Dela via


Säkerhet och sekretess för Configuration Manager klienter

Gäller för: Configuration Manager (aktuell gren)

I den här artikeln beskrivs säkerhets- och sekretessinformation för Configuration Manager klienter. Den innehåller även information för mobila enheter som hanteras av Exchange Server-anslutningsappen.

Säkerhetsvägledning för klienter

Den Configuration Manager platsen accepterar data från enheter som kör Configuration Manager-klienten. Det här beteendet medför en risk för att klienterna kan attackera webbplatsen. De kan till exempel skicka felaktig inventering eller försöka överbelasta platssystemen. Distribuera endast Configuration Manager-klienten till enheter som du litar på.

Använd följande säkerhetsvägledning för att skydda webbplatsen från obehöriga eller komprometterade enheter.

Använda PKI-certifikat (Public Key Infrastructure) för klientkommunikation med platssystem som kör IIS

Mobila enhetsklienter och vissa Internetbaserade klienter kräver dessa certifikat. Microsoft rekommenderar dessa certifikat för alla klientanslutningar på intranätet.

Mer information om hur du använder certifikat i Configuration Manager finns i Planera för certifikat.

Viktigt

Från och med Configuration Manager version 2103 är webbplatser som tillåter HTTP-klientkommunikation inaktuella. Konfigurera webbplatsen för HTTPS eller utökad HTTP. Mer information finns i Aktivera webbplatsen för endast HTTPS eller utökad HTTP.

Godkänn klientdatorer automatiskt från betrodda domäner och kontrollera och godkänn andra datorer manuellt

När du inte kan använda PKI-autentisering identifierar godkännande en dator som du litar på hanteras av Configuration Manager. Hierarkin har följande alternativ för att konfigurera klientgodkännande:

  • Manuell
  • Automatisk för datorer i betrodda domäner
  • Automatisk för alla datorer

Den säkraste godkännandemetoden är att automatiskt godkänna klienter som är medlemmar i betrodda domäner. Det här alternativet omfattar molndomänanslutna klienter från anslutna Microsoft Entra klientorganisationer. Kontrollera och godkänn sedan alla andra datorer manuellt. Du rekommenderas inte att godkänna alla klienter automatiskt, såvida du inte har andra åtkomstkontroller för att förhindra att icke betrodda datorer kommer åt nätverket.

Mer information om hur du godkänner datorer manuellt finns i Hantera klienter från enhetsnoden.

Förlita dig inte på blockering för att förhindra klienter från att komma åt Configuration Manager-hierarkin

Blockerade klienter avvisas av Configuration Manager infrastruktur. Om klienter blockeras kan de inte kommunicera med platssystem för att ladda ned principer, ladda upp inventeringsdata eller skicka tillstånds- eller statusmeddelanden.

Blockering är utformat för följande scenarier:

  • Blockera förlorade eller komprometterade startmedier när du distribuerar ett operativsystem till klienter
  • När alla platssystem accepterar HTTPS-klientanslutningar

När platssystem accepterar HTTP-klientanslutningar ska du inte förlita dig på blockering för att skydda Configuration Manager-hierarkin från datorer som inte är betrodda. I det här scenariot kan en blockerad klient återansluta till platsen med ett nytt självsignerat certifikat och maskinvaru-ID.

Återkallande av certifikat är den primära försvarslinjen mot potentiellt komprometterade certifikat. En lista över återkallade certifikat (CRL) är endast tillgänglig från en PKI (Public Key Infrastructure) som stöds. Att blockera klienter i Configuration Manager erbjuder en andra försvarslinje för att skydda hierarkin.

Mer information finns i Avgöra om klienter ska blockeras.

Använd de säkraste klientinstallationsmetoderna som är praktiska för din miljö

  • För domändatorer är installation av grupprincipklient och programuppdateringsbaserade klientinstallationsmetoder säkrare än push-installation av klienter .

  • Om du använder åtkomstkontroller och ändringskontroller använder du metoder för avbildning och manuell installation.

  • Använd ömsesidig Kerberos-autentisering med push-installation av klienter.

