在 Configuration Manager 中規劃安全性

適用於：Configuration Manager (目前的分支)

本文說明在使用 Configuration Manager 實作規劃安全性時，要考慮的下列概念：

• 自我簽署和 PKI) (憑證

• 受信任的根金鑰

• 簽署和加密

• 角色型管理

• Microsoft Entra ID

• SMS 提供者驗證

開始之前，請確定您已熟悉 Configuration Manager 中的安全性基本概念。

憑證

Configuration Manager 使用自我簽署和公鑰基礎結構 (PKI) 數位證書的組合。 盡可能使用 PKI 憑證。 某些案例需要 PKI 憑證。 當 PKI 憑證無法使用時，月臺會自動產生自我簽署憑證。 某些案例一律會使用自我簽署憑證。

如需詳細資訊，請 參閱規劃憑證。

受信任的根金鑰

Configuration Manager 受信任的根密鑰提供機制，讓 Configuration Manager 客戶端確認月臺系統屬於其階層。 每個月臺伺服器都會產生月臺交換密鑰，以與其他月台通訊。 階層中最上層月臺的月臺交換金鑰稱為受信任的根密鑰。

Configuration Manager 中受信任根密鑰的功能類似於公鑰基礎結構中的跟證書。 受信任根密鑰的私鑰所簽署的任何專案，在階層中會進一步受到信任。 用戶端會將月臺受信任根密鑰的複本儲存在 WMI 命名空間中 root\ccm\locationservices 。

例如，月臺會將憑證簽發給管理點，並以受信任根密鑰的私鑰進行簽署。 月臺會與用戶端共用其受信任根金鑰的公鑰。 然後，用戶端可以區分其階層中的管理點，以及不在其階層中的管理點。

用戶端會使用兩種機制自動取得受信任根金鑰的公用複本：

• 您可以擴充 Configuration Manager 的 Active Directory 架構，並將網站發佈至 Active Directory 網域服務。 然後用戶端會從全域編錄伺服器擷取此網站資訊。 如需詳細資訊，請 參閱準備 Active Directory 以進行網站發佈。

• 當您使用用戶端推入安裝方法安裝用戶端時。 如需詳細資訊，請 參閱用戶端推入安裝。

如果客戶端無法使用其中一種機制取得受信任的根密鑰，則會信任與其通訊的第一個管理點所提供的受信任根密鑰。 在此案例中，用戶端可能會被錯誤導向到攻擊者的管理點，而攻擊者會從惡意管理點接收原則。 此動作需要複雜的攻擊者。 此攻擊僅限於用戶端從有效管理點擷取受信任根密鑰之前的短時間。 若要降低攻擊者將客戶端誤導向至 Rogue 管理點的風險，請使用受信任的根密鑰預先佈建用戶端。

如需管理受信任根密鑰的詳細資訊和程式，請參閱 設定安全性。

簽署和加密

當您針對所有客戶端通訊使用 PKI 憑證時，您不需要規劃簽署和加密來協助保護用戶端資料通訊。 如果您設定任何執行 IIS 的站台系統以允許 HTTP 用戶端連線，請決定如何協助保護月臺的客戶端通訊。

重要事項

從 Configuration Manager 2103 版開始，允許 HTTP 用戶端通訊的網站已被取代。 設定 HTTPS 或增強式 HTTP 的網站。 如需詳細資訊，請參閱 啟用僅限 HTTPS 或增強 HTTP 的網站。

若要協助保護用戶端傳送至管理點的數據，您可以要求用戶端簽署數據。 您也可以要求 SHA-256 演演算法進行簽署。 此設定更安全，但不需要SHA-256，除非所有客戶端都支援它。 許多作系統原本就支援此演算法，但較舊的作系統可能需要更新或 Hotfix。

