次の方法で共有

  • [アーティクル]

Configuration Manager でクライアントをブロックするがどうかを判断する

 

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

クライアント コンピューターまたはクライアント モバイル デバイスが信頼できなくなった場合は、System Center 2012 Configuration Manager コンソールでクライアントをブロックできます。 ブロックされたクライアントは、Configuration Manager インフラストラクチャによって拒否されるため、サイト システムと通信してポリシーをダウンロードしたり、インベントリ データをアップロードしたり、状態またはステータス メッセージを送信したりすることはできなくなります。

Configuration Manager SP1 の場合、Microsoft Intune に登録されている Mac クライアント、Linux および UNIX クライアント、およびモバイル デバイスは、ブロックおよびブロック解除をサポートします。

クライアントのブロックとブロック解除は、セカンダリ サイトや中央管理サイトではなく、そのクライアントが割り当てられているサイトから行う必要があります。

System_CAPS_important重要

Configuration Manager からブロックすることにより Configuration Manager サイトをセキュリティ保護することができますが、自己署名入り証明書およびハードウェア ID を使用すると、ブロックされたクライアントがサイトに再参加できるため、HTTP を使ってクライアントがサイト システムと通信することを許可する場合は、信頼されていないコンピューターやモバイル デバイスからサイトを保護するのに、この機能に依存しないでください。 そうではなく、サイト システムが HTTPS クライアント接続を受け入れる場合は、オペレーティング システムの展開時に使用したあと紛失したブート メディア、または危険のあるブート メディアをブロックするのに、このブロック機能を使用します。

ISV プロキシ証明書を使用してサイトにアクセスするクライアントをブロックすることはできません。 ISV プロキシ証明書の詳細については、Microsoft System Center 2012 Configuration Manager Software Development Kit (SDK) を参照してください。

サイト システムが HTTPS クライアント接続に対応しており、公開キー インフラストラクチャで証明書失効リスト (CRL) がサポートされている場合、危険の可能性のある証明書に対しては、証明書失効が第 1 の防御ラインとなることを常に考慮してください。Configuration Manager でクライアントをブロックすることは、階層を保護するための第 2 の防御ラインとなります。

次のセクションを使用して、クライアントのブロックと証明書失効リストの使用の違いについて理解し、AMT ベースのコンピューターをブロックすることの影響についても理解するための参考にしてください。

  • クライアントのブロックとクライアント証明書の失効を比較する

  • AMT ベースのコンピューターをブロックする

クライアントのブロックとクライアント証明書の失効を比較する

PKI に対応する環境でクライアントをブロックすることと、証明書の失効を使用することの違いを理解するために、次の表を使用してください。

クライアントのブロック

証明書の失効

このオプションは、HTTP および HTTPS クライアント接続で使用できますが、クライアントが HTTP を使用してサイトシステムに接続するときは、セキュリティが制限されます。

公開キー インフラストラクチャが証明書失効リスト (CRL) をサポートする場合は、このオプションは、HTTPS Windows クライアント接続で利用できます。

Configuration Manager SP1 の場合、Mac クライアントは CRL チェックを常に実行するため、この機能を無効にすることはできません。

モバイル デバイス クライアントはサイト システムの証明書を確認するのに証明書失効リストを使用しませんが、証明書は、Configuration Manager によって失効させたり、確認することができます。

Configuration Manager 管理者にはクライアントをブロックする権限があります。この操作には Configuration Manager コンソールを使用します。

公開キー インフラストラクチャ管理者には、証明書を失効させる権限があり、この操作は Configuration Manager コンソール以外で実行されます。

クライアントの通信は、Configuration Manager 階層のみから拒否されます。

[!メモ]

同じクライアントが別の Configuration Manager 階層に登録できます。

クライアントの通信は、このクライアント証明書が必要な任意のコンピューターまたはモバイル デバイスから拒否できます。

クライアントはすぐに Configuration Manager サイトからブロックされます。

証明書が失効してから、サイト システムが更新後の証明書失効リスト (CRL) をダウンロードするまでの間に遅延が発生しやすくなります。

多くの PKI 展開を行う場合、この遅延は 1 日またはそれ以上になる可能性があります。 たとえば、Active Directory 証明書サービスでは、既定の有効期間は完全な CRL で 1 週間、差分の CRL で 1 日です。

危険性のあるコンピューターおよびモバイル デバイスからサイト システムを保護できます。

危険性のあるコンピューターおよびモバイル デバイスからサイト システムとクライアントを保護できます。

[!メモ]

IIS の証明書信頼リスト (CTL) を構成すると、IIS を実行するサイト システムを、未知のクライアントから一層保護できます。

AMT ベースのコンピューターをブロックする

System Center 2012 Configuration Manager によってプロビジョニングされた Intel AMT ベースのコンピューターをブロックすると、それ以降、そのコンピューターを帯域外管理できなくなります。 AMT ベース コンピューターがブロックされると、権限の昇格や情報の公開といったセキュリティ リスクからネットワークを保護するために、次の操作が自動的に行われます。

  • サイト サーバーは、Cease of Operation という失効理由をつけて、AMT ベース コンピューターに発行された証明書をすべて失効にします。 クライアント証明書をサポートする 802.1X 認証ワイヤード (有線) ネットワークおよびワイヤレス ネットワークに対応するよう構成されている場合、AMT ベース コンピューターは複数の証明書を持っている可能性があります。

  • サイト サーバーが Active Directory ドメイン サービス内の AMT アカウントを削除します。

AMT プロビジョニング情報はコンピューターから削除されませんが、証明書が失効し、アカウントが削除されるため、帯域外で管理することはできなくなります。 このクライアントを後でブロック解除する場合は、まず次の操作を行わないと、コンピューターを帯域外管理できません。

  1. コンピューターの BIOS 拡張からプロビジョニング情報を手動で削除します。 この構成はリモートでは実行できません。

  2. Configuration Manager を使用してコンピューターを再度プロビジョニングします。

可能性としてこのクライアントを後でブロック解除することが考えられる場合で、クライアントをブロックする前に AMT ベース コンピューターへの接続を確認できる場合は、Configuration Manager を使用して AMT プロビジョニング情報を削除してから、クライアントをブロックすることができます。 この一連の操作を行うと、クライアントのブロック解除後に BIOS 拡張を手動で構成する必要がなくなります。 ただし、このオプションでは、プロビジョニング情報の削除を完了するために信頼されていないコンピューターに正常に接続する方法を使用します。 AMT ベース コンピューターがノートパソコンで、ネットワークから切断されたりワイヤレス接続を行っていたりする可能性がある場合、この方法は特に危険です。

[!メモ]

AMT ベース コンピューターがプロビジョニング情報を正常に削除したことを確認するには、AMT ステータスが "プロビジョニング済み" から"プロビジョニングされていません" に変更されていることを確認します。 ただし、クライアントをブロックする前にプロビジョニング情報を削除していなかった場合、AMT ステータスは "プロビジョニング済み" のままになっていますが、BIOS 拡張を再構成し、コンピューターを AMT 用に再度プロビジョニングしてからでないとコンピューターの帯域外管理はできません。 AMT ステータスの詳細については、「Configuration Manager の AMT ステータスおよび帯域外管理について」を参照してください。