共用方式為


Configuration Manager 中網站管理的安全性和隱私權

適用於:Configuration Manager (目前的分支)

本文包含 Configuration Manager 網站和階層的安全性和隱私權資訊。

月臺管理的安全性指引

使用下列指引來協助您保護 Configuration Manager 月臺和階層。

從信任的來源執行安裝程式並保護通訊

若要協助防止有人竄改來源檔案,請從受信任的來源執行 Configuration Manager 設定。 如果您將檔案儲存在網路上,請保護網路位置。

如果您確實從網路位置執行安裝程式,為了協助防止攻擊者在透過網路傳輸檔案時竄改檔案,請在安裝程式檔案的來源位置與月臺伺服器之間使用 IPsec 或 SMB 簽署。

如果您使用安裝程式下載程式來下載安裝程式所需的檔案,請確定您保護儲存這些檔案的位置。 此外,當您執行安裝程式時,也會保護此位置的通道。

擴充 Active Directory 架構並將網站發佈至網域

架構延伸模組不需要執行 Configuration Manager,但它們確實會建立更安全的環境。 用戶端和月台伺服器可以從信任的來源擷取資訊。

如果客戶端位於不受信任的網域中,請在用戶端的網域中部署下列月台系統角色:

  • 管理點

  • 發佈點

注意事項

Configuration Manager 的受信任網域需要 Kerberos 驗證。 如果客戶端位於與月臺伺服器樹系沒有雙向樹系信任的另一個樹系中,則這些客戶端會被視為位於不受信任的網域中。 外部信任不足以達到此目的。

使用 IPsec 保護通訊

雖然 Configuration Manager 會保護月臺伺服器與執行 SQL Server 計算機之間的通訊,但 Configuration Manager 無法保護月台系統角色與 SQL Server 之間的通訊。 您只能使用 HTTPS 設定某些站台系統進行內部通訊。

如果您未使用其他控制件來保護這些伺服器對伺服器通道,攻擊者可以對月台系統使用各種詐騙和攔截式攻擊。 當您無法使用 IPsec 時,請使用 SMB 簽署。

重要事項

保護站臺伺服器與封裝來源伺服器之間的通道。 此通訊使用SMB。 如果您無法使用 IPsec 來保護此通訊,請使用 SMB 簽署來確保檔案在用戶端下載並執行之前不會遭到竄改。

請勿變更預設安全組

請勿變更 Configuration Manager 建立和管理站台系統通訊的下列安全組:

  • <SMS_SiteSystemToSiteServerConnection_MP_SiteCode>

  • <SMS_SiteSystemToSiteServerConnection_SMSProv_SiteCode>

  • <SMS_SiteSystemToSiteServerConnection_Stat_SiteCode>

Configuration Manager 會自動建立和管理這些安全組。 此行為包括移除月台系統角色時移除電腦帳戶。

若要確保服務持續性和最低許可權,請勿手動編輯這些群組。

管理受信任的根金鑰佈建程式

如果客戶端無法查詢全域編錄以取得 Configuration Manager 資訊,則必須依賴受信任的根密鑰來驗證有效的管理點。 受信任的根金鑰會儲存在用戶端登錄中。 您可以使用組策略或手動設定來設定。

如果用戶端在第一次連絡管理點之前沒有受信任根密鑰的復本,則會信任與其通訊的第一個管理點。 若要降低攻擊者將客戶端誤導向至未經授權管理點的風險,您可以使用受信任的根密鑰預先佈建用戶端。 如需詳細資訊,請參閱 規劃受信任的根密鑰

使用非預設埠號碼

使用非預設埠號碼可以提供額外的安全性。 這會讓攻擊者更難探索環境,以準備攻擊。 如果您決定使用非預設埠,請先規劃這些埠,再安裝 Configuration Manager。 在階層中的所有站臺上一致地使用它們。 用戶端要求埠和網路喚醒是您可以使用非預設埠號碼的範例。

在站台系統上使用角色隔離

雖然您可以在單一計算機上安裝所有站台系統角色,但此做法很少用於生產網路。 它會建立單一失敗點。

減少攻擊配置檔

隔離不同伺服器上的每個月台系統角色,可減少針對不同月台系統上弱點的攻擊機會。 許多角色都需要在月台系統上安裝 Internet Information Services (IIS) ,而這需要增加受攻擊面。 如果您必須合併角色以減少硬體支出,請只將 IIS 角色與其他需要 IIS 的角色合併。

