Configuration Managerでのアプリケーション管理のセキュリティとプライバシー

Configuration Manager (現在のブランチ) に適用

セキュリティ ガイダンス

ユーザー デバイス アフィニティを一元的に指定する

ユーザーがプライマリ デバイスを識別できるようにするのではなく、ユーザー デバイス アフィニティを手動で指定します。 使用量ベースの構成を有効にしないでください。

ユーザーまたはデバイスから収集された情報が権限があるとは考えないでください。 信頼された管理者が指定していないユーザー デバイス アフィニティを使用してソフトウェアを展開すると、ソフトウェアがコンピューターにインストールされ、そのソフトウェアを受け取る権限を持たないユーザーにインストールされる可能性があります。

配布ポイントからデプロイを実行しない

配布ポイントから実行するのではなく、配布ポイントからコンテンツをダウンロードするようにデプロイを常に構成します。 配布ポイントからコンテンツをダウンロードしてローカルで実行するようにデプロイを構成すると、Configuration Manager クライアントは、コンテンツをダウンロードした後にパッケージ ハッシュを検証します。 ハッシュがポリシーのハッシュと一致しない場合、クライアントはパッケージを破棄します。

配布ポイントから直接実行するようにデプロイを構成した場合、Configuration Manager クライアントはパッケージ ハッシュを検証しません。 この動作は、Configuration Manager クライアントが改ざんされたソフトウェアをインストールできることを意味します。

配布ポイントから直接デプロイを実行する必要がある場合は、配布ポイント上のパッケージに対して NTFS 最小アクセス許可を使用します。 また、インターネット プロトコル セキュリティ (IPsec) を使用して、クライアントと配布ポイントの間、および配布ポイントとサイト サーバーの間のチャネルをセキュリティで保護します。

ユーザーが管理者特権のプロセスと対話しないようにする

[管理者権限で実行] または [システムのインストール] のオプションを有効にした場合は、ユーザーがそれらのアプリケーションを操作することはできません。 アプリケーションを構成するときに、オプションを [ユーザーがプログラムの インストールの表示と操作を許可する] に設定できます。 この設定を使用すると、ユーザー インターフェイスで必要なプロンプトに応答できます。 また、 管理者権限で実行 するようにアプリケーションを構成したり 、システム用にインストールしたりすると、プログラムを実行するコンピューターの攻撃者がユーザー インターフェイスを使用して、クライアント コンピューターの特権をエスカレートする可能性があります。

管理者資格情報を必要とするソフトウェア展開のセットアップとユーザーごとの管理者特権に Windows インストーラーを使用するプログラムを使用します。 セットアップは、管理者資格情報を持たないユーザーのコンテキストで実行する必要があります。 Windows インストーラーのユーザーごとの昇格された特権は、この要件を持つアプリケーションを展開するための最も安全な方法を提供します。

注:

ユーザーがソフトウェア センターからアプリケーションのインストール プロセスを開始すると、[ユーザーが プログラムのインストールを表示および操作できるようにする ] オプションは、アプリケーション インストーラーによって作成された他のプロセスとのユーザー操作を制御できません。 この動作により、このオプションを選択しない場合でも、ユーザーは昇格されたプロセスと対話できる可能性があります。 この問題を回避するには、ユーザー操作を使用して他のプロセスを作成するアプリケーションをデプロイしないでください。 この種類のアプリケーションをインストールする必要がある場合は、[ 必須] として展開し、 ソフトウェア センターとすべての通知で [非表示] にユーザー通知エクスペリエンスを構成します。

ユーザーがソフトウェアを対話形式でインストールできるかどうかを制限する

[コンピューター エージェント] グループで [アクセス許可のインストール] クライアント設定を構成します。 この設定により、ソフトウェア センターでソフトウェアをインストールできるユーザーの種類が制限されます。

たとえば、[ インストール] アクセス許可[管理者のみ] に設定されているカスタム クライアント設定を作成します。 このクライアント設定をサーバーのコレクションに適用します。 この構成により、管理アクセス許可を持たないユーザーがそれらのサーバーにソフトウェアをインストールできなくなります。

詳細については、「 クライアント設定について」を参照してください。

モバイル デバイスの場合は、署名されたアプリケーションのみをデプロイします

モバイル デバイス アプリケーションは、モバイル デバイスが信頼する証明機関 (CA) によってコード署名されている場合にのみ展開します。

例:

