Configuration Manager 보안 구성
적용 대상: Configuration Manager(현재 분기)
이 문서의 정보를 사용하여 Configuration Manager 대한 보안 관련 옵션을 설정할 수 있습니다. 시작하기 전에 보안 계획이 있는지 확인합니다.
중요
Configuration Manager 버전 2103부터 HTTP 클라이언트 통신을 허용하는 사이트는 더 이상 사용되지 않습니다. HTTPS 또는 고급 HTTP에 대한 사이트를 구성합니다. 자세한 내용은 HTTPS 전용 또는 향상된 HTTP에 사이트 사용을 참조하세요.
클라이언트 PKI 인증서
IIS(인터넷 정보 서비스)를 사용하는 사이트 시스템에 대한 클라이언트 연결에 PKI(공개 키 인프라) 인증서를 사용하려면 다음 절차를 사용하여 이러한 인증서에 대한 설정을 구성합니다.
Configuration Manager 콘솔에서 관리 작업 영역으로 이동하여 사이트 구성을 확장하고 사이트 노드를 선택합니다. 구성할 기본 사이트를 선택합니다.
리본에서 속성을 선택합니다. 그런 다음 통신 보안 탭으로 전환합니다.
IIS를 사용하는 사이트 시스템의 설정을 선택합니다.
HTTPS만 해당: 사이트에 할당된 클라이언트는 IIS를 사용하는 사이트 시스템에 연결할 때 항상 클라이언트 PKI 인증서를 사용합니다. 예를 들어 관리 지점 및 배포 지점입니다.
HTTPS 또는 HTTP: 클라이언트가 PKI 인증서를 사용할 필요가 없습니다.
HTTP 사이트 시스템에 Configuration Manager 생성된 인증서 사용: 이 설정에 대한 자세한 내용은 고급 HTTP를 참조하세요.
클라이언트 컴퓨터에 대한 설정을 선택합니다.
사용 가능한 경우 클라이언트 PKI 인증서(클라이언트 인증 기능) 사용: HTTPS 또는 HTTP 사이트 서버 설정을 선택한 경우 HTTP 연결에 클라이언트 PKI 인증서를 사용하려면 이 옵션을 선택합니다. 클라이언트는 자체 서명된 인증서 대신 이 인증서를 사용하여 사이트 시스템에 인증합니다. HTTPS만 선택한 경우 이 옵션이 자동으로 선택됩니다.
클라이언트에서 둘 이상의 유효한 PKI 클라이언트 인증서를 사용할 수 있는 경우 수정 을 선택하여 클라이언트 인증서 선택 방법을 구성합니다. 클라이언트 인증서 선택 방법에 대한 자세한 내용은 PKI 클라이언트 인증서 선택 계획을 참조하세요.
클라이언트는 사이트 시스템에 대해 CRL(인증서 해지 목록)을 검사: 클라이언트가 해지된 인증서에 대해 organization CRL을 검사 이 설정을 사용하도록 설정합니다. 클라이언트에 대한 CRL 검사에 대한 자세한 내용은 PKI 인증서 해지 계획을 참조하세요.
신뢰할 수 있는 루트 인증 기관의 인증서를 가져오고, 보고, 삭제하려면 설정을 선택합니다. 자세한 내용은 PKI 신뢰할 수 있는 루트 인증서 및 인증서 발급자 목록에 대한 계획을 참조하세요.
계층의 모든 기본 사이트에 대해 이 절차를 반복합니다.
신뢰할 수 있는 루트 키 관리
이러한 절차를 사용하여 Configuration Manager 클라이언트에 대해 신뢰할 수 있는 루트 키를 미리 프로비전하고 확인합니다.
참고
클라이언트가 Active Directory Domain Services 또는 클라이언트 푸시에서 신뢰할 수 있는 루트 키를 가져올 수 있는 경우 미리 프로비전할 필요가 없습니다.
클라이언트가 관리 지점에 HTTPS 통신을 사용하는 경우 신뢰할 수 있는 루트 키를 미리 프로비전할 필요가 없습니다. PKI 인증서에 의해 신뢰를 설정합니다.
신뢰할 수 있는 루트 키에 대한 자세한 내용은 보안 계획을 참조하세요.