重要事項

後援狀態點角色是例外狀況。 由於此站台系統角色接受來自用戶端的未經驗證數據,因此請勿將後援狀態點角色指派給任何其他 Configuration Manager 月臺系統角色。

設定站台系統的靜態IP位址

靜態IP位址更容易防止名稱解析攻擊。

靜態IP位址也可讓IPsec的設定變得更容易。 使用 IPsec 是保護 Configuration Manager 中站台系統間通訊的安全性最佳做法。

請勿在月台系統伺服器上安裝其他應用程式

當您在月台系統伺服器上安裝其他應用程式時,會增加 Configuration Manager的攻擊面。 您也會面臨不相容問題的風險。

需要簽署並啟用加密作為月台選項

啟用網站的簽署和加密選項。 請確定所有用戶端都可以支援SHA-256哈希演算法,然後啟用 [ 需要SHA-256] 選項

限制和監視系統管理使用者

僅將系統管理存取權授與 Configuration Manager 給您信任的使用者。 然後使用內建安全性角色或自定義安全性角色,授與他們最低許可權。 可以建立、修改及部署軟體和設定的系統管理使用者,可能會控制 Configuration Manager階層中的裝置。

定期稽核系統管理使用者指派及其授權層級,以驗證必要的變更。

如需詳細資訊, 請參閱設定以角色為基礎的系統管理

保護 Configuration Manager 備份

當您備份 Configuration Manager 時,此資訊會包含憑證和其他敏感數據,攻擊者可能用來進行模擬。

當您透過網路傳輸此資料時,請使用SMB簽署或IPsec,並保護備份位置。

匯出物件的安全位置

每當您從 Configuration Manager 控制台匯出或匯入物件至網路位置時,請保護位置並保護網路通道。

限制誰可以存取網路資料夾。

若要防止攻擊者竄改匯出的數據,請在網路位置與月臺伺服器之間使用SMB簽署或IPsec。 同時保護執行 Configuration Manager 主控台和月台伺服器之電腦之間的通訊。 使用 IPsec 來加密網路上的數據,以防止資訊洩漏。

從失敗的伺服器手動移除憑證

如果站台系統未正確卸載,或停止運作且無法還原,請從其他 Configuration Manager 伺服器手動移除此伺服器的 Configuration Manager 憑證。

若要移除原先使用月台系統和站臺系統角色建立的對等信任,請在其他月台系統伺服器的受信任 人員 證書存儲中,手動移除失敗伺服器的 Configuration Manager 憑證。 如果您在不重新格式化伺服器的情況下重複使用伺服器,此動作很重要。

如需詳細資訊,請參閱 伺服器通訊的密碼編譯控件

請勿設定以因特網為基礎的月臺系統來橋接周邊網路

請勿將月台系統伺服器設定為多宿主,使其連線到周邊網路和內部網路。 雖然此設定可讓以因特網為基礎的月臺系統接受來自因特網和內部網路的用戶端連線,但會消除周邊網路與內部網路之間的安全性界限。

設定站台伺服器以起始周邊網路的連線

如果站台系統位於不受信任的網路上,例如周邊網路,請將月臺伺服器設定為起始月台系統的連線。

根據預設,月台系統會起始月台伺服器的連線以傳輸數據。 當連線起始是從不受信任的網路到受信任的網路時,此設定可能會有安全性風險。 當月台系統接受來自因特網的連線,或位於不受信任的樹系中時,請將月台系統選項設定為 [要求月臺伺服器起始與此站台系統的連線]。 安裝站台系統和任何角色之後,所有連線都會由月臺伺服器從信任的網路起始。

使用 SSL 橋接和終止搭配驗證

如果您使用 Web Proxy 伺服器進行以因特網為基礎的用戶端管理,請使用 SSL 橋接至 SSL,方法是使用終止搭配驗證。

當您在 Proxy Web 伺服器上設定 SSL 終止時,來自因特網的封包會在轉送至內部網路之前受到檢查。 Proxy 網頁伺服器會驗證來自用戶端的連線、將其終止,然後開啟新的已驗證連線至以因特網為基礎的站台系統。

當 Configuration Manager 用戶端電腦使用 Proxy 網頁伺服器連線到以因特網為基礎的月臺系統時,用戶端身分識別 (GUID) 會安全地包含在封包承載中。 然後,管理點不會將 Proxy 網頁伺服器視為用戶端。

