Pianificazione delle autorizzazioni dei modelli di certificato per i profili certificato in Configuration Manager

Si applica a: Configuration Manager (Current Branch)

Importante

A partire dalla versione 2203, questa funzionalità di accesso alle risorse aziendali non è più supportata. Per altre informazioni, vedere Domande frequenti sulla deprecazione dell'accesso alle risorse.

Le informazioni seguenti consentono di pianificare come configurare le autorizzazioni per i modelli di certificato usati Configuration Manager durante la distribuzione dei profili certificato.

Considerazioni e autorizzazioni di sicurezza predefinite

Le autorizzazioni di sicurezza predefinite necessarie per i modelli di certificato che Configuration Manager useranno per richiedere certificati per utenti e dispositivi sono le seguenti:

  • Leggere e registrare l'account usato dal pool di applicazioni del servizio Registrazione dispositivi di rete

  • Leggere per l'account che esegue la console di Configuration Manager

    Per altre informazioni su queste autorizzazioni di sicurezza, vedere Configurazione dell'infrastruttura dei certificati.

    Quando si usa questa configurazione predefinita, gli utenti e i dispositivi non possono richiedere direttamente i certificati dai modelli di certificato e tutte le richieste devono essere avviate dal servizio Registrazione dispositivi di rete. Si tratta di una restrizione importante, perché questi modelli di certificato devono essere configurati con l'opzione Specifica nella richiesta per l'oggetto del certificato, il che significa che esiste un rischio di rappresentazione se un utente non autorizzato o un dispositivo compromesso richiede un certificato. Nella configurazione predefinita, il servizio Registrazione dispositivi di rete deve avviare tale richiesta. Tuttavia, questo rischio di rappresentazione rimane se il servizio che esegue il servizio Registrazione dispositivi di rete viene compromesso. Per evitare questo rischio, seguire tutte le procedure consigliate per la sicurezza per il servizio Registrazione dispositivi di rete e il computer che esegue questo servizio ruolo.

    Se le autorizzazioni di sicurezza predefinite non soddisfano i requisiti aziendali, è disponibile un'altra opzione per configurare le autorizzazioni di sicurezza nei modelli di certificato: è possibile aggiungere autorizzazioni di lettura e registrazione per utenti e computer.

Aggiunta di autorizzazioni di lettura e registrazione per utenti e computer

L'aggiunta di autorizzazioni di lettura e registrazione per utenti e computer potrebbe essere appropriata se un team separato gestisce il team dell'infrastruttura dell'autorità di certificazione e tale team separato vuole Configuration Manager verificare che gli utenti dispongano di un account di Active Directory Domain Services valido prima di inviare un profilo certificato per richiedere un utente Certificato. Per questa configurazione, è necessario specificare uno o più gruppi di sicurezza che contengono gli utenti e quindi concedere a tali gruppi le autorizzazioni lettura e registrazione per i modelli di certificato. In questo scenario, l'amministratore della CA gestisce il controllo di sicurezza.

In modo analogo, è possibile specificare uno o più gruppi di sicurezza che contengono account computer e concedere a questi gruppi le autorizzazioni lettura e registrazione per i modelli di certificato. Se si distribuisce un profilo certificato computer in un computer membro di dominio, all'account computer del computer devono essere concesse le autorizzazioni lettura e registrazione. Queste autorizzazioni non sono necessarie se il computer non è un membro di dominio. Ad esempio, se si tratta di un computer del gruppo di lavoro o di un dispositivo mobile personale.

Anche se questa configurazione usa un altro controllo di sicurezza, non è consigliabile usarlo come procedura consigliata. Il motivo è che gli utenti o i proprietari specificati dei dispositivi potrebbero richiedere certificati in modo indipendente da Configuration Manager e fornire valori per il soggetto del certificato che potrebbero essere usati per rappresentare un altro utente o dispositivo.

Inoltre, se si specificano account che non possono essere autenticati nel momento in cui si verifica la richiesta di certificato, la richiesta di certificato avrà esito negativo per impostazione predefinita. Ad esempio, la richiesta di certificato avrà esito negativo se il server che esegue il servizio Registrazione dispositivi di rete si trova in una foresta di Active Directory non attendibile dalla foresta che contiene il server del sistema del sito del punto di registrazione certificati. È possibile configurare il punto di registrazione del certificato per continuare se un account non può essere autenticato perché non esiste alcuna risposta da un controller di dominio. Tuttavia, questa non è una procedura consigliata per la sicurezza.

Se il punto di registrazione del certificato è configurato per verificare le autorizzazioni dell'account e un controller di dominio è disponibile e rifiuta la richiesta di autenticazione( ad esempio, l'account è bloccato o è stato eliminato), la richiesta di registrazione del certificato avrà esito negativo.

Per verificare le autorizzazioni di lettura e registrazione per utenti e computer membri del dominio

  1. Nel server del sistema del sito che ospita il punto di registrazione certificati creare la chiave del Registro di sistema DWORD seguente per avere un valore pari a 0: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck

  2. Se un account non può essere autenticato perché non è presente alcuna risposta da un controller di dominio e si vuole ignorare il controllo delle autorizzazioni:

    • Nel server del sistema del sito che ospita il punto di registrazione certificati creare la chiave del Registro di sistema DWORD seguente per avere un valore pari a 1: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied
  3. Nella scheda Sicurezza della CA emittente nelle proprietà del modello di certificato aggiungere uno o più gruppi di sicurezza per concedere le autorizzazioni Lettura e Registrazione agli account utente o dispositivo.