Configuration Managerでのコンテンツ管理のセキュリティとプライバシー
Configuration Manager (現在のブランチ) に適用
この記事には、Configuration Managerのコンテンツ管理に関するセキュリティとプライバシーに関する情報が含まれています。
セキュリティ ガイダンス
イントラネット配布ポイントの HTTPS または HTTP の長所と短所
イントラネット上の配布ポイントの場合は、HTTPS または HTTP を使用する利点と欠点を考慮してください。 ほとんどのシナリオでは、承認に HTTP アクセス アカウントとパッケージ アクセス アカウント を使用すると、暗号化で HTTPS を使用するよりもセキュリティが高くなりますが、承認は必要ありません。 ただし、転送中に暗号化する機密データがコンテンツに含まれる場合は、HTTPS を使用します。
配布ポイントに HTTPS を使用する場合: Configuration Managerは、パッケージ アクセス アカウントを使用してコンテンツへのアクセスを承認しません。 コンテンツは、ネットワーク経由で転送されるときに暗号化されます。
配布ポイントに HTTP を使用する場合: 承認にはパッケージ アクセス アカウントを使用できます。 コンテンツは、ネットワーク経由で転送されるときに暗号化されません。
サイトの 拡張 HTTP を有効にすることを検討してください。 この機能により、クライアントはMicrosoft Entra認証を使用して、HTTP 配布ポイントと安全に通信できます。 詳細については、「 拡張 HTTP」を参照してください。
重要
バージョン 2103 Configuration Manager以降、HTTP クライアント通信を許可するサイトは非推奨となりました。 HTTPS または拡張 HTTP 用にサイトを構成します。 詳細については、「 HTTPS 専用または拡張 HTTP のサイトを有効にする」を参照してください。
クライアント認証証明書ファイルを保護する
配布ポイントに自己署名証明書ではなく PKI クライアント認証証明書を使用する場合は、証明書ファイル (.pfx) を強力なパスワードで保護します。 ファイルをネットワークに保存する場合は、ファイルをConfiguration Managerにインポートするときにネットワーク チャネルをセキュリティで保護します。
配布ポイントが管理ポイントとの通信に使用するクライアント認証証明書をインポートするためにパスワードが必要な場合、この構成は、証明書を攻撃者から保護するのに役立ちます。 攻撃者が証明書ファイルを改ざんするのを防ぐには、ネットワークの場所とサイト サーバーの間でサーバー メッセージ ブロック (SMB) 署名または IPsec を使用します。
サイト サーバーから配布ポイントの役割を削除する
既定では、Configuration Managerセットアップでは、サイト サーバーに配布ポイントがインストールされます。 クライアントはサイト サーバーと直接通信する必要はありません。 攻撃対象領域を減らすには、配布ポイントの役割を他のサイト システムに割り当て、サイト サーバーから削除します。
パッケージ アクセス レベルでコンテンツをセキュリティで保護する
配布ポイント共有では、すべてのユーザーへの読み取りアクセスが許可されます。 コンテンツにアクセスできるユーザーを制限するには、配布ポイントが HTTP 用に構成されている場合にパッケージ アクセス アカウントを使用します。 この構成は、パッケージ アクセス アカウントをサポートしていないコンテンツ対応クラウド管理ゲートウェイには適用されません。
詳細については、「 パッケージ アクセス アカウント」を参照してください。
配布ポイントロールで IIS を構成する
配布ポイント サイト システムの役割を追加するときに IIS をインストールConfiguration Manager場合は、配布ポイントのインストールが完了したときに HTTP リダイレクトと IIS 管理スクリプトとツールを削除します。 配布ポイントでは、これらのコンポーネントは必要ありません。 攻撃対象を減らすには、Web サーバー ロールのこれらのロール サービスを削除します。
配布ポイントの Web サーバー ロールの役割サービスの詳細については、「 サイトとサイト システムの前提条件」を参照してください。
パッケージの作成時にパッケージ アクセス許可を設定する
パッケージ ファイルのアクセス アカウントに対する変更は、パッケージを再配布する場合にのみ有効になるため、パッケージの初回作成時にパッケージアクセス許可を慎重に設定します。 この構成は、パッケージが大きい場合や多数の配布ポイントに配布されている場合、およびコンテンツ配布のネットワーク帯域幅容量が制限されている場合に重要です。
事前設定されたコンテンツを含むメディアを保護するためのアクセス制御を実装する
事前設定されたコンテンツ は圧縮されますが、暗号化されません。 攻撃者は、デバイスにダウンロードされたファイルを読み取り、変更する可能性があります。 Configuration Managerクライアントは、改ざんされたコンテンツを拒否しますが、それでもダウンロードします。
