ネイティブ モードの利点
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
新規の Configuration Manager 2007 サイトのサイト構成は、ネイティブ モードにすることをお勧めします。ネイティブ モードを公開キー基盤 (PKI) と統合すると、セキュリティ レベルが高まり、クライアントとサーバーの間の通信が保護されます。また、ネイティブ モードはインターネット ベースのクライアント管理に欠かせません。
ネイティブ モードでは、クライアントは次のサイト システムに対して HTTPS を介して通信します。
管理ポイント:
既定の管理ポイント
ネットワーク負荷分散管理ポイント
プロキシ管理ポイント
インターネット ベースの管理ポイント
標準配布ポイント (ブランチ配布ポイントではない)
ソフトウェアの更新ポイント
状態移行ポイント
注意
イントラネット環境では、状況によって、ネイティブ モードのクライアントがサーバー メッセージ ブロック (SMB) を介して標準配布ポイントと通信できます。たとえば、提供情報が [配布ポイントからプログラムを実行する] オプションで構成されている場合、HTTPS で通信できない場合、配布ポイントが [クライアントがこの配布ポイントから BITS、HTTP、および HTTPS を使用してコンテンツを転送できるようにする] オプションで構成されていない場合などがこの状況に該当します。
ネイティブ モードでは、クライアントは HTTP を介してフォールバック ステータス ポイントと常に通信しており、証明書に関連する通信上の問題が発生した場合、サイトにもその問題が通知され、管理者はクライアント側の通信上の問題を把握して対処できます。また、ネイティブ モードのクライアントが [ローミングとサイト割り当てのための HTTP 通信を許可する] オプションで構成されている場合、そのクライアントは HTTP を介して次のサイト システムと通信できます。
サーバー ロケータ ポイント
混在モードのサイト内の常駐管理ポイントと配布ポイント
重要
ネイティブ モードであっても、サイト サーバー間の通信または Configuration Manager 2007 階層内のサイト間の通信は保護されません。この通信を保護するには、IPsec を使用します。詳細については、「Configuration Manager 2007 への IPsec の実装」を参照してください。
ネイティブ モードでは、クライアントのポリシーがサイト サーバーによって署名されます。これにより Configuration Manager 2007 階層の防御が一段と強化されるため、ポリシーを送信する管理ポイントが侵害を受けてポリシーが不正に改ざんされる危険性が減ります。このセキュリティ対策は、インターネット ベースのクライアント管理を採用している場合に特に大きな意味を持ちます。このような環境では、管理ポイントはインターネット上の脅威にさらされるからです。
混在モードでは、SMS 2003 クライアントをサポートする必要があり、セキュリティ レベルが下がります。このモードでは、Configuration Manager 2007 に必要な証明書を発行可能な公開キー基盤 (PKI) がない場合は、自己署名入り証明書が発行されます。
アップグレードが完了したらネイティブ モードに移行できますが、SMS 2003 サイトをネイティブ モードに直接アップグレードすることはできません。
プライマリ サイトをネイティブ モードに移行すると、そのプライマリ サイトに属しているセカンダリ サイトも自動的に移行されます。ただし、子のプライマリ サイトは自動的に移行されません。
混在モードとネイティブ モードの比較
次の表に、2 つのサイト モードとそれぞれのセキュリティ機能の比較を示します。
| Configuration Manager 操作 | 混在モード | ネイティブ モード |
|---|---|---|
使用する証明書 |
自己署名入りの証明書。この証明書の生成と管理は、Configuration Manager によって行われます。また、この証明書は Configuration Manager だけで使用されます。 |
業界標準の PKI 証明書。生成、管理ともに Configuration Manager は関与しません。別の業務ソリューションと連携させることが可能です。 |
クライアントとサイト システムの間の相互認証 |
クライアントと管理ポイントの間、およびクライアントと状態移行ポイントの間で独自仕様の認証。これ以外のサイト システムとクライアントは相互認証を行いません。 |
