ネットワーク アクセス保護のポリシー戦略を決定する
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Configuration Manager 2007 のネットワーク アクセス保護のポリシー戦略を決定するには、多くのメンバーが協力して、目標、要件、およびプロセスを決定する必要があります。メンバーは、Configuration Manager 管理者やネットワーク ポリシー サーバー管理者のほかに、セキュリティ部門、インフラストラクチャ部門、およびヘルプ デスク部門の代表者などが考えられます。
Configuration Manager でのネットワーク アクセス保護ポリシーの構成には、2 つのポリシーの構成が必要になります。1 つは Configuration Manager で定義するネットワーク アクセス保護ポリシーで、もう 1 つはネットワーク ポリシー サーバーで定義するネットワーク アクセス保護ポリシーです。
Configuration Manager のネットワーク アクセス保護ポリシーでは、どのソフトウェアの更新を定義した期限までにコンピュータに設定する必要があるかを定義します。このポリシーに従って、Configuration Manager からネットワーク ポリシー サーバーに対して、コンピュータの正常性状態と、必要に応じて修復が必要なサーバーの一覧が通知されます。
ネットワーク ポリシー サーバーのネットワーク アクセス保護ポリシーでは、クライアントに付与するネットワークアクセス権限を制限するかしないか、および非対応のコンピュータを修復するのかどうかを定義します。どちらにするかは、Configuration Manager から通知されたコンピュータの正常性状態によって決めます。ネットワーク ポリシー サーバーでは、ポリシーを次のように構成することができます。
対応済みの NAP 対応クライアントに制限なしのネットワーク アクセス権限を付与する。
修復されるまで、非対応の NAP 対応クライアントに制限付きのネットワーク アクセス権限を付与する。
非対応の NAP 対応クライアントに一定時間、制限なしのネットワーク アクセス権限を付与し、直ちに修復されるようにする。
NAP 非対応クライアントに制限なしのネットワーク アクセス権限を付与する。
NAP 非対応クライアントに制限付きのネットワーク アクセス権限を付与する。ただし、このクライアントは修復されない。
エラー条件になった場合、既定で制限付きのネットワーク アクセス権限を付与する (クライアントで修復がサポートされている場合は修復可)。ただし、制限なしのネットワーク アクセス権限を付与するように構成することは可能。
注意
ネットワーク ポリシー サーバーのネットワーク ポリシーで正常性ポリシーが強制実行されない場合は、Configuration Manager のネットワーク アクセス保護は非対応コンピュータを修復しません。この場合には、Configuration Manager ソフトウェアの更新機能の定義に従って、対応済みとして扱われます。ネットワーク ポリシー サーバーのネットワーク ポリシーで正常性ポリシーが強制実行されない場合は、Configuration Manager のネットワーク アクセス保護は、常に非対応コンピュータを修復しようとします。これは、ネットワーク ポリシーで非対応コンピュータを自動修復するオプションが有効でない場合でも同じです。
ネットワークのポリシー戦略を決定する際には、接続要求ポリシー、正常性ポリシー、およびネットワーク ポリシーを構成する必要があります。ネットワーク ポリシーには、次のコンピュータに対する設定が含まれている必要があります。
対応済みの NAP 対応コンピュータ。
未対応の NAP 対応コンピュータ。
NAP に対応していないため、対応済みかどうか不明なコンピュータ。
通常、これらのコンピュータは、次のように構成されます。
対応済みコンピュータに制限なしのネットワーク アクセス権限を付与する。
未対応のコンピュータに制限付きのネットワーク アクセス権限を付与し、修復された場合には、制限なしのネットワーク アクセス権限を付与する。または、制限なしのネットワーク アクセス権限を一定時間付与し、ネットワーク接続後すぐに修復できるようにする。
NAP 非対応コンピュータに制限なしのネットワーク アクセス権限を付与する。ただし、セキュリティが高く、コンピュータの正常性状態を評価できない環境では、制限付きのネットワーク アクセス権限を付与する必要がある場合がありますが、その場合はコンピュータは修復されないため、制限なしでネットワークにアクセスすることはできません。
大部分のコンピュータをネットワーク アクセス保護でどのように処理するかを決めたら、次に特定の条件を持つ詳細なポリシーを計画します。たとえば、次のような例外や除外事項が考えられます。
特定のユーザーに一切の制限付きのネットワーク アクセス権限を付与しない。
通常のネットワークに接続しているコンピュータが対応済みでない場合には、一定時間、制限なしのネットワーク アクセス権限を付与するが、自宅からアクセスしている場合は、そのコンピュータが対応済みでなければ制限付きのネットワーク アクセスを付与する。
ローカルのヘルプデスクを利用できない時間には、非対応のコンピュータに対して、アクセスを制限するのではなく、時間を制限した完全なネットワーク アクセス権を付与する。
指定したコンピュータを、正常性ポリシーの対象から外す。たとえば、Configuration Manager クライアントを特定のコンピュータにインストールしないケースなどが該当します。
例外や除外事項をポリシーに実装するには、ポリシーの条件と適用順序を定義します。コンピュータが接続したときに、最初に一致したポリシーから順番に適用されるため、個別要件のポリシー (例外) の後に全般的なポリシーを定義する必要があります。特定のユーザーまたはコンピュータをポリシーの適用対象から外す場合には、必要な Microsoft Windows グループを作成して、ネットワーク ポリシー サーバーで選択できるようにしておく必要があります。
重要
Configuration Manager サイトの NAP 対応コンピュータのネットワーク アクセス保護を有効にし、そのコンピュータに Configuration Manager クライアントがインストールされていない場合は、Configuration Manager システム正常性検証ツールを参照できないコンピュータにはポリシーが適用されないように設定するか、ネットワークにアクセスできない状態でも (ユーザー エクスペリエンスの一部としてトラブルシューティング Web サイトにインストール用のリンクを掲載するなどの手段で) コンピュータに Configuration Manager クライアントをインストールできるようにする必要があります。
参照:
概念
Configuration Manager ネットワーク アクセス保護の接続要求ポリシーの構成
Configuration Manager ネットワーク アクセス保護のネットワーク ポリシーの構成
Configuration Manager ネットワーク アクセス保護のエラー カテゴリの構成
Configuration Manager ネットワーク アクセス保護の正常性ポリシーの構成
Configuration Manager ネットワーク アクセス保護の修復サーバー グループの構成
Configuration Manager ネットワーク アクセス保護の修復ユーザー エクスペリエンスの構成
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.