Configuration Manager中憑證設定檔的安全性和隱私權

適用於：Configuration Manager (目前的分支)

重要事項

從 2203 版開始，不再支援此公司資源存取功能。 如需詳細資訊，請 參閱資源存取淘汰的常見問題。

安全性指引

當您管理使用者和裝置的憑證設定檔時，請使用下列指引。

請遵循網路裝置註冊服務 (NDES) 的安全性指引

識別並遵循 NDES 的任何安全性指引。 例如，在 Internet Information Services 中設定 NDES 網站 (IIS) 要求 HTTPS 並忽略用戶端憑證。

如需詳細資訊，請參閱 網路裝置註冊服務指引。

為憑證設定檔選擇最安全的選項

當您設定 SCEP 憑證設定檔時，請選擇裝置和基礎結構可以支援的最安全選項。 識別、實作及遵循針對您的裝置和基礎結構建議的任何安全性指引。

集中指定使用者裝置親和性

手動指定使用者裝置親和性，而不是允許使用者識別其主要裝置。 請勿啟用以使用量為基礎的設定。

如果您在 SCEP 憑證設定檔中使用 [ 只允許在使用者主要裝置上註冊憑證] 選項，請勿將從使用者或裝置收集的資訊視為授權。 如果您使用此組態部署 SCEP 憑證設定檔，且受信任的系統管理使用者未指定使用者裝置親和性，未經授權的使用者可能會收到更高的許可權，並獲得憑證以進行驗證。

注意事項

如果您啟用以使用量為基礎的設定，則會使用狀態訊息來收集這項資訊。 Configuration Manager無法保護狀態訊息。 若要協助減輕此威脅，請在用戶端電腦與管理點之間使用 SMB 簽署或 IPsec。

管理憑證範本許可權

請勿將使用者的 讀 取和 註冊 許可權新增至憑證範本。 請勿將憑證註冊點設定為略過憑證範本檢查。

如果您為使用者新增讀取和註冊的安全性許可權，Configuration Manager支援額外的檢查。 如果無法進行驗證，您可以設定憑證註冊點來略過這項檢查。 但不建議進行任何設定。

如需詳細資訊，請參閱 規劃憑證設定檔的憑證範本許可權。

隱私權資訊

您可以使用憑證設定檔，將根憑證授權單位部署 (CA) 和用戶端憑證，然後評估這些裝置在用戶端套用設定檔之後是否符合規範。 管理點會將合規性資訊傳送至月臺伺服器，Configuration Manager將該資訊儲存在月臺資料庫中。 合規性資訊包括憑證屬性，例如主體名稱和指紋。 用戶端會在傳送至管理點時加密這項資訊，但月臺資料庫不會以加密格式儲存。 合規性資訊不會傳送至Microsoft。

憑證設定檔會使用Configuration Manager使用探索收集的資訊。 如需詳細資訊，請參閱 探索的隱私權資訊。

根據預設，裝置不會評估憑證設定檔。 您必須設定憑證設定檔，然後將它們部署到使用者或裝置。

注意事項

發行給使用者或裝置的憑證可能會允許存取機密資訊。