Configuration Manager ネットワーク アクセス保護に対する除外ポリシーの構成
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Configuration Manager 2007 でネットワーク アクセス保護を使用する場合、ネットワーク ポリシー サーバー上の最初に一致したネットワーク ポリシーが、接続するクライアントに適用されます。つまり、例外と除外には、それだけにしか一致しない独自のポリシーが必要であり、標準のポリシー設定とは異なる設定を行う必要があります。
例
次に、Configuration Manager ネットワーク アクセス保護 (NAP) で除外を設定するシナリオ例と方法をいくつか示します。
指定したユーザーには、一切アクセスを制限しない。。
デスクトップ コンピュータが非対応である場合には、一定時間、制限なしのネットワーク アクセス権限を付与するが、ラップトップ コンピュータが非対応である場合には、制限付きのネットワーク アクセスを付与する。
ローカルのヘルプデスクを利用できない時間には、非対応のコンピュータに対して、アクセスを制限するのではなく、時間を制限した完全なネットワーク アクセス権を付与する。。
指定したマシンについて、Configuration Manager の正常性状態のチェックを行わない。この構成は、Configuration Manager のクライアントが、選択されたコンピュータにインストールされていない場合に適用可能です。
指定したユーザーには、一切アクセスを制限しない。
次のような構成の新しいネットワーク ポリシーを作成します。
[概要]タブで、[ポリシー有効]を選択します。
[概要]タブで、[接続要求がこのポリシーと一致する場合にアクセスを許可する]というアクセス許可を選択します。
[条件]タブで、[Windows グループ]の条件を追加し、[グループの追加]をクリックして、対応の場合と同様に修復なしに常に完全なネットワークアクセス権を持つすべてのユーザーを含むグループを選択します。選択したグループをクリックし、[OK]をクリックします。再度[OK]をクリックして、[Windows グループ]ダイアログ ボックスを閉じます。
[条件]タブで、[正常性ポリシー]の条件を追加し、先ほど作成した[対応]正常性ポリシーを選択して、[OK]をクリックします。
[制約]タブで、DHCP 実施および IPsec 実施に対してのみ[コンピュータの正常性のみをチェックする]をクリックします。この設定は、VPN または 802.1X を実装機構として使用している場合は選択しないでください。
[設定]タブで、[ネットワーク アクセス保護]セクションの[NAP 強制]をクリックし、[完全なネットワーク アクセスを許可する]をクリックして、[OK]をクリックします。
このポリシーは、対応の正常性ポリシーを参照し、Windows グループの条件を持たない Configuration Manager ネットワーク ポリシーの前に配置します。
デスクトップ コンピュータが非対応である場合には、一定時間、制限なしのネットワーク アクセス権限を付与するが、ラップトップ コンピュータが非対応である場合には、制限付きのネットワーク アクセスを付与する
ネットワークに接続しているデスクトップ コンピュータに対して非対応のネットワーク ポリシーを次のように作成します。
[概要]タブで、[ポリシー有効]を選択します。
[概要]タブで、[接続要求がこのポリシーと一致する場合にアクセスを許可する]というアクセス許可を選択します。
[条件]タブで、[コンピュータ グループ]の条件を追加し、[グループの追加]をクリックして、非対応時に一定時間だけ完全なネットワークアクセス権を持つすべてのユーザーを含むグループを選択します。選択したグループをクリックし、[OK]をクリックします。再度[OK]をクリックして、[コンピュータ グループ]ダイアログ ボックスを閉じます。
[条件]タブで、[正常性ポリシー]の条件を追加し、先ほど作成した[非対応]正常性ポリシーを選択して、[OK]をクリックします。
[制約]タブで、DHCP 実施および IPsec 実施に対してのみ[コンピュータの正常性のみをチェックする]をクリックします。この設定は、VPN または 802.1X を実装機構として使用している場合は選択しないでください。
[設定]タブで、[ネットワーク アクセス保護]セクションの[NAP 強制]をクリックし、[ネットワーク アクセス保護]、[制限した時間に完全なネットワーク アクセスを許可する]をクリックしてから、[日付]と[時刻]のオプションを使用して、コンピュータの正常性状態が非対応のままの場合にコンピュータのネットワーク アクセスを制限する日付と時刻を設定します。
[設定]タブで、[NAP 強制]をクリックし、[修復サーバー グループとトラブルシューティング URL]セクションの[構成]をクリックします。次に、[修復サーバーとトラブルシューティング URL]ダイアログ ボックスで、次の項目を指定し、[OK]をクリックします。
[修復サーバー グループ]セクションで、先ほど作成した修復サーバー グループを選択します。このグループには、DNS サーバーなどのインフラストラクチャ サーバーが含まれています。
[トラブルシューティング URL]セクションで、ユーザーが修復状態にある場合に表示する、制限されたネットワークからアクセス可能な Web ページへのリンクを入力します。
ラップトップ コンピュータに対して非対応のネットワーク ポリシーを次のように作成します。
[概要]タブで、[ポリシー有効]を選択します。
[概要]タブで、[接続要求がこのポリシーと一致する場合にアクセスを許可する]というアクセス許可を選択します。
[条件]タブで、[コンピュータ グループ]の条件を追加し、[グループの追加]をクリックして、非対応の場合にネットワーク アクセスを制限するすべてのラップトップ コンピュータを含むグループを選択します。選択したグループをクリックし、[OK]をクリックします。再度[OK]をクリックして、[コンピュータ グループ]ダイアログ ボックスを閉じます。
