Configuration Manager ネットワーク アクセス保護のネットワーク ポリシーの構成
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
ネットワーク ポリシー サーバーを Configuration Manager ネットワーク アクセス保護に構成している場合、次の 3 つのネットワーク ポリシーを構成する必要があります。
対応ネットワーク ポリシー (Configuration Manager ネットワーク アクセス保護ポリシーに対応しており、Configuration Manager システム正常性検証ツール条件に対応していることが証明されている NAP 対応クライアント向け)
非対応ネットワーク ポリシー (Configuration Manager ネットワーク アクセス保護ポリシーに非対応、または Configuration Manager システム正常性検証ツール条件に非対応の NAP 対応クライアント向け)
NAP 非対応ネットワーク ポリシー (ネットワーク アクセス保護をサポートできないクライアント向け)
次に示すように、既存のネットワーク ポリシーを変更することも、Configuration Manager に新しく作成することもできます。
新しいネットワーク ポリシーを作成するには、ネットワーク ポリシー サーバーのコンソールで、[ポリシー]を展開し、[ネットワーク ポリシー]を右クリックし、[新規]をクリックして、ネットワーク ポリシーの新規作成ウィザードを起動します。
既存のネットワーク ポリシーを変更するには、ネットワーク ポリシー サーバーのコンソールで、[ポリシー]を展開し、[ネットワーク ポリシー]をクリックし、表示ペインで変更するポリシーを右クリックしてから、[プロパティ]をクリックします。既存のポリシーをテンプレートとして使用するには、元のポリシーを右クリックして、[ポリシーの複製]をクリックし、複製したポリシーを選択してから右クリックし、[プロパティ]をクリックします。
次のセクションには、Configuration Manager ネットワーク アクセス保護に関係するネットワーク ポリシーで必要なプロパティの一覧を示します。
対応ネットワーク ポリシー
[概要]タブで、[ポリシー有効]を選択します。
[概要]タブで、[アクセス許可]の[接続要求がこのポリシーと一致する場合にアクセスを許可する]のアクセス許可を選択します。
[条件]タブで、[正常性ポリシー]の条件を追加し、作成してある[対応]正常性ポリシーを選択して、[OK]をクリックします。
[制約]タブで、DHCP および IPsec 強制実行の場合のみ、[コンピュータの正常性チェックのみを実行する]をクリックします。この設定は、VPN または 802.1X を実装機構として使用している場合は選択しないでください。
[設定]タブで、[ネットワーク アクセス保護]セクションの[NAP 強制]をクリックし、[完全なネットワーク アクセスを許可する]をクリックし、[OK]をクリックします。
非対応ネットワーク ポリシー
[概要]タブで、[ポリシー有効]を選択します。
[概要]タブで、[アクセス許可]の[接続要求がこのポリシーと一致する場合にアクセスを許可する]のアクセス許可を選択します。
[条件]タブで、[正常性ポリシー]の条件を追加し、先ほど作成した[非対応]正常性ポリシーを選択し、[OK]をクリックします。
[制約]タブで、DHCP および IPsec 強制実行の場合のみ、[コンピュータの正常性チェックのみを実行する]をクリックします。この設定は、VPN または 802.1X を実装機構として使用している場合は選択しないでください。
[設定]タブで、[ネットワーク アクセス保護]セクションの下にある[NAP 強制]をクリックしてから、次のいずれかをクリックします。
コンピュータの正常性状態が非対応のままの場合は、[制限した時間に完全なネットワーク アクセスを許可する]をクリックします。次に[日付]および[時刻]オプションを使用して、いつコンピュータのネットワーク アクセスを制限するかを設定します。
非対応のコンピュータを制限されたネットワークにただちに接続する場合は、[制限付きアクセスを許可する]をクリックします。
[設定]タブで、[NAP 強制]をクリックし、[修復サーバー グループとトラブルシューティング URL]セクションの[構成]をクリックし、[修復サーバーとトラブルシューティング URL]ダイアログ ボックスで次の項目を指定し、[OK]をクリックします。
[修復サーバー グループ]セクションで、先ほど作成した修復サーバー グループを選択します。このグループには、DNS サーバーなどのインフラストラクチャ サーバーが含まれています。
[トラブルシューティング URL]セクションで、ユーザーが修復状態にある場合に表示する、制限されたネットワークからアクセス可能な Web ページへのリンクを入力します。
注意
[自動修復]セクションで[クライアント コンピュータの自動修復を有効にする]を選択する必要はありません。正常性ポリシーが、[制限した時間に完全なネットワーク アクセスを許可する]または[制限付きアクセスを許可する]に構成されているとき、Configuration Manager のネットワーク アクセス保護は常に非対応クライアントを修復します。ただし、非 Configuration Manager システム正常性エージェントおよびシステム正常性検証ツールでは、このチェック ボックスをオンにする必要があります。
NAP 非対応ネットワーク ポリシー
[概要]タブで、[ポリシー有効]を選択します。
[概要]タブで、[アクセス許可]の[接続要求がこのポリシーと一致する場合にアクセスを許可する]のアクセス許可を選択します。
[条件]タブで、[NAP 対応のコンピュータ]の条件を追加し、[NAP 対応のコンピュータのみ]を選択して、[OK]をクリックします。
[制約]タブで、DHCP および IPsec 強制実行の場合のみ、[コンピュータの正常性チェックのみを実行する]をクリックします。この設定は、VPN または 802.1X を実装機構として使用している場合は選択しないでください。
[設定]タブで、[ネットワーク アクセス保護]セクションの[NAP 強制]をクリックし、[完全なネットワーク アクセスを許可する]をクリックし、[OK]をクリックします。
参照:
概念
Configuration Manager ネットワーク アクセス保護の修復ユーザー エクスペリエンスの構成
その他のリソース
Configuration Manager に対するネットワーク ポリシー サーバーの構成
ネットワーク アクセス保護の概要
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.