Configuration Manager 中憑證配置檔的安全性和隱私權

適用於：Configuration Manager (目前的分支)

重要事項

從 2203 版開始，不再支援此公司資源存取功能。 如需詳細資訊，請 參閱資源存取淘汰的常見問題。

安全性指引

當您管理使用者和裝置的憑證配置檔時，請使用下列指引。

請遵循網路裝置註冊服務 (NDES) 的安全性指引

識別並遵循 NDES 的任何安全性指引。 例如，在 Internet Information Services 中設定 NDES 網站 (IIS) 要求 HTTPS 並忽略客戶端憑證。

如需詳細資訊，請參閱 網路裝置註冊服務指引。

為憑證配置檔選擇最安全的選項

當您設定 SCEP 憑證設定檔時，請選擇裝置和基礎結構可以支援的最安全選項。 識別、實作及遵循針對您的裝置和基礎結構建議的任何安全性指引。

集中指定使用者裝置親和性

手動指定使用者裝置親和性，而不是允許用戶識別其主要裝置。 請勿啟用以使用量為基礎的設定。

如果您在 SCEP 憑證設定檔中使用 [ 只允許在使用者主要裝置上註冊憑證] 選項，請勿將從使用者或裝置收集到的信息視為授權。 如果您使用此組態部署 SCEP 憑證配置檔，且受信任的系統管理使用者未指定使用者裝置親和性，未經授權的使用者可能會收到更高的許可權，並獲得憑證以進行驗證。

注意事項

如果您啟用以使用量為基礎的設定，則會使用狀態消息來收集這項資訊。 Configuration Manager 無法保護狀態消息。 若要協助減輕此威脅，請在用戶端電腦與管理點之間使用SMB簽署或IPsec。

管理證書範本許可權

請勿將使用者的 讀 取和 註冊 許可權新增至證書範本。 請勿將憑證註冊點設定為略過證書範本檢查。

如果您為使用者新增讀取和註冊的安全性許可權，Configuration Manager 支援額外的檢查。 如果無法進行驗證，您可以設定憑證註冊點來略過這項檢查。 但不建議進行任何設定。

如需詳細資訊，請參閱 規劃憑證配置檔的證書範本許可權。

隱私權資訊

您可以使用憑證配置檔，將跟證書授權單位部署 (CA) 和客戶端憑證，然後評估這些裝置在用戶端套用配置文件之後是否符合規範。 管理點會將合規性資訊傳送至月臺伺服器，Configuration Manager 將該資訊儲存在月臺資料庫中。 合規性資訊包括憑證屬性，例如主體名稱和指紋。 用戶端會在傳送至管理點時加密這項資訊，但月台資料庫不會以加密格式儲存。 合規性資訊不會傳送至Microsoft。

憑證配置檔使用 Configuration Manager 使用探索收集的資訊。 如需詳細資訊，請參閱 探索的隱私權資訊。

根據預設，裝置不會評估憑證配置檔。 您必須設定憑證配置檔，然後將它們部署到使用者或裝置。

注意事項

發行給使用者或裝置的憑證可能會允許存取機密資訊。