Configuration Manager クライアントの承認について

[アーティクル]
12/19/2014

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Configuration Manager 2007 の混在モードでは、サイトへの参加が許可される前のクライアントを認証しません。System Center Configuration Manager 2007 クライアントがインストールされ、サイトに割り当てられていて、自己署名入り証明書を持っているコンピュータであれば、管理ポイントと通信でき、System Center Configuration Manager 2007 コンソールに表示され、サイトからポリシーを受信できるほか、サイトに情報を送信することができます。混在モードで［このサイトに ConfigMgr 2007 クライアントのみを含める］のチェックボックスがオンになっていない場合、機密データを含むポリシーはどのクライアントにも送信できます。ただし、チェックボックスがオンになっている場合は、承認されたクライアントのみが機密データを含むポリシーを受信することができます。

Configuration Manager 2007 クライアントは、正常にインストールされ、サイトに割り当てられるまで承認されません。

承認は手動のほか、信頼されたドメインのコンピュータまたはすべてのコンピュータに対して自動で実施でき、混在モードサイトの［サイトモード］タブにあるサイトプロパティで構成できます。

最も安全な承認方法は、信頼されたドメインのメンバであるクライアントを自動で承認する方法です。このモードでは、ワークグループクライアントなどの信頼されたドメインのメンバではないクライアントは手動で承認する必要があります。機密データを含むポリシーを受信できるようにする前に、クライアントごとに手動で確認したい場合は、承認モードを手動に設定します。すべてのクライアントを自動で承認することは、信頼できないコンピュータがネットワークにアクセスするのを防止するように、その他のアクセス制御を行っていない限り、推奨されません。クライアントは、自動的に承認されない場合でも Configuration Manager 2007 コンソールに表示され、コレクションで場所を確認してから［操作］メニューの［承認］を使用することで、手動で承認できます。詳細については、「Configuration Manager クライアントの承認方法」を参照してください。

モバイルデバイスクライアントは、機密データを含むポリシーを受信しないため、承認は必要ありません。

また、サイトがネイティブモードに構成されている場合も承認は必要ありません。これは、管理ポイントおよびその他のサイトシステムに対してクライアントが公開キー基盤 (PKI) 証明書によって認証されているからです。

注意

Configuration Manager 2007 サイトがネイティブモードの場合、クライアント承認は使用されません。ただし、Configuration Manager コンソールでコレクションを表示した場合は、承認列が表示されます。ネイティブモードのサイトでは、この列の情報を使用しないでください。

次の表は、混在モードのサイトオプションで利用できる 3 つの承認オプションを示したものです。

承認設定	その他の情報
［各コンピュータを手動で承認する］	サイトに参加させるコンピュータごとに手動で承認できるようすると、リスクは低くなりますが、管理オーバーヘッドが大きくなります。クライアントは、Configuration Manager コンソール内で割り当てられたサイトから手動で承認される必要があります。
信頼されたドメインのコンピュータを自動的に承認する	信頼されたドメインのコンピュータを自動で承認する方法では、サイトサーバーのドメインが信頼するドメインに参加するクライアントコンピュータを自動で承認します。この設定を使用するとき、信頼されたドメインに信頼されないコンピュータが参加することを防ぐ、その他のセキュリティ制御があることを確認してください。重要クライアントがサイトサーバーのドメインとは異なるドメインのものである場合、このオプションを使用するために、完全修飾ドメイン名 (FQDN) でサイトの既定の管理ポイント (または NLB 管理ポイント) を構成する必要があります。この FQDN を指定する方法については、「サイトシステムのイントラネット FQDN の構成方法」を参照してください。
すべてのコンピュータを自動的に承認する	すべてのコンピュータがサイトに参加することを自動的に承認すると、どのコンピュータでもサイトに参加できるようになります。この設定は、信頼性を確認しないまま、すべてのコンピュータがクライアントになれるため、推奨されません。

［各コンピュータを手動で承認する］

サイトに参加させるコンピュータごとに手動で承認できるようすると、リスクは低くなりますが、管理オーバーヘッドが大きくなります。クライアントは、Configuration Manager コンソール内で割り当てられたサイトから手動で承認される必要があります。

信頼されたドメインのコンピュータを自動的に承認する

信頼されたドメインのコンピュータを自動で承認する方法では、サイトサーバーのドメインが信頼するドメインに参加するクライアントコンピュータを自動で承認します。この設定を使用するとき、信頼されたドメインに信頼されないコンピュータが参加することを防ぐ、その他のセキュリティ制御があることを確認してください。

重要

クライアントがサイトサーバーのドメインとは異なるドメインのものである場合、このオプションを使用するために、完全修飾ドメイン名 (FQDN) でサイトの既定の管理ポイント (または NLB 管理ポイント) を構成する必要があります。

この FQDN を指定する方法については、「サイトシステムのイントラネット FQDN の構成方法」を参照してください。

すべてのコンピュータを自動的に承認する

すべてのコンピュータがサイトに参加することを自動的に承認すると、どのコンピュータでもサイトに参加できるようになります。この設定は、信頼性を確認しないまま、すべてのコンピュータがクライアントになれるため、推奨されません。

ネイティブモードへサイトを移行する際のクライアントの承認ステータスをリセットする方法

Configuration Manager 2007 サイトを混在モードからネイティブモードに移行するとき、クライアントは承認ステータスを保持せず、サイトに割り当てられたすべてのクライアントの承認ステータスは自動的に未承認に設定されます。

サイトがネイティブモードで運用されている場合、PKI 証明書を使用するクライアント認証が承認を行い、承認ステータスは使用されません。ただし、サイトが混在モードに戻された場合、クライアントは新規クライアントと同じように再度承認される必要があります。

参照:

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメントチームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.

次の方法で共有

Configuration Manager クライアントの承認について

ネイティブモードへサイトを移行する際のクライアントの承認ステータスをリセットする方法

参照:

タスク

リファレンス

概念

その他のリソース

次の方法で共有

Configuration Manager クライアントの承認について

ネイティブ モードへサイトを移行する際のクライアントの承認ステータスをリセットする方法

参照:

タスク

リファレンス

概念

その他のリソース

ネイティブモードへサイトを移行する際のクライアントの承認ステータスをリセットする方法