파일을 사용하여 신뢰할 수 있는 루트 키를 사용하여 클라이언트 사전 프로비전
사이트 서버에서 Configuration Manager 설치 디렉터리로 이동합니다. 하위 폴더의
\bin\<platform>
텍스트 편집기에서 다음 파일을 엽니다.mobileclient.tcf
항목을 찾습니다
SMSPublicRootKey
. 해당 줄에서 값을 복사하고 변경 내용을 저장하지 않고 파일을 닫습니다.새 텍스트 파일을 만들고 mobileclient.tcf 파일에서 복사한 키 값을 붙여넣습니다.
모든 컴퓨터가 액세스할 수 있지만 파일이 변조되지 않도록 안전한 위치에 파일을 저장합니다.
client.msi 속성을 허용하는 모든 설치 방법을 사용하여 클라이언트를 설치합니다. 다음 속성을 지정합니다.
SMSROOTKEYPATH=<full path and file name>
중요
클라이언트를 설치하는 동안 신뢰할 수 있는 루트 키를 지정하는 경우 사이트 코드도 지정합니다. 다음 client.msi 속성을 사용합니다.
SMSSITECODE=<site code>
파일을 사용하지 않고 신뢰할 수 있는 루트 키를 사용하여 클라이언트 사전 프로비전
사이트 서버에서 Configuration Manager 설치 디렉터리로 이동합니다. 하위 폴더의
\bin\<platform>
텍스트 편집기에서 다음 파일을 엽니다.mobileclient.tcf
항목을 찾습니다
SMSPublicRootKey
. 해당 줄에서 값을 복사하고 변경 내용을 저장하지 않고 파일을 닫습니다.client.msi 속성을 허용하는 모든 설치 방법을 사용하여 클라이언트를 설치합니다. 다음 client.msi 속성을
SMSPublicRootKey=<key>
지정합니다. 여기서<key>
은 mobileclient.tcf에서 복사한 문자열입니다.중요
클라이언트를 설치하는 동안 신뢰할 수 있는 루트 키를 지정하는 경우 사이트 코드도 지정합니다. 다음 client.msi 속성을 사용합니다.
SMSSITECODE=<site code>
클라이언트에서 신뢰할 수 있는 루트 키 확인
관리자 권한으로 Windows PowerShell 콘솔을 엽니다.
다음 명령을 실행합니다.
(Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey
반환된 문자열은 신뢰할 수 있는 루트 키입니다. 사이트 서버의 mobileclient.tcf 파일에서 SMSPublicRootKey 값과 일치하는지 확인합니다.
신뢰할 수 있는 루트 키 제거 또는 바꾸기
client.msi 속성 RESETKEYINFORMATION = TRUE
를 사용하여 클라이언트에서 신뢰할 수 있는 루트 키를 제거합니다.
신뢰할 수 있는 루트 키를 바꾸려면 클라이언트를 새 신뢰할 수 있는 루트 키와 함께 다시 설치합니다. 예를 들어 클라이언트 푸시를 사용하거나 client.msi 속성 SMSPublicRootKey를 지정합니다.
이러한 설치 속성에 대한 자세한 내용은 클라이언트 설치 매개 변수 및 속성 정보를 참조하세요.
서명 및 암호화
사이트의 모든 클라이언트가 지원할 수 있는 사이트 시스템에 대해 가장 안전한 서명 및 암호화 설정을 구성합니다. 이러한 설정은 클라이언트가 HTTP를 통해 자체 서명된 인증서를 사용하여 사이트 시스템과 통신할 수 있도록 하는 경우에 특히 중요합니다.
Configuration Manager 콘솔에서 관리 작업 영역으로 이동하여 사이트 구성을 확장하고 사이트 노드를 선택합니다. 구성할 기본 사이트를 선택합니다.
리본에서 속성을 선택한 다음 서명 및 암호화 탭으로 전환합니다.
이 탭은 기본 사이트에서만 사용할 수 있습니다. 서명 및 암호화 탭이 표시되지 않으면 중앙 관리 사이트 또는 보조 사이트에 연결되어 있지 않은지 확인합니다.
클라이언트가 사이트와 통신할 수 있도록 서명 및 암호화 옵션을 구성합니다.
서명 필요: 클라이언트는 관리 지점으로 보내기 전에 데이터에 서명합니다.
SHA-256 필요: 클라이언트는 데이터에 서명할 때 SHA-256 알고리즘을 사용합니다.
경고
모든 클라이언트가 이 해시 알고리즘을 지원하는지 먼저 확인하지 않고 SHA-256을 요구하지 마세요. 이러한 클라이언트에는 나중에 사이트에 할당될 수 있는 클라이언트가 포함됩니다.
