次の方法で共有

ネットワーク アクセス保護の NAP 有効日について

  • [アーティクル]

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

次の情報は、Configuration Manager 2007 ネットワーク アクセス保護 (NAP) の有効日が NAP をサポートするクライアントにどのように影響するかについてや、Configuration Manager NAP ポリシーのプロパティとして構成するときに考慮する必要がある事項を理解するのに役立ちます。

有効日が現在の日付になったときのクライアントの動作

有効日は、Configuration Manager 2007 ネットワーク アクセス保護 (NAP) ポリシーが NAP 対応クライアントでアクティブになった日付で、[ポリシー]ノードに既定の列として表示されます。

このとき、クライアントは、ポリシーに一覧表示されるソフトウェアの更新が必要かどうかを確認して、対応ステータスを評価します。対応していない場合、必要なソフトウェアの更新は修復によって強制実行できますが、修復が正常に終了するまでクライアントのネットワーク アクセスが制限される場合があります。制限と修復は、Microsoft Windows ネットワーク ポリシー サーバーでのポリシーで構成されるポリシーによって制御されます。

有効日を構成するときの考慮事項

Configuration Manager 2007 のネットワーク アクセス保護は、Configuration Manager 2007 機能のソフトウェアの更新を補足するものであるため、通常ほとんどの Configuration Manager クライアントでは、ソフトウェアの更新機能により必要なソフトウェアの更新がインストールされます。このため、ソフトウェアの更新の展開の期限後に有効日を設定することは、通常の操作手順でソフトウェアの更新がインストールされない少数のコンピュータにおける予防措置となります。

ただし、ソフトウェアの更新とは異なり、ネットワーク アクセス保護には、Configuration Manager NAP ポリシーにあるソフトウェアの更新がインストールされるまで、ネットワーク アクセスを制限する機能があります (Windows ネットワーク ポリシー サーバーのポリシー構成を使用して実行します)。

余裕のない有効日を設定すると、次の 2 つのリスクを持つことになります。

  • 修復が正常に終了するまでネットワーク アクセスが制限されるクライアントの数が増え、ソフトウェアの更新をホストする配布ポイントやソフトウェアの更新ポイントなどの修復サーバーへの負荷が増加します。

  • 必要なソフトウェアの更新を含むソフトウェアの更新パッケージが、修復配布ポイントにレプリケートされていない可能性があります。

Configuration Manager NAP ポリシーで有効日を構成して、今後の日付にすることも、[直ちに]に設定することもできます。次のいずれかの条件に該当する場合にのみ、有効日に[直ちに]を選択してください。

  • Windows ネットワーク ポリシー サーバーによって、非対応コンピュータのネットワーク アクセスを制限しない場合。

  • 非対応コンピュータが完全なネットワーク アクセス権を持つリスクが、ネットワーク アクセスが制限され、ソフトウェアの更新が修復配布ポイントにレプリケートされていない場合に修復できないリスクより大きい場合。

有効日を構成する方法の詳細については、「ネットワーク アクセス保護に対して NAP 評価を開始する有効日時の設定方法」を参照してください。

参照:

タスク

ゼロデイ攻撃 (対策公表前の脆弱性の悪用) に対抗するためにネットワーク アクセス保護でConfiguration Manager NAP ポリシーを構成する方法
ネットワーク アクセス保護の Configuration Manager NAP ポリシーの作成方法
ネットワーク アクセス保護に対して NAP 評価を開始する有効日時の設定方法
ネットワーク アクセス保護の Configuration Manager NAP ポリシーの表示方法

概念

ネットワーク アクセス保護の NAP クライアント ステータスについて
ネットワーク アクセス保護の修復について
ネットワーク アクセス保護の Configuration Manager NAP ポリシーについて
段階的および優先的なネットワーク アクセス保護の展開について

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.