クライアントと次のサイト システムの間で SSL 相互認証。
ソフトウェアの更新ポイントへの SSL サーバー認証。 |
サイト システム間の認証とトラフィックの暗号化 |
いいえ。この通信を保護するために IPsec を使用することをお勧めします。 「Configuration Manager 2007 への IPsec の実装」を参照してください。 |
いいえ。この通信を保護するために IPsec を使用することをお勧めします。 「Configuration Manager 2007 への IPsec の実装」を参照してください。 |
名前解決とサービスの検出に WINS を使用できるかどうか |
はい |
WINS は、名前解決とサーバー ロケータ ポイントの検出に使用できますが、ネイティブ モードでは既定の管理ポイントの検出には使用できません。 既定の管理ポイントの検出には Active Directory、DNS、またはサーバー ロケータ ポイントが使用されます。ネットワーク負荷分散管理ポイントの場合は、Active Directory またはサーバー ロケータ ポイントのみが使用されます。 ネイティブ モードのサービス探索の詳細については、「Configuration Manager とサービスの場所 (サイト情報と管理ポイント)」を参照してください。 |
ポリシーの署名 |
はい。管理ポイントによって署名されます。 |
はい。サイト サーバーと管理ポイントによって署名されます。 |
SSL によるポリシーの暗号化 |
いいえ |
はい |
内容の署名 |
はい (提供情報が [配布ポイントからコンテンツをダウンロードしてローカルで実行する] オプションを使用している場合) いいえ (提供情報が [配布ポイントからプログラムを実行する] オプションを使用している場合) |
はい (提供情報が [配布ポイントからコンテンツをダウンロードしてローカルで実行する] オプションを使用している場合) いいえ (提供情報が [配布ポイントからプログラムを実行する] オプションを使用している場合。クライアントがインターネット上で管理されている場合は、このオプションはサポートされません) |
内容の暗号化 |
いいえ |
はい。提供情報が [配布ポイントからコンテンツをダウンロードしてローカルで実行する] オプションを使用している場合は、SSL が使用されます。ただし、イントラネット環境で HTTPS を使用できない場合は、内容の送信には SMB が使用されるため、暗号化されません。 いいえ。提供情報が [配布ポイントからプログラムを実行する] オプションを使用している場合は、SMB が使用されます。クライアントがインターネット上で管理されている場合は、このオプションはサポートされません。 |
インベントリ データと状態メッセージの署名 |
はい。クライアントが SMS 2003 Service Pack 1 以降を実行している場合は、SHA1 が使用されます。 |
はい。ただし、フォールバック ステータス ポイントに送信される状態メッセージは署名されません。 |
インベントリ データと状態メッセージの暗号化 |
任意で実行可能。実行する場合は 3DES が使用されます。 |
はい。SSL が使用されます。ただし、フォールバック ステータス ポイントに送信される状態メッセージは暗号化されません。 |
クライアントからのステータス メッセージの署名 |
いいえ |
はい。 |
クライアントからのステータス メッセージの暗号化 |
いいえ |
はい。SSL が使用されます。 |
クライアントからのメータリング データの署名 |
いいえ |
はい |
クライアントからのメータリング データの暗号化 |
いいえ |
はい。SSL が使用されます。 |
サイトでの管理を強化するためのクライアントの承認 |
次のいずれかの方法で構成する必要があります。
|
|
オペレーティング システムの展開機能を使用する場合の状態移行データの署名と暗号化 |
はい |
はい。SSL が使用されます。 |
参照:
概念
ネイティブ モードの前提条件
インターネット ベースのクライアント管理の概要
ネイティブ モードの証明書要件
ローミングとサイト割り当てのために HTTP 通信を構成する必要があるかどうかを判断する (ネイティブ モード)
混在モードとネイティブ モードでのクライアント通信
Configuration Manager とサービスの場所 (サイト情報と管理ポイント)
Configuration Manager 2007 への IPsec の実装
その他のリソース
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.