Condividi tramite


Sicurezza e privacy per i client Configuration Manager

Si applica a: Configuration Manager (Current Branch)

Questo articolo descrive le informazioni sulla sicurezza e sulla privacy per i client Configuration Manager. Include anche informazioni per i dispositivi mobili gestiti dal connettore Exchange Server.

Indicazioni sulla sicurezza per i client

Il sito Configuration Manager accetta i dati dai dispositivi che eseguono il client Configuration Manager. Questo comportamento introduce il rischio che i client possano attaccare il sito. Ad esempio, potrebbero inviare un inventario non valido o tentare di sovraccaricare i sistemi del sito. Distribuire il client Configuration Manager solo nei dispositivi attendibili.

Usare le indicazioni di sicurezza seguenti per proteggere il sito da dispositivi non autorizzati o compromessi.

Usare i certificati PKI (Public Key Infrastructure) per le comunicazioni client con i sistemi del sito che eseguono IIS

  • Come proprietà del sito, configurare le impostazioni del sistema del sitosolo per HTTPS. Per altre informazioni, vedere Configurare la sicurezza.

  • Installare i client con la proprietà UsePKICert CCMSetup.

  • Usare un elenco di revoche di certificati (CRL). Assicurarsi che i client e i server di comunicazione possano sempre accederle.

I client dei dispositivi mobili e alcuni client basati su Internet richiedono questi certificati. Microsoft consiglia questi certificati per tutte le connessioni client nella Intranet.

Per altre informazioni sull'uso dei certificati in Configuration Manager, vedere Pianificare i certificati.

Importante

A partire da Configuration Manager versione 2103, i siti che consentono la comunicazione client HTTP sono deprecati. Configurare il sito per HTTPS o HTTP avanzato. Per altre informazioni, vedere Abilitare il sito solo PER HTTPS o HTTP avanzato.

Approvare automaticamente i computer client da domini attendibili e controllare e approvare manualmente altri computer

Quando non è possibile usare l'autenticazione PKI, l'approvazione identifica un computer considerato attendibile per essere gestito da Configuration Manager. La gerarchia dispone delle opzioni seguenti per configurare l'approvazione client:

  • Manuale
  • Automatico per i computer in domini attendibili
  • Automatico per tutti i computer

Il metodo di approvazione più sicuro consiste nell'approvare automaticamente i client membri di domini attendibili. Questa opzione include client aggiunti a un dominio cloud da tenant Microsoft Entra connessi. Controllare e approvare manualmente tutti gli altri computer. L'approvazione automatica di tutti i client non è consigliata, a meno che non si disponga di altri controlli di accesso per impedire ai computer non attendibili di accedere alla rete.

Per altre informazioni su come approvare manualmente i computer, vedere Gestire i client dal nodo dispositivi.

Non fare affidamento sul blocco per impedire ai client di accedere alla gerarchia Configuration Manager

I client bloccati vengono rifiutati dall'infrastruttura Configuration Manager. Se i client sono bloccati, non possono comunicare con i sistemi del sito per scaricare criteri, caricare dati di inventario o inviare messaggi di stato o stato.

Il blocco è progettato per gli scenari seguenti:

  • Per bloccare i supporti di avvio persi o compromessi quando si distribuisce un sistema operativo nei client
  • Quando tutti i sistemi del sito accettano connessioni client HTTPS

Quando i sistemi del sito accettano connessioni client HTTP, non si basano sul blocco per proteggere la gerarchia Configuration Manager da computer non attendibili. In questo scenario, un client bloccato potrebbe ricongiungersi al sito con un nuovo certificato autofirmato e un ID hardware.

La revoca del certificato è la linea di difesa principale contro i certificati potenzialmente compromessi. Un elenco di revoche di certificati (CRL) è disponibile solo da un'infrastruttura a chiave pubblica (PKI) supportata. Il blocco dei client in Configuration Manager offre una seconda linea di difesa per proteggere la gerarchia.

Per altre informazioni, vedere Determinare se bloccare i client.

Usare i metodi di installazione client più sicuri pratici per l'ambiente in uso

  • Per i computer di dominio, l'installazione client di Criteri di gruppo e i metodi di installazione client basati su aggiornamento software sono più sicuri rispetto all'installazione push client .

  • Se si applicano controlli di accesso e controlli di modifica, usare i metodi di creazione di immagini e installazione manuale.

