Sicurezza e privacy per i profili certificato in Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Importante
A partire dalla versione 2203, questa funzionalità di accesso alle risorse aziendali non è più supportata. Per altre informazioni, vedere Domande frequenti sulla deprecazione dell'accesso alle risorse.
Linee guida per la sicurezza
Usare le indicazioni seguenti quando si gestiscono i profili certificato per utenti e dispositivi.
Seguire le indicazioni sulla sicurezza per il servizio Registrazione dispositivi di rete (NDES)
Identificare e seguire le indicazioni sulla sicurezza per NDES. Ad esempio, configurare il sito Web NDES in Internet Information Services (IIS) per richiedere HTTPS e ignorare i certificati client.
Per altre informazioni, vedere Linee guida per il servizio Registrazione dispositivi di rete.
Scegliere le opzioni più sicure per i profili certificato
Quando si configurano i profili certificato SCEP, scegliere le opzioni più sicure supportate dai dispositivi e dall'infrastruttura. Identificare, implementare e seguire le indicazioni di sicurezza consigliate per i dispositivi e l'infrastruttura.
Specificare centralmente l'affinità utente-dispositivo
Specificare manualmente l'affinità utente-dispositivo invece di consentire agli utenti di identificare il dispositivo primario. Non abilitare la configurazione basata sull'utilizzo.
Se si usa l'opzione in un profilo certificato SCEP per consentire la registrazione del certificato solo nel dispositivo primario degli utenti, non considerare autorevoli le informazioni raccolte dagli utenti o dal dispositivo. Se si distribuiscono profili certificato SCEP con questa configurazione e un utente amministratore attendibile non specifica l'affinità utente-dispositivo, gli utenti non autorizzati potrebbero ricevere privilegi elevati e ricevere certificati per l'autenticazione.
Nota
Se si abilita la configurazione basata sull'utilizzo, queste informazioni vengono raccolte tramite messaggi di stato. Configuration Manager non protegge i messaggi di stato. Per ridurre questa minaccia, usare la firma SMB o IPsec tra i computer client e il punto di gestione.
Gestire le autorizzazioni del modello di certificato
Non aggiungere le autorizzazioni lettura e registrazione per gli utenti ai modelli di certificato. Non configurare il punto di registrazione del certificato per ignorare il controllo del modello di certificato.
Configuration Manager supporta il controllo aggiuntivo se si aggiungono le autorizzazioni di sicurezza di Lettura e Registrazione per gli utenti. Se l'autenticazione non è possibile, è possibile configurare il punto di registrazione del certificato per ignorare questo controllo. Ma nessuna delle due configurazioni è consigliata.
Per altre informazioni, vedere Pianificazione delle autorizzazioni del modello di certificato per i profili certificato.
Informazioni sulla privacy
È possibile usare i profili certificato per distribuire l'autorità di certificazione radice (CA) e i certificati client e quindi valutare se tali dispositivi diventano conformi dopo che il client ha applicato i profili. Il punto di gestione invia le informazioni di conformità al server del sito e Configuration Manager archivia tali informazioni nel database del sito. Le informazioni di conformità includono le proprietà del certificato, ad esempio il nome del soggetto e l'identificazione personale. Il client crittografa queste informazioni quando vengono inviate al punto di gestione, ma il database del sito non le archivia in un formato crittografato. Le informazioni sulla conformità non vengono inviate a Microsoft.
I profili certificato usano informazioni che Configuration Manager raccolgono usando l'individuazione. Per altre informazioni, vedere Informazioni sulla privacy per l'individuazione.
Per impostazione predefinita, i dispositivi non valutano i profili certificato. È necessario configurare i profili certificato e quindi distribuirli a utenti o dispositivi.
Nota
I certificati rilasciati a utenti o dispositivi potrebbero consentire l'accesso a informazioni riservate.