如果您的 Proxy Web 伺服器無法支援 SSL 橋接的需求,也支援 SSL 通道。 此選項較不安全。 來自因特網的 SSL 封包會轉送到月台系統,而不會終止。 然後就無法檢查是否有惡意內容。

警告

由 Configuration Manager 註冊的行動裝置無法使用 SSL 橋接。 他們必須只使用 SSL 通道。

設定月臺以喚醒電腦以安裝軟體時所要使用的設定

  • 如果您使用傳統的喚醒封包,請使用單播,而不是子網導向的廣播。

  • 如果您必須使用子網導向的廣播,請將路由器設定為只允許來自月台伺服器的IP導向廣播,且只允許在非預設埠號碼上進行。

如需不同網路喚醒技術的詳細資訊,請參閱 規劃如何喚醒用戶端

如果您使用電子郵件通知,請設定對 SMTP 郵件伺服器的已驗證存取

盡可能使用支援已驗證存取的郵件伺服器。 使用站臺伺服器的電腦帳戶進行驗證。 如果您必須指定使用者帳戶進行驗證,請使用具有最低許可權的帳戶。

強制執行LDAP通道系結和LDAP簽署

您可以藉由將伺服器設定為拒絕簡單驗證和安全性層 (SASL) 不要求簽署的LDAP系結,或拒絕在純文本聯機上執行的LDAP簡單系結,來改善 Active Directory 域控制器的安全性。 從 1910 版開始,Configuration Manager 支持強制執行 LDAP 通道系結和 LDAP 簽署。 如需詳細資訊,請 參閱 2020 LDAP 通道系結和 Windows 的 LDAP 簽署需求

月台伺服器的安全性指引

使用下列指引來協助您保護 Configuration Manager 月臺伺服器。

警告

網路存取帳戶 - 不要將互動式登入許可權授與 SQL Server 上的此帳戶。 請勿授與此帳戶將計算機加入網域的許可權。 如果您必須在工作順序期間將計算機加入網域,請使用工作順序網域加入帳戶。

在成員伺服器上安裝 Configuration Manager,而不是域控制器

Configuration Manager 月臺伺服器和站台系統不需要在域控制器上安裝。 域控制器沒有本機安全性帳戶管理 (SAM) 資料庫,而不是網域資料庫。 當您在成員伺服器上安裝 Configuration Manager 時,您可以在本機 SAM 資料庫中維護 Configuration Manager 帳戶,而不是在網域資料庫中維護帳戶。

此做法也會降低域控制器上的攻擊面。

安裝次要月臺而不透過網路複製檔案

當您執行安裝程式並建立次要月臺時,請勿選取將檔案從父月臺複製到次要月臺的選項。 也請勿使用網路來源位置。 當您透過網路複製檔案時,技術熟練的攻擊者可能會劫持次要月臺安裝套件,並在安裝檔案之前竄改檔案。 發生此攻擊的時機會很困難。 當您傳輸檔案時,可以使用 IPsec 或 SMB 來減輕此攻擊。

不要透過網路複製檔案,而是在次要月臺伺服器上,將來源檔案從媒體資料夾複製到本機資料夾。 然後,當您執行安裝程式來建立次要月臺時,請在 [ 安裝來源檔案 ] 頁面上,選取 [ 使用次要月臺計算機上下列位置的來源檔案 (最安全的) ,然後指定此資料夾。

如需詳細資訊,請 參閱安裝次要月臺

月臺角色安裝會繼承磁碟驅動器根目錄的許可權

將第一個月台系統角色安裝到任何伺服器之前,請務必正確設定系統磁碟驅動器許可權。 例如, C:\SMS_CCM 會從 C:\繼承許可權。 如果磁碟驅動器的根目錄未受到適當保護,則低許可權的使用者可以存取或修改 Configuration Manager資料夾中的內容。

SQL Server 的安全性指引

Configuration Manager 使用 SQL Server 做為後端資料庫。 如果資料庫遭到入侵,攻擊者可能會略過 Configuration Manager。 如果他們直接存取 SQL Server,則可以透過 Configuration Manager 來發動攻擊。 請將針對 SQL Server 的攻擊視為高風險,並適當地降低風險。

