規劃 Configuration Manager 中的安全性

適用於：Configuration Manager (目前的分支)

本文說明在使用Configuration Manager實作規劃安全性時，要考慮的下列概念：

• 自我簽署和 PKI) (憑證

• 受信任的根金鑰

• 簽署和加密

• 角色型管理

• Microsoft Entra ID

• SMS 提供者驗證

開始之前，請確定您已熟悉Configuration Manager中的安全性基本概念。

憑證

Configuration Manager使用自我簽署和公開金鑰基礎結構 (PKI) 數位憑證的組合。 盡可能使用 PKI 憑證。 某些案例需要 PKI 憑證。 當 PKI 憑證無法使用時，月臺會自動產生自我簽署憑證。 某些案例一律會使用自我簽署憑證。

如需詳細資訊，請 參閱規劃憑證。

受信任的根金鑰

Configuration Manager受信任的根金鑰提供機制，讓Configuration Manager用戶端確認月臺系統屬於其階層。 每個月臺伺服器都會產生月臺交換金鑰，以與其他月臺通訊。 階層中最上層月臺的月臺交換金鑰稱為受信任的根金鑰。

Configuration Manager中受根信任金鑰的功能類似于公開金鑰基礎結構中的根憑證。 受根信任金鑰的私密金鑰所簽署的任何專案，在階層中會進一步受到信任。 用戶端會將月臺受根信任金鑰的複本儲存在 WMI 命名空間中 root\ccm\locationservices 。

例如，月臺會將憑證簽發給管理點，並以受根信任金鑰的私密金鑰進行簽署。 月臺會與用戶端共用其受根信任金鑰的公開金鑰。 然後，用戶端可以區分其階層中的管理點，以及不在其階層中的管理點。

用戶端會使用兩種機制自動取得受根信任金鑰的公用複本：

• 您可以擴充 Configuration Manager 的 Active Directory 架構，並將網站發佈至 Active Directory 網域服務。 然後用戶端會從通用類別目錄伺服器擷取此網站資訊。 如需詳細資訊，請 參閱準備 Active Directory 以進行網站發佈。

• 當您使用用戶端推入安裝方法安裝用戶端時。 如需詳細資訊，請 參閱用戶端推入安裝。

如果用戶端無法使用其中一種機制取得受信任的根金鑰，則會信任與其通訊的第一個管理點所提供的受根信任金鑰。 在此案例中，用戶端可能會被錯誤導向到攻擊者的管理點，而攻擊者會從惡意管理點接收原則。 此動作需要複雜的攻擊者。 此攻擊僅限於用戶端從有效管理點擷取受根信任金鑰之前的短時間。 若要降低攻擊者將用戶端誤導向至 Rogue 管理點的風險，請使用受信任的根金鑰預先布建用戶端。

如需管理受根信任金鑰的詳細資訊和程式，請參閱 設定安全性。

簽署和加密

當您針對所有用戶端通訊使用 PKI 憑證時，您不需要規劃簽署和加密來協助保護用戶端資料通訊。 如果您設定任何執行 IIS 的月臺系統以允許 HTTP 用戶端連線，請決定如何協助保護月臺的用戶端通訊。

重要事項

從 Configuration Manager 2103 版開始，允許 HTTP 用戶端通訊的網站已被取代。 設定 HTTPS 或增強式 HTTP 的網站。 如需詳細資訊，請參閱 啟用僅限 HTTPS 或增強 HTTP 的網站。

若要協助保護用戶端傳送至管理點的資料，您可以要求用戶端簽署資料。 您也可以要求 SHA-256 演算法進行簽署。 此設定更安全，但不需要 SHA-256，除非所有用戶端都支援它。 許多作業系統原本就支援此演算法，但較舊的作業系統可能需要更新或 Hotfix。

