デバイスの登録中に PKI 証明書を要求する場合は、Active Directory Domain Servicesとエンタープライズ証明機関を使用します。 その他のすべての PKI 証明書については、Configuration Managerとは別に展開および管理します。

クライアント コンピューターがインターネット ベースのサイト システムに接続する場合は、PKI 証明書が必要です。 クラウド管理ゲートウェイには証明書も必要です。 詳細については、「 インターネット上のクライアントを管理する」を参照してください。

PKI を使用する場合は、IPsec を使用して、サイト内のサイト システム間、サイト間、およびコンピューター間のその他のデータ転送のサーバー間通信をセキュリティで保護することもできます。 IPsec の実装は、Configuration Managerとは独立しています。

PKI 証明書を使用できない場合、Configuration Managerは自己署名証明書を自動的に生成します。 Configuration Managerの一部の証明書は、常に自己署名です。 ほとんどの場合、Configuration Managerは自己署名証明書を自動的に管理し、別のアクションを実行する必要はありません。 1 つの例として、サイト サーバーの署名証明書があります。 この証明書は常に自己署名です。 これにより、クライアントが管理ポイントからダウンロードするポリシーがサイト サーバーから送信され、改ざんされていないことが確認されます。 もう 1 つの例として、 拡張 HTTP のサイトを有効にすると、サイトはサイト サーバーの役割に自己署名証明書を発行します。

重要

バージョン 2103 Configuration Manager以降、HTTP クライアント通信を許可するサイトは非推奨となりました。 HTTPS または拡張 HTTP 用にサイトを構成します。 詳細については、「 HTTPS 専用または拡張 HTTP のサイトを有効にする」を参照してください。

CNG v3 証明書

Configuration Managerでは、暗号化: 次世代 (CNG) v3 証明書がサポートされています。 Configuration Managerクライアントは、CNG キー ストレージ プロバイダー (KSP) で秘密キーを持つ PKI クライアント認証証明書を使用できます。 KSP サポートでは、Configuration Manager クライアントは、PKI クライアント認証証明書の TPM KSP などのハードウェア ベースの秘密キーをサポートします。

詳細については、「 CNG v3 証明書の概要」を参照してください。

拡張 HTTP

すべてのConfiguration Manager通信パスには HTTPS 通信を使用することをお勧めしますが、PKI 証明書を管理するオーバーヘッドのため、一部のお客様にとっては困難です。 Microsoft Entra統合の導入により、証明書の要件の一部が減りますが、すべてではありません。 代わりに、サイトで 拡張 HTTP の使用を有効にできます。 この構成では、一部のシナリオでは、自己署名証明書とMicrosoft Entra ID を使用して、サイト システム上の HTTPS をサポートします。 PKI は必要ありません。

詳細については、「 拡張 HTTP」を参照してください。

CMG の証明書

クラウド管理ゲートウェイ (CMG) を介してインターネット上のクライアントを管理するには、証明書を使用する必要があります。 証明書の数と種類は、特定のシナリオによって異なります。

詳細については、「 CMG セットアップ チェックリスト」を参照してください。

注:

クラウドベースの配布ポイント (CDP) は非推奨です。 バージョン 2107 以降では、新しい CDP インスタンスを作成できません。 インターネット ベースのデバイスにコンテンツを提供するには、CMG がコンテンツを配布できるようにします。 詳細については、「 非推奨の機能」を参照してください。

CDP の証明書の詳細については、「 クラウド配布ポイントの証明書」を参照してください。

サイト サーバー署名証明書

サイト サーバーは常に自己署名証明書を作成します。 この証明書は、いくつかの目的で使用されます。

クライアントは、Active Directory Domain Servicesおよびクライアント プッシュ インストールからサイト サーバー署名証明書のコピーを安全に取得できます。 クライアントがこれらのメカニズムのいずれかでこの証明書のコピーを取得できない場合は、クライアントをインストールするときにインストールします。 このプロセスは、クライアントがサイトとの最初の通信をインターネット ベースの管理ポイントと行う場合に特に重要です。 このサーバーは信頼されていないネットワークに接続されているため、攻撃に対して脆弱になります。 この他の手順を実行しない場合、クライアントは管理ポイントからサイト サーバー署名証明書のコピーを自動的にダウンロードします。

次のシナリオでは、クライアントはサイト サーバー証明書のコピーを安全に取得できません。

  • クライアント プッシュを使用してクライアントをインストールしません。

    • Configuration Managerの Active Directory スキーマを拡張していません。

    • クライアントのサイトをActive Directory Domain Servicesに発行していません。

    • クライアントは、信頼されていないフォレストまたはワークグループからのクライアントです。

  • インターネット ベースのクライアント管理を使用しており、クライアントがインターネット上にある場合はクライアントをインストールします。

サイト サーバー署名証明書のコピーを使用してクライアントをインストールする方法の詳細については、 SMSSIGNCERT コマンド ライン プロパティを使用してください。 詳細については、「 クライアント のインストール パラメーターとプロパティについて」を参照してください。

ハードウェア バインド キー ストレージ プロバイダー

Configuration Managerは、クライアント ID に自己署名証明書を使用し、クライアントとサイト システム間の通信を保護します。 サイトとクライアントをバージョン 2107 以降に更新すると、クライアントはサイトからの証明書をハードウェア バインド キー ストレージ プロバイダー (KSP) に格納します。 この KSP は通常、少なくともバージョン 2.0 のトラステッド プラットフォーム モジュール (TPM) です。 また、証明書はエクスポート不可とマークされます。

クライアントにも PKI ベースの証明書がある場合、その証明書は TLS HTTPS 通信に引き続き使用されます。 サイトでメッセージに署名するために、自己署名証明書が使用されます。 詳細については、「 PKI 証明書の要件」を参照してください。

注:

PKI 証明書を持つクライアントの場合は、Configuration Manager コンソールに [クライアント証明書] プロパティが自己署名として表示されます。 クライアント コントロール パネルの [クライアント証明書] プロパティに PKI が表示されます。

バージョン 2107 以降に更新すると、PKI 証明書を持つクライアントは自己署名証明書を再作成しますが、サイトに再登録しません。 PKI 証明書を持たないクライアントはサイトに再登録されるため、サイトで余分な処理が発生する可能性があります。 クライアントを更新するプロセスでランダム化が許可されていることを確認します。 多数のクライアントを同時に更新すると、サイト サーバーにバックログが発生する可能性があります。

Configuration Managerでは、脆弱な既知の TPM は使用されません。 たとえば、TPM バージョンは 2.0 より前です。 デバイスに脆弱な TPM がある場合、クライアントはソフトウェア ベースの KSP の使用にフォールバックします。 証明書はエクスポートできません。

OS 展開メディアはハードウェアバインド証明書を使用せず、サイトからの自己署名証明書を引き続き使用します。 本体を持つデバイス上にメディアを作成しますが、任意のクライアントで実行できます。

証明書の動作をトラブルシューティングするには、クライアントで CertificateMaintenance.log を使用します。

次の手順