Av alla klientinstallationsmetoder är push-installation av klienter den minst säkra på grund av de många beroenden den har. Dessa beroenden omfattar lokala administrativa behörigheter, resursen Admin$ och brandväggsfel. Antalet och typen av dessa beroenden ökar din attackyta.

När du använder klient-push kan platsen kräva ömsesidig Kerberos-autentisering genom att inte tillåta återställning till NTLM innan anslutningen upprättas. Den här förbättringen hjälper till att skydda kommunikationen mellan servern och klienten. Mer information finns i Så här installerar du klienter med klient-push.

Mer information om de olika klientinstallationsmetoderna finns i Klientinstallationsmetoder.

När det är möjligt väljer du en klientinstallationsmetod som kräver minst säkerhetsbehörigheter i Configuration Manager. Begränsa de administrativa användare som har tilldelats säkerhetsroller med behörigheter som kan användas för andra syften än klientdistribution. Om du till exempel konfigurerar automatisk klientuppgradering krävs säkerhetsrollen Fullständig administratör , vilket ger en administrativ användare alla säkerhetsbehörigheter.

Mer information om de beroenden och säkerhetsbehörigheter som krävs för varje klientinstallationsmetod finns i Krav för datorklienter.

Om du måste använda push-installation av klienter skyddar du push-installationskontot för klienten

Push-installationskontot för klienten måste vara medlem i den lokala gruppen Administratörer på varje dator som installerar Configuration Manager-klienten. Lägg aldrig till push-installationskontot för klienten i gruppen Domänadministratörer . Skapa i stället en global grupp och lägg sedan till den globala gruppen i den lokala gruppen Administratörer på dina klienter. Skapa ett grupprincipobjekt för att lägga till en inställning för begränsad grupp för att lägga till push-installationskontot för klienten i den lokala gruppen Administratörer .

För större säkerhet skapar du flera push-installationskonton för klienter, var och en med administrativ åtkomst till ett begränsat antal datorer. Om ett konto komprometteras komprometteras endast de klientdatorer som kontot har åtkomst till.

Ta bort certifikat före avbildningsklienter

När du distribuerar klienter med os-avbildningar ska du alltid ta bort certifikat innan du samlar in avbildningen. Dessa certifikat omfattar PKI-certifikat för klientautentisering och självsignerade certifikat. Om du inte tar bort dessa certifikat kan klienter personifiera varandra. Du kan inte verifiera data för varje klient.

Mer information finns i Skapa en aktivitetssekvens för att avbilda ett operativsystem.

Kontrollera att Configuration Manager klient får en auktoriserad kopia av certifikat

Det Configuration Manager betrodda rotnyckelcertifikatet

När båda följande påståenden är sanna förlitar sig klienterna på Configuration Manager betrodda rotnyckeln för att autentisera giltiga hanteringsplatser:

  • Du har inte utökat Active Directory-schemat för Configuration Manager
  • Klienter använder inte PKI-certifikat när de kommunicerar med hanteringsplatser

I det här scenariot kan klienter inte verifiera att hanteringsplatsen är betrodd för hierarkin om de inte använder den betrodda rotnyckeln. Utan den betrodda rotnyckeln kan en skicklig angripare dirigera klienter till en falsk hanteringsplats.

När klienter inte använder PKI-certifikat och inte kan ladda ned den betrodda rotnyckeln från den globala Active Directory-katalogen företablerar du klienterna med den betrodda rotnyckeln. Den här åtgärden ser till att de inte kan dirigeras till en falsk hanteringsplats. Mer information finns i Planera för den betrodda rotnyckeln.

Platsserverns signeringscertifikat

Klienter använder platsserverns signeringscertifikat för att verifiera att platsservern signerade principen som laddats ned från en hanteringsplats. Det här certifikatet är självsignerat av platsservern och publiceras till Active Directory Domain Services.

När klienter inte kan ladda ned det här certifikatet från den globala Active Directory-katalogen laddar de som standard ned det från hanteringsplatsen. Om hanteringsplatsen exponeras för ett ej betrott nätverk som Internet installerar du platsserverns signeringscertifikat manuellt på klienter. Den här åtgärden ser till att de inte kan ladda ned manipulerade klientprinciper från en komprometterad hanteringsplats.

