Windows の正常性構成証明サービスを使用して侵害デバイスを検出し、貴社のデバイスのセキュリティを保護します。このサービスにより、AirWatch は、デバイスをブートする際に整合性を監視し、対応措置を取ることができます。

侵害状態に関する順守ポリシーは、TPM(トラステッド プラットフォーム モジュール)1.2 以降の Windows 10 Mobile デバイスに適用されます。

手順

  1. [グループと設定] > [すべての設定] > [デバイスとユーザー] > [Windows] > [Windows Phone] > [Windows 正常性認証] の順に進みます。
  2. (任意)オンプレミス環境で、正常性構成証明を実行しているカスタム サーバを使用している場合、[カスタム サーバを使用] を選択します。[サーバ URL] フィールドの値を入力します。
  3. 正常性認証設定を構成します。
    表 1. 侵害状態の定義
    設定 説明
    [カスタム サーバを使用]

    正常性構成証明用のカスタム サーバを構成する場合、このオプションを有効にします。

    このオプションを有効にする場合、Windows Server 2016 以降を実行しているサーバが必要です。

    このオプションを有効にすると、[サーバ URL] フィールドが表示されます。

    [サーバ URL] 正常性構成証明用のカスタム サーバの URL を入力します。
    [セキュアブート無効化]

    デバイス上でセキュア ブートが無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    セキュア ブート機能により、システムは、信頼できる工場出荷時状態で起動します。セキュア ブートを有効にする場合、デバイス起動時に使用されるコア コンポーネントに、OEM から信頼された正しい暗号化署名が付いている必要があります。デバイス起動前に、UEFI ファームウェアによって暗号化署名が検証されます。改ざんされたファイルが検出された場合、システムは起動しません。

    [認証 ID キー (AIK) が存在しない]

    デバイス上に AIK がない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    デバイス上に認証 ID キー (AIK) がある場合、そのデバイス上に保証キー (EK) 証明書があることを意味します。そのデバイスは、EK 証明書を持っていないデバイスよりも信頼できます。

    [データ実行防止 (DEP) ポリシー無効化]

    デバイス上で DEP が無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    データ実行防止 (DEP) ポリシーは、システム レベルで OS に組み込まれたメモリ保護機能です。このポリシーにより、既定のヒープ、スタック、メモリ プールなどのデータ ページからコードが実行されることを禁止できます。DEP は、ハードウェアとソフトウェアの両方で適用されます。

    [BitLocker 無効化]

    デバイス上で BitLocker 暗号化が無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    [コードの整合性チェック無効化]

    デバイス上でコード整合性チェックが無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    コード整合性検査とは、ドライバまたはシステム ファイルがメモリに読み込まれるたびに、その整合性を検査するものです。未署名のドライバおよびシステム ファイルは、コード整合性検査を受けてから、カーネルに読み込まれます。また、コード整合性検査では、管理者特権を持つユーザーが、悪意のあるソフトウェアによって改ざんされたシステム ファイルを実行していないかどうかが検査されます。

    [起動時マルウェア対策無効化]

    デバイス上で起動時マルウェア対策 (ELAM) が無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    ELAM を有効にした場合、ネットワーク上のコンピュータが起動した後サードパーティ製ドライバが初期化される前に、コンピュータが保護されます。

    [コードの整合性バージョンチェック] コードの整合性バージョン チェックで失敗の結果が出た場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
    [ブート マネージャ バージョンチェック] ブート マネージャ バージョン チェックで失敗の結果が出た場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
    ブート アプリ セキュリティのバージョン番号確認 ブート アプリ セキュリティのバージョン番号が入力された番号と合致しない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
    ブートマネージャセキュリティのバージョン番号確認 ブート マネージャ セキュリティのバージョン番号が入力された番号と合致しない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
    [高度な設定] 「ソフトウェア バージョン識別子」 セクションで高度な設定を構成するには、このオプションを有効にします。

次のタスク

詳細は、正常性構成証明に関する Microsoft TechNet 記事を参照してください。