다음을 통해 공유

Configuration Manager 인증서 프로필에 대한 인증서 템플릿 권한 계획

  • 아티클

적용 대상: Configuration Manager(현재 분기)

중요

버전 2203부터 이 회사 리소스 액세스 기능은 더 이상 지원되지 않습니다. 자세한 내용은 리소스 액세스 사용 중단에 대한 질문과 대답을 참조하세요.

다음 정보는 인증서 프로필을 배포할 때 Configuration Manager 사용하는 인증서 템플릿에 대한 권한을 구성하는 방법을 계획하는 데 도움이 될 수 있습니다.

기본 보안 권한 및 고려 사항

Configuration Manager 사용자 및 디바이스에 대한 인증서를 요청하는 데 사용할 인증서 템플릿에 필요한 기본 보안 권한은 다음과 같습니다.

  • 네트워크 디바이스 등록 서비스 애플리케이션 풀에서 사용하는 계정에 대한 읽기 및 등록

  • Configuration Manager 콘솔을 실행하는 계정 읽기

    이러한 보안 권한에 대한 자세한 내용은 인증서 인프라 구성을 참조하세요.

    이 기본 구성을 사용하는 경우 사용자 및 디바이스는 인증서 템플릿에서 인증서를 직접 요청할 수 없으며 모든 요청은 네트워크 디바이스 등록 서비스에서 시작해야 합니다. 인증서 주체 에 대한 요청에서 이러한 인증서 템플릿을 Supply로 구성해야 하므로 이는 악의적인 사용자 또는 손상된 디바이스가 인증서를 요청하는 경우 가장 위험이 있음을 의미하기 때문에 중요한 제한 사항입니다. 기본 구성에서 네트워크 디바이스 등록 서비스는 이러한 요청을 시작해야 합니다. 그러나 네트워크 디바이스 등록 서비스를 실행하는 서비스가 손상된 경우 이러한 가장 위험은 그대로 유지됩니다. 이 위험을 방지하려면 네트워크 디바이스 등록 서비스 및 이 역할 서비스를 실행하는 컴퓨터에 대한 모든 보안 모범 사례를 따릅니다.

    기본 보안 권한이 비즈니스 요구 사항을 충족하지 않는 경우 인증서 템플릿에 대한 보안 권한을 구성하는 또 다른 옵션이 있습니다. 사용자 및 컴퓨터에 대한 읽기 및 등록 권한을 추가할 수 있습니다.

사용자 및 컴퓨터에 대한 읽기 및 등록 권한 추가

별도의 팀이 CA(인증 기관) 인프라 팀을 관리하는 경우 사용자 및 컴퓨터에 대한 읽기 및 등록 권한을 추가하는 것이 적절할 수 있으며, 해당 개별 팀에서 Configuration Manager 사용자에게 유효한 Active Directory Domain Services 계정을 가지고 있는지 확인한 후 사용자에게 인증서 프로필을 보내 사용자를 요청하려고 합니다. 인증서. 이 구성의 경우 사용자를 포함하는 하나 이상의 보안 그룹을 지정한 다음 해당 그룹에 인증서 템플릿에 대한 읽기 및 등록 권한을 부여해야 합니다. 이 시나리오에서 CA 관리자는 보안 제어를 관리합니다.

마찬가지로 컴퓨터 계정을 포함하는 하나 이상의 보안 그룹을 지정하고 이러한 그룹에 인증서 템플릿에 대한 읽기 및 등록 권한을 부여할 수 있습니다. 도메인 구성원인 컴퓨터에 컴퓨터 인증서 프로필을 배포하는 경우 해당 컴퓨터의 컴퓨터 계정에 읽기 및 등록 권한이 부여되어야 합니다. 컴퓨터가 도메인 멤버가 아닌 경우 이러한 권한은 필요하지 않습니다. 예를 들어 작업 그룹 컴퓨터 또는 개인 모바일 디바이스인 경우입니다.

이 구성은 다른 보안 제어를 사용하지만 모범 사례로 권장하지는 않습니다. 그 이유는 디바이스의 지정된 사용자 또는 소유자가 Configuration Manager 독립적으로 인증서를 요청하고 다른 사용자 또는 디바이스를 가장하는 데 사용할 수 있는 인증서 주체에 대한 값을 제공할 수 있기 때문입니다.

또한 인증서 요청이 발생할 때 인증할 수 없는 계정을 지정하면 인증서 요청이 기본적으로 실패합니다. 예를 들어 네트워크 디바이스 등록 서비스를 실행하는 서버가 인증서 등록 지점 사이트 시스템 서버가 포함된 포리스트에 의해 신뢰할 수 없는 Active Directory 포리스트에 있는 경우 인증서 요청이 실패합니다. 도메인 컨트롤러의 응답이 없으므로 계정을 인증할 수 없는 경우 계속하도록 인증서 등록 지점을 구성할 수 있습니다. 그러나 이는 보안 모범 사례가 아닙니다.

인증서 등록 지점이 계정 권한에 대해 검사 구성되고 도메인 컨트롤러를 사용할 수 있고 인증 요청을 거부하는 경우(예: 계정이 잠겨 있거나 삭제됨) 인증서 등록 요청이 실패합니다.

사용자 및 도메인 구성원 컴퓨터에 대한 읽기 및 등록 권한을 검사 하려면

  1. 인증서 등록 지점을 호스트하는 사이트 시스템 서버에서 다음 DWORD 레지스트리 키를 만들어 값이 0인 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck

  2. 도메인 컨트롤러의 응답이 없어 계정을 인증할 수 없고 권한 검사 무시하려는 경우:

    • 인증서 등록 지점을 호스트하는 사이트 시스템 서버에서 다음 DWORD 레지스트리 키를 만들어 값 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied

  3. 발급 CA의 인증서 템플릿에 대한 속성의 보안 탭에서 하나 이상의 보안 그룹을 추가하여 사용자 또는 디바이스 계정에 읽기 및 등록 권한을 부여합니다.