次の方法で共有


Security and Privacy for Certificate Profiles in Configuration Manager (Configuration Manager の証明書プロファイルのセキュリティとプライバシー)

 

適用対象: System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

[!メモ]

このトピックの情報は、System Center 2012 R2 Configuration Manager のバージョンのみに適用されます。

このトピックは、System Center 2012 Configuration Manager の証明書プロファイルに関するセキュリティとプライバシー情報について説明します。

証明書プロファイルのセキュリティ ベスト プラクティス

ユーザーとデバイスの証明書プロファイルを管理する場合は、次のセキュリティ ベスト プラクティスを使用してください。

セキュリティのベスト プラクティス

説明

ネットワーク デバイス登録サービスのセキュリティのベスト プラクティスに従います。たとえば、インターネット インフォメーション サービス (IIS) のネットワーク デバイス登録サービスの Web サイトが必ず SSL 接続されるように設定し、クライアント証明書を無視するように構成します。

TechNet の Active Directory 証明書サービスの「Network Device Enrollment Service Guidance (ネットワーク デバイス登録サービス ガイド)」を参照してください。

SCEP 証明書プロファイルを構成するときに、デバイスとインフラストラクチャがサポートできる最も安全なオプションを選択します。

デバイスとインフラストラクチャに推奨されるセキュリティ ベスト プラクティスを特定し、実装し、従います。

プライマリ デバイスの指定をユーザーに許可せずに、手動でユーザーとデバイスのアフィニティを指定します。 また、使用状況に基づいた構成を有効にしないでください。

SCEP 証明書プロファイルで [ユーザーのプライマリ デバイスでのみ証明書登録を許可する] オプションを選択するときは、必ず正規のユーザーやデバイスから情報が収集されることになると考えないでください。 このオプションを指定して SCEP 証明書プロファイルを展開し、信頼されている管理ユーザーがデバイスのアフィニティを指定しなかった場合は、権限のないユーザーに特権が付与され、その認証用の証明書が登録される可能性があります。

[!メモ]

使用状況に基づいた構成を有効にすると、使用状況に関する情報が、Configuration Manager のセキュリティの管轄外の状態メッセージから収集されます。 この脅威を軽減するには、クライアント コンピューターと管理ポイント間で、SMB 署名または IPsec を使用します。

証明書テンプレートに対する読み取りアクセス許可または登録アクセス許可は、ユーザーに付与しないでください。また、証明書テンプレート チェックをスキップするように証明書登録ポイントを構成しないでください。

Configuration Manager は、ユーザーの読み取りおよび登録のセキュリティ アクセス許可を追加するかどうかの追加チェックをサポートしており、認証できない場合にこのチェックをスキップするように証明書登録ポイントを構成できますが、いずれの構成もセキュリティ ベスト プラクティスではありません。 詳細については、「Configuration Manager の証明書プロファイルに関する証明書テンプレート アクセス許可の計画」をご覧ください。

証明書プロファイルのプライバシー情報

証明書プロファイルを使って、証明機関 (CA) のルート証明書とクライアント証明書を展開し、プロファイルの適用後にデバイスがコンプライアンスに対応しているかどうかを評価できます。 コンプライアンス対応情報は、管理ポイントからサイト サーバーに送信され、Configuration Manager はその情報をサイト データベースに保存します。 コンプライアンス情報には、サブジェクト名や拇印などの証明書のプロパティが含まれます。 情報はデバイスが管理ポイントに送信するときは暗号化されますが、サイト データベースに保存するときは暗号化されません。 データベースに保存された情報は、90 日 (既定) 後に "期限切れの構成管理データの削除" というメンテナンス タスクで削除されるまで維持されます。 削除間隔は構成できます。 対応情報がマイクロソフトに送信されることはありません。

証明書プロファイルは、Configuration Manager の探索機能によって収集された情報を使用します。 検出のプライバシー情報の詳細については、「Configuration Manager のサイト管理のセキュリティとプライバシー」の「探索のプライバシー情報」セクションを参照してください。

[!メモ]

ユーザーやデバイスに発行された証明書によって、機密情報にアクセス可能になる場合があります。

既定では、デバイスは証明書プロファイルを評価しません。 また、証明書プロファイルを構成し、それをユーザーまたはデバイスに展開する必要があります。

証明書プロファイルを構成する前に、プライバシー要件について検討してください。