  • Usare l'autenticazione reciproca Kerberos con l'installazione push client.

Tra tutti i metodi di installazione client, l'installazione push client è la meno sicura a causa delle numerose dipendenze di cui dispone. Queste dipendenze includono le autorizzazioni amministrative locali, la condivisione e le eccezioni del Admin$ firewall. Il numero e il tipo di queste dipendenze aumentano la superficie di attacco.

Quando si usa il push client, il sito può richiedere l'autenticazione reciproca Kerberos non consentendo il fallback a NTLM prima di stabilire la connessione. Questo miglioramento consente di proteggere la comunicazione tra il server e il client. Per altre informazioni, vedere Come installare i client con push client.

Per altre informazioni sui diversi metodi di installazione client, vedere Metodi di installazione client.

Se possibile, selezionare un metodo di installazione client che richiede le autorizzazioni di sicurezza più contenute in Configuration Manager. Limitare gli utenti amministratori a cui sono assegnati ruoli di sicurezza con autorizzazioni che possono essere usate per scopi diversi dalla distribuzione client. Ad esempio, la configurazione dell'aggiornamento client automatico richiede il ruolo di sicurezza Amministratore completo , che concede a un utente amministratore tutte le autorizzazioni di sicurezza.

Per altre informazioni sulle dipendenze e sulle autorizzazioni di sicurezza necessarie per ogni metodo di installazione client, vedere Prerequisiti per i client computer.

Se è necessario usare l'installazione push client, proteggere l'account di installazione push client

L'account di installazione push client deve essere un membro del gruppo Administrators locale in ogni computer che installa il client Configuration Manager. Non aggiungere mai l'account di installazione push client al gruppo Domain Admins . Creare invece un gruppo globale e quindi aggiungere tale gruppo globale al gruppo Administrators locale nei client. Creare un oggetto Criteri di gruppo per aggiungere un'impostazione gruppo con restrizioni per aggiungere l'account di installazione push client al gruppo Administrators locale.

Per una maggiore sicurezza, creare più account di installazione push client, ognuno con accesso amministrativo a un numero limitato di computer. Se un account viene compromesso, vengono compromessi solo i computer client a cui l'account ha accesso.

Rimuovere i certificati prima dei client di imaging

Quando si distribuiscono client usando immagini del sistema operativo, rimuovere sempre i certificati prima di acquisire l'immagine. Questi certificati includono certificati PKI per l'autenticazione client e certificati autofirmati. Se questi certificati non vengono rimossi, i client potrebbero rappresentarsi a vicenda. Non è possibile verificare i dati per ogni client.

Per altre informazioni, vedere Creare una sequenza di attività per acquisire un sistema operativo.

Assicurarsi che Configuration Manager client ottenga una copia autorizzata dei certificati

Certificato della chiave radice attendibile Configuration Manager

Quando entrambe le istruzioni seguenti sono vere, i client si basano sulla chiave radice attendibile Configuration Manager per autenticare i punti di gestione validi:

  • Non è stato esteso lo schema di Active Directory per Configuration Manager
  • I client non usano i certificati PKI quando comunicano con i punti di gestione

In questo scenario, i client non hanno modo di verificare che il punto di gestione sia attendibile per la gerarchia a meno che non utilizzino la chiave radice attendibile. Senza la chiave radice attendibile, un utente malintenzionato esperto potrebbe indirizzare i client a un punto di gestione non autorizzato.

Quando i client non usano certificati PKI e non possono scaricare la chiave radice attendibile dal catalogo globale di Active Directory, effettuare il pre-provisioning dei client con la chiave radice attendibile. Questa azione garantisce che non possano essere indirizzate a un punto di gestione non autorizzato. Per altre informazioni, vedere Pianificazione della chiave radice attendibile.

Certificato di firma del server del sito

I client usano il certificato di firma del server del sito per verificare che il server del sito ha firmato i criteri scaricati da un punto di gestione. Questo certificato è autofirmto dal server del sito e pubblicato in Active Directory Domain Services.

Quando i client non possono scaricare questo certificato dal catalogo globale di Active Directory, per impostazione predefinita lo scaricano dal punto di gestione. Se il punto di gestione è esposto a una rete non attendibile come Internet, installare manualmente il certificato di firma del server del sito nei client. Questa azione garantisce che non sia possibile scaricare i criteri client manomessi da un punto di gestione compromesso.

