Configuration Manager 인증서 프로필의 필수 구성 요소
적용 대상: Configuration Manager(현재 분기)
Configuration Manager 인증서 프로필에는 제품에 외부 종속성과 종속성이 있습니다.
중요
버전 2203부터 이 회사 리소스 액세스 기능은 더 이상 지원되지 않습니다. 자세한 내용은 리소스 액세스 사용 중단에 대한 질문과 대답을 참조하세요.
종속성 외부 Configuration Manager
| 종속성 | 추가 정보 |
|---|---|
| AD CS(Active Directory Certificate Services)를 실행하는 엔터프라이즈 CA(인증 기관)입니다. 인증서를 해지하려면 계층 구조 맨 위에 있는 사이트 서버의 컴퓨터 계정에 Configuration Manager 인증서 프로필에서 사용하는 각 인증서 템플릿에 대한 인증서 발급 및 관리 권한이 필요합니다. 또는 해당 CA에서 사용하는 모든 인증서 템플릿에 대한 권한을 부여할 수 있는 인증서 관리자 권한을 부여합니다. 인증서 요청에 대한 관리자 승인이 지원됩니다. 그러나 인증서를 발급하는 데 사용되는 인증서 템플릿은 인증서 주체에 대한 요청에서 Supply에 대해 구성되어야 Configuration Manager 이 값을 자동으로 제공할 수 있습니다. |
Active Directory 인증서 서비스에 대한 자세한 내용은 Active Directory 인증서 서비스 개요를 참조하세요. |
| PowerShell 스크립트를 사용하여 NDES(네트워크 디바이스 등록 서비스) 역할 서비스 및 Configuration Manager 인증서 등록 지점에 대한 필수 구성 요소를 확인하고 필요한 경우 설치합니다. |
readme_crp.txt 명령 파일은 ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64에 있습니다. Test-NDES-CRP-Prereqs.ps1 PowerShell 스크립트는 지침과 동일한 디렉터리에 있습니다. PowerShell 스크립트는 NDES 서버에서 로컬로 실행해야 합니다. |
| Windows Server 2012 R2에서 실행되는 Active Directory 인증서 서비스에 대한 NDES(네트워크 디바이스 등록 서비스) 역할 서비스입니다. 또한 다음을 수행합니다. TCP 443(HTTPS의 경우) 또는 TCP 80(HTTP용)이 아닌 포트 번호는 클라이언트와 네트워크 디바이스 등록 서비스 간의 통신에 지원되지 않습니다. 네트워크 디바이스 등록 서비스를 실행하는 서버는 발급 CA와 다른 서버에 있어야 합니다. |
Configuration Manager Windows Server 2012 R2의 네트워크 디바이스 등록 서비스와 통신하여 SCEP(단순 인증서 등록 프로토콜) 요청을 생성하고 확인합니다. Microsoft Intune 관리되는 모바일 디바이스와 같이 인터넷에서 연결하는 사용자 또는 디바이스에 인증서를 발급하는 경우 해당 디바이스는 인터넷에서 네트워크 디바이스 등록 서비스를 실행하는 서버에 액세스할 수 있어야 합니다. 예를 들어 경계 네트워크(DMZ, 비무장지대 및 스크린된 서브넷이라고도 함)에 서버를 설치합니다. 네트워크 디바이스 등록 서비스를 실행하는 서버와 발급 CA 간에 방화벽이 있는 경우 두 서버 간의 DCOM(통신 트래픽)을 허용하도록 방화벽을 구성해야 합니다. 이 방화벽 요구 사항은 Configuration Manager 인증서를 해지할 수 있도록 Configuration Manager 사이트 서버 및 발급 CA를 실행하는 서버에도 적용됩니다. 네트워크 디바이스 등록 서비스가 SSL을 요구하도록 구성된 경우 연결 디바이스가 CRL(인증서 해지 목록)에 액세스하여 서버 인증서의 유효성을 검사할 수 있는지 확인하는 것이 보안 모범 사례입니다. 네트워크 디바이스 등록 서비스에 대한 자세한 내용은 네트워크 디바이스 등록 서비스와 함께 정책 모듈 사용을 참조하세요. |
