ベースラインの使用
ベースラインを使用して、Windows デスクトップ デバイスの構成を最適な状態に保ちます。Workspace ONE UEM は、業界推奨の設定を 1 つのベースライン構成に統合して、デバイスのセキュリティ保護を簡略化します。ベースラインにより、Windows デバイスの設定と構成にかかる時間が短縮されます。
クラウドベースのマイクロサービス
ベースラインは、クラウドベースのマイクロ サービスを使用して、ポリシー カタログを管理します。オンプレミスのお客様の場合は、お使いの環境がマイクロ サービスと通信できることを確認します。
ベースラインはデバイス サービスに常時接続する必要がある
ベースラインを使用するすべての加入済み Windows デバイスでは、Workspace ONE UEM デバイス サービス (DS) サーバとの接続が中断されないようにする必要があります。デバイスでこの常時接続が必要なのは、ベースラインの状態を最新に保つためです。
プロキシ セットアップを使用している場合、または特定のファイアウォール設定を使用している場合、これらの構成によって Windows デバイスと DS サーバ間の接続が中断されることがあります。たとえば、デバイスが VPN または制限されたネットワークを使用してリソースにアクセスする場合、この設定によって DS サーバへの接続が中断されます。これらのデバイスのベースラインは、古くなっている可能性があります。
ベースラインのタイプ
- カスタム
- 既存のグループ ポリシー オブジェクト (GPO) のバックアップ ファイルがある場合は、そのポリシーを使用してカスタム ベースラインを作成できます。テンプレート プロセスを使用して、このカスタム ベースラインを作成します。
- またテンプレートがなくても、カスタム ベースラインを作成できます。Workspace ONE UEM は、ベースラインの独自に作成プロセスで、複数のポリシーを提示します。
- CIS Windows ベンチマーク - このベースラインは、CIS ベンチマークで提案された構成設定を適用します。ベースラインが最適な設定と構成のみを使用できるように、CIS (Center for Internet Security) は VMware を認定し、Windows 用 CIS ベンチマークなどの業界の推奨条件を提供し、簡単で安全なソリューションを実現しています。
- Windows セキュリティ ベースライン - このベースラインは、Microsoft によって提案される構成設定を適用します。
ベースラインは、デバイスの Windows OS バージョンを基にしています。すべてのベースラインの OS バージョンは、編集時に後で変更できます。構成中に、使用するベースラインを選択し、ベースライン ポリシーをカスタマイズすることもできます。また、補足的な Microsoft ADMX 対応ポリシーを、構成プロセスの一部として追加することもできます。
CIS ベンチマークに関する考慮事項
CIS は、リストされたベンチマークを報告して、サーバとデバイスの間に、より安全な接続を確立します。ただし、これらのベンチマークは、現在 CIS Windows ベンチマーク ベースライン テンプレートでサポートされていません。管理者は、これらのベンチマークを構成する必要があります。詳細については、該当する Windows Server CIS ベンチマーク レポートを参照してください。
- ログインを試みるユーザーのために、対話形式のログイン タイトルとテキストを構成します。
- LAPS(ローカル管理者パスワード ソリューション)AdmPwd GPO Extension / CSE をインストールします。
ベースラインの割り当て
デバイスを Workspace ONE UEM に加入すると、デバイスをスマート グループに追加し、ベースラインをグループに割り当てることができます。デバイスは、デバイスの再起動後に、ベースラインのすべての設定と構成を受信して適用します。デバイスは、ベースラインの公開時および定義済みの一定間隔のチェック時に、ベースライン構成を確認します。ベースラインをデバイスにプッシュする際に、Workspace ONE UEM はデバイス設定のスナップショットを保存します。
[割り当て] ダイアログ ボックスの [除外] タブを使用して、ベースラインの割り当てを制限できます。割り当てから除外するスマート グループを選択することもできます。
ベースライン管理
ベースラインは、[ベースライン] リスト表示で管理できます。これは、コンソールの [リソース] > [プロファイルとベースライン] > [ベースライン] にあります。
ここから、既存のベースラインを編集、コピー、削除できます。
- コピー:ベースラインをコピーし、[カスタマイズ] タブおよび [ポリシーの追加] タブでいくつかのポリシーを編集して、別の展開シナリオにベースラインを適合させることができます。目的のベースラインを選択して、[コピー] メニュー項目を表示します。