Per installare manualmente il certificato di firma del server del sito, usare la proprietà client.msi CCMSetup SMSSIGNCERT.

Se il client scarica la chiave radice attendibile dal primo punto di gestione che contatta, non usare l'assegnazione automatica del sito

Per evitare il rischio che un nuovo client scarichi la chiave radice attendibile da un punto di gestione non autorizzato, usare l'assegnazione automatica del sito solo negli scenari seguenti:

  • Il client può accedere Configuration Manager informazioni del sito pubblicate in Active Directory Domain Services.

  • È necessario effettuare il pre-provisioning del client con la chiave radice attendibile.

  • È possibile usare i certificati PKI di un'autorità di certificazione aziendale per stabilire l'attendibilità tra il client e il punto di gestione.

Per altre informazioni sulla chiave radice attendibile, vedere Pianificazione della chiave radice attendibile.

Assicurarsi che le finestre di manutenzione siano sufficientemente grandi da distribuire gli aggiornamenti software critici

Le finestre di manutenzione per le raccolte di dispositivi limitano i tempi in cui Configuration Manager possono installare software in questi dispositivi. Se si configura la finestra di manutenzione in modo che sia troppo piccola, il client potrebbe non installare gli aggiornamenti software critici. Questo comportamento lascia il client vulnerabile a qualsiasi attacco attenuato dall'aggiornamento software.

Prendere le precauzioni di sicurezza per ridurre la superficie di attacco nei dispositivi Windows Embedded con filtri di scrittura

Quando abiliti i filtri di scrittura nei dispositivi Windows Embedded, tutte le installazioni o le modifiche software vengono apportate solo alla sovrimpressione. Queste modifiche non vengono mantenute dopo il riavvio del dispositivo. Se si usa Configuration Manager per disabilitare i filtri di scrittura, durante questo periodo il dispositivo incorporato è vulnerabile alle modifiche apportate a tutti i volumi. Questi volumi includono cartelle condivise.

Configuration Manager blocca il computer durante questo periodo in modo che solo gli amministratori locali possano accedere. Quando possibile, prendere altre precauzioni di sicurezza per proteggere il computer. Ad esempio, abilitare le restrizioni sul firewall.

Se si usano finestre di manutenzione per rendere persistenti le modifiche, pianificare queste finestre con attenzione. Ridurre al minimo il tempo di disabilitazione dei filtri di scrittura, ma renderli abbastanza lunghi da consentire il completamento delle installazioni e dei riavvii del software.

Usare la versione client più recente con l'installazione client basata su aggiornamento software

Se si usa l'installazione client basata su aggiornamento software e si installa una versione successiva del client nel sito, aggiornare l'aggiornamento software pubblicato. I client ricevono quindi la versione più recente dal punto di aggiornamento software.

Quando si aggiorna il sito, l'aggiornamento software per la distribuzione client pubblicato nel punto di aggiornamento software non viene aggiornato automaticamente. Ripubblicare il client Configuration Manager nel punto di aggiornamento software e aggiornare il numero di versione.

Per altre informazioni, vedere Come installare Configuration Manager client usando l'installazione basata su aggiornamento software.

Sospendere la voce PIN di BitLocker solo nei dispositivi con accesso attendibile e con accesso limitato

Configurare solo l'impostazione client su Sospendi voce PIN BitLocker al riavvio in Always per i computer attendibili e con accesso fisico limitato.

Quando si imposta questa impostazione client su Always, Configuration Manager può completare l'installazione del software. Questo comportamento consente di installare gli aggiornamenti software critici e riprendere i servizi. Se un utente malintenzionato intercetta il processo di riavvio, può assumere il controllo del computer. Usare questa impostazione solo quando si considera attendibile il computer e quando l'accesso fisico al computer è limitato. Ad esempio, questa impostazione potrebbe essere appropriata per i server in un data center.

Per altre informazioni su questa impostazione client, vedere Informazioni sulle impostazioni client.

Non ignorare i criteri di esecuzione di PowerShell

Se si configura l'impostazione client Configuration Manager per i criteri di esecuzione di PowerShell su Ignora, Windows consente l'esecuzione di script di PowerShell non firmati. Questo comportamento potrebbe consentire l'esecuzione di malware nei computer client. Quando l'organizzazione richiede questa opzione, usare un'impostazione client personalizzata. Assegnarlo solo ai computer client che devono eseguire script di PowerShell non firmati.