| PKI 클라이언트 인증 인증서 및 내보낸 루트 CA 인증서. | 이 인증서는 네트워크 디바이스 등록 서비스를 실행하는 서버를 인증하여 Configuration Manager. 자세한 내용은 Configuration Manager 대한 PKI 인증서 요구 사항을 참조하세요. |
| 지원되는 디바이스 운영 체제. | Windows 8.1, Windows RT 8.1 및 Windows 10 실행하는 디바이스에 인증서 프로필을 배포할 수 있습니다. |
Configuration Manager 종속성
| 종속성 | 추가 정보 |
|---|---|
| 인증서 등록 지점 사이트 시스템 역할 | 인증서 프로필을 사용하려면 먼저 인증서 등록 지점 사이트 시스템 역할을 설치해야 합니다. 이 역할은 Configuration Manager 데이터베이스, Configuration Manager 사이트 서버 및 Configuration Manager 정책 모듈과 통신합니다. 이 사이트 시스템 역할에 대한 시스템 요구 사항 및 계층 구조에서 역할을 설치할 위치에 대한 자세한 내용은 Configuration Manager 지원되는 구성 문서의 사이트 시스템 요구 사항 섹션을 참조하세요. 네트워크 디바이스 등록 서비스를 실행하는 동일한 서버에 인증서 등록 지점을 설치해서는 안 됩니다. |
| Active Directory 인증서 서비스에 대한 네트워크 디바이스 등록 서비스 역할 서비스를 실행하는 서버에 설치된 Configuration Manager 정책 모듈 | 인증서 프로필을 배포하려면 Configuration Manager 정책 모듈을 설치해야 합니다. 이 정책 모듈은 Configuration Manager 설치 미디어에서 찾을 수 있습니다. |
| 검색 데이터 | 인증서 주체 및 주체 대체 이름에 대한 값은 Configuration Manager 제공되고 검색에서 수집된 정보에서 검색됩니다. 사용자 인증서의 경우: Active Directory 사용자 검색 컴퓨터 인증서의 경우: Active Directory 시스템 검색 및 네트워크 검색 |
| 인증서 프로필을 관리하는 특정 보안 권한 | 인증서 프로필, Wi-Fi 프로필 및 VPN 프로필과 같은 회사 리소스 액세스 설정을 관리하려면 다음 보안 권한이 있어야 합니다. 인증서 프로필에 대한 경고 및 보고서를 보고 관리하려면 경고 개체에 대한 보고서 만들기, 삭제, 수정, 보고서 수정, 읽기 및 실행 보고서입니다. 인증서 프로필을 만들고 관리하려면: 인증서 프로필 개체에 대한 작성자 정책, 보고서 수정, 읽기 및 보고서 실행 Wi-Fi, 인증서 및 VPN 프로필 배포를 관리하려면: 구성 정책 배포, 클라이언트 상태 경고 수정, 읽기 및 컬렉션 개체에 대한 리소스 읽기 모든 구성 정책을 관리하려면: 구성 정책 개체에 대한 보안 범위만들기, 삭제, 수정, 읽기 및 설정 인증서 프로필과 관련된 쿼리를 실행하려면 Query 개체에 대한 읽기 권한입니다. Configuration Manager 콘솔에서 인증서 프로필 정보를 보려면 Site 개체에 대한 읽기 권한입니다. 인증서 프로필에 대한 상태 메시지를 보려면 Status Messages 개체에 대한 읽기 권한입니다. 신뢰할 수 있는 CA 인증서 프로필을 만들고 수정하려면: 신뢰할 수 있는 CA 인증서 프로필 개체에 대한 작성자 정책, 보고서 수정, 읽기 및 보고서 실행 VPN 프로필을 만들고 관리하려면: 작성자 정책, 보고서 수정, 읽기 및 VPN 프로필 개체에 대한 보고서 실행 Wi-Fi 프로필을 만들고 관리하려면: Wi-Fi 프로필 개체에 대한 작성자 정책, 보고서 수정, 읽기 및 보고서 실행 회사 리소스 액세스 관리자 보안 역할에는 Configuration Manager 인증서 프로필을 관리하는 데 필요한 이러한 권한이 포함됩니다. 자세한 내용은 보안구성 문서의 역할 기반 관리 구성 섹션을 참조하세요. |
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기