雖然簽署有助於防止數據遭到竄改，但加密有助於防止數據洩漏資訊。 您可以為客戶端傳送至月臺管理點的清查資料和狀態訊息啟用加密。 您不需要在用戶端上安裝任何更新，即可支援此選項。 用戶端和管理點需要更多CPU使用方式來進行加密和解密。

注意事項

若要加密數據，用戶端會使用管理點加密憑證的公鑰。 只有管理點具有對應的私鑰，因此只能解密數據。

用戶端會使用管理點的簽署憑證來啟動此憑證，其會使用月臺受信任的根密鑰來啟動程式。 請務必在用戶端上安全地佈建受信任的根密鑰。 如需詳細資訊， 請參閱受信任的根密鑰。

如需如何設定簽署和加密設定的詳細資訊，請參閱設定 簽署和加密。

如需用於簽署和加密之密碼編譯演算法的詳細資訊，請參閱 密碼編譯控件技術參考。

角色型管理

透過 Configuration Manager，您可以使用角色型系統管理來保護系統管理使用者使用 Configuration Manager 所需的存取權。 您也可以保護對所管理物件的存取，例如集合、部署和網站。

透過安全性角色、安全性範圍和集合的組合，您可以隔離符合組織需求的系統管理指派。 它們會一起使用，以定義用戶的 系統管理範圍 。 此系統管理範圍會控制系統管理使用者在 Configuration Manager 控制台中檢視的物件，並控制使用者在這些對象上擁有的許可權。

如需詳細資訊，請參閱 角色型系統管理的基本概念。

Microsoft Entra ID

Configuration Manager 與 Microsoft Entra ID 整合，讓網站和客戶端能夠使用新式驗證。

如需 Microsoft Entra ID 的詳細資訊，請參閱 Microsoft Entra 檔。

使用 Microsoft Entra ID 將您的網站上線支援下列 Configuration Manager 案例：

用戶端案例

• 透過雲端管理閘道管理因特網上的用戶端

• 管理已加入雲端網域的裝置

• 共同管理

• 部署使用者可用的應用程式

• 商務用 Microsoft Store 在線應用程式

• 管理 Microsoft 365 Apps 企業版

伺服器案例

• 租用戶附加

• 端點分析

• Azure Log Analytics

• 社群中樞

• 使用者探索

SMS 提供者驗證

您可以指定最小驗證層級，讓系統管理員存取 Configuration Manager 網站。 此功能會強制系統管理員以必要的層級登入 Windows，才能存取 Configuration Manager。 它適用於存取SMS提供者的所有元件。 例如，Configuration Manager 主控台、SDK 方法和 Windows PowerShell Cmdlet。

Configuration Manager 支援下列驗證層級：

• Windows 驗證：需要使用Active Directory網域認證進行驗證。 此設定是先前的行為，以及目前的預設設定。

• 憑證驗證：需要使用受信任 PKI 證書頒發機構單位所簽發的有效憑證進行驗證。 您未在 Configuration Manager 中設定此憑證。 Configuration Manager 需要系統管理員使用 PKI 登入 Windows。

• Windows Hello 企業版 驗證：需要使用系結至裝置並使用生物特徵辨識或 PIN 的強式雙因素驗證進行驗證。 如需詳細資訊，請參閱 Windows Hello 企業版。

  重要事項

  當您選取此設定時，SMS 提供者和管理服務會要求使用者的驗證令牌包含來自 Windows Hello 企業版 的 MFA) 宣告 (多重要素驗證。 換句話說，主控台、SDK、PowerShell 或系統管理服務的用戶必須使用其 Windows Hello 企業版 PIN 或生物特徵辨識向 Windows 進行驗證。 否則，網站會拒絕用戶的動作。

  此行為適用於 Windows Hello 企業版，而不是 Windows Hello。

如需如何設定此設定的詳細資訊，請參閱設定 SMS提供者驗證。

後續步驟

• Configuration Manager 中的憑證

• 規劃 PKI 憑證

• 設定安全性

• 密碼編譯控制技術參考