Per altre informazioni su questa impostazione client, vedere Informazioni sulle impostazioni client.

Indicazioni sulla sicurezza per i dispositivi mobili

Installare il punto proxy di registrazione in una rete perimetrale e il punto di registrazione nella Intranet

Per i dispositivi mobili basati su Internet registrati con Configuration Manager, installare il punto proxy di registrazione in una rete perimetrale e il punto di registrazione nella Intranet. Questa separazione dei ruoli consente di proteggere il punto di registrazione dagli attacchi. Se un utente malintenzionato compromette il punto di registrazione, potrebbe ottenere i certificati per l'autenticazione. Possono anche rubare le credenziali degli utenti che registrano i propri dispositivi mobili.

Configurare le impostazioni della password per proteggere i dispositivi mobili da accessi non autorizzati

Per i dispositivi mobili registrati da Configuration Manager: usare un elemento di configurazione del dispositivo mobile per configurare la complessità della password come PIN. Specificare almeno la lunghezza minima predefinita della password.

Per i dispositivi mobili in cui non è installato il client Configuration Manager ma sono gestiti dal connettore Exchange Server: configurare le impostazioni password per il connettore Exchange Server in modo che la complessità della password sia il PIN. Specificare almeno la lunghezza minima predefinita della password.

Consentire l'esecuzione di applicazioni firmate da società attendibili

Evitare la manomissione delle informazioni di inventario e delle informazioni sullo stato consentendo l'esecuzione delle applicazioni solo quando sono firmate da società attendibili. Non consentire ai dispositivi di installare file non firmati.

Per i dispositivi mobili registrati da Configuration Manager: usare un elemento di configurazione del dispositivo mobile per configurare l'impostazione di sicurezza Applicazioni non firmate come Non consentite. Configurare le installazioni di file non firmati come origine attendibile.

Per i dispositivi mobili in cui non è installato il client Configuration Manager ma sono gestiti dal connettore Exchange Server: configurare le impostazioni dell'applicazione per il connettore Exchange Server in modo che l'installazione di file non firmati e le applicazioni non firmate siano vietate.

Bloccare i dispositivi mobili quando non sono in uso

Consente di evitare attacchi di elevazione dei privilegi bloccando il dispositivo mobile quando non viene usato.

Per i dispositivi mobili registrati da Configuration Manager: usare un elemento di configurazione del dispositivo mobile per configurare l'impostazione della password Tempo di inattività in minuti prima del blocco del dispositivo mobile.

Per i dispositivi mobili in cui non è installato il client Configuration Manager ma sono gestiti dal connettore Exchange Server: configurare le impostazioni password per il connettore Exchange Server per impostare il tempo di inattività in minuti prima che il dispositivo mobile venga bloccato.

Limitare gli utenti che possono registrare i propri dispositivi mobili

Evitare l'elevazione dei privilegi limitando gli utenti che possono registrare i propri dispositivi mobili. Usare un'impostazione client personalizzata anziché le impostazioni client predefinite per consentire solo agli utenti autorizzati di registrare i propri dispositivi mobili.

Indicazioni sull'affinità utente-dispositivo per i dispositivi mobili

Non distribuire applicazioni agli utenti che hanno dispositivi mobili registrati da Configuration Manager negli scenari seguenti:

  • Il dispositivo mobile viene usato da più di una persona.

  • Il dispositivo viene registrato da un amministratore per conto di un utente.

  • Il dispositivo viene trasferito a un'altra persona senza ritirarsi e quindi registrare nuovamente il dispositivo.

La registrazione del dispositivo crea una relazione di affinità utente-dispositivo. Questa relazione esegue il mapping dell'utente che esegue la registrazione al dispositivo mobile. Se un altro utente usa il dispositivo mobile, può eseguire le applicazioni distribuite all'utente originale, il che potrebbe comportare un'elevazione dei privilegi. Analogamente, se un amministratore registra il dispositivo mobile per un utente, le applicazioni distribuite all'utente non vengono installate nel dispositivo mobile. Le applicazioni distribuite all'amministratore potrebbero invece essere installate.

Proteggere la connessione tra il server del sito Configuration Manager e il Exchange Server

Se il Exchange Server è locale, usare IPsec. Hosted Exchange protegge automaticamente la connessione con HTTPS.