  • パブリックでグローバルに信頼された証明書プロバイダーによって署名されたベンダーからのアプリケーション。

  • 内部 CA を使用してConfiguration Managerから独立して署名する内部アプリケーション。

  • アプリケーションの種類を作成し、署名証明書を使用するときにConfiguration Managerを使用して署名する内部アプリケーション。

モバイル デバイス アプリケーション署名証明書の場所をセキュリティで保護する

Configuration Managerでアプリケーションの作成ウィザードを使用してモバイル デバイス アプリケーションに署名する場合は、署名証明書ファイルの場所をセキュリティで保護し、通信チャネルをセキュリティで保護します。 特権の昇格や中間者攻撃から保護するには、署名証明書ファイルをセキュリティで保護されたフォルダーに格納します。

次のコンピューター間で IPsec を使用します。

  • Configuration Manager コンソールを実行するコンピューター
  • 証明書署名ファイルを格納するコンピューター
  • アプリケーション ソース ファイルを格納するコンピューター

代わりに、アプリケーションの作成ウィザードを実行する前に、Configuration Managerから独立してアプリケーションに署名してください。

アクセス制御を実装する

参照コンピューターを保護するには、アクセス制御を実装します。 参照コンピューターを参照して展開の種類で検出方法を構成する場合は、コンピューターが侵害されていないことを確認します。

管理ユーザーの制限と監視

次のアプリケーション管理ロールベースのセキュリティ ロールを付与する管理ユーザーを制限して監視します。

  • アプリケーション管理者
  • アプリケーション作成者
  • Application Deployment Manager

ロールベースの管理を構成する場合でも、アプリケーションを作成して展開する管理ユーザーには、実現よりも多くのアクセス許可がある可能性があります。 たとえば、アプリケーションを作成または変更する管理ユーザーは、セキュリティ スコープに含まれていない依存アプリケーションを選択できます。

同じ信頼レベルの仮想環境で App-V アプリを構成する

Application Virtualization (App-V) 仮想環境Microsoft構成するときは、仮想環境で同じ信頼レベルを持つアプリケーションを選択します。 App-V 仮想環境のアプリケーションはクリップボードなどのリソースを共有できるため、選択したアプリケーションの信頼レベルが同じになるように仮想環境を構成します。

詳細については、「 App-V 仮想環境の作成」を参照してください。

macOS アプリが信頼できるソースからのアプリであることを確認する

macOS デバイス用にアプリケーションをデプロイする場合は、ソース ファイルが信頼できるソースから作成されていることを確認します。 CMAppUtil ツールは、ソース パッケージの署名を検証しません。 パッケージが信頼できるソースから取得されていることを確認します。 CMAppUtil ツールは、ファイルが改ざんされているかどうかを検出できません。

macOS アプリの cmmac ファイルをセキュリティで保護する

macOS コンピューター用のアプリケーションを展開する場合は、ファイルの場所をセキュリティで保護します .cmmac 。 CMAppUtil ツールによってこのファイルが生成され、Configuration Managerにインポートされます。 このファイルは署名または検証されません。

このファイルをConfiguration Managerにインポートするときに通信チャネルをセキュリティで保護します。 このファイルの改ざんを防ぐには、セキュリティで保護されたフォルダーに保存します。 次のコンピューター間で IPsec を使用します。

  • Configuration Manager コンソールを実行するコンピューター
  • ファイルを格納する .cmmac コンピューター

Web アプリケーションに HTTPS を使用する

Web アプリケーションのデプロイの種類を構成する場合は、HTTPS を使用して接続をセキュリティで保護します。 HTTPS リンクではなく HTTP リンクを使用して Web アプリケーションをデプロイすると、デバイスが不正なサーバーにリダイレクトされる可能性があります。 デバイスとサーバーの間で転送されたデータが改ざんされる可能性があります。

セキュリティの問題

  • 権限の低いユーザーは、クライアント コンピューター上のソフトウェア展開履歴を記録するファイルを変更できます。

    アプリケーション履歴情報は保護されていないため、ユーザーはアプリケーションがインストールされているかどうかを報告するファイルを変更できます。

  • App-V パッケージは署名されていません。

    Configuration Managerの App-V パッケージは署名をサポートしていません。 デジタル署名は、コンテンツが信頼できるソースからのものであり、転送中に変更されなかったことを確認します。 このセキュリティの問題に対する軽減策はありません。 セキュリティのベスト プラクティスに従って、信頼できるソースと安全な場所からコンテンツをダウンロードします。

  • 公開された App-V アプリケーションは、コンピューター上のすべてのユーザーがインストールできます。

    App-V アプリケーションがコンピューターに発行されると、そのコンピューターにサインインするすべてのユーザーがアプリケーションをインストールできます。 発行後にアプリケーションをインストールできるユーザーを制限することはできません。