Om du vill installera platsserverns signeringscertifikat manuellt använder du CCMSetup client.msi-egenskapen SMSSIGNCERT.

Om klienten hämtar den betrodda rotnyckeln från den första hanteringsplats som den kontaktar ska du inte använda automatisk platstilldelning

För att undvika risken för att en ny klient laddar ned den betrodda rotnyckeln från en falsk hanteringsplats använder du endast automatisk platstilldelning i följande scenarier:

  • Klienten kan komma åt Configuration Manager webbplatsinformation som publiceras till Active Directory Domain Services.

  • Du företablera klienten med den betrodda rotnyckeln.

  • Du använder PKI-certifikat från en företagscertifikatutfärdare för att upprätta förtroende mellan klienten och hanteringsplatsen.

Mer information om den betrodda rotnyckeln finns i Planera för den betrodda rotnyckeln.

Kontrollera att underhållsperioderna är tillräckligt stora för att distribuera kritiska programuppdateringar

Underhållsperioder för enhetssamlingar begränsar de tider som Configuration Manager kan installera programvara på dessa enheter. Om du konfigurerar underhållsperioden så att den är för liten kanske klienten inte installerar kritiska programuppdateringar. Det här beteendet gör klienten sårbar för alla attacker som programuppdateringen åtgärdar.

Vidta säkerhetsåtgärder för att minska attackytan på Windows Embedded-enheter med skrivfilter

När du aktiverar skrivfilter på Windows Embedded-enheter görs alla programvaruinstallationer eller ändringar endast i överlägget. Dessa ändringar bevaras inte när enheten har startats om. Om du använder Configuration Manager för att inaktivera skrivfiltren är den inbäddade enheten under den här perioden sårbar för ändringar i alla volymer. Dessa volymer omfattar delade mappar.

Configuration Manager låser datorn under den här perioden så att endast lokala administratörer kan logga in. När det är möjligt bör du vidta andra säkerhetsåtgärder för att skydda datorn. Aktivera till exempel begränsningar för brandväggen.

Om du använder underhållsperioder för att spara ändringar ska du planera dessa fönster noggrant. Minimera tiden som skrivfilter inaktiveras, men gör dem tillräckligt långa för att programinstallationer och omstarter ska kunna slutföras.

Använd den senaste klientversionen med programuppdateringsbaserad klientinstallation

Om du använder programuppdateringsbaserad klientinstallation och installerar en senare version av klienten på platsen uppdaterar du den publicerade programuppdateringen. Sedan får klienterna den senaste versionen från programuppdateringsplatsen.

När du uppdaterar platsen uppdateras inte programuppdateringen för klientdistributionen som publiceras till programuppdateringsplatsen automatiskt. Publicera om Configuration Manager-klienten till programuppdateringsplatsen och uppdatera versionsnumret.

Mer information finns i Så här installerar du Configuration Manager klienter med hjälp av programuppdateringsbaserad installation.

Pausa endast BitLocker PIN-post på betrodda enheter och enheter med begränsad åtkomst

Konfigurera endast klientinställningen till Pausa BitLocker PIN-post vid omstart till Alltid för datorer som du litar på och som har begränsad fysisk åtkomst.

När du ställer in den här klientinställningen på Alltid kan Configuration Manager slutföra installationen av programvara. Det här beteendet hjälper dig att installera viktiga programuppdateringar och återuppta tjänster. Om en angripare fångar upp omstartsprocessen kan de ta kontroll över datorn. Använd endast den här inställningen när du litar på datorn och när fysisk åtkomst till datorn är begränsad. Den här inställningen kan till exempel vara lämplig för servrar i ett datacenter.

Mer information om den här klientinställningen finns i Om klientinställningar.

Kringgå inte PowerShell-körningsprincipen

Om du konfigurerar Configuration Manager-klientinställningen för PowerShell-körningsprincipen att kringgå tillåter Windows att osignerade PowerShell-skript körs. Det här beteendet kan göra att skadlig kod kan köras på klientdatorer. När din organisation behöver det här alternativet använder du en anpassad klientinställning. Tilldela den endast till de klientdatorer som måste köra osignerade PowerShell-skript.

