正常性構成証明による侵害デバイスの検出

正常性構成証明は、デバイスの起動時にスキャンを行って整合性の欠陥を検知します。健全性構成証明を使用して、Workspace ONE UEM で管理されているときに侵害状態になった Windows デスクトップデバイスを検出します。

企業リソースにアクセスするデバイスの正常性を検証することは、BYOD と企業所有デバイス展開の双方において重要です。Windows の正常性構成証明サービスは、セキュアな接続を使用してクラウドからデバイスのブート情報にアクセスします。この情報は、測定され、関連データポイントに対して検証され、デバイスのブート状態が正常であること、セキュリティの脆弱性や脅威の対象になっていないことを確認します。セキュアブート、コード整合性、BitLocker、ブートマネージャー等を測定します。

Workspace ONE UEM を使用して、Windows 正常性構成証明サービスを構成しデバイス順守を確実に行うことができます。有効にしたチェック項目のいずれかで失敗の結果が出ると、Workspace ONE UEM の順守ポリシーエンジンにより、構成されている順守ポリシーに基づく対応措置が取られます。この機能により、貴社の企業データを、侵害状態にあるデバイスからセキュアに保護することができます。Workspace ONE UEM は必要な情報を OS ではなくデバイスのハードウェアからプルするので、OS カーネルが侵害されている場合でも侵害状態デバイスを検出することができます。

Windows デスクトップ順守ポリシーの正常性構成証明を構成する

Windows の正常性認証サービスを使用して侵害デバイスを検出し、貴社のデバイスのセキュリティを保護します。このサービスにより、Workspace ONE UEM は、デバイスを起動する際に整合性を監視し、対応措置を取ることができます。

グループと設定 > すべての設定 > デバイスとユーザー > Windows > Windows デスクトップ > Windows 正常性構成証明 と進みます。
オンプレミス環境で、正常性構成証明を実行しているカスタムサーバを使用している場合、カスタムサーバを使用 を選択します。サーバ URL フィールドの値を入力します。

正常性認証設定を構成します。

設定	説明
カスタムサーバを使用	正常性構成証明用のカスタムサーバを構成する場合、このオプションを有効にします。このオプションを有効にする場合、Windows Server 2016 以降を実行しているサーバが必要です。このオプションを有効にすると、[サーバ URL] テキストボックスが表示されます。
サーバ URL	正常性構成証明用のカスタムサーバの URL を入力します。
セキュアブートのアクティベーション解除	デバイス上でセキュアブートがアクティベーション解除済みの場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。セキュアブート機能により、システムは、信頼できる工場出荷時状態で起動します。セキュアブートを有効にする場合、デバイス起動時に使用されるコアコンポーネントに、OEM から信頼された正しい暗号化署名が付いている必要があります。デバイス起動前に、UEFI ファームウェアによって暗号化署名が検証されます。改ざんされたファイルが検出された場合、システムは起動しません。
認証 ID キー (AIK) が存在しない	デバイス上に AIK がない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。デバイス上に認証 ID キー (AIK) がある場合、そのデバイス上に保証キー (EK) 証明書があることを意味します。そのデバイスは、EK 証明書を持っていないデバイスよりも信頼できます。
データ実行防止 (DEP) ポリシーのアクティベーション解除	デバイス上で DEP がアクティベーション解除済みの場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。データ実行防止 (DEP) ポリシーは、システムレベルで OS に組み込まれたメモリ保護機能です。このポリシーにより、既定のヒープ、スタック、メモリプールなどのデータページからコードが実行されることを禁止できます。DEP は、ハードウェアとソフトウェアの両方で適用されます。
BitLocker のアクティベーション解除	デバイス上で BitLocker 暗号化がアクティベーション解除されている場合、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
コードの整合性チェックのアクティベーション解除	デバイス上でコード整合性チェックがアクティベーション解除済みの場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。コード整合性検査とは、ドライバまたはシステムファイルがメモリに読み込まれるたびに、その整合性を検査するものです。未署名のドライバおよびシステムファイルは、コード整合性検査を受けてから、カーネルに読み込まれます。また、コード整合性検査では、管理者特権を持つユーザーが、悪意のあるソフトウェアによって改ざんされたシステムファイルを実行していないかどうかが検査されます。
起動時マルウェア対策のアクティベーション解除	デバイス上で起動時マルウェア対策 (ELAM) がアクティベーション解除済みの場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。 ELAM を有効にした場合、ネットワーク上のコンピュータが起動した後サードパーティ製ドライバが初期化される前に、コンピュータが保護されます。
コードの整合性バージョンチェック	コードの整合性バージョンチェックで失敗の結果が出た場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
ブートマネージャバージョンチェック	ブートマネージャバージョンチェックで失敗の結果が出た場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
ブートアプリセキュリティのバージョン番号確認	ブートアプリセキュリティのバージョン番号が入力された番号と合致しない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
ブートマネージャセキュリティのバージョン番号確認	ブートマネージャセキュリティのバージョン番号が入力された番号と合致しない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
高度な設定	「ソフトウェアバージョン識別子」セクションで高度な設定を構成するには、このオプションを有効にします。

[保存] を選択します。

親トピック：順守ポリシー