ベースラインを使用して、Windows デスクトップ デバイスの構成を最適な状態に保ちます。Workspace ONE UEM は、業界推奨の設定を 1 つのベースライン構成にキュレートして、デバイスのセキュリティ保護を簡略化します。ベースラインにより、Windows デバイスのセットアップと構成にかかる時間が短縮されます。
ベースラインは、クラウドベースのマイクロ サービスを使用して、ポリシー カタログを処理します。オンプレミスのお客様の場合は、お使いの環境がマイクロ サービスと通信できることを確認します。
ベースラインを使用するすべての加入済み Windows デバイスでは、Workspace ONE UEM デバイス サービス (DS) サーバとの接続が中断されないようにする必要があります。デバイスでこの常時接続が必要なのは、ベースラインの状態を最新に保つためです。
プロキシ セットアップを使用している場合、または特定のファイアウォール設定を使用している場合、これらの構成によって Windows デバイスと DS サーバ間の接続が中断されることがあります。たとえば、デバイスが VPN または制限されたネットワークを使用してリソースにアクセスする場合、この設定によって DS サーバへの接続が中断されます。これらのデバイスのベースラインは、古くなっている可能性があります。
ベースラインは、デバイスの Windows OS バージョンを基にしています。すべてのベースラインの OS バージョンは、編集時に後で変更できます。構成中に、使用するベースラインを選択し、ベースライン ポリシーをカスタマイズすることもできます。また、補足的な Microsoft ADMX 対応ポリシーを、構成プロセスの一部として追加することもできます。
CIS は、リストされたベンチマークを報告して、サーバとデバイスの間に、より安全な接続を確立します。ただし、これらのベンチマークは、現在 CIS Windows ベンチマーク ベースライン テンプレートでサポートされていません。管理者は、これらのベンチマークを構成する必要があります。詳細については、該当する Windows Server CIS ベンチマーク レポートを参照してください。
デバイスを Workspace ONE UEM に加入すると、デバイスをスマート グループに追加し、ベースラインをグループに割り当てることができます。デバイスは、デバイスの再起動後に、ベースラインのすべての設定と構成を受信して適用します。デバイスは、ベースラインの公開時および定義済みの一定間隔のチェック時に、ベースライン構成を確認します。ベースラインをデバイスにプッシュする際に、Workspace ONE UEM はデバイス設定のスナップショットを保存します。
[割り当て] ダイアログ ボックスの [除外] タブを使用して、ベースラインの割り当てを制限できます。割り当てから除外するスマート グループを指定できます。
ベースラインは、[ベースライン] リスト表示で管理できます。このビューは、コンソールの [リソース] > [プロファイルとベースライン] > [ベースライン] にあります。ここから、既存のベースラインを編集、コピー、削除できます。
Copy of <Baseline Name>
として保存されますが、この名前は変更できます。[デバイス詳細] 画面で、デバイスに適用されているベースラインを確認できます。
ここでは、既存のベースラインをコピーし、[管理元] フィールドを更新して、ベースラインを子組織グループに移動する方法の一般的な例を示します。
デバイスがベースライン遵守状態とともにベースラインに従っていることを確認します。コンソールの [リソース] > [プロファイルとベースライン] > [ベースライン] で [順守状態] を見つけて [ベースライン] を選択し、[順守状態] カードを確認します。[ベースライン順守状態] カードには、デバイスが順守状態、中間、非順守状態、情報なしになったかが表示されます。
注: ベースライン遵守状態は、UI を使用して作成されたベースラインにのみ適用されます。GPO バックアップ ファイルを使用して作成されたカスタム ベースラインの順守状態は表示できません。
ベースライン サンプルについてデバイスにクエリを実行して、順守状態を更新できます。ベースラインをクエリするには、[デバイスの詳細] ビューから開始します。
注: 特定のデバイスの順守状態をクエリできますが、一度に複数のデバイスをクエリすることはできません。
デバイスの設定がベースラインと一致しない場合は、[デバイス詳細] の トラブルシューティング タブを使用して、Workspace ONE UEM がデバイス サンプルを受信したことを確認します。
業界推奨の設定および構成に合わせてデバイスを構成するために、テンプレートがあるベースライン、またはテンプレートがないベースラインを作成します。Workspace ONE UEM は、CIS ベンチマークおよび Microsoft の Windows セキュリティ ベースラインなどの業界の推奨条件に基づいて、ベースラインを構成します。
デバイスは Workspace ONE UEM に加入する必要があります。さらにデバイスには、Workspace ONE Intelligent Hub がインストールされている必要があります。
GPO バックアップ ファイルを使用してカスタム ベースラインを公開する場合は、ベースラインを割り当てるすべてのデバイスに LGPO.exe を追加する必要があります。EXE は C:\ProgramData\Airwatch\LGPO\LGPO.exe
でインストールする必要があります。CIS ベンチマーク テンプレート、Windows セキュリティ ベースライン、または独自に作成ウィザードを使用している場合は、このファイルを追加する必要はありません。
GPO バックアップ ファイルを使用してベースラインを作成する場合は、テンプレート プロセスを使用します。
[リソース] > [プロファイルとベースライン] > [ベースライン] の順に進み、[新規] を選択します。
[テンプレートを使用する] を選択します。
[ベースライン名]、[説明] に情報を入力し、ベースラインが [管理元] であるスマート グループを選択します。次へ を選択します。
ベースラインを選択します。
設定 | 説明 |
---|---|
CIS Windows ベンチマーク | このベースラインは、CIS ベンチマークにより提案された設定を適用します。適用する OS バージョンとベンチマーク レベルを選択します。 |
Windows セキュリティ ベースライン | このベースラインは、Microsoft が提案した設定を適用します。適用する OS バージョンとベンチマーク レベルを選択します。 |
カスタム ベースライン | GPO バックアップを使用して ZIP ファイルをアップロードします。このベースラインは、Workspace ONE UEM の外部に作成する必要があります。少なくとも 1 つの GPO フォルダがある場合、バックアップは 5 MB 未満である必要があります。 |
次へ を選択します。
必要に応じてベースラインをカスタマイズします。ベースラインで構成されている既存の ADMX ポリシーは変更できます。カスタム ベースラインを GPO ベースラインから作成する場合は、既存の ADMX 対応ポリシーをカスタマイズすることはできません。
ユーザー権限の ADMX ポリシーを作成するときに、SID を使用していることを確認します。詳細については、Windows オペレーティングシステムでの既知のセキュリティ識別子を参照してください。
次へ を選択します。
ベースラインに追加のポリシーを追加します。これらのポリシーは、Microsoft ADMX ファイルから取得します。追加するポリシーを検索し、ポリシーを構成します。
次へ を選択します。
概要を確認し、保存して割り当て を選択します。概要には、カスタマイズまたは追加されたポリシーがすべて含まれます。
割り当て中に、ベースラインの割り当て先の Windows デバイスを含んでいるスマート グループを入力します。[除外] タブを使用して、ベースラインを取得するデバイスを再定義できます。割り当てから除外するスマート グループを入力します。
除外は割り当てを上書きします。除外したスマート グループにあるデバイスは、ベースラインを受け取りません。以前の割り当てのベースラインがそのデバイスにすでに存在する場合、そのベースラインはデバイスから削除されます。
デバイスを再起動してベースラインを展開します。
テンプレートを使用しない場合は、テンプレートなしで独自のベースラインを作成します。
User
」または「Computer Configuration
」と入力し、リストから目的のポリシーを選択します。