이 옵션을 선택하고 자체 서명된 인증서가 있는 클라이언트가 SHA-256을 지원할 수 없는 경우 Configuration Manager 거부합니다. SMS_MP_CONTROL_MANAGER 구성 요소는 메시지 ID 5443을 기록합니다.
암호화 사용: 클라이언트는 관리 지점으로 보내기 전에 클라이언트 인벤토리 데이터를 암호화하고 메시지를 상태.
계층의 모든 기본 사이트에 대해 이 절차를 반복합니다.
역할 기반 관리
역할 기반 관리는 보안 역할, 보안 범위 및 할당된 컬렉션을 결합하여 각 관리 사용자에 대한 관리 scope 정의합니다. scope 사용자가 콘솔에서 볼 수 있는 개체 및 사용자가 수행할 수 있는 권한이 있는 개체와 관련된 작업을 포함합니다. 역할 기반 관리 구성은 계층 구조의 각 사이트에 적용됩니다.
자세한 내용은 역할 기반 관리 구성을 참조하세요. 이 문서에서는 다음 작업을 자세히 설명합니다.
사용자 지정 보안 역할 만들기
보안 역할 구성
개체에 대한 보안 범위 구성
보안을 관리하도록 컬렉션 구성
새 관리 사용자 만들기
관리 사용자의 관리 scope 수정
중요
사용자 고유의 관리 scope 다른 관리 사용자에 대한 역할 기반 관리를 구성할 때 할당할 수 있는 개체 및 설정을 정의합니다. 역할 기반 관리 계획에 대한 자세한 내용은 역할 기반 관리의 기본 사항을 참조하세요.
계정 관리
Configuration Manager 다양한 작업 및 용도에 대한 Windows 계정을 지원합니다. 다른 작업에 대해 구성된 계정을 보고 Configuration Manager 각 계정에 사용하는 암호를 관리하려면 다음 절차를 사용합니다.
Configuration Manager 콘솔에서 관리 작업 영역으로 이동하여 보안을 확장한 다음 계정 노드를 선택합니다.
계정의 암호를 변경하려면 목록에서 계정을 선택합니다. 그런 다음 리본에서 속성을 선택합니다.
설정을 선택하여 Windows 사용자 계정 대화 상자를 엽니다. 이 계정에 사용할 Configuration Manager 새 암호를 지정합니다.
참고
지정한 암호는 Active Directory에서 이 계정의 암호와 일치해야 합니다.
자세한 내용은 Configuration Manager 사용된 계정을 참조하세요.
Microsoft Entra ID
Configuration Manager Microsoft Entra ID와 통합하여 환경을 단순화하고 클라우드를 사용하도록 설정합니다. 사이트 및 클라이언트가 Microsoft Entra ID를 사용하여 인증할 수 있도록 설정합니다.
자세한 내용은 Azure 서비스 구성의 클라우드 관리 서비스를 참조 하세요.
SMS 공급자 인증
관리자가 Configuration Manager 사이트에 액세스할 수 있도록 최소 인증 수준을 지정할 수 있습니다. 이 기능을 사용하면 관리자가 필요한 수준으로 Windows에 로그인한 후 Configuration Manager 액세스할 수 있습니다. 자세한 내용은 SMS 공급자 인증 계획을 참조하세요.
중요
이 구성은 계층 전체 설정입니다. 이 설정을 변경하기 전에 모든 Configuration Manager 관리자가 필요한 인증 수준으로 Windows에 로그인할 수 있는지 확인합니다.
이 설정을 구성하려면 다음 단계를 사용합니다.
먼저 의도한 인증 수준으로 Windows에 로그인합니다.
Configuration Manager 콘솔에서 관리 작업 영역으로 이동하여 사이트 구성을 확장하고 사이트 노드를 선택합니다.
리본에서 계층 설정 을 선택합니다.
인증 탭으로 전환합니다. 원하는 인증 수준을 선택한 다음 확인을 선택합니다.
- 필요한 경우에만 추가 를 선택하여 특정 사용자 또는 그룹을 제외합니다. 자세한 내용은 제외를 참조하세요.
제외
계층 설정의 인증 탭에서 특정 사용자 또는 그룹을 제외할 수도 있습니다. 이 옵션을 아끼고 사용합니다. 예를 들어 특정 사용자가 Configuration Manager 콘솔에 액세스해야 하지만 필요한 수준에서 Windows에 인증할 수 없는 경우입니다. 시스템 계정의 컨텍스트에서 실행되는 자동화 또는 서비스에도 필요할 수 있습니다.