Konfigurera säkerhet i Configuration Manager

  • Artikel

Gäller för: Configuration Manager (aktuell gren)

Använd informationen i den här artikeln för att konfigurera säkerhetsrelaterade alternativ för Configuration Manager. Innan du börjar kontrollerar du att du har en säkerhetsplan.

Viktigt

Från och med Configuration Manager version 2103 är webbplatser som tillåter HTTP-klientkommunikation inaktuella. Konfigurera webbplatsen för HTTPS eller utökad HTTP. Mer information finns i Aktivera webbplatsen för endast HTTPS eller utökad HTTP.

PKI-klientcertifikat

Om du vill använda PKI-certifikat (Public Key Infrastructure) för klientanslutningar till platssystem som använder IIS (Internet Information Services) använder du följande procedur för att konfigurera inställningar för dessa certifikat.

  1. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Platskonfiguration och väljer noden Platser. Välj den primära plats som ska konfigureras.

  2. I menyfliksområdet väljer du Egenskaper. Växla sedan till fliken Kommunikationssäkerhet .

  3. Välj inställningarna för platssystem som använder IIS.

    • Endast HTTPS: Klienter som är tilldelade till platsen använder alltid ett klient-PKI-certifikat när de ansluter till platssystem som använder IIS. Till exempel en hanteringsplats och distributionsplats.

    • HTTPS eller HTTP: Du kräver inte att klienter använder PKI-certifikat.

    • Använd Configuration Manager-genererade certifikat för HTTP-platssystem: Mer information om den här inställningen finns i Förbättrad HTTP.

  4. Välj inställningarna för klientdatorer.

    • Använd klient-PKI-certifikat (klientautentiseringsfunktion) när det är tillgängligt: Om du väljer inställningen HTTPS eller HTTP-platsserver väljer du det här alternativet för att använda ett klient-PKI-certifikat för HTTP-anslutningar. Klienten använder det här certifikatet i stället för ett självsignerat certifikat för att autentisera sig till platssystem. Om du väljer endast HTTPS väljs det här alternativet automatiskt.

      När mer än ett giltigt PKI-klientcertifikat är tillgängligt på en klient väljer du Ändra för att konfigurera metoderna för val av klientcertifikat. Mer information om metoden för val av klientcertifikat finns i Planera för val av PKI-klientcertifikat.

    • Klienter kontrollerar listan över återkallade certifikat (CRL) för platssystem: Aktivera den här inställningen för klienter för att kontrollera organisationens CRL för återkallade certifikat. Mer information om CRL-kontroll för klienter finns i Planera för återkallning av PKI-certifikat.

  5. Om du vill importera, visa och ta bort certifikaten för betrodda rotcertifikatutfärdare väljer du Ange. Mer information finns i Planera för PKI-betrodda rotcertifikat och listan över certifikatutfärdare.

Upprepa den här proceduren för alla primära platser i hierarkin.

Hantera den betrodda rotnyckeln

Använd dessa procedurer för att företablera och verifiera den betrodda rotnyckeln för en Configuration Manager klient.

Obs!

Om klienter kan hämta den betrodda rotnyckeln från Active Directory Domain Services eller push-överföring behöver du inte företablera den.

När klienter använder HTTPS-kommunikation till hanteringsplatser behöver du inte företablera den betrodda rotnyckeln. De upprättar förtroende av PKI-certifikaten.

Mer information om den betrodda rotnyckeln finns i Planera för säkerhet.

Företablera en klient med den betrodda rotnyckeln med hjälp av en fil

  1. På platsservern bläddrar du till installationskatalogen för Configuration Manager. Öppna följande fil i en textredigerare i undermappen \bin\<platform> : mobileclient.tcf

  2. Leta upp posten , SMSPublicRootKey. Kopiera värdet från den raden och stäng filen utan att spara några ändringar.

  3. Skapa en ny textfil och klistra in nyckelvärdet som du kopierade från filen mobileclient.tcf.

  4. Spara filen på en plats där alla datorer kan komma åt den, men där filen är säker från manipulering.

  5. Installera klienten med valfri installationsmetod som accepterar client.msi egenskaper. Ange följande egenskap: SMSROOTKEYPATH=<full path and file name>

    Viktigt

    När du anger den betrodda rotnyckeln under klientinstallationen anger du även platskoden. Använd följande egenskap client.msi: SMSSITECODE=<site code>

Företablera en klient med den betrodda rotnyckeln utan att använda en fil

  1. På platsservern bläddrar du till installationskatalogen för Configuration Manager. Öppna följande fil i en textredigerare i undermappen \bin\<platform> : mobileclient.tcf

  2. Leta upp posten , SMSPublicRootKey. Kopiera värdet från den raden och stäng filen utan att spara några ändringar.

  3. Installera klienten med valfri installationsmetod som accepterar client.msi egenskaper. Ange följande client.msi egenskap: SMSPublicRootKey=<key> var <key> är strängen som du kopierade från mobileclient.tcf.

    Viktigt

    När du anger den betrodda rotnyckeln under klientinstallationen anger du även platskoden. Använd följande egenskap client.msi: SMSSITECODE=<site code>

Verifiera den betrodda rotnyckeln på en klient

  1. Öppna en Windows PowerShell-konsol som administratör.

  2. Kör följande kommando:

    (Get-WmiObject -Namespace root\ccm\locationservices -Class TrustedRootKey).TrustedRootKey

Den returnerade strängen är den betrodda rotnyckeln. Kontrollera att det matchar VÄRDET SMSPublicRootKey i filen mobileclient.tcf på platsservern.

