Säkerhet och sekretess för certifikatprofiler i Configuration Manager

Använd följande rekommenderade säkerhetsmetoder när du hanterar certifikatprofiler för användare och enheter.

Regelverk för säkerhet	Mer information
Identifiera och följ rekommenderade säkerhetsmetoder för registreringstjänsten för nätverksenheter. Det innefattar att i Internet Information Services (IIS) konfigurera att webbplatsen för registreringstjänsten ska begära SSL och ignorera klientcertifikat.	Se Network Device Enrollment Service Guidance (Vägledning för registreringstjänsten för nätverksenheter) i Active Directory Certificate Services-biblioteket på TechNet.
När du konfigurerar SCEP-certifikatprofiler ska du välja det säkraste alternativet som enheterna och infrastrukturen har stöd för.	Identifiera, implementera och följ de säkerhetsmetoder som har rekommenderats för enheterna och infrastrukturen.
Definiera mappning mellan användare och enhet manuellt i stället för att tillåta att användarna identifierar sina primära enheter. Aktivera inte användningsbaserad konfigurering.	Om du klickar på alternativet Tillåt endast certifikatregistering på användarens primära enhet i en SCEP-certifikatprofil ska information som samlas in från användare eller enheten inte betraktas som auktoriserande. Om du distribuerar SCEP-certifikatprofiler med den här konfigurationen och en betrodd administrativ användare inte anger mappning mellan användare och enhet, kan ej auktoriserade användare få förhöjda behörigheter och tilldelas autentiseringscertifikat. Information Om du aktiverar användningsbaserad konfiguration samlas informationen in med hjälp av tillståndsmeddelanden som inte kontrolleras av Configuration Manager. Minimera hotrisken genom att använda SMB-signering eller IPsec mellan klientdatorerna och hanteringsplatsen.
Lägg inte till läs- och registreringsbehörigheter för användare av certifikatmallar, och konfigurera inte certifikatregistreringsplatsen att hoppa över certifikatmallskontrollen.	Det är inte rekommenderade säkerhetsmetoder, även om Configuration Manager har stöd för extra kontroll om du lägger till säkerhetsbehörigheterna för läsning och registrering och du kan konfigurera certifikatregistreringsplatsen att hoppa över kontrollen om autentisering inte kan utföras. Mer information finns i Planera certifikatmallsbehörighet för certifikatprofiler i Configuration Manager.

Du kan använda certifikatprofiler för att distribuera rotcertifikatutfärdar- och klientcertifikat, och sedan kontrollera enheternas kompatibilitet när profilerna har aktiverats. Hanteringsplatsen skickar kompatibilitetsinformation till platsservern och informationen lagras i platsdatabasen. Kompatibilitetsinformationen innehåller certifikategenskaper, som mottagarnamn och tumavtryck. Informationen krypteras när enheter skickar den till hanteringsplatsen men den lagras inte i krypterat format på platsdatabasen. Informationen sparas i databasen tills den raderas av platsunderhållsaktiviteten Ta bort föråldrade data för Configuration Manager, vilket sker var 90:e dag. Du kan konfigurera borttagningsintervallet. Information om kompatibilitet skickas inte till Microsoft.

För certifikatprofiler används information som Configuration Manager samlar in. Mer information om sekretessinformation för identifiering finns i avsnittet Sekretessinformation för identifiering i Säkerhet och sekretess för platsadministration i Configuration Manager.

Information
Certifikat som utfärdas till användare eller enheter kan ge åtkomst till konfidentiell information.

Som standard utvärderas inte certifikatprofiler av enheter. Du måste också konfigurera certifikatprofilerna och sedan distribuera dem till användare eller enheter.

Innan du konfigurerar certifikatprofiler bör du tänka igenom dina sekretesskrav.