規劃 Configuration Manager 中的安全性

適用於：Configuration Manager (目前的分支)

本文說明在使用 Configuration Manager 實作規劃安全性時，要考慮的下列概念：

• 自我簽署和 PKI) (憑證

• 受信任的根金鑰

• 簽署和加密

• 角色型管理

• Microsoft Entra ID

• SMS 提供者驗證

開始之前，請確定您已熟悉 Configuration Manager 中安全性的基本概念。

憑證

Configuration Manager 會使用自我簽署和公鑰基礎結構的組合， (PKI) 數字證書。 盡可能使用 PKI 憑證。 某些案例需要 PKI 憑證。 當 PKI 憑證無法使用時，月臺會自動產生自我簽署憑證。 某些案例一律會使用自我簽署憑證。

如需詳細資訊，請 參閱規劃憑證。

受信任的根金鑰

Configuration Manager 受信任的根密鑰提供一個機制，讓 Configuration Manager 用戶端確認站台系統屬於其階層。 每個月臺伺服器都會產生月臺交換密鑰，以與其他月台通訊。 階層中最上層月臺的月臺交換金鑰稱為受信任的根密鑰。

Configuration Manager 中受信任根密鑰的功能類似於公鑰基礎結構中的跟證書。 受信任根密鑰的私鑰所簽署的任何專案，在階層中會進一步受到信任。 用戶端會將月臺受信任根密鑰的複本儲存在 WMI 命名空間中 root\ccm\locationservices 。

例如，月臺會將憑證簽發給管理點，並以受信任根密鑰的私鑰進行簽署。 月臺會與用戶端共用其受信任根金鑰的公鑰。 然後，用戶端可以區分其階層中的管理點，以及不在其階層中的管理點。

用戶端會使用兩種機制自動取得受信任根金鑰的公用複本：

• 您可以擴充 Configuration Manager 的 Active Directory 架構，並將月臺發佈至 Active Directory 網域服務。 然後用戶端會從全域編錄伺服器擷取此網站資訊。 如需詳細資訊，請 參閱準備 Active Directory 以進行網站發佈。

• 當您使用用戶端推入安裝方法安裝用戶端時。 如需詳細資訊，請 參閱用戶端推入安裝。

如果客戶端無法使用其中一種機制取得受信任的根密鑰，則會信任與其通訊的第一個管理點所提供的受信任根密鑰。 在此案例中，用戶端可能會被錯誤導向到攻擊者的管理點，而攻擊者會從惡意管理點接收原則。 此動作需要複雜的攻擊者。 此攻擊僅限於用戶端從有效管理點擷取受信任根密鑰之前的短時間。 若要降低攻擊者將客戶端誤導向至 Rogue 管理點的風險，請使用受信任的根密鑰預先佈建用戶端。

如需管理受信任根密鑰的詳細資訊和程式，請參閱 設定安全性。

簽署和加密

當您針對所有客戶端通訊使用 PKI 憑證時，您不需要規劃簽署和加密來協助保護用戶端資料通訊。 如果您設定任何執行 IIS 的站台系統以允許 HTTP 用戶端連線，請決定如何協助保護月臺的客戶端通訊。

重要事項

從 Configuration Manager 2103 版開始，允許 HTTP 用戶端通訊的月臺已被取代。 設定 HTTPS 或增強式 HTTP 的網站。 如需詳細資訊，請參閱 啟用僅限 HTTPS 或增強 HTTP 的網站。

若要協助保護用戶端傳送至管理點的數據，您可以要求用戶端簽署數據。 您也可以要求 SHA-256 演演算法進行簽署。 此設定更安全，但不需要SHA-256，除非所有客戶端都支援它。 許多操作系統原本就支援此演算法，但較舊的操作系統可能需要更新或 Hotfix。

