分享方式:


Configuration Manager的安全性基本概念

適用於:Configuration Manager (目前的分支)

本文摘要說明任何Configuration Manager環境的下列基本安全性元件:

安全性層級

Configuration Manager的安全性包含下列層級:

Windows OS 和網路安全性

第一層是由作業系統和網路的 Windows 安全性功能所提供。 此層包含下列元件:

  • 在Configuration Manager元件之間傳輸檔案的檔案共用。

  • 存取控制清單 (ACL) ,以協助保護檔案和登錄機碼的安全。

  • 網際網路通訊協定安全性 (IPsec) ,以協助保護通訊安全。

  • 設定安全性原則的群組原則。

  • 分散式元件物件模型 (DCOM) 分散式應用程式的許可權,例如 Configuration Manager 主控台。

  • Active Directory 網域服務儲存安全性主體。

  • Windows 帳戶安全性,包括Configuration Manager在安裝期間建立的一些群組。

網路基礎結構

網路安全性元件,例如防火牆和入侵偵測,有助於為整個環境提供防禦。 由業界標準公開金鑰基礎結構 (PKI) 實作所簽發的憑證,有助於提供驗證、簽署和加密。

Configuration Manager安全性控制

根據預設,只有本機系統管理員具有Configuration Manager主控台在您安裝它之電腦上所需的檔案和登錄機碼許可權。

SMS 提供者

下一層安全性是以 SMS 提供者的存取權為基礎。 SMS 提供者是Configuration Manager元件,可授與使用者查詢月臺資料庫以取得資訊的存取權。 SMS 提供者主要會透過 Windows Management Instrumentation (WMI) 公開存取權,同時也公開稱為 系統管理服務的 REST API。

根據預設,提供者的存取權僅限於本機 SMS Admins 群組的成員。 此群組一開始只包含安裝Configuration Manager的使用者。 若要將其他帳戶許可權授與通用訊息模型 (CIM) 存放庫和 SMS 提供者,請將其他帳戶新增至 SMS Admins 群組。

您可以指定最小驗證層級,讓系統管理員存取Configuration Manager網站。 此功能會強制系統管理員以必要的層級登入 Windows。 如需詳細資訊,請參閱 規劃 SMS 提供者

月臺資料庫許可權

最後一層安全性是以月臺資料庫中物件的許可權為基礎。 根據預設,本機系統帳戶和您用來安裝Configuration Manager的使用者帳戶可以管理月臺資料庫中的所有物件。 使用角色型系統管理,在 Configuration Manager 主控台中授與及限制其他系統管理使用者的許可權

角色型管理

Configuration Manager使用角色型系統管理來協助保護集合、部署和網站等物件。 此系統管理模型會針對所有月臺和網站設定,集中定義和管理整個階層的安全性存取設定。

系統管理員會將 安全性角色 指派給系統管理使用者和群組許可權。 這些許可權會連線到不同的Configuration Manager物件類型,例如建立或變更用戶端設定。

安全性範圍 包含系統管理使用者負責管理之物件的特定實例。 例如,安裝 Configuration Manager 主控台的應用程式。

安全性角色、安全性範圍和集合的組合會定義系統管理使用者可以檢視和管理的物件。 Configuration Manager會針對一般管理工作安裝一些預設安全性角色。 建立您自己的安全性角色,以支援您的特定商務需求。

如需詳細資訊,請參閱 角色型系統管理的基本概念

保護用戶端端點

Configuration Manager使用自我簽署或 PKI 憑證或Microsoft Entra權杖來保護與月臺系統角色的用戶端通訊。 某些案例需要使用 PKI 憑證。 例如,以 網際網路為基礎的用戶端管理,以及 行動裝置用戶端

您可以設定用戶端連線以進行 HTTPS 或 HTTP 用戶端通訊的月臺系統角色。 用戶端電腦一律會使用最安全的方法進行通訊。 如果您有允許 HTTP 通訊的月臺系統角色,用戶端電腦只會回復為使用較不安全的通訊方法。

重要事項

從 Configuration Manager 2103 版開始,允許 HTTP 用戶端通訊的網站已被取代。 設定 HTTPS 或增強式 HTTP 的網站。 如需詳細資訊,請參閱 啟用僅限 HTTPS 或增強 HTTP 的網站

如需詳細資訊,請 參閱規劃安全性

Configuration Manager帳戶和群組

Configuration Manager使用本機系統帳戶進行大部分的月臺作業。 某些月臺作業允許使用服務帳戶,而不是使用月臺伺服器的網域電腦帳戶。 某些管理工作可能需要您建立及維護其他帳戶。 例如,在 OS 部署工作順序期間加入網域。

Configuration Manager會在安裝期間建立數個預設群組和SQL Server角色。 您可能必須手動將電腦或使用者帳戶新增至預設群組和SQL Server角色。

如需詳細資訊,請參閱Configuration Manager中使用的帳戶

隱私權

實作Configuration Manager之前,請考慮您的隱私權需求。 雖然企業管理產品提供許多優點,因為它們可以有效地管理許多用戶端,但此軟體可能會影響組織中使用者的隱私權。 Configuration Manager包含許多用來收集資料和監視裝置的工具。 某些工具可能會在您的組織中引發隱私權考慮。

例如,當您安裝Configuration Manager用戶端時,預設會啟用許多管理設定。 此設定會導致用戶端軟體將資訊傳送至Configuration Manager月臺。 月臺會將用戶端資訊儲存在月臺資料庫中。 用戶端資訊不會直接傳送給 Microsoft。 如需詳細資訊,請參閱 診斷和使用方式資料

後續步驟

以角色為基礎的系統管理基本概念

規劃安全性