Ta bort eller ersätt den betrodda rotnyckeln

Ta bort den betrodda rotnyckeln från en klient med hjälp av egenskapen client.msi, RESETKEYINFORMATION = TRUE.

Om du vill ersätta den betrodda rotnyckeln installerar du om klienten tillsammans med den nya betrodda rotnyckeln. Använd till exempel klient-push eller ange client.msi egenskapen SMSPublicRootKey.

Mer information om dessa installationsegenskaper finns i Om klientinstallationsparametrar och egenskaper.

Signering och kryptering

Konfigurera de säkraste signerings- och krypteringsinställningarna för platssystem som alla klienter på platsen kan stödja. De här inställningarna är särskilt viktiga när du låter klienter kommunicera med platssystem med hjälp av självsignerade certifikat via HTTP.

  1. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Platskonfiguration och väljer noden Platser. Välj den primära plats som ska konfigureras.

  2. I menyfliksområdet väljer du Egenskaper och växlar sedan till fliken Signering och kryptering .

    Den här fliken är endast tillgänglig på en primär plats. Om du inte ser fliken Signering och kryptering kontrollerar du att du inte är ansluten till en central administrationsplats eller en sekundär plats.

  3. Konfigurera signerings- och krypteringsalternativen för klienter för att kommunicera med platsen.

    • Kräv signering: Klienter signerar data innan de skickas till hanteringsplatsen.

    • Kräv SHA-256: Klienter använder SHA-256-algoritmen vid signering av data.

      Varning

      Kräv inte SHA-256 utan att först bekräfta att alla klienter stöder den här hashalgoritmen. Dessa klienter innehåller sådana som kan tilldelas platsen i framtiden.

      Om du väljer det här alternativet, och klienter med självsignerade certifikat inte stöder SHA-256, avvisar Configuration Manager dem. Komponenten SMS_MP_CONTROL_MANAGER loggar meddelande-ID 5443.

    • Använd kryptering: Klienter krypterar klientinventeringsdata och statusmeddelanden innan de skickas till hanteringsplatsen.

Upprepa den här proceduren för alla primära platser i hierarkin.

Rollbaserad administration

Rollbaserad administration kombinerar säkerhetsroller, säkerhetsomfattningar och tilldelade samlingar för att definiera det administrativa omfånget för varje administrativ användare. Ett omfång omfattar de objekt som en användare kan visa i konsolen och de uppgifter som är relaterade till de objekt som de har behörighet att utföra. Rollbaserade administrationskonfigurationer tillämpas på varje plats i en hierarki.

Mer information finns i Konfigurera rollbaserad administration. Den här artikeln beskriver följande åtgärder:

  • Skapa anpassade säkerhetsroller

  • Konfigurera säkerhetsroller

  • Konfigurera säkerhetsomfattningar för ett objekt

  • Konfigurera samlingar för att hantera säkerhet

  • Skapa en ny administrativ användare

  • Ändra den administrativa användarens administrativa omfång

Viktigt

Ditt eget administrativa omfång definierar de objekt och inställningar som du kan tilldela när du konfigurerar rollbaserad administration för en annan administrativ användare. Information om planering för rollbaserad administration finns i Grunderna för rollbaserad administration.

Hantera konton

Configuration Manager stöder Windows-konton för många olika uppgifter och användningsområden. Om du vill visa konton som har konfigurerats för olika uppgifter och hantera lösenordet som Configuration Manager använder för varje konto använder du följande procedur:

  1. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Säkerhet och väljer sedan noden Konton.

  2. Om du vill ändra lösenordet för ett konto väljer du kontot i listan. Välj sedan Egenskaper i menyfliksområdet.

  3. Välj Ange för att öppna dialogrutan Windows-användarkonto . Ange det nya lösenordet för Configuration Manager som ska användas för det här kontot.

    Obs!

    Lösenordet som du anger måste matcha kontots lösenord i Active Directory.

Mer information finns i Konton som används i Configuration Manager.

Microsoft Entra ID

Integrera Configuration Manager med Microsoft Entra-ID för att förenkla och molnaktivera din miljö. Gör det möjligt för webbplatsen och klienterna att autentisera med hjälp av Microsoft Entra-ID.

Mer information finns i Cloud Management-tjänsten i Konfigurera Azure-tjänster.

SMS-providerautentisering

Du kan ange den lägsta autentiseringsnivån för administratörer för åtkomst till Configuration Manager webbplatser. Den här funktionen tvingar administratörer att logga in på Windows med den nivå som krävs innan de kan komma åt Configuration Manager. Mer information finns i Planera för SMS-providerautentisering.

Viktigt

Den här konfigurationen är en hierarkiomfattande inställning. Innan du ändrar den här inställningen kontrollerar du att alla Configuration Manager administratörer kan logga in på Windows med den autentiseringsnivå som krävs.

Använd följande steg för att konfigurera den här inställningen:

  1. Logga först in på Windows med den avsedda autentiseringsnivån.

  2. I Configuration Manager-konsolen går du till arbetsytan Administration, expanderar Platskonfiguration och väljer noden Platser.

  3. Välj Hierarkiinställningar i menyfliksområdet.

  4. Växla till fliken Autentisering . Välj önskad autentiseringsnivå och välj sedan OK.

    • Välj endast Lägg till om du vill exkludera specifika användare eller grupper. Mer information finns i Undantag.

Undantag

På fliken Autentisering i Hierarkiinställningar kan du även exkludera vissa användare eller grupper. Använd det här alternativet sparsamt. Till exempel när specifika användare behöver åtkomst till Configuration Manager-konsolen, men inte kan autentisera till Windows på den nivå som krävs. Det kan också vara nödvändigt för automatisering eller tjänster som körs inom ramen för ett systemkonto.

Nästa steg