雖然簽署有助於防止資料遭到竄改，但加密有助於防止資料洩漏資訊。 您可以為用戶端傳送至月臺管理點的清查資料和狀態訊息啟用加密。 您不需要在用戶端上安裝任何更新，即可支援此選項。 用戶端和管理點需要更多 CPU 使用方式來進行加密和解密。

注意事項

若要加密資料，用戶端會使用管理點加密憑證的公開金鑰。 只有管理點具有對應的私密金鑰，因此只能解密資料。

用戶端會使用管理點的簽署憑證來啟動此憑證，其會使用月臺受信任的根金鑰來啟動程式。 請務必在用戶端上安全地布建受信任的根金鑰。 如需詳細資訊， 請參閱受信任的根金鑰。

如需如何設定簽署和加密設定的詳細資訊，請參閱設定 簽署和加密。

如需用於簽署和加密之密碼編譯演算法的詳細資訊，請參閱 密碼編譯控制項技術參考。

角色型管理

透過Configuration Manager，您可以使用角色型系統管理來保護系統管理使用者使用Configuration Manager所需的存取權。 您也可以保護對所管理物件的存取，例如集合、部署和網站。

透過安全性角色、安全性範圍和集合的組合，您可以隔離符合組織需求的系統管理指派。 它們會一起使用，以定義使用者的 系統管理範圍 。 此系統管理範圍會控制系統管理使用者在Configuration Manager主控台中檢視的物件，並控制使用者在這些物件上擁有的許可權。

如需詳細資訊，請參閱 角色型系統管理的基本概念。

Microsoft Entra ID

Configuration Manager與Microsoft Entra識別碼整合，讓網站和用戶端能夠使用新式驗證。

如需Microsoft Entra識別碼的詳細資訊，請參閱Microsoft Entra檔。

使用Microsoft Entra識別碼將您的網站上線支援下列Configuration Manager案例：

用戶端案例

• 透過雲端管理閘道管理網際網路上的用戶端

• 管理已加入雲端網域的裝置

• 共同管理

• 部署使用者可用的應用程式

• 商務用 Microsoft Store線上應用程式

• 管理Microsoft 365 Apps 企業版

伺服器案例

• 電腦分析

• 租用戶附加

• 端點分析

• Azure Log Analytics

• 社群中樞

• 使用者探索

SMS 提供者驗證

您可以指定最小驗證層級，讓系統管理員存取Configuration Manager網站。 此功能會強制系統管理員以必要的層級登入 Windows，才能存取Configuration Manager。 它適用于存取 SMS 提供者的所有元件。 例如，Configuration Manager主控台、SDK 方法和Windows PowerShell Cmdlet。

Configuration Manager支援下列驗證層級：

• Windows 驗證：需要使用 Active Directory 網域認證進行驗證。 此設定是先前的行為，以及目前的預設設定。

• 憑證驗證：需要使用受信任 PKI 憑證授權單位單位所簽發的有效憑證進行驗證。 您未在Configuration Manager中設定此憑證。 Configuration Manager需要系統管理員使用 PKI 登入 Windows。

• Windows Hello 企業版驗證：需要使用系結至裝置並使用生物特徵辨識或 PIN 的強式雙因素驗證進行驗證。 如需詳細資訊，請參閱 Windows Hello 企業版。

  重要事項

  當您選取此設定時，SMS 提供者和管理服務會要求使用者的驗證權杖包含來自Windows Hello 企業版的 MFA) 宣告 (多重要素驗證。 換句話說，主控台、SDK、PowerShell 或系統管理服務的使用者必須使用其Windows Hello 企業版 PIN 或生物特徵辨識向 Windows 進行驗證。 否則，網站會拒絕使用者的動作。

  此行為適用于Windows Hello 企業版，而不是Windows Hello。

如需如何設定此設定的詳細資訊，請參閱設定 SMS 提供者驗證。

後續步驟

• Configuration Manager中的憑證

• 規劃 PKI 憑證

• 設定安全性

• 密碼編譯控制技術參考