Mer information om den här klientinställningen finns i Om klientinställningar.

Säkerhetsvägledning för mobila enheter

Installera registreringsproxyplatsen i ett perimeternätverk och registreringsplatsen i intranätet

För Internetbaserade mobila enheter som du registrerar med Configuration Manager installerar du registreringsproxyplatsen i ett perimeternätverk och registreringsplatsen i intranätet. Den här rollseparationen hjälper till att skydda registreringsplatsen från angrepp. Om en angripare komprometterar registreringsplatsen kan de hämta certifikat för autentisering. De kan också stjäla autentiseringsuppgifterna för användare som registrerar sina mobila enheter.

Konfigurera lösenordsinställningarna för att skydda mobila enheter från obehörig åtkomst

För mobila enheter som har registrerats av Configuration Manager: Använd ett konfigurationsobjekt för mobila enheter för att konfigurera lösenordskomplexiteten som PIN-kod. Ange minst standardlängden för lösenord.

För mobila enheter som inte har Configuration Manager-klienten installerad men som hanteras av Exchange Server-anslutningsappen: Konfigurera lösenordsinställningarna för Exchange Server-anslutningsappen så att lösenordskomplexiteten är PIN-koden. Ange minst standardlängden för lösenord.

Tillåt endast att program körs som är signerade av företag som du litar på

Förhindra manipulering av inventeringsinformation och statusinformation genom att tillåta att program endast körs när de har signerats av företag som du litar på. Tillåt inte att enheter installerar osignerade filer.

För mobila enheter som har registrerats av Configuration Manager: Använd ett konfigurationsobjekt för mobila enheter för att konfigurera säkerhetsinställningen Osignerade program som Förbjuden. Konfigurera osignerade filinstallationer som en betrodd källa.

För mobila enheter som inte har Configuration Manager-klienten installerad men som hanteras av Exchange Server-anslutningsappen: Konfigurera programinställningarna för Exchange Server-anslutningsappen, så att osignerade filinstallationer och osignerade program är förbjudna.

Lås mobila enheter när de inte används

Förhindra utökade privilegier genom att låsa den mobila enheten när den inte används.

För mobila enheter som har registrerats av Configuration Manager: Använd ett konfigurationsobjekt för mobila enheter för att konfigurera lösenordsinställningen Inaktivitetstid i minuter innan den mobila enheten låses.

För mobila enheter som inte har Configuration Manager-klienten installerad men som hanteras av Exchange Server-anslutningsappen: Konfigurera lösenordsinställningarna för Exchange Server-anslutningsappen för att ange inaktivitetstid i minuter innan den mobila enheten låses.

Begränsa de användare som kan registrera sina mobila enheter

Förhindra utökade privilegier genom att begränsa de användare som kan registrera sina mobila enheter. Använd en anpassad klientinställning i stället för standardklientinställningar för att endast tillåta behöriga användare att registrera sina mobila enheter.

Vägledning för mappning mellan användare och enheter för mobila enheter

Distribuera inte program till användare som har mobila enheter registrerade av Configuration Manager i följande scenarier:

  • Den mobila enheten används av mer än en person.

  • Enheten registreras av en administratör för en användares räkning.

  • Enheten överförs till en annan person utan att gå i pension och sedan omregistreras enheten.

Enhetsregistrering skapar en mappningsrelation mellan användare och enhet. Den här relationen mappar användaren som gör registreringen till den mobila enheten. Om en annan användare använder den mobila enheten kan de köra de program som distribuerats till den ursprungliga användaren, vilket kan leda till utökade privilegier. På samma sätt, om en administratör registrerar den mobila enheten för en användare, installeras inte program som distribueras till användaren på den mobila enheten. I stället kan program som distribueras till administratören installeras.

Skydda anslutningen mellan Configuration Manager-platsservern och Exchange Server

Om Exchange Server är lokal använder du IPsec. Värdbaserad Exchange skyddar automatiskt anslutningen med HTTPS.