雖然簽署有助於防止數據遭到竄改，但加密有助於防止數據洩漏資訊。 您可以為客戶端傳送至月臺管理點的清查資料和狀態訊息啟用加密。 您不需要在用戶端上安裝任何更新，即可支援此選項。 用戶端和管理點需要更多CPU使用方式來進行加密和解密。

注意事項

若要加密數據，用戶端會使用管理點加密憑證的公鑰。 只有管理點具有對應的私鑰，因此只能解密數據。

用戶端會使用管理點的簽署憑證來啟動此憑證，其會使用月臺受信任的根密鑰來啟動程式。 請務必在用戶端上安全地佈建受信任的根密鑰。 如需詳細資訊， 請參閱受信任的根密鑰。

如需如何設定簽署和加密設定的詳細資訊，請參閱設定 簽署和加密。

如需用於簽署和加密之密碼編譯演算法的詳細資訊，請參閱 密碼編譯控件技術參考。

角色型管理

使用 Configuration Manager 時，您可以使用角色型系統管理來保護系統管理使用者使用 Configuration Manager 所需的存取權。 您也可以保護對所管理物件的存取，例如集合、部署和網站。

透過安全性角色、安全性範圍和集合的組合，您可以隔離符合組織需求的系統管理指派。 它們會一起使用，以定義用戶的 系統管理範圍 。 此系統管理範圍會控制系統管理使用者在 Configuration Manager 控制台中檢視的物件，並控制使用者在這些對象上擁有的許可權。

如需詳細資訊，請參閱 角色型系統管理的基本概念。

Microsoft Entra ID

Configuration Manager 與 Microsoft Entra ID 整合，讓月臺和客戶端能夠使用新式驗證。

如需 Microsoft Entra ID 的詳細資訊，請參閱 Microsoft Entra 檔。

使用 Microsoft Entra ID 將您的月台上線支援下列 Configuration Manager 案例：

用戶端案例

• 透過雲端管理閘道管理因特網上的用戶端

• 管理已加入雲端網域的裝置

• 共同管理

• 部署使用者可用的應用程式

• Microsoft商務用市集在線應用程式

• 管理 Microsoft 365 Apps 企業版

伺服器案例

• 租用戶附加

• 端點分析

• Azure Log Analytics

• 社群中樞

• 使用者探索

SMS 提供者驗證

您可以指定最低驗證層級，讓系統管理員存取 Configuration Manager 月臺。 此功能會強制系統管理員先使用必要層級登入 Windows，才能存取 Configuration Manager。 它適用於存取SMS提供者的所有元件。 例如，Configuration Manager 控制台、SDK 方法和 Windows PowerShell Cmdlet。

Configuration Manager 支援下列驗證層級：

• Windows 驗證：需要使用 Active Directory 網域認證進行驗證。 此設定是先前的行為，以及目前的預設設定。

• 憑證驗證：需要使用受信任 PKI 證書頒發機構單位所簽發的有效憑證進行驗證。 您未在 Configuration Manager 中設定此憑證。 Configuration Manager 需要系統管理員使用 PKI 登入 Windows。

• Windows Hello 企業版驗證：需要使用系結至裝置並使用生物特徵辨識或 PIN 的強式雙因素驗證進行驗證。 如需詳細資訊，請參閱 Windows Hello 企業版。

  重要事項

  當您選取此設定時，SMS 提供者和管理服務會要求使用者的驗證令牌包含多重要素驗證 (Windows Hello 企業版的 MFA) 宣告。 換句話說，控制台、SDK、PowerShell 或系統管理服務的用戶必須使用其 Windows Hello 企業版 PIN 或生物特徵辨識向 Windows 進行驗證。 否則，網站會拒絕用戶的動作。

  此行為適用於 Windows Hello 企業版，而非 Windows Hello。

如需如何設定此設定的詳細資訊，請參閱設定 SMS提供者驗證。

後續步驟

• Configuration Manager 中的憑證

• 規劃 PKI 憑證

• 設定安全性

• 密碼編譯控制技術參考