次の方法で共有

ネットワーク アクセス保護の管理者の役割とプロセスを決定する

  • [アーティクル]

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

実稼動環境では、ネットワーク アクセス保護 (NAP) の実装には、企業全体に渡って多くの異なるグループとの共同作業および協調が必要となります。たとえば、次のようなグループが関係します。

  • Active Directory ドメイン サービスの設計者。どのフォレストが NAP 正常性状態参照の発行に使用されるのかを指定します。また、Configuration Manager 2007 スキーマ拡張によるスキーマの拡張を許可します。

  • Active Directory ドメイン サービスのサービス管理者。スキーマを拡張して、System Management コンテナに必要なセキュリティのアクセス許可を構成します。この管理者は、システム正常性検証ツール ポイントおよび NAP ポリシーの構成時に使用される Windows セキュリティ アカウントまたはグループの作成および識別に従事することもあります。

  • インフラストラクチャの設計者。使用する実施テクノロジの決定など、ネットワーク アクセス保護のサポートに必要なネットワークおよびサーバー アーキテクチャを設計します。

  • 公開キー基盤 (PKI) の専門家。ネットワーク アクセス保護で IPSec 実施ソリューションを使用している場合に証明書サービスを提供します。

  • Windows サーバーの管理者。ネットワーク ポリシー サーバーを構築および構成して、Windows のサービスをサポートします。

  • ファイアウォールの管理者。ネットワーク アクセス保護のサポートに必要なファイアウォールおよびネットワーク デバイスの構成を変更します。

  • セキュリティ アドバイザ。NAP 実施でソフトウェアの更新を選択する条件、実施する日付、および非対応コンピュータが対応になるまで制限するかどうかを決定する場合に支援します。

  • 社内の Web デザイナ。制限されたネットワークで修復に失敗したコンピュータ用の総合的なトラブルシューティング Web サイトを構築します。

  • ヘルプ デスク エンジニア。コンピュータのアクセスが制限されているため、または修復に失敗したためにネットワークに接続できないユーザーからの問い合わせに対応します。

  • Configuration Manager ソフトウェアの配布の管理者。サポート対象の Windows XP を実行するクライアントを Windows XP Service Pack 3 にアップグレードし、これらのクライアントがネットワーク アクセス保護をサポートできるようにします。

  • Configuration Manager ソフトウェアの更新の管理者。ソフトウェアの更新ポイントを構成して、配布ポイント上にソフトウェアの更新パッケージを作成します。

  • Configuration Manager 管理者。システム正常性検証ツール ポイントの構成、ネットワーク アクセス保護クライアント エージェントの構成、Configuration Manager NAP ポリシーの構成および監視を行います。

  • エンド ユーザー。ネットワーク アクセス保護のプロセスについてのトレーニングおよび通知を必要とします。また、問題が発生した場合の対応も知っておく必要があります。

ネットワーク アクセス保護ソリューションには非常に多くの役割が関係するため、実装の成功は、さまざまなルールに関して誰に責任があるのかを特定できるかどうかにかかっています。また、必要な時にどれだけグループ間で協調がとれるかも重要です。進行中の実装が成功するかどうかは、役割間で異なる多くの機能を調整するプロセスを識別および順守できるかによります。

実稼動環境でネットワーク アクセス保護の実装時に定義済みのプロセスが存在しないか、プロセスに従わなかった場合、次のような事態が発生することが考えられます。

  • ネットワーク アクセス保護メッセージやエラーを受け取ったユーザーからの問い合わせがヘルプ デスクに殺到する。

  • ユーザーが必要なネットワーク リソースにアクセスできず、生産性が低下し、期限が守られない。

  • IT サービスの満足度レベルが低下し、サービス レベル保証 (SLA) が守られない。

  • 非対応コンピュータに誤ってネットワークのフル アクセスが与えられ、企業のリソースが危険にさらされる。

ITIL や Microsoft Operations Framework (https://go.microsoft.com/fwlink/?LinkId=88047) などの手法を使用すると、定義済みプロセスのフレームワーク内でネットワーク アクセス保護を実装するのに役立ちます。設計、テスト手順、責任範囲、ならびにポリシーの構成、修正、およびトラブルシューティングを行うために従う手順を必ず文書化してください。次にこの情報を配布すると共に、一元的に入手および更新ができるようにしてください。

