Microsoft エンドポイント Configuration Managerの NTLM 接続フォールバック更新プログラム
適用対象: Configuration Manager (現在のブランチ、バージョン 2103、2107、2111、2203、2207)
KB15498768 の概要
重要
この更新プログラムは、次の更新プログラムに置き換えられます。
MICROSOFT エンドポイント Configuration Managerの KB 15599094 NTLM クライアント インストール更新プログラム
[クライアント プッシュ インストールのプロパティ] の [NTLM への接続フォールバックを許可する] オプションを無効にすることは、次のいずれかの条件では適用されません。
- Kerberos 認証エラーが発生した場合、クライアント プッシュ アカウントは代わりに NTLM 接続を試行します。
- 定義されているすべてのクライアント プッシュ インストール アカウントに対して Kerberos 認証が失敗した場合、サイト サーバー コンピューター アカウントは NTLM を使用して接続を試みます。
この更新プログラムは、[NTLM への接続フォールバックを許可する] オプションが無効になっている場合に、クライアント プッシュ インストールに対する NTLM 認証の試行を防ぎます。
この更新プログラムをインストールすると、次のセキュリティの問題が解決されます。
現在のブランチバージョン 2207 Configuration Manager以降、新しいサイトのインストールでは、[NTLM への接続フォールバックを許可する] オプションは既定で無効になっています。
セキュリティを強化するために、可能な限り既存の環境でこのオプションを無効にすることをお勧めします。
クライアントと NTLM のセキュリティの詳細については、次のドキュメントを参照してください。
- Configuration Manager クライアントのセキュリティとプライバシー
- KB5005413: Active Directory 証明書サービスに対する NTLM リレー攻撃の軽減
- ネットワーク セキュリティ: NTLM を制限する: リモート サーバーへの送信 NTLM トラフィック
2103 より前のバージョンのConfiguration Manager現在のブランチを使用する環境は、サポートされている新しいバージョンに更新することをお勧めします。 管理者は、自動および手動のクライアント プッシュ インストール方法の使用を無効にして、この問題が発生するリスクを取り除くこともできます。 詳細については、「現在のブランチ バージョンConfiguration Managerサポート」を参照してください。
Microsoft エンドポイント Configuration Manager バージョン 2103-2207 の更新情報
この問題を解決するための更新プログラムは、バージョン 2103-2207 がインストールされている環境のConfiguration Manager コンソールの [更新とサービス] ノードで入手できます。
置換情報を更新する
この更新プログラムは、以前にリリースされた更新プログラムを置き換えるものではありません。
再起動情報
Configuration Manager バージョン 2107 以降の場合、この更新プログラムでは、インストール後にコンピューターの再起動やサイトのリセットは必要ありません。
バージョン 2103 Configuration Manager、更新プログラムのインストール後にサイトのリセットが必要になります。
その他のインストール情報
この更新プログラムをプライマリ サイトにインストールした後、既存のセカンダリ サイトを手動で更新する必要があります。 Configuration Manager コンソールでセカンダリ サイトを更新するには、[管理>サイトの構成>サイト] [セカンダリ サイト>の回復] の順に選択し、セカンダリ サイトを選択します。 その後、プライマリ サイトは、更新されたファイルを使用してそのセカンダリ サイトを再インストールします。 セカンダリ サイトの構成と設定は、この再インストールの影響を受けません。 そのプライマリ サイトの下の新しい、アップグレード、再インストールされたセカンダリ サイトは、この更新プログラムを自動的に受け取ります。
サイト データベースで次のSQL Server コマンドを実行して、セカンダリ サイトの更新バージョンが親プライマリ サイトの更新バージョンと一致するかどうかを確認します。
select dbo.fnGetSecondarySiteCMUpdateStatus ('SiteCode_of_secondary_site')
値 1 が返された場合、サイトは最新の状態で、すべての修正プログラムが親プライマリ サイトに適用されます。
値 0 が返された場合、サイトはプライマリ サイトに適用されるすべての修正プログラムをインストールしていないため、[ セカンダリ サイトの回復 ] オプションを使用してセカンダリ サイトを更新する必要があります。
バージョン情報
このリリースでは、主要なコンポーネントは更新されません。
ファイル情報
ファイル情報は、次のバージョン固有のファイル リスト (KB15498768_FileList.txt) で使用できます。
- Configuration Manager 2103
- Configuration Manager 2107
- 構成マネージャー 2111
- Configuration Manager 2203
- Configuration Manager 2207
リリース履歴
- 2022 年 9 月 20 日: 初期修正プログラムリリース
- 2022 年 9 月 30 日: KB 15599094の置き換え情報を追加しました