Windows の正常性構成証明サービスを使用して侵害デバイスを検出し、貴社のデバイスのセキュリティを保護します。このサービスにより、Workspace ONE UEM は、デバイスを起動する際に整合性を確認し、対応措置を取ることができます。

手順

  1. [グループと設定] > [すべての設定] > [デバイスとユーザー] > [Windows] > [Windows デスクトップ] > [Windows 正常性認証] の順に進みます。
  2. (オプション) オンプレミス環境で、正常性構成証明を実行しているカスタム サーバを使用している場合、[カスタム サーバを使用] を選択します。[サーバ URL] フィールドの値を入力します。
  3. 正常性認証設定を構成します。
    設定 説明
    カスタム サーバを使用

    正常性構成証明用のカスタム サーバを構成する場合、このオプションを有効にします。

    このオプションを有効にする場合、Windows Server 2016 以降を実行しているサーバが必要です。

    このオプションを有効にすると、[サーバ URL] フィールドが表示されます。

    サーバ URL 正常性構成証明用のカスタム サーバの URL を入力します。
    セキュア ブート無効化

    デバイス上でセキュア ブートが無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    セキュア ブート機能により、システムは、信頼できる工場出荷時状態で起動します。セキュア ブートを有効にする場合、デバイス起動時に使用されるコア コンポーネントに、OEM から信頼された正しい暗号化署名が付いている必要があります。デバイス起動前に、UEFI ファームウェアによって暗号化署名が検証されます。改ざんされたファイルが検出された場合、システムは起動しません。

    認証 ID キー (AIK) が存在しない

    デバイス上に AIK がない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    デバイス上に認証 ID キー (AIK) がある場合、そのデバイス上に保証キー (EK) 証明書があることを意味します。そのデバイスは、EK 証明書を持っていないデバイスよりも信頼できます。

    データ実行防止 (DEP) ポリシー無効化

    デバイス上で DEP が無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    データ実行防止 (DEP) ポリシーは、システム レベルで OS に組み込まれたメモリ保護機能です。このポリシーにより、既定のヒープ、スタック、メモリ プールなどのデータ ページからコードが実行されることを禁止できます。DEP は、ハードウェアとソフトウェアの両方で適用されます。

    BitLocker 無効化 デバイス上で BitLocker 暗号化が無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
    コードの整合性チェック無効化

    デバイス上でコード整合性チェックが無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    コード整合性検査とは、ドライバまたはシステム ファイルがメモリに読み込まれるたびに、その整合性を検査するものです。未署名のドライバおよびシステム ファイルは、コード整合性検査を受けてから、カーネルに読み込まれます。また、コード整合性検査では、管理者特権を持つユーザーが、悪意のあるソフトウェアによって改ざんされたシステム ファイルを実行していないかどうかが検査されます。

    起動時マルウェア対策無効化

    デバイス上で起動時マルウェア対策 (ELAM) が無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    ELAM を有効にした場合、ネットワーク上のコンピュータが起動した後サードパーティ製ドライバが初期化される前に、コンピュータが保護されます。

    コードの整合性バージョン チェック コードの整合性バージョン チェックで失敗の結果が出た場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
    ブート マネージャ バージョン チェック ブート マネージャ バージョン チェックで失敗の結果が出た場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
    ブート アプリ セキュリティのバージョン番号確認 ブート アプリ セキュリティのバージョン番号が入力された番号と合致しない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
    ブートマネージャセキュリティのバージョン番号確認 ブート マネージャ セキュリティのバージョン番号が入力された番号と合致しない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
    高度な設定 「ソフトウェア バージョン識別子」 セクションで高度な設定を構成するには、このオプションを有効にします。
  4. [[保存]] を選択します。