Använd principen om lägsta behörigheter för Exchange-anslutningsappen

En lista över de minsta cmdletar som Exchange Server anslutningsappen kräver finns i Hantera mobila enheter med Configuration Manager och Exchange.

Säkerhetsvägledning för macOS-enheter

Lagra och komma åt klientkällans filer från en skyddad plats

Innan du installerar eller registrerar klienten på en macOS-dator kontrollerar Configuration Manager inte om dessa klientkällans filer har manipulerats. Ladda ned dessa filer från en tillförlitlig källa. Lagra och komma åt dem på ett säkert sätt.

Övervaka och spåra giltighetsperioden för certifikatet

Övervaka och spåra giltighetsperioden för de certifikat som du använder för macOS-datorer. Configuration Manager stöder inte automatisk förnyelse av det här certifikatet eller varnar dig om att certifikatet håller på att upphöra att gälla. En typisk giltighetsperiod är ett år.

Mer information om hur du förnyar certifikatet finns i Förnya macOS-klientcertifikatet manuellt.

Konfigurera endast det betrodda rotcertifikatet för SSL

För att skydda mot utökade privilegier konfigurerar du certifikatet för den betrodda rotcertifikatutfärdare så att den bara är betrodd för SSL-protokollet.

När du registrerar Mac-datorer installeras ett användarcertifikat för att hantera Configuration Manager-klienten automatiskt. Det här användarcertifikatet innehåller de betrodda rotcertifikaten i sin förtroendekedja. Använd följande procedur om du vill begränsa det här rotcertifikatets förtroende till SSL-protokollet:

  1. Öppna ett terminalfönster på Mac-datorn.

  2. Ange följande kommando: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. I dialogrutan Åtkomst till nyckelring går du till avsnittet Nyckelringar och väljer System. I avsnittet Kategori väljer du Certifikat.

  4. Leta upp och öppna rotcertifikatutfärdarcertifikatet för Mac-klientcertifikatet.

  5. I dialogrutan för rotcertifikatutfärdarcertifikatet expanderar du avsnittet Förtroende och gör sedan följande ändringar:

    1. När du använder det här certifikatet: Ändra inställningen Always Trust till Använd systemstandarder.

    2. Secure Sockets Layer (SSL): Ändra inget värde som anges till Always Trust.

  6. Stäng dialogrutan. När du uppmanas till det anger du administratörens lösenord och väljer sedan Uppdatera inställningar.

När du har slutfört den här proceduren är rotcertifikatet bara betrott för att verifiera SSL-protokollet. Andra protokoll som nu inte är betrodda med det här rotcertifikatet är Säker e-post (S/MIME), Utökningsbar autentisering (EAP) eller kodsignering.

Obs!

Använd även den här proceduren om du har installerat klientcertifikatet oberoende av Configuration Manager.

Säkerhetsproblem för klienter

Följande säkerhetsproblem har ingen riskreducering:

Statusmeddelanden autentiseras inte

Hanteringsplatsen autentiserar inte statusmeddelanden. När en hanteringsplats accepterar HTTP-klientanslutningar kan alla enheter skicka statusmeddelanden till hanteringsplatsen. Om hanteringsplatsen endast accepterar HTTPS-klientanslutningar måste en enhet ha ett giltigt certifikat för klientautentisering, men kan även skicka alla statusmeddelanden. Hanteringsplatsen tar bort alla ogiltiga statusmeddelanden som tas emot från en klient.

Det finns några potentiella attacker mot den här sårbarheten:

  • En angripare kan skicka ett falskt statusmeddelande för att få medlemskap i en samling som baseras på statusmeddelandefrågor.
  • Alla klienter kan starta en denial of service mot hanteringsplatsen genom att översvämma den med statusmeddelanden.
  • Om statusmeddelanden utlöser åtgärder i statusmeddelandefilterregler kan en angripare utlösa filterregeln för statusmeddelandet.
  • En angripare kan skicka statusmeddelande som skulle göra rapporteringsinformationen felaktig.