[条件]タブで、[正常性ポリシー]の条件を追加し、先ほど作成した[非対応]正常性ポリシーを選択して、[OK]をクリックします。
[制約]タブで、DHCP 実施および IPsec 実施に対してのみ[コンピュータの正常性のみをチェックする]をクリックします。この設定は、VPN または 802.1X を実装機構として使用している場合は選択しないでください。
[設定]タブで、[ネットワーク アクセス保護]セクションの[NAP 強制]をクリックし、[制限付きアクセスを許可する]をクリックして、[OK]をクリックします。
[設定]タブで、[NAP 強制]をクリックし、[修復サーバー グループとトラブルシューティング URL]セクションの[構成]をクリックします。次に、[修復サーバーとトラブルシューティング URL]ダイアログ ボックスで、次の項目を指定し、[OK]をクリックします。
[修復サーバー グループ]セクションで、先ほど作成した修復サーバー グループを選択します。このグループには、DNS サーバーなどのインフラストラクチャ サーバーが含まれています。
[トラブルシューティング URL]セクションで、ユーザーが修復状態にある場合に表示する、制限されたネットワークからアクセス可能な Web ページへのリンクを入力します。
ラップトップ コンピュータ用の非対応のネットワーク ポリシーは、デスクトップ コンピュータ用の非対応のネットワーク ポリシーの前に配置します。
ローカルのヘルプデスクを利用できない時間には、非対応のコンピュータに対して、アクセスを制限するのではなく、時間を制限した完全なネットワーク アクセス権を付与する。
午前 2 時~午前 4 時の間のみ完全なネットワーク アクセスを許可する非対応のネットワーク ポリシーを作成します。
[概要]タブで、[ポリシー有効]を選択します。
[概要]タブで、[接続要求がこのポリシーと一致する場合にアクセスを許可する]というアクセス許可を選択します。
[条件]タブで、[日時の制限]の条件を追加し、[午前 2 時~午前 4 時]、[許可]を選択して、[OK]をクリックします。
[条件]タブで、[正常性ポリシー]の条件を追加し、先ほど作成した[非対応]正常性ポリシーを選択して、[OK]をクリックします。
[制約]タブで、DHCP 実施および IPsec 実施に対してのみ[コンピュータの正常性のみをチェックする]をクリックします。この設定は、VPN または 802.1X を実装機構として使用している場合は選択しないでください。
[設定]タブで、[ネットワーク アクセス保護]セクションの[NAP 強制]をクリックし、[ネットワーク アクセス保護]、[制限した時間に完全なネットワーク アクセスを許可する]をクリックしてから、[日付]と[時刻]のオプションを使用して、コンピュータの正常性状態が非対応のままの場合にコンピュータのネットワーク アクセスを制限する日付と時刻を設定します。
[設定]タブで、[NAP 強制]をクリックし、[修復サーバー グループとトラブルシューティング URL]セクションの[構成]をクリックします。次に、[修復サーバーとトラブルシューティング URL]ダイアログ ボックスで、次の項目を指定し、[OK]をクリックします。
[修復サーバー グループ]セクションで、先ほど作成した修復サーバー グループを選択します。このグループには、DNS サーバーなどのインフラストラクチャ サーバーが含まれています。
[トラブルシューティング URL]セクションで、ユーザーが修復状態にある場合に表示する、制限されたネットワークからアクセス可能な Web ページへのリンクを入力します。
このポリシーは、必ず日付と時刻の制限に関する条件を持たない非対応のポリシーの前に配置します。
指定したマシンについて、Configuration Manager の正常性状態のチェックを行わない。この構成は、Configuration Manager のクライアントが、選択されたコンピュータにインストールされていない場合に適用可能です。
Configuration Manager のシステム正常性検証ツールを参照しないけれど、使用している他のシステム正常性検証ツールは含む新しい正常性ポリシーを作成します。
新しいネットワーク ポリシーを次のように作成します。
[概要]タブで、[ポリシー有効]を選択します。
[概要]タブで、[接続要求がこのポリシーと一致する場合にアクセスを許可する]というアクセス許可を選択します。
[条件]タブで、[コンピュータ グループ]の条件を追加し、[グループの追加]をクリックして、Configuration Manager クライアントのインストールを禁止するすべてのコンピュータを含む Windows グループを選択します。選択したグループをクリックし、[OK]をクリックします。再度[OK]をクリックして、[コンピュータ グループ]ダイアログ ボックスを閉じます。
[条件]タブで、[正常性ポリシー]の条件を追加し、Configuration Manager のシステム正常性検証ツールを参照しない新しい正常性ポリシーを選択して、[OK]をクリックします。
[制約]タブで、DHCP 実施および IPsec 実施に対してのみ[コンピュータの正常性のみをチェックする]をクリックします。この設定は、VPN または 802.1X を実装機構として使用している場合は選択しないでください。
[設定]タブで、[ネットワーク アクセス保護]セクションの[NAP 強制]をクリックし、[完全なネットワーク アクセスを許可する]をクリックして、[OK]をクリックします。
このネットワーク ポリシーは、Configuration Manager の正常性ポリシーを参照する他のポリシーの前に配置します。
参照:
概念
その他のリソース
Configuration Manager に対するネットワーク ポリシー サーバーの構成
ネットワーク アクセス保護の概要
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.