Usare il principio dei privilegi minimi per Exchange Connector

Per un elenco dei cmdlet minimi richiesti dal connettore Exchange Server, vedere Gestire i dispositivi mobili con Configuration Manager ed Exchange.

Indicazioni sulla sicurezza per i dispositivi macOS

Archiviare e accedere ai file di origine client da un percorso protetto

Prima di installare o registrare il client in un computer macOS, Configuration Manager non verifica se questi file di origine client sono stati manomessi. Scaricare questi file da un'origine attendibile. Archiviarli e accedervi in modo sicuro.

Monitorare e tenere traccia del periodo di validità del certificato

Monitorare e tenere traccia del periodo di validità dei certificati usati per i computer macOS. Configuration Manager non supporta il rinnovo automatico del certificato o avvisa l'utente che il certificato sta per scadere. Un periodo di validità tipico è un anno.

Per altre informazioni su come rinnovare il certificato, vedere Rinnovare manualmente il certificato client macOS.

Configurare il certificato radice attendibile solo per SSL

Per proteggere dall'elevazione dei privilegi, configurare il certificato per l'autorità di certificazione radice attendibile in modo che sia attendibile solo per il protocollo SSL.

Quando si registrano computer Mac, viene installato automaticamente un certificato utente per gestire il client Configuration Manager. Questo certificato utente include i certificati radice attendibili nella catena di attendibilità. Per limitare l'attendibilità di questo certificato radice solo al protocollo SSL, usare la procedura seguente:

  1. Nel computer Mac aprire una finestra del terminale.

  2. Immettere il comando seguente: sudo /Applications/Utilities/Keychain\ Access.app/Contents/MacOS/Keychain\ Access

  3. Nella finestra di dialogo Accesso keychain selezionare Sistema nella sezione Portachiavi. Quindi, nella sezione Categoria selezionare Certificati.

  4. Individuare e aprire il certificato CA radice per il certificato client Mac.

  5. Nella finestra di dialogo per il certificato CA radice espandere la sezione Attendibilità e quindi apportare le modifiche seguenti:

    1. Quando si usa questo certificato: modificare l'impostazione Always Trust in Use System Defaults (Usa impostazioni predefinite di sistema).

    2. Secure Sockets Layer (SSL): non modificare alcun valore specificato in Always Trust.

  6. Chiudere la finestra di dialogo. Quando richiesto, immettere la password dell'amministratore e quindi selezionare Aggiorna impostazioni.

Dopo aver completato questa procedura, il certificato radice è considerato attendibile solo per convalidare il protocollo SSL. Altri protocolli che ora non sono attendibili con questo certificato radice includono Secure Mail (S/MIME), Extensible Authentication (EAP) o la firma del codice.

Nota

Usare questa procedura anche se il certificato client è stato installato in modo indipendente da Configuration Manager.

Problemi di sicurezza per i client

I problemi di sicurezza seguenti non hanno alcuna mitigazione:

I messaggi di stato non vengono autenticati

Il punto di gestione non autentica i messaggi di stato. Quando un punto di gestione accetta connessioni client HTTP, qualsiasi dispositivo può inviare messaggi di stato al punto di gestione. Se il punto di gestione accetta solo connessioni client HTTPS, un dispositivo deve avere un certificato di autenticazione client valido, ma può anche inviare qualsiasi messaggio di stato. Il punto di gestione elimina tutti i messaggi di stato non validi ricevuti da un client.

Esistono alcuni potenziali attacchi contro questa vulnerabilità:

  • Un utente malintenzionato potrebbe inviare un messaggio di stato fittizio per ottenere l'appartenenza a una raccolta basata su query sui messaggi di stato.
  • Qualsiasi client può avviare un denial of service contro il punto di gestione inondandolo di messaggi di stato.
  • Se i messaggi di stato attivano azioni nelle regole di filtro dei messaggi di stato, un utente malintenzionato potrebbe attivare la regola di filtro dei messaggi di stato.
  • Un utente malintenzionato potrebbe inviare un messaggio di stato che rende le informazioni di segnalazione imprecise.

