次の方法で共有


Configuration Manager のリモート接続プロファイルのセキュリティとプライバシー

 

適用対象: System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

[!メモ]

このトピックの情報は、System Center 2012 R2 Configuration Manager のバージョンのみに適用されます。

このトピックでは、System Center 2012 Configuration Manager のリモート接続プロファイルに関するセキュリティとプライバシー情報について説明します。

リモート接続プロファイルのセキュリティに関するベスト プラクティス

クライアントのリモート接続プロファイルを管理するときは、次のようなセキュリティのベスト プラクティスに従ってください。

セキュリティのベスト プラクティス

説明

プライマリ デバイスの指定をユーザーに許可せずに、手動でユーザーとデバイスのアフィニティを指定します。 また、使用状況に基づいた構成を有効にしないでください。

リモート接続プロファイルを展開する前に、[会社用のコンピューターのすべてのプライマリ ユーザーにリモート接続を許可する] を有効にする必要があるため、常に手動でユーザーとデバイスのアフィニティを指定します。 ユーザーまたはデバイスから収集された情報を信頼できるとは見なさないでください。 リモート接続プロファイルを展開しており、信頼されている管理ユーザーがデバイスのアフィニティを指定していない場合は、権限のなかったユーザーに特権が付与され、コンピューターにリモート接続できるようになる可能性があります。

[!メモ]

使用状況に基づいた構成を有効にすると、使用状況に関する情報が、Configuration Manager のセキュリティの管轄外の状態メッセージから収集されます。 このセキュリティの侵害を防ぐには、クライアント コンピューターと管理ポイント間の通信で、サーバー メッセージ ブロック (SMB) 署名、またはインターネット プロトコル セキュリティ (IPsec) を使用します。

サイト サーバー コンピューターのローカル管理者の権限を制限します。

サイト サーバーのローカル管理者権限を持っているユーザーは、Configuration Manager で自動的に作成されて管理されるリモート PC 接続セキュリティ グループに、メンバーを手動で追加することができます。 このグループに追加されたメンバーには、リモート デスクトップのアクセス許可が付与されるので、ユーザーの特権が昇格する可能性があります。

リモート接続プロファイルのプライバシー情報

ユーザーが、会社ポータルから会社用のコンピューターへの接続を開始すると、.rdp または .wsrdp 拡張子のファイルがダウンロードされます。このファイルには、リモート デスクトップ セッションの開始に必要な、デバイス名とリモート デスクトップ ゲートウェイ サーバー名が含まれています。 ファイル拡張子は、デバイスのオペレーティング システムによって異なります。 たとえば、Windows® 7 と Windows 8 は .rdp ファイルを、Windows 8.1 は .wsrdp ファイルを使用します。

ユーザーは、.rdp ファイルを開くか保存するかを選択できます。 ユーザーがファイルを開くことを選択した場合は、ブラウザーのキャッシュへの保管設定よって異なりますが、ファイルがブラウザーのキャッシュに格納される可能性があります。 ユーザーがファイルを保存することを選択した場合は、ファイルはブラウザーのキャッシュに格納されません。 ユーザーが手動で削除するまで、保存した場所に残ります。

.wsrdp ファイルは、ダウンロード後に、自動でローカルに保存されます。 このファイルは、ユーザーが次回リモート デスクトップ セッションを実行するときに上書きされます。

リモート接続プロファイルを構成する前に、プライバシー要件について検討してください。