Configuration Manager 인증서 프로필에 대한 보안 및 개인 정보
적용 대상: Configuration Manager(현재 분기)
중요
버전 2203부터 이 회사 리소스 액세스 기능은 더 이상 지원되지 않습니다. 자세한 내용은 리소스 액세스 사용 중단에 대한 질문과 대답을 참조하세요.
보안 지침
사용자 및 디바이스에 대한 인증서 프로필을 관리할 때 다음 지침을 사용합니다.
NDES(네트워크 디바이스 등록 서비스)에 대한 보안 지침을 따릅니다.
NDES에 대한 보안 지침을 식별하고 따릅니다. 예를 들어 HTTPS를 요구하고 클라이언트 인증서를 무시하도록 IIS(인터넷 정보 서비스)에서 NDES 웹 사이트를 구성합니다.
자세한 내용은 네트워크 디바이스 등록 서비스 지침을 참조하세요.
인증서 프로필에 대한 가장 안전한 옵션 선택
SCEP 인증서 프로필을 구성할 때 디바이스와 인프라에서 지원할 수 있는 가장 안전한 옵션을 선택합니다. 디바이스 및 인프라에 권장되는 모든 보안 지침을 식별, 구현 및 따릅니다.
사용자 디바이스 선호도를 중앙에서 지정
사용자가 기본 디바이스를 식별할 수 있도록 허용하는 대신 사용자 디바이스 선호도를 수동으로 지정합니다. 사용량 기반 구성을 사용하도록 설정하지 마세요.
SCEP 인증서 프로필의 옵션을 사용하여 사용자 기본 디바이스에서만 인증서 등록을 허용하는 경우 사용자 또는 디바이스에서 수집된 정보를 신뢰할 수 있는 정보로 간주하지 마세요. 이 구성을 사용하여 SCEP 인증서 프로필을 배포하고 신뢰할 수 있는 관리자가 사용자 디바이스 선호도를 지정하지 않는 경우 권한이 없는 사용자는 상승된 권한을 받고 인증을 위한 인증서를 부여받을 수 있습니다.
참고
사용량 기반 구성을 사용하도록 설정하면 이 정보는 상태 메시지를 사용하여 수집됩니다. Configuration Manager 상태 메시지를 보호하지 않습니다. 이 위협을 완화하려면 클라이언트 컴퓨터와 관리 지점 간에 SMB 서명 또는 IPsec을 사용합니다.
인증서 템플릿 권한 관리
인증서 템플릿에 사용자에 대한 읽기 및 등록 권한을 추가하지 마세요. 인증서 템플릿 검사를 건너뛰도록 인증서 등록 지점을 구성하지 마세요.
Configuration Manager 사용자에 대한 읽기 및 등록의 보안 권한을 추가하는 경우 추가 검사를 지원합니다. 인증이 불가능한 경우 이 검사를 건너뛰도록 인증서 등록 지점을 구성할 수 있습니다. 그러나 두 구성 모두 권장되지 않습니다.
자세한 내용은 인증서 프로필에 대한 인증서 템플릿 권한 계획을 참조하세요.
개인 정보
인증서 프로필을 사용하여 루트 CA(인증 기관) 및 클라이언트 인증서를 배포한 다음 클라이언트가 프로필을 적용한 후 해당 디바이스가 규정을 준수하는지 여부를 평가할 수 있습니다. 관리 지점은 규정 준수 정보를 사이트 서버로 보내고 Configuration Manager 사이트 데이터베이스에 해당 정보를 저장합니다. 규정 준수 정보에는 주체 이름 및 지문과 같은 인증서 속성이 포함됩니다. 클라이언트는 관리 지점으로 전송될 때 이 정보를 암호화하지만 사이트 데이터베이스는 암호화된 형식으로 저장하지 않습니다. 규정 준수 정보는 Microsoft 전송되지 않습니다.
인증서 프로필은 Configuration Manager 검색을 사용하여 수집하는 정보를 사용합니다. 자세한 내용은 검색을 위한 개인 정보 정보를 참조하세요.
기본적으로 디바이스는 인증서 프로필을 평가하지 않습니다. 인증서 프로필을 구성한 다음 사용자 또는 디바이스에 배포해야 합니다.
참고
사용자 또는 디바이스에 발급된 인증서는 기밀 정보에 대한 액세스를 허용할 수 있습니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기