ExtractContent を使用して事前設定されたコンテンツをインポートする
ExtractContent.exe コマンド ライン ツールを使用して事前設定されたコンテンツのみをインポートします。 権限の改ざんと昇格を回避するには、Configuration Managerに付属する承認されたコマンド ライン ツールのみを使用します。
詳細については、「 コンテンツのデプロイと管理」を参照してください。
サイト サーバーとパッケージ ソースの場所の間の通信チャネルをセキュリティで保護する
コンテンツを含むアプリケーション、パッケージ、その他のオブジェクトを作成するときは、サイト サーバーとパッケージ ソースの場所の間で IPsec または SMB 署名を使用します。 この構成は、攻撃者がソース ファイルを改ざんするのを防ぐのに役立ちます。
配布ポイントロールを持つカスタム Web サイトの既定の仮想ディレクトリを削除する
配布ポイントの役割をインストールした後で、既定の Web サイトではなくカスタム Web サイトを使用するようにサイト構成オプションを変更する場合は、既定の仮想ディレクトリを削除します。 既定の Web サイトからカスタム Web サイトに切り替えた場合、Configuration Managerは古い仮想ディレクトリを削除しません。 既定の Web サイトで最初に作成Configuration Manager次の仮想ディレクトリを削除します。
SMS_DP_SMSPKG$
SMS_DP_SMSSIG$
NOCERT_SMS_DP_SMSPKG$
NOCERT_SMS_DP_SMSSIG$
カスタム Web サイトの使用の詳細については、「 サイト システム サーバーの Web サイト」を参照してください。
コンテンツが有効なクラウド管理ゲートウェイの場合は、Azure サブスクリプションの詳細と証明書を保護します
コンテンツ対応クラウド管理ゲートウェイ (CMG) を使用する場合は、次の価値の高い項目を保護します。
- Azure サブスクリプションのユーザー名とパスワード
- Azure アプリ登録の秘密キー
- サーバー認証証明書
証明書を安全に保存します。 CMG を構成するときにネットワーク経由で参照する場合は、サイト システム サーバーとソースの場所の間で IPsec または SMB 署名を使用します。
サービス継続性のために、CMG 証明書の有効期限を監視します
Configuration Managerは、CMG のインポートされた証明書の有効期限が切れそうになったときに警告しません。 有効期限は、Configuration Managerとは別に監視します。 有効期限が切れる前に、新しい証明書を更新してからインポートしてください。 このアクションは、更新された証明書を取得するためにさらに時間がかかる場合があるため、外部のパブリック プロバイダーからサーバー認証証明書を取得する場合に重要です。
証明書の有効期限が切れた場合、Configuration Manager クラウド サービス マネージャーは ID 9425 の状態メッセージを生成します。 CloudMgr.log ファイルには、証明書の 有効期限が切れた状態であることを示すエントリが含まれています。有効期限は UTC でも記録されます。
セキュリティに関する考慮事項
クライアントは、ダウンロードされるまでコンテンツを検証しません。 Configuration Managerクライアントは、コンテンツがクライアント キャッシュにダウンロードされた後にのみハッシュを検証します。 攻撃者がダウンロードするファイルの一覧やコンテンツ自体を改ざんした場合、ダウンロード プロセスでかなりのネットワーク帯域幅を占有する可能性があります。 次に、無効なハッシュが見つかると、クライアントはコンテンツを破棄します。
コンテンツ対応クラウド管理ゲートウェイを使用する場合:
コンテンツへのアクセスがorganizationに自動的に制限されます。 選択したユーザーまたはグループに制限することはできません。
管理ポイントは、最初にクライアントを認証します。 次に、クライアントはConfiguration Manager トークンを使用してクラウド ストレージにアクセスします。 トークンは 8 時間有効です。 この動作は、信頼されなくなったためにクライアントをブロックした場合、このトークンの有効期限が切れるまでクラウド ストレージからコンテンツをダウンロードし続けることができることを意味します。 クライアントがブロックされているため、管理ポイントは別のトークンを発行しません。
ブロックされたクライアントがこの 8 時間以内にコンテンツをダウンロードしないようにするには、クラウド サービスを停止します。 Configuration Manager コンソールで、[管理] ワークスペースに移動し、[Cloud Services] を展開し、[Cloud Management Gateway] ノードを選択します。
プライバシー情報
Configuration Managerには、コンテンツ ファイルにユーザー データは含まれませんが、管理ユーザーがこの操作を行うことを選択する場合があります。