Configuration Manager的安全性基本概念
適用於:Configuration Manager (目前的分支)
本文摘要說明任何 Configuration Manager 環境的下列基本安全性元件:
安全性層級
Configuration Manager 的安全性包含下列層級:
Windows OS 和網路安全性
第一層是由作系統和網路的 Windows 安全性功能所提供。 此層包含下列元件:
在 Configuration Manager元件之間傳輸檔案的檔案共用。
存取控制 清單 (ACL) ,以協助保護檔案和登錄機碼的安全。
因特網通訊協定安全性 (IPsec) ,以協助保護通訊安全。
設定安全策略的組策略。
分散式元件物件模型 (DCOM) 分散式應用程式的許可權,例如 Configuration Manager 控制台。
Active Directory 網域服務 儲存安全性主體。
Windows 帳戶安全性,包括 Configuration Manager 在安裝期間建立的一些群組。
網路基礎結構
網路安全性元件,例如防火牆和入侵偵測,有助於為整個環境提供防禦。 由業界標準公鑰基礎結構 (PKI) 實作所簽發的憑證,有助於提供驗證、簽署和加密。
Configuration Manager 安全性控制
根據預設,只有本機系統管理員才有權存取 Configuration Manager 主控台在您安裝它的電腦上所需的檔案和登錄機碼。
SMS 提供者
下一層安全性是以SMS提供者的存取權為基礎。 SMS 提供者是 Configuration Manager元件,可授與使用者查詢月臺資料庫以取得資訊的存取權。 SMS 提供者主要會透過 Windows Management Instrumentation (WMI) 公開存取權,同時也公開稱為 系統管理服務的 REST API。
根據預設,提供者的存取權僅限於本機 SMS Admins 群組的成員。 此群組一開始只包含安裝 Configuration Manager的使用者。 若要將其他帳戶許可權授與通用資訊模型 (CIM) 存放庫和 SMS 提供者,請將其他帳戶新增至 SMS Admins 群組。
您可以指定最小驗證層級,讓系統管理員存取 Configuration Manager 網站。 此功能會強制系統管理員以必要的層級登入 Windows。 如需詳細資訊,請參閱 規劃 SMS 提供者。
月臺資料庫許可權
最後一層安全性是以月臺資料庫中對象的許可權為基礎。 根據預設,本機系統帳戶和您用來安裝的用戶帳戶 Configuration Manager 可以管理月臺資料庫中的所有物件。 使用角色型系統管理,在 Configuration Manager 控制台中授與及限制其他系統管理用戶的許可權。
角色型管理
Configuration Manager 使用角色型系統管理來協助保護集合、部署和網站等物件。 此系統管理模型會針對所有月台和網站設定,集中定義和管理整個階層的安全性存取設定。
系統管理員會將 安全性角色 指派給系統管理使用者和群組許可權。 這些許可權會連線到不同的 Configuration Manager 物件類型,例如建立或變更客戶端設定。
安全性範圍 包含系統管理用戶負責管理之物件的特定實例。 例如,安裝 Configuration Manager 主控台的應用程式。
安全性角色、安全性範圍和集合的組合會定義系統管理使用者可以檢視和管理的物件。 Configuration Manager 會針對一般管理工作安裝一些預設安全性角色。 建立您自己的安全性角色,以支援您的特定商務需求。
如需詳細資訊,請參閱 角色型系統管理的基本概念。
保護用戶端端點
Configuration Manager 使用自我簽署或 PKI 憑證或 Microsoft Entra 令牌來保護與月台系統角色的客戶端通訊。 某些案例需要使用 PKI 憑證。 例如,以 因特網為基礎的用戶端管理,以及 行動裝置用戶端。
您可以設定用戶端連線以進行 HTTPS 或 HTTP 用戶端通訊的站臺系統角色。 用戶端電腦一律會使用最安全的方法進行通訊。 如果您有允許 HTTP 通訊的站台系統角色,用戶端電腦只會回復為使用較不安全的通訊方法。
重要事項
從 Configuration Manager 2103 版開始,允許 HTTP 用戶端通訊的網站已被取代。 設定 HTTPS 或增強式 HTTP 的網站。 如需詳細資訊,請參閱 啟用僅限 HTTPS 或增強 HTTP 的網站。
如需詳細資訊,請 參閱規劃安全性。
Configuration Manager 帳戶和群組
Configuration Manager 使用本機系統帳戶進行大部分的月臺作業。 某些月臺作業允許使用服務帳戶,而不是使用月臺伺服器的網域計算機帳戶。 某些管理工作可能需要您建立及維護其他帳戶。 例如,在 OS 部署工作順序期間加入網域。
Configuration Manager 會在安裝期間建立數個預設群組和 SQL Server 角色。 您可能必須手動將電腦或用戶帳戶新增至預設群組和 SQL Server 角色。
如需詳細資訊,請參閱 Configuration Manager 中使用的帳戶。
隱私權
實作 Configuration Manager 之前,請考慮您的隱私權需求。 雖然企業管理產品提供許多優點,因為它們可以有效地管理許多用戶端,但此軟體可能會影響組織中用戶的隱私權。 Configuration Manager 包含許多工具來收集數據和監視裝置。 某些工具可能會在您的組織中引發隱私權考慮。
例如,當您安裝 Configuration Manager 用戶端時,預設會啟用許多管理設定。 此設定會導致客戶端軟體將資訊傳送至 Configuration Manager 月臺。 月臺會將用戶端資訊儲存在月臺資料庫中。 用戶端資訊不會直接傳送至Microsoft。 如需詳細資訊,請參閱 診斷和使用方式數據。