Principer kan omdirigeras till icke-målklienter

Det finns flera metoder som angripare kan använda för att göra en princip riktad till en klient som gäller för en helt annan klient. En angripare på en betrodd klient kan till exempel skicka falsk inventerings- eller identifieringsinformation för att lägga till datorn i en samling som den inte ska tillhöra. Klienten tar sedan emot alla distributioner till samlingen.

Det finns kontroller för att förhindra att angripare ändrar principen direkt. Angripare kan dock ta en befintlig princip som formaterar om och distribuerar om ett operativsystem och skickar det till en annan dator. Den här omdirigerade principen kan skapa en denial of service. Dessa typer av attacker skulle kräva exakt tidsinställning och omfattande kunskap om Configuration Manager infrastruktur.

Klientloggar tillåter användaråtkomst

Alla klientloggfiler tillåter gruppen Användare med läsåtkomst och den särskilda interaktiva användaren med åtkomst till skrivdata. Om du aktiverar utförlig loggning kan angripare läsa loggfilerna för att söka efter information om efterlevnad eller systemsårbarheter. Processer som programvara som klienten installerar i en användares kontext måste skriva till loggar med ett användarkonto med låg behörighet. Det här beteendet innebär att en angripare också kan skriva till loggarna med ett konto med låg behörighet.

Den allvarligaste risken är att en angripare kan ta bort information i loggfilerna. En administratör kan behöva den här informationen för granskning och intrångsidentifiering.

En dator kan användas för att hämta ett certifikat som är utformat för registrering av mobila enheter

När Configuration Manager bearbetar en registreringsbegäran kan den inte verifiera att begäran kommer från en mobil enhet i stället för från en dator. Om begäran kommer från en dator kan den installera ett PKI-certifikat som sedan tillåter att den registreras med Configuration Manager.

För att förhindra utökade privilegier i det här scenariot kan du bara tillåta att betrodda användare registrerar sina mobila enheter. Övervaka noggrant enhetsregistreringsaktiviteter på webbplatsen.

En blockerad klient kan fortfarande skicka meddelanden till hanteringsplatsen

När du blockerar en klient som du inte längre litar på, men den upprättade en nätverksanslutning för klientmeddelanden, kopplar Configuration Manager inte från sessionen. Den blockerade klienten kan fortsätta att skicka paket till sin hanteringsplats tills klienten kopplas från nätverket. Dessa paket är bara små, keep-alive-paket. Den här klienten kan inte hanteras av Configuration Manager förrän den har avblockerats.

Automatisk klientuppgradering verifierar inte hanteringsplatsen

När du använder automatisk klientuppgradering kan klienten dirigeras till en hanteringsplats för att ladda ned klientkällans filer. I det här scenariot verifierar klienten inte hanteringsplatsen som en betrodd källa.

När användarna först registrerar macOS-datorer är de i riskzonen för DNS-förfalskning

När macOS-datorn ansluter till registreringsproxyplatsen under registreringen är det osannolikt att macOS-datorn redan har det betrodda rotcertifikatutfärdarcertifikatet. I det här läget litar inte macOS-datorn på servern och användaren uppmanas att fortsätta. Om en falsk DNS-server löser det fullständigt kvalificerade domännamnet (FQDN) för registreringsproxyplatsen kan den dirigera macOS-datorn till en falsk registreringsproxyplats för att installera certifikat från en ej betrodd källa. För att minska den här risken följer du DNS-vägledningen för att undvika förfalskning i din miljö.

macOS-registrering begränsar inte certifikatbegäranden

Användare kan omregistrera sina macOS-datorer varje gång de begär ett nytt klientcertifikat. Configuration Manager söker inte efter flera begäranden eller begränsar antalet certifikat som begärs från en enda dator. En obehörig användare kan köra ett skript som upprepar begäran om registrering på kommandoraden. Den här attacken kan orsaka en överbelastningsattack i nätverket eller på den utfärdande certifikatutfärdare (CA). För att minska den här risken bör du noggrant övervaka den utfärdande certifikatutfärdaren för den här typen av misstänkt beteende. Blockera omedelbart från Configuration Manager-hierarkin alla datorer som visar det här beteendemönstret.

