クライアントのブロックと帯域外管理について
適用対象: System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
クライアント コンピュータを信頼できなくなった場合、サイト システムと通信してポリシーをダウンロードしたり、インベントリ データをアップロードしたり、状態メッセージやステータス メッセージを送信できなくなるように、Configuration Manager の管理者は Configuration Manager 2007 コンソールでクライアントをブロックできます。またクライアントは、あとで信頼できるようになった場合にブロックを解除できます。コンピュータが帯域外管理用にプロビジョニングされている場合、クライアントのブロックおよびブロック解除により、次のセクションで説明するような特定の影響があります。クライアントのブロックの詳細については、「Configuration Manager クライアントのブロックが必要かどうかを判断する」および「Configuration Manager クライアントをブロックする方法」を参照してください。
注意
このトピックの情報は、Configuration Manager 2007 SP1 のみに適用されます。
Configuration Manager 2007 SP1 での AMT ベース コンピュータのブロック
Configuration Manager 2007 SP1 でブロックされたコンピュータは、引き続き帯域外管理通信を受け入れます。AMT ベース コンピュータが信頼できなくなったためにブロックされた場合には、次のオプションがあります。
コンピュータの AMT 証明書を手動で失効させ、Active Directory ドメイン サービス内の AMT アカウントを手動で無効にするか削除します。このオプションは、信頼されていないコンピュータに接続する必要がないため最も安全です。これらの操作が成功したことを直ちに確認できるだけでなく、失効理由の他、アカウントが無効になっているかどうかや削除されているかどうかを制御できます。このオプションの主な短所は、このクライアントを後でブロック解除すると、BIOS 拡張からプロビジョニング情報を手動で削除してから、コンピュータを再度プロビジョニングしないと、コンピュータを帯域外管理できないことです。その他の短所はこれらの手動操作を行うときに、管理オーバーヘッドが発生し遅延が発生する可能性があることです。
帯域外サービス ポイントが AMT ベース コンピュータに接続できるときは、Configuration Manager を使用して AMT ベース コンピュータからプロビジョニング情報を削除します。この操作により、コンピュータの AMT 証明書 (優先という失効理由が付いている) が自動的に失効し、Active Directory ドメイン サービス内の AMT アカウントが自動的に削除されます。また関連付けられている SPN も削除されます。プロビジョニング情報の削除に関する詳細については、「AMT ベース コンピュータのプロビジョニング情報の削除方法」を参照してください。このオプションは更なるセキュリティを提供しつつ、失効やアカウントの削除が自動的に行われるため最も便利な方法です。さらに、このクライアントを後でブロック解除すると、BIOS 拡張をローカルで再構成しなくてもクライアントのプロビジョニングを再度行えます。このオプションの使用には、次の欠点があります。信頼されていないコンピュータと通信しなければならない。失効理由をコントロールできない。会社の方針によりアカウントを無効にすることが希望される場合や必要な場合でも無効にすることができず、その代わり、アカウントは自動的に削除される。このオプションを使用するときは、証明書が失効したことやアカウントが削除されたことを確認し、必要に応じて手動による改善策を取ります。
帯域外管理通信を妨げる操作は行いません。このオプションは、信頼されていないコンピュータが、Active Directory ドメイン サービスにログインするための有効な証明書とアカウントを持っていて、権限の昇格や情報の公開といったセキュリティ リスクにつながることから、安全度が最も低い方法です。ただし、このコンピュータを帯域外管理できるため、再イメージングや再フォーマットを行ってから電源を切るなど、コンピュータを保護するための追加手順を取ることができます。これらの追加手段だけでは、攻撃者が再度コンピュータの電源を入れることを防いだり、AMT 内の情報を保護したりすることはできません。
注意
AMT 証明書を特定するには、発行元 CA 上で、証明書サブジェクトにある AMT ベース コンピュータの FQDN を持つサイト サーバーに発行された証明書を見つけます。AMT アカウントを特定するには、コンピュータのドメインで、帯域外管理コンポーネント プロパティの [全般] タブに指定される組織単位 (OU) またはコンテナを見つけます。アカウントは、Active Directory ユーザーとコンピュータ コンソールの結果ウィンドウに <コンピュータ名> が付いたコンピュータとして表示されます。このアカウントの完全なプロパティには次の形式で名前が表示されます。<コンピュータ名>$iME
Configuration Manager 2007 SP2 での AMT ベース コンピュータのブロック
Configuration Manager 2007 SP2 がブロックしたコンピュータを引き続き帯域外管理することはできません。AMT ベース コンピュータがブロックされると、権限の昇格や情報の公開といったセキュリティ リスクからネットワークを保護するために、次の操作が自動的に行われます。
優先という失効理由が付いている AMT ベース コンピュータに発行された証明書を、サイト サーバーがすべて失効にします。Configuration Manager 2007 SP2 ではクライアント証明書をサポートする 802.1X 認証ワイヤード (有線) ネットワークおよびワイヤレス ネットワークをサポートしているため、AMT ベース コンピュータは複数の証明書を持っている可能性があります。
サイト サーバーが Active Directory ドメイン サービス内の AMT アカウントを削除します。
プロビジョニング情報は AMT から削除されませんが、証明書が失効し、アカウントが削除されたため、帯域外で管理することはできなくなります。このクライアントを後でブロック解除する場合は、まず次の操作を行わないと、コンピュータを帯域外管理できません。
BIOS 拡張からプロビジョニング情報を手動で削除します。この構成はリモートでは実行できません。
Configuration Manager を使用してコンピュータを再度プロビジョニングします。
可能性としてこのクライアントを後でブロック解除することが考えられる場合で、クライアントをブロックする前に AMT ベース コンピュータへの接続を確認できる場合は、Configuration Manager を使用してプロビジョニング情報を削除してからクライアントをブロックすることができます。この一連の操作により、クライアントのブロック解除後に BIOS 拡張を手動で構成する必要がなくなります。ただし、このオプションでは、プロビジョニング情報の削除を完了するために信頼されていないコンピュータに正常に接続する方法を使用します。AMT ベース コンピュータがノートパソコンで、ネットワークから切断されたりワイヤレス接続を行っていたりする可能性がある場合、この方法は特に危険です。
注意
AMT ベース コンピュータがプロビジョニング情報を正常に削除したことを確認するには、AMT ステータスが "プロビジョニング済み" から"プロビジョニングされていません" に変更されていることを確認します。ただし、クライアントをブロックする前にプロビジョニング情報を削除していなかった場合、AMT ステータスは "プロビジョニング済み" のままになっていますが、BIOS 拡張を再構成し、コンピュータを AMT 用に再度プロビジョニングしてからでないとコンピュータの帯域外管理はできません。AMT ステータスの詳細については、「AMT のステータスおよび帯域外管理について」を参照してください。
参照:
タスク
Configuration Manager クライアントをブロックする方法
AMT ベース コンピュータのプロビジョニング情報の削除方法
概念
帯域外管理の証明書について
Configuration Manager クライアントのブロックが必要かどうかを判断する
帯域外管理の概要
帯域外管理について推奨するセキュリティ運用方法とプライバシー情報
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.