プライバシー情報

アプリケーション管理を使用すると、階層内の任意のクライアントで任意のアプリケーション、プログラム、またはスクリプトを実行できます。 Configuration Managerは、実行するアプリケーション、プログラム、スクリプトの種類、または送信する情報の種類を制御しません。 アプリケーションの展開プロセス中に、Configuration Managerは、デバイスとサインイン アカウントを識別する情報をクライアントとサーバー間で送信する場合があります。

Configuration Managerは、ソフトウェア展開プロセスに関する状態情報を保持します。 クライアントが HTTPS を使用して通信しない限り、ソフトウェア展開の状態情報は転送中に暗号化されません。 状態情報は、暗号化された形式でデータベースに格納されません。

Configuration Managerアプリケーションのインストールを使用して、クライアントにソフトウェアをリモートで、対話形式で、またはサイレント インストールする場合、そのソフトウェアのソフトウェア ライセンス条項が適用される場合があります。 この使用は、Configuration Managerのソフトウェア ライセンス条項とは別です。 Configuration Managerを使用してソフトウェアを展開する前に、ソフトウェア ライセンス条項を常に確認して同意してください。

Configuration Managerは、将来のリリースを改善するためにMicrosoftによって使用されるアプリケーションに関する診断データと使用状況データを収集します。 詳細については、「 診断と使用状況データ」を参照してください。

アプリケーションのデプロイは既定では実行されないため、いくつかの構成手順が必要です。

次の機能は、効率的なソフトウェア展開に役立ちます。

  • ユーザー デバイス アフィニティは、 ユーザーをデバイスにマップします。 Configuration Manager管理者は、ユーザーにソフトウェアを展開します。 クライアントは、ユーザーが最も頻繁に使用する 1 つ以上のコンピューターにソフトウェアを自動的にインストールします。

  • ソフトウェア センターは、Configuration Manager クライアントをインストールすると、デバイスに自動的にインストールされます。 ユーザーが設定を変更し、ソフトウェアを参照し、ソフトウェア センターからソフトウェアをインストールします。

ユーザー デバイス アフィニティのプライバシー情報

  • Configuration Managerは、クライアントと管理ポイント サイト システム間で情報を送信する可能性があります。 この情報は、コンピューター、サインイン アカウント、およびサインイン アカウントの概要の使用状況を識別する場合があります。

  • HTTPS 通信を必要とするように管理ポイントを構成しない限り、クライアントとサーバーの間で送信される情報は暗号化されません。

  • コンピューターとサインイン アカウントの使用状況情報は、ユーザーをデバイスにマップするために使用されます。 Configuration Managerは、この情報をクライアント コンピューターに格納し、管理ポイントに送信し、サイト データベースに格納します。 既定では、サイトは 90 日後にデータベースから古い情報を削除します。 削除動作は、 期限切れのユーザー デバイス アフィニティ データ サイトメンテナンス タスクを設定することで構成できます。

  • Configuration Managerは、ユーザー デバイス アフィニティに関する状態情報を保持します。 HTTPS を使用して管理ポイントと通信するように クライアントを構成 しない限り、転送中に状態情報は暗号化されません。 サイトは、状態情報を暗号化された形式でデータベースに格納しません。

  • ユーザーとデバイスのアフィニティを確立するために使用されるコンピューターとサインインの使用状況情報は常に有効になっています。 ユーザーと管理ユーザーは、ユーザーデバイスアフィニティ情報を提供できます。

ソフトウェア センターのプライバシー情報

  • ソフトウェア センターを使用すると、Configuration Manager管理者は、ユーザーが実行するアプリケーション、プログラム、またはスクリプトを発行できます。 Configuration Managerは、ソフトウェア センターで公開されているプログラムやスクリプトの種類、または送信する情報の種類を制御することはできません。

  • Configuration Managerは、クライアントと管理ポイントの間で情報を送信する可能性があります。 この情報は、コンピューターとサインイン アカウントを識別する場合があります。 HTTPS を使用してクライアントの接続を要求するように管理ポイントを構成しない限り、クライアントとサーバーの間で送信される情報は暗号化されません。

  • アプリケーションの承認要求に関する情報は、Configuration Manager データベースに格納されます。 取り消された要求または拒否された要求の場合、対応する要求履歴エントリは既定で 30 日後に削除されます。 期限 切れのアプリケーション要求データ サイトのメンテナンス タスクを使用して、この削除動作を構成できます。 承認された状態と保留中の状態にあるアプリケーション承認要求は、サイトによって削除されることはありません。

  • Configuration Manager クライアントをデバイスにインストールすると、ソフトウェア センターが自動的にインストールされます。