I criteri possono essere reindirizzati ai client non di destinazione

Esistono diversi metodi che gli utenti malintenzionati possono usare per applicare criteri destinati a un client a un client completamente diverso. Ad esempio, un utente malintenzionato in un client attendibile potrebbe inviare informazioni di inventario o individuazione false per aggiungere il computer a una raccolta a cui non deve appartenere. Tale client riceve quindi tutte le distribuzioni in tale raccolta.

Esistono controlli che consentono di impedire agli utenti malintenzionati di modificare direttamente i criteri. Tuttavia, gli utenti malintenzionati potrebbero adottare un criterio esistente che riformatta e ridistribuisce un sistema operativo e lo invia a un computer diverso. Questo criterio reindirizzato potrebbe creare un denial of service. Questi tipi di attacchi richiederebbero tempi precisi e una conoscenza approfondita dell'infrastruttura Configuration Manager.

I log client consentono l'accesso utente

Tutti i file di log client consentono al gruppo Utenti di accedere in lettura e all'utente interattivo speciale con accesso per la scrittura dei dati. Se si abilita la registrazione dettagliata, gli utenti malintenzionati potrebbero leggere i file di log per cercare informazioni sulla conformità o sulle vulnerabilità del sistema. I processi, ad esempio il software installato dal client nel contesto di un utente, devono scrivere nei log con un account utente con diritti limitati. Questo comportamento significa che un utente malintenzionato potrebbe anche scrivere nei log con un account con diritti limitati.

Il rischio più grave è che un utente malintenzionato possa rimuovere le informazioni nei file di log. Un amministratore potrebbe avere bisogno di queste informazioni per il controllo e il rilevamento delle intrusioni.

È possibile usare un computer per ottenere un certificato progettato per la registrazione di dispositivi mobili

Quando Configuration Manager elabora una richiesta di registrazione, non può verificare che la richiesta provenisse da un dispositivo mobile anziché da un computer. Se la richiesta proviene da un computer, può installare un certificato PKI che consente quindi la registrazione con Configuration Manager.

Per evitare un attacco di elevazione dei privilegi in questo scenario, consentire solo agli utenti attendibili di registrare i propri dispositivi mobili. Monitorare attentamente le attività di registrazione dei dispositivi nel sito.

Un client bloccato può comunque inviare messaggi al punto di gestione

Quando si blocca un client che non si considera più attendibile, ma è stata stabilita una connessione di rete per la notifica client, Configuration Manager non disconnette la sessione. Il client bloccato può continuare a inviare pacchetti al punto di gestione fino a quando il client non si disconnette dalla rete. Questi pacchetti sono solo pacchetti keep-alive di piccole dimensioni. Questo client non può essere gestito da Configuration Manager fino a quando non viene sbloccato.

L'aggiornamento client automatico non verifica il punto di gestione

Quando si usa l'aggiornamento client automatico, il client può essere indirizzato a un punto di gestione per scaricare i file di origine client. In questo scenario, il client non verifica il punto di gestione come origine attendibile.

Quando gli utenti registrano per la prima volta i computer macOS, sono a rischio di spoofing DNS

Quando il computer macOS si connette al punto proxy di registrazione durante la registrazione, è improbabile che il computer macOS abbia già il certificato CA radice attendibile. A questo punto, il computer macOS non considera attendibile il server e richiede all'utente di continuare. Se un server DNS non autorizzato risolve il nome di dominio completo (FQDN) del punto proxy di registrazione, potrebbe indirizzare il computer macOS a un punto proxy di registrazione non autorizzato per installare i certificati da un'origine non attendibile. Per ridurre questo rischio, seguire le indicazioni DNS per evitare lo spoofing nell'ambiente.

La registrazione macOS non limita le richieste di certificati

Gli utenti possono registrare nuovamente i computer macOS, ogni volta che richiedono un nuovo certificato client. Configuration Manager non verifica la presenza di più richieste o limita il numero di certificati richiesti da un singolo computer. Un utente non autorizzato può eseguire uno script che ripete la richiesta di registrazione della riga di comando. Questo attacco potrebbe causare un denial of service nella rete o nell'autorità di certificazione emittente. Per ridurre questo rischio, monitorare attentamente la CA emittente per questo tipo di comportamento sospetto. Blocca immediatamente dalla gerarchia Configuration Manager qualsiasi computer che mostra questo modello di comportamento.

