次の方法で共有


ネットワーク アクセス保護プロセスについて

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

この情報を利用して、Configuration Manager 2007 ネットワーク アクセス保護 (NAP) がどのように Configuration Manager 2007 と対話しているかを理解し、ネットワークの保護に役立ててください。

ネットワーク アクセス保護 (NAP) をサポートする Configuration Manager 2007 クライアントは、選択されたソフトウェアの更新がクライアントで対応できるどうかを評価することができます。

Configuration Manager 2007 クライアントは、正常性ステートメント (SoH) にあるこの情報を、システム正常性検証ツール ポイントと呼ばれる Configuration Manager 2007 の役割に備わっている、Configuration Manager システム正常性検証ツールに送ります。

システム正常性検証ツール ポイントは、ネットワーク ポリシー サーバーの役割を持つ Windows Server 2008 を実行しているコンピュータにインストールされます。システム正常性検証ツール ポイントは、クライアント コンピュータが対応か非対応かを検証し、そのコンピュータの正常性状態を Windows ネットワーク ポリシー サーバーに渡します。

ネットワーク ポリシー サーバーを使用したソフトウェアの更新の強制対応

Windows ネットワーク ポリシー サーバーは、対応、非対応、またはNAP のサポート不可 (NAP 非対応) が明らかになったコンピュータのアクションを決定するポリシーで構成されています。

NAP 対応クライアントの正常性状態が判別されない場合、エラー条件が 1 つ付与されます。既定では、すべてのエラー条件が非対応状態にマップされていますが、エラー条件は 5 つのカテゴリに分けられ、各カテゴリを対応または非対応にマップするように構成できます。

ネットワーク ポリシー サーバーは、次のようなコンピュータの正常性状態に基づいてアクションを実行することができます。

  • コンピュータのネットワーク全体へのアクセスを制限する。

  • 期限付きで、ネットワークへのフル アクセスを許可する。

  • 無期限に、ネットワークへのフル アクセスを許可する。

  • 非対応コンピュータを修復し、ポリシーに対応させる。

重要

ネットワーク ポリシー サーバーは対応を強制しない場合に修復をサポートしますが (”レポート モード" と呼ばれる場合がある)、これは Configuration Manager 2007 のネットワーク アクセス保護ではサポートされません。この機能は、標準の Configuration Manager 2007 ソフトウェアの更新機能を通してサポートされます。

Configuration Manager 管理者は、ネットワーク ポリシー サーバーに渡されるコンピュータの正常性状態の結果として実行されるアクションを制御できないことを認識することが重要です。ただし、修復を行って対応を強制するようにネットワーク ポリシー サーバーが構成されている場合は、Configuration Manager のサービスを使用して非対応クライアントを対応させるために必要なソフトウェアの更新を提供できます。修復が正常に行われると、クライアントによって正常性ステートメントが再評価されます。これにより非対応から対応に変更され、正常性状態は対応に更新されます。

ネットワーク アクセス保護用ソフトウェアの更新の構成

Configuration Manager NAP ポリシーを作成することによって、クライアントを対応状態にするために必要なソフトウェアの更新を選択します。既にダウンロードされ、ソフトウェアの更新機能を使用してパッケージ化されているソフトウェアの更新のみを選択できます。

選択したコレクションを対象とするソフトウェアの更新の展開とは異なり、Configuration Manager NAP ポリシーではサイトに割り当てられたすべてのコンピュータが自動的に対象になります。Configuration Manager 2007 内の提供情報やパッケージの動作と同様に、Configuration Manager NAP ポリシーは、Configuration Manager 階層の上流から下流に送られます。Configuration Manager NAP ポリシーを継承したサイトでは、このサイトに割り当てられているクライアントが自動的このポリシーの対象となります。

重要

このように階層全体を通して自動的に対象と継承が決まるため、Configuration Manager NAP ポリシーは階層内のすべてのクライアントに影響する可能性があることに留意することが重要です。

ただし、Configuration Manager 2007 階層内の提供情報やパッケージの動作とは異なり、Configuration Manager NAP には次の特徴があります。

  • 子サイトには、その子サイト専用の Configuration Manager NAP ポリシーは追加されません。

  • 子サイトでは、継承した Configuration Manager NAP を変更できません。

  • 子サイトでは、継承した Configuration Manager NAP を削除できません。

参照:

概念

Configuration Manager 階層内のネットワーク アクセス保護について
ネットワーク アクセス保護の正常性ステートメント (SoH) について
ネットワーク アクセス保護のシステム正常性検証ツール ポイントについて
ネットワーク アクセス保護のポリシー戦略を決定する

その他のリソース

Configuration Manager に対するネットワーク ポリシー サーバーの構成
ネットワーク アクセス保護の概要

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.