En rensningsbekräftelse verifierar inte att enheten har rensats

När du startar en rensningsåtgärd för en mobil enhet och Configuration Manager bekräftar rensningen är verifieringen att Configuration Manager skickat meddelandet. Den verifierar inte att enheten har agerat på begäran.

För mobila enheter som hanteras av Exchange Server-anslutningsappen verifierar en rensningsbekräftelse att kommandot togs emot av Exchange, inte av enheten.

Om du använder alternativen för att checka in ändringar på Windows Embedded-enheter kan konton vara utelåst tidigare än förväntat

Om Windows Embedded-enheten kör en tidigare version av operativsystemet än Windows 7 och en användare försöker logga in medan skrivfiltren inaktiveras av Configuration Manager tillåter Windows bara hälften av det konfigurerade antalet felaktiga försök innan kontot är utelåst.

Du kan till exempel konfigurera domänprincipen för tröskelvärdet för kontoutelåsning till sex försök. En användare skriver in sitt lösenord på fel sätt tre gånger och kontot är utelåst. Det här beteendet skapar effektivt en denial of service. Om användarna måste logga in på inbäddade enheter i det här scenariot bör du varna dem om risken för ett reducerat tröskelvärde för utelåsning.

Sekretessinformation för klienter

När du distribuerar Configuration Manager-klienten aktiverar du klientinställningar för Configuration Manager funktioner. De inställningar som du använder för att konfigurera funktionerna kan gälla för alla klienter i Configuration Manager-hierarkin. Det här beteendet är detsamma oavsett om de är direkt anslutna till det interna nätverket, anslutna via en fjärrsession eller anslutna till Internet.

Klientinformation lagras i Configuration Manager platsdatabasen i din SQL Server och skickas inte till Microsoft. Informationen sparas i databasen tills den tas bort av platsunderhållsaktiviteten Ta bort föråldrade identifieringsdata var 90:e dag. Du kan konfigurera borttagningsintervallet.

Vissa sammanfattade eller aggregerade diagnostik- och användningsdata skickas till Microsoft. Mer information finns i Diagnostik och användningsdata.

Du kan läsa mer om Microsofts datainsamling och användning i Microsofts sekretesspolicy.

Klientstatus

Configuration Manager övervakar aktiviteten för klienter. Den utvärderar regelbundet Configuration Manager-klienten och kan åtgärda problem med klienten och dess beroenden. Klientstatus är aktiverat som standard. Den använder mått på serversidan för klientaktivitetskontrollerna. Klientstatus använder åtgärder på klientsidan för självkontroller, reparation och för att skicka information om klientstatus till platsen. Klienten kör självkontrollerna enligt ett schema som du konfigurerar. Klienten skickar resultatet av kontrollerna till den Configuration Manager platsen. Den här informationen krypteras under överföringen.

Information om klientstatus lagras i Configuration Manager-databasen i din SQL Server och skickas inte till Microsoft. Informationen lagras inte i krypterat format i platsdatabasen. Den här informationen sparas i databasen tills den tas bort enligt det värde som konfigurerats för inställningen Behåll klientstatushistorik för följande antal dagar . Standardvärdet för den här inställningen är var 31:e dag.

Sekretessinformation för Exchange Server Connector

Exchange Server Connector hittar och hanterar enheter som ansluter till en lokal eller värdbaserad Exchange Server med hjälp av ActiveSync-protokollet. Posterna som hittas av Exchange Server Connector lagras i Configuration Manager-databasen i SQL Server. Informationen samlas in från Exchange Server. Den innehåller ingen ytterligare information från vad de mobila enheterna skickar till Exchange Server.

Informationen om mobila enheter skickas inte till Microsoft. Informationen om mobila enheter lagras i Configuration Manager-databasen i din SQL Server. Informationen sparas i databasen tills den tas bort av platsunderhållsaktiviteten Ta bort föråldrade identifieringsdata var 90:e dag. Du konfigurerar borttagningsintervallet.

Du kan läsa mer om Microsofts datainsamling och användning i Microsofts sekretesspolicy.