Un riconoscimento di cancellazione non verifica che il dispositivo sia stato cancellato correttamente

Quando si avvia un'azione di cancellazione per un dispositivo mobile e Configuration Manager riconosce la cancellazione, la verifica è che Configuration Manager inviato correttamente il messaggio. Non verifica che il dispositivo abbia agito sulla richiesta.

Per i dispositivi mobili gestiti dal connettore Exchange Server, un riconoscimento di cancellazione verifica che il comando sia stato ricevuto da Exchange, non dal dispositivo.

Se usi le opzioni per eseguire il commit delle modifiche nei dispositivi Windows Embedded, gli account potrebbero essere bloccati prima del previsto

Se il dispositivo Windows Embedded esegue una versione del sistema operativo precedente a Windows 7 e un utente tenta di accedere mentre i filtri di scrittura sono disabilitati da Configuration Manager, Windows consente solo la metà del numero configurato di tentativi non corretti prima che l'account venga bloccato.

Ad esempio, si configurano i criteri di dominio per la soglia di blocco dell'account su sei tentativi. Un utente digita erroneamente la password tre volte e l'account è bloccato. Questo comportamento crea in modo efficace un denial of service. Se gli utenti devono accedere ai dispositivi incorporati in questo scenario, prestare attenzione al potenziale di una soglia di blocco ridotta.

Informazioni sulla privacy per i client

Quando si distribuisce il client Configuration Manager, si abilitano le impostazioni client per le funzionalità di Configuration Manager. Le impostazioni usate per configurare le funzionalità possono essere applicate a tutti i client nella gerarchia Configuration Manager. Questo comportamento è lo stesso indipendentemente dal fatto che siano connessi direttamente alla rete interna, connessi tramite una sessione remota o connessi a Internet.

Le informazioni client vengono archiviate nel database del sito Configuration Manager nel SQL Server e non vengono inviate a Microsoft. Le informazioni vengono mantenute nel database fino a quando non vengono eliminate dall'attività di manutenzione del sito Elimina dati di individuazione obsoleti ogni 90 giorni. È possibile configurare l'intervallo di eliminazione.

Alcuni dati di diagnostica e utilizzo riepilogati o aggregati vengono inviati a Microsoft. Per altre informazioni, vedere Dati di diagnostica e utilizzo.

Per altre informazioni sulla raccolta e l'uso dei dati di Microsoft, vedere l'Informativa sulla privacy di Microsoft.

Stato dei client

Configuration Manager monitora l'attività dei client. Valuta periodicamente il client Configuration Manager e può correggere i problemi con il client e le relative dipendenze. Lo stato del client è abilitato per impostazione predefinita. Usa le metriche lato server per i controlli delle attività client. Lo stato del client usa le azioni lato client per i controlli autonomi, la correzione e per l'invio di informazioni sullo stato del client al sito. Il client esegue i controlli self-checks in base a una pianificazione configurata. Il client invia i risultati dei controlli al sito Configuration Manager. Queste informazioni vengono crittografate durante il trasferimento.

Le informazioni sullo stato del client vengono archiviate nel database Configuration Manager nel SQL Server e non vengono inviate a Microsoft. Le informazioni non vengono archiviate in formato crittografato nel database del sito. Queste informazioni vengono mantenute nel database fino a quando non vengono eliminate in base al valore configurato per l'impostazione Di conservazione dello stato del client per il numero di giorni seguente . Il valore predefinito per questa impostazione è ogni 31 giorni.

Informazioni sulla privacy per il connettore Exchange Server

Il connettore Exchange Server trova e gestisce i dispositivi che si connettono a un Exchange Server locale o ospitato tramite il protocollo ActiveSync. I record trovati dal connettore Exchange Server vengono archiviati nel database Configuration Manager nel SQL Server. Le informazioni vengono raccolte dal Exchange Server. Non contiene informazioni aggiuntive da ciò che i dispositivi mobili inviano a Exchange Server.

Le informazioni sul dispositivo mobile non vengono inviate a Microsoft. Le informazioni sul dispositivo mobile vengono archiviate nel database Configuration Manager nel SQL Server. Le informazioni vengono mantenute nel database fino a quando non vengono eliminate dall'attività di manutenzione del sito Elimina dati di individuazione obsoleti ogni 90 giorni. Configurare l'intervallo di eliminazione.

Per altre informazioni sulla raccolta e l'uso dei dati di Microsoft, vedere l'Informativa sulla privacy di Microsoft.