使用下列安全性指引來協助您保護 Configuration Manager 的 SQL Server。

請勿使用 Configuration Manager 月臺資料庫伺服器來執行其他 SQL Server 應用程式

當您增加 Configuration Manager 月臺資料庫伺服器的存取權時,此動作會增加 Configuration Manager 數據的風險。 如果 Configuration Manager 月臺資料庫遭到入侵,則相同 SQL Server 電腦上的其他應用程式也會面臨風險。

設定 SQL Server 以使用 Windows 驗證

雖然 Configuration Manager 使用 Windows 帳戶和 Windows 驗證 存取月臺資料庫,但仍可設定 SQL Server 使用 SQL Server 混合模式。 SQL Server 混合模式允許其他 SQL Server 登入來存取資料庫。 此設定並非必要,且會增加受攻擊面。

更新次要月臺的 SQL Server Express

當您安裝主要月臺時,Configuration Manager 從 Microsoft 下載中心下載 SQL Server Express。 然後,它會將檔案複製到主要月臺伺服器。 當您安裝次要月臺並選取安裝 SQL Server Express 的選項時,Configuration Manager 安裝先前下載的版本。 它不會檢查新版本是否可用。 若要確定次要月臺具有最新版本,請執行下列其中一項工作:

  • 安裝次要月臺之後,請在次要月臺伺服器上執行 Windows Update。

  • 安裝次要月臺之前,請先在次要月台伺服器上手動安裝 SQL Server Express。 請確定您已安裝最新版本和任何軟體更新。 然後安裝次要月臺,然後選取使用現有 SQL Server 實例的選項。

針對所有已安裝的 SQL Server 版本定期執行 Windows Update。 此做法可確保其具有最新的軟體更新。

請遵循 SQL Server的一般指引

識別並遵循您版本 SQL Server 的一般指引。 不過,請考慮下列 Configuration Manager 需求:

  • 站台伺服器的電腦帳戶必須是執行 SQL Server 之電腦上 Administrators 群組的成員。 如果您遵循「明確佈建系統管理員主體」的 SQL Server 建議,您用來在月臺伺服器上執行安裝程式的帳戶必須是 SQL Server Users 群組的成員。

  • 如果您使用網域用戶帳戶安裝 SQL Server,請確定月臺伺服器計算機帳戶已針對發佈至 Active Directory 網域服務 的服務主體名稱 (SPN) 設定。 如果沒有SPN,Kerberos 驗證會失敗,Configuration Manager 設定會失敗。

執行 IIS 之站台系統的安全性指引

Configuration Manager 中的數個月台系統角色都需要 IIS。 保護 IIS 的程式可讓 Configuration Manager 正常運作,並降低安全性攻擊的風險。 如果可行,請將需要 IIS 的伺服器數目降至最低。 例如,請只執行支援客戶端基礎所需的管理點數目,並考慮因特網型用戶端管理的高可用性和網路隔離。

使用下列指引來協助您保護執行 IIS 的站台系統。

停用您不需要的 IIS 函式

僅針對您安裝的月台系統角色安裝最低 IIS 功能。 如需詳細資訊,請參閱 月臺和月臺系統必要條件

將月臺系統角色設定為需要 HTTPS

當用戶端使用 HTTP 而非使用 HTTPS 連線到站台系統時,會使用 Windows 驗證。 此行為可能會回復為使用NTLM驗證,而不是 Kerberos 驗證。 使用 NTLM 驗證時,用戶端可能會連線到 Rogue 伺服器。

本指引的例外狀況可能是發佈點。 針對 HTTPS 設定發布點時,套件存取帳戶無法運作。 套件存取帳戶會提供內容的授權,讓您可以限制哪些使用者可以存取內容。 如需詳細資訊,請參閱 內容管理的安全性指引

重要事項

從 Configuration Manager 2103 版開始,允許 HTTP 用戶端通訊的網站已被取代。 設定 HTTPS 或增強式 HTTP 的網站。 如需詳細資訊,請參閱 啟用僅限 HTTPS 或增強 HTTP 的網站

在 IIS 中設定站台系統角色的憑證信任清單 (CTL)

月臺系統角色:

  • 您為 HTTPS 設定的發佈點

  • 您為 HTTPS 設定並啟用以支援行動裝置的管理點

CTL 是受信任跟證書頒發機構單位的定義清單, (CA) 。 當您使用 CTL 搭配組策略和公鑰基礎結構 (PKI) 部署時,CTL 可讓您補充網路上設定的現有受信任根 CA。 例如,隨 Microsoft Windows 自動安裝或透過 Windows 企業根 CA 新增的 CA。 在 IIS 中設定 CTL 時,它會定義這些受信任根 CA 的子集。

