Configuration Managerのセキュリティの基礎

Configuration Manager (現在のブランチ) に適用

この記事では、Configuration Manager環境の次の基本的なセキュリティ コンポーネントについてまとめます。

セキュリティ レイヤー

Configuration Managerのセキュリティは、次のレイヤーで構成されます。

Windows OS とネットワーク セキュリティ

最初のレイヤーは、OS とネットワークの両方に対して Windows セキュリティ機能によって提供されます。 このレイヤーには、次のコンポーネントが含まれています。

  • Configuration Manager コンポーネント間でファイルを転送するためのファイル共有。

  • Access Controlリスト (ACL) を使用して、ファイルとレジストリ キーをセキュリティで保護します。

  • インターネット プロトコル セキュリティ (IPsec) を使用して通信をセキュリティで保護します。

  • セキュリティ ポリシーを設定するグループ ポリシー。

  • Configuration Manager コンソールなど、分散アプリケーションに対する分散コンポーネント オブジェクト モデル (DCOM) のアクセス許可。

  • セキュリティ プリンシパルを格納するActive Directory Domain Services。

  • セットアップ中に作成Configuration Manager一部のグループを含む、Windows アカウントのセキュリティ。

ネットワーク インフラストラクチャ

ファイアウォールや侵入検出などのネットワーク セキュリティ コンポーネントは、環境全体の防御を提供するのに役立ちます。 業界標準の公開キー 基盤 (PKI) の実装によって発行された証明書は、認証、署名、および暗号化を提供するのに役立ちます。

セキュリティ制御のConfiguration Manager

既定では、Configuration Manager コンソールがインストールするコンピューターで必要なファイルとレジストリ キーに対する権限を持つのは、ローカル管理者だけです。

SMS プロバイダー

次のセキュリティ層は、SMS プロバイダーへのアクセスに基づいています。 SMS プロバイダーは、サイト データベースに対して情報を照会するためのアクセス権をユーザーに付与するConfiguration Manager コンポーネントです。 SMS プロバイダーは、主に Windows Management Instrumentation (WMI) を介してアクセスを公開しますが、 管理サービスと呼ばれる REST API も公開します。

既定では、プロバイダーへのアクセスは、ローカル SMS Admins グループのメンバーに制限されます。 このグループには、最初にConfiguration Managerをインストールしたユーザーのみが含まれます。 共通情報モデル (CIM) リポジトリと SMS プロバイダーに他のアカウントのアクセス許可を付与するには、他のアカウントを SMS Admins グループに追加します。

管理者がサイトにアクセスするための最小認証レベルConfiguration Manager指定できます。 この機能により、管理者は必要なレベルで Windows にサインインできます。 詳細については、「 SMS プロバイダーの計画」を参照してください。

サイト データベースのアクセス許可

セキュリティの最終レイヤーは、サイト データベース内のオブジェクトに対するアクセス許可に基づいています。 既定では、ローカル システム アカウントと、Configuration Managerのインストールに使用したユーザー アカウントは、サイト データベース内のすべてのオブジェクトを管理できます。 ロールベースの管理を使用して、Configuration Manager コンソールで他の管理ユーザーにアクセス許可を付与および制限します。

ロールベース管理

Configuration Managerでは、ロールベースの管理を使用して、コレクション、デプロイ、サイトなどのオブジェクトをセキュリティで保護します。 この管理モデルは、すべてのサイトとサイト設定の階層全体のセキュリティ アクセス設定を一元的に定義および管理します。

管理者は、管理ユーザーとグループのアクセス許可に セキュリティ ロール を割り当てます。 アクセス許可は、クライアント設定の作成や変更など、さまざまなConfiguration Manager オブジェクトの種類に接続されます。

セキュリティ スコープには、 管理ユーザーが管理するオブジェクトの特定のインスタンスが含まれます。 たとえば、Configuration Manager コンソールをインストールするアプリケーションです。

セキュリティ ロール、セキュリティ スコープ、コレクションの組み合わせにより、管理ユーザーが表示および管理できるオブジェクトが定義されます。 Configuration Managerでは、一般的な管理タスクの既定のセキュリティ ロールがいくつかインストールされます。 特定のビジネス要件をサポートする独自のセキュリティ ロールを作成します。

詳細については、「ロール ベース管理の基礎」を参照してください。

クライアント エンドポイントのセキュリティ保護

Configuration Managerは、自己署名証明書または PKI 証明書、または Microsoft Entra トークンを使用して、サイト システムの役割へのクライアント通信をセキュリティで保護します。 一部のシナリオでは、PKI 証明書を使用する必要があります。 たとえば、 インターネット ベースのクライアント管理モバイル デバイス クライアントなどです。

クライアントが接続するサイト システムの役割を HTTPS または HTTP クライアント通信用に構成できます。 クライアント コンピューターは常に、使用可能な最も安全な方法を使用して通信します。 クライアント コンピューターは、HTTP 通信を許可するサイト システムの役割がある場合にのみ、安全性の低い通信方法を使用してフォールバックします。

重要

バージョン 2103 Configuration Manager以降、HTTP クライアント通信を許可するサイトは非推奨となりました。 HTTPS または拡張 HTTP 用にサイトを構成します。 詳細については、「 HTTPS 専用または拡張 HTTP のサイトを有効にする」を参照してください。

詳細については、「 セキュリティの計画」を参照してください。

アカウントとグループのConfiguration Manager

Configuration Managerは、ほとんどのサイト操作にローカル システム アカウントを使用します。 一部のサイト操作では、サイト サーバーのドメイン コンピューター アカウントを使用するのではなく、サービス アカウントを使用できます。 一部の管理タスクでは、他のアカウントの作成と管理が必要になる場合があります。 たとえば、OS 展開タスク シーケンス中にドメインに参加する場合などです。

Configuration Managerでは、セットアップ中にいくつかの既定のグループとSQL Serverロールが作成されます。 コンピューターまたはユーザー アカウントを既定のグループとSQL Serverロールに手動で追加する必要がある場合があります。

詳細については、「Configuration Managerで使用されるアカウント」を参照してください。

プライバシー

Configuration Managerを実装する前に、プライバシー要件を検討してください。 エンタープライズ管理製品は多数のクライアントを効果的に管理できるため、多くの利点を提供しますが、このソフトウェアはorganizationのユーザーのプライバシーに影響を与える可能性があります。 Configuration Managerには、データを収集してデバイスを監視するための多くのツールが含まれています。 一部のツールでは、organizationでプライバシーに関する懸念が生じることがあります。

たとえば、Configuration Manager クライアントをインストールすると、既定で多数の管理設定が有効になります。 この構成により、クライアント ソフトウェアはConfiguration Manager サイトに情報を送信します。 サイトは、クライアント情報をサイト データベースに格納します。 クライアント情報は Microsoft に直接送信されません。 詳細については、「 診断と使用状況データ」を参照してください。

次の手順

ロールベースの管理の基礎

セキュリティの計画