注意

既存の企業のセキュリティ ポリシーを確認して、必要に応じてネットワーク アクセス保護の実装を含めるように修正してください。大抵の場合、企業のセキュリティ ポリシーは、下流プロセスを使用してポリシー対応を実施します。

Configuration Manager における役割の分離

Configuration でネットワーク アクセス保護に必要な役割を決定する場合、ソフトウェアの更新とネットワーク アクセス保護の間には潜在的にオーバーラップが存在します。これらの 2 つの役割は、ビジネス要件によって組み合わせることも分離することも可能です。通常、小規模の組織ではこの 2 つの役割は組み合わされますが、一部の企業では役割を分離させたい場合があります。Configuration Manager におけるネットワーク アクセス保護の役割は、ネットワーク ポリシー サーバー管理機能やセキュリティ 管理機能など、この製品外の他の役割と組み合わせることも可能です。

Configuration Manager 2007 内のソフトウェアの更新とネットワーク アクセス保護の役割の分離は、Configuration Manager コンソール内で独立したネットワーク アクセス保護ノードを持つことで実現します。[ネットワーク アクセス保護]ノードのプロパティの[セキュリティ]タブを使用して、ネットワーク アクセス保護に関連した Configuration Manager のタスクへの特定のユーザーまたはグループのアクセス許可を指定します。次に、[ソフトウェアの更新]ノードのプロパティの[セキュリティ]タブを使用して、ネットワーク アクセス保護管理者がソフトウェアの更新にアクセスできないようにします。この構成の結果、次のようになります。

  • ネットワーク アクセス保護管理者は、[ネットワーク アクセス保護]ノードでネットワーク アクセス保護結果の統計を表示できます。

  • ネットワーク アクセス保護管理者は、NAP ポリシーを作成、表示、変更、および削除することができます。

  • ネットワーク アクセス保護管理者は、ソフトウェアの更新の展開、パッケージ、またはテンプレートを作成、表示、変更、または削除することができません。

[ポリシー]ノードにも[セキュリティ]タブがあるため、アクセス許可をさらに絞り込んで、NAP ポリシーの表示、作成、変更、および削除が許可されるネットワーク アクセス保護管理者を制御することができます。

ただし、ソフトウェアの更新の展開ウィザードで、ソフトウェアの更新を、パッケージされた更新のプロパティとして、NAP 評価に対して有効になるように構成できるため、ソフトウェアの更新の管理者が[ソフトウェアの更新]ノード内から Configuration Manager NAP ポリシーを構成することも防ぐことはできません。

Configuration Manager で役割の分離を使用している場合、ネットワーク アクセス保護管理者が[レポート]ノードにアクセスして、ネットワーク アクセス保護カテゴリのレポートを実行できるようにセキュリティを変更することもできます。

Configuration Manager NAP ポリシーが自動的にサイトに割り当てられたすべてのクライアントを対象とするため、Configuration Manager 2007 内でのみネットワーク アクセス保護を管理する管理者は、コレクションにアクセスする必要がありません。

Configuration Manager における NAP に対するセキュリティ権限の詳細については、「ネットワーク アクセス保護のセキュリティ権限」を参照してください。

参照:

概念

管理者のワークフロー :Configuration Manager 用にネットワーク アクセス保護を構成する
ネットワーク アクセス保護の NAP 正常性状態参照について
ネットワーク アクセス保護のシステム正常性検証ツール ポイントについて
ネットワーク アクセス保護プロセスについて

その他のリソース

管理者チェックリスト :Configuration Manager に対してネットワーク アクセス保護を構成する
ネットワーク アクセス保護の計画

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.