此子集可讓您更充分掌控安全性。 CTL 會將客戶端憑證限製為只接受從 CTL 中 CA 清單發出的憑證。 例如,Windows 隨附一些已知的第三方 CA 憑證。

根據預設,執行 IIS 的計算機會信任鏈結至這些已知 CA 的憑證。 當您未為列出的月台系統角色設定 IIS 與 CTL 時,月臺會接受為有效的用戶端,任何具有從這些 CA 簽發憑證的裝置。 如果您使用不包含這些 CA 的 CTL 來設定 IIS,如果憑證鏈結至這些 CA,月臺就會拒絕用戶端連線。 若要讓 Configuration Manager 用戶端接受列出的站台系統角色,您必須使用 CTL 來設定 IIS,以指定 Configuration Manager 用戶端所使用的 CA。

注意事項

只有列出的月台系統角色需要您在 IIS 中設定 CTL。 Configuration Manager 用於管理點的憑證簽發者清單,會在用戶端計算機連線到 HTTPS 管理點時,提供相同的功能。

如需如何在 IIS 中設定受信任 CA 清單的詳細資訊,請參閱 IIS 檔。

不要將月臺伺服器放在具有 IIS 的電腦上

角色隔離有助於減少攻擊配置檔並改善復原能力。 站臺伺服器的電腦帳戶通常具有所有月台系統角色的系統管理許可權。 如果您使用用戶端推入安裝,則可能也會在 Configuration Manager 客戶端上擁有這些許可權。

使用專用 IIS 伺服器進行 Configuration Manager

雖然您可以在 IIS 伺服器上裝載多個 Web 應用程式,Configuration Manager 也使用這些應用程式,但此做法可大幅增加您的受攻擊面。 設定不良的應用程式可能會讓攻擊者取得 Configuration Manager 月台系統的控制權。 此缺口可能會讓攻擊者取得階層的控制權。

如果您必須在 Configuration Manager 月台系統上執行其他 Web 型應用程式,請為 Configuration Manager 月台系統建立自定義網站。

使用自訂網站

對於執行 IIS 的站台系統,請將 Configuration Manager 設定為使用自訂網站,而不是預設網站。 如果您必須在月台系統上執行其他 Web 應用程式,則必須使用自訂網站。 此設定是全網站設定,而不是特定月臺系統的設定。

當您使用自訂網站時,請移除預設虛擬目錄

當您從使用預設網站變更為使用自定義網站時,Configuration Manager 不會移除舊的虛擬目錄。 拿掉 Configuration Manager 原先在預設網站下建立的虛擬目錄。

例如,移除發佈點的下列虛擬目錄:

  • SMS_DP_SMSPKG$

  • SMS_DP_SMSSIG$

  • NOCERT_SMS_DP_SMSPKG$

  • NOCERT_SMS_DP_SMSSIG$

遵循 IIS 伺服器安全性指引

識別並遵循 IIS 伺服器版本的一般指引。 請將 Configuration Manager 針對特定月臺系統角色的任何需求納入考慮。 如需詳細資訊,請參閱 月臺和月臺系統必要條件

設定 IIS 自定義標頭

設定下列自訂標頭以停用MIME探查:

x-content-type-options: nosniff

如需詳細資訊,請參閱 自定義標頭

如果其他服務使用相同的 IIS 實例,請確定這些自定義標頭相容。

管理點的安全性指引

管理點是裝置與 Configuration Manager之間的主要介面。 請考慮對管理點及其執行的伺服器進行攻擊,使其具有高風險,並適當地降低風險。 套用所有適當的安全性指引,並監視異常活動。

使用下列指引來協助保護 Configuration Manager 中的管理點。

將管理點上的用戶端指派給相同的月臺

避免您將管理點上的 Configuration Manager 用戶端指派給管理點月臺以外的月臺。

如果您從舊版移轉至最新分支 Configuration Manager,請儘快將管理點上的用戶端移轉至新月臺。

後援狀態點的安全性指引

如果您在 Configuration Manager 中安裝後援狀態點,請使用下列安全性指引:

如需安裝後援狀態點時的安全性考慮詳細資訊,請參閱 判斷您是否需要後援狀態點

不要在相同的月台系統上執行任何其他角色

後援狀態點的設計目的是要接受來自任何計算機的未經驗證通訊。 如果您使用其他角色或域控制器來執行此月台系統角色,則該伺服器的風險會大幅增加。

使用 PKI 憑證安裝用戶端之前,請先安裝後援狀態點

如果 Configuration Manager 月台系統不接受 HTTP 用戶端通訊,您可能不知道用戶端因為 PKI 相關憑證問題而未受管理。 如果您將用戶端指派給後援狀態點,它們會透過後援狀態點回報這些憑證問題。

基於安全性理由,您無法在用戶端安裝後將後援狀態點指派給用戶端。 您只能在用戶端安裝期間指派此角色。

避免在周邊網路中使用後援狀態點

根據設計,後援狀態點會接受來自任何客戶端的數據。 雖然周邊網路中的後援狀態點可協助您針對以因特網為基礎的客戶端進行疑難解答,但請將疑難解答優點與接受可公開存取網路中未經驗證數據的月台系統風險進行平衡。

如果您在周邊網路或任何不受信任的網路中安裝後援狀態點,請設定月臺伺服器來起始數據傳輸。 請勿使用允許後援狀態點起始站台伺服器連線的預設設定。

月臺管理的安全性問題

檢閱下列 Configuration Manager 的安全性問題:

  • Configuration Manager 無法防禦使用 Configuration Manager 來攻擊網路的授權系統管理使用者。 未經授權的系統管理使用者具有高安全性風險。 它們可能會發動許多攻擊,包括下列策略:

    • 使用軟體部署,在組織中的每部 Configuration Manager 用戶端計算機上自動安裝和執行惡意軟體。

    • 在沒有客戶端許可權的情況下遠端控制 Configuration Manager 用戶端。

    • 設定快速輪詢間隔和極大量的清查。 此動作會對客戶端和伺服器建立阻斷服務攻擊。

    • 使用階層中的一個月臺,將數據寫入另一個月臺的 Active Directory 數據。

    站台階層是安全性界限。 請將網站視為僅限管理界限。

    稽核所有系統管理用戶活動,並定期檢閱稽核記錄。 要求所有 Configuration Manager 系統管理使用者在受僱用之前,先進行背景檢查。 需要定期重新檢查作為僱用條件。

  • 如果註冊點遭到入侵,攻擊者可以取得憑證進行驗證。 他們可以竊取註冊其行動裝置之用戶的認證。

    註冊點會與 CA 通訊。 它可以建立、修改和刪除 Active Directory 物件。 請勿在周邊網路中安裝註冊點。 一律監視異常活動。

  • 如果您允許以因特網為基礎的用戶端管理用戶原則,則會增加攻擊配置檔。

    除了使用 PKI 憑證進行用戶端對伺服器連線之外,這些設定還需要 Windows 驗證。 它們可能會回復為使用NTLM驗證,而不是 Kerberos。 NTLM 驗證容易遭受模擬和重新執行攻擊。 若要成功驗證因特網上的使用者,您必須允許從因特網型月台系統到域控制器的連線。

  • 站臺系統伺服器上需要 管理員$ 共用。

    Configuration Manager 月臺伺服器會使用 管理員$ 共用來連線到月台系統,並在月台系統上執行服務作業。 請勿停用或移除此共用。

  • Configuration Manager 使用名稱解析服務來連線到其他計算機。 這些服務很難防範下列安全性攻擊:

    • 詐騙
    • 篡改
    • 否認
    • 資訊洩漏
    • 拒絕服務
    • 提高許可權

    識別並遵循您用於名稱解析之 DNS 版本的任何安全性指引。

探索的隱私權資訊

探索會建立網路資源的記錄,並將它們儲存在 Configuration Manager 資料庫中。 探索數據記錄包含計算機資訊,例如IP位址、OS版本和計算機名稱。 您也可以設定 Active Directory 發現方法,以傳回貴組織儲存在 Active Directory 網域服務 中的任何資訊。

根據預設,Configuration Manager 啟用的唯一發現方法是活動訊號探索。 此方法只會探索已安裝 Configuration Manager 用戶端軟體的電腦。

探索資訊不會直接傳送給 Microsoft。 它會儲存在 Configuration Manager 資料庫中。 Configuration Manager 保留資料庫中的資訊,直到刪除數據為止。 此程式每隔 90 天會由月台維護工作 「刪除過時探索數據」進行一次。