- ベースライン テンプレートは編集できません。別のテンプレートが必要な場合は、新しいベースラインを作成します。
- Workspace ONE UEM では、コピーされたベースラインが
Copy of <Baseline Name>
として保存されますが、この名前は変更できます。
- コピーしたベースラインを保存します。ただし、[管理元] フィールド(組織グループ)を編集するまでデバイスを割り当てないでください。デバイスがすでに割り当てられているコピー済みのベースラインは移動できません。
- 組織グループ([管理元])およびコピーされたベースラインには注意してください。
- 組織グループを変更するには、コピーしたベースラインを保存してから編集します。
- コピーされたベースラインは、サブ組織グループに移動するか、元の組織グループに残すことができます。
- コピーされたベースラインを組織グループ階層の上位に移動することはできません。この動作は、プロファイルの動作を継承しています。
- 削除: デバイスにプッシュされたベースラインを削除すると、Workspace ONE UEM によって保存されたスナップショットに基づき、デバイス設定は以前の設定に戻ります。
[デバイス詳細] 画面で、デバイスに適用されているベースラインを確認できます。
ベースラインのコピー方法の例
ここでは、既存のベースラインをコピーし、[管理元] フィールドを更新して、ベースラインを子組織グループに移動する方法の一般的な例を示します。
- Workspace ONE UEM console で、該当する組織グループに移動します。
- [リソース] > [プロファイルとベースライン] > [ベースライン] の順に移動します。
- リストからベースラインを選択し、[コピー] を選択します。
- [ベースライン名] フィールドのベースラインの名前を更新します。現時点では組織グループは更新できません。
- 必要に応じて、ベースライン ウィザードの指示に従って、更新します。変更する必要はありません。任意のタブで [次へ] をクリックできます。
- [サマリ] タブで、[保存して割り当て] を選択します。
- [ベースラインの割り当て] ページで、[キャンセル] を選択します。この操作は、デバイスのコピーしたベースラインへの割り当てをキャンセルします。
重要:組織グループを編集するまで、コピーしたベースラインにデバイスを割り当てないでください。
- コピーしたベースラインをリストから選択し、[編集] を選択します。
- [全般] > [管理元] で子組織グループを選択して、組織グループを更新します。
- ウィザードの指示に従って、[保存して公開] を選択します。
- デバイスを追加する準備ができたら、コピーしたベースラインを選択して、[割り当て] を選択します。
ベースラインの再適用
ベースラインのローカル適用を有効にする方法は複数あります。デバイスに再適用レジストリ キーを追加するスクリプトを実行するには、センサー、プロダクト プロビジョニング、アプリとブックのスクリプトを使用するか、カスタム設定プロファイルを作成します。これを実装する方法や、ベースラインとグループ ポリシーを管理する方法の詳細については、以下を参照してください。Tech Zone: グループ ポリシーを使用したベースラインの管理。
ベースラインの順守状態
デバイスがベースライン遵守状態とともにベースラインに従っていることを確認します。コンソールの [リソース] > [プロファイルとベースライン] > [ベースライン] で [順守状態] を見つけて [ベースライン] を選択し、[順守状態] カードを確認します。[ベースライン順守状態] カードには、デバイスが順守状態、中間、非順守状態、情報なしになったかが表示されます。
注: ベースライン遵守状態は、UI を使用して作成されたベースラインにのみ適用されます。GPO バックアップ ファイルを使用して作成されたカスタム ベースラインの順守状態は表示できません。
- [中間] 状態は、85%~99% の順守状態のデバイスを識別します。この状態は、デバイスが割り当てられたベースラインに対する順守を低下していることを示すインジケータです。
- [情報なし] 状態は、Workspace ONE UEM console にデバイスの順守サンプルがないことを意味します。ベースラインを開いて再度公開することで、サンプルを強制的に実行できます。
順守状態のベースラインのクエリ
ベースライン サンプルについてデバイスにクエリを実行して、順守状態を更新できます。ベースラインをクエリするには、[デバイスの詳細] ビューから開始します。
注: 特定のデバイスの順守状態をクエリできますが、一度に複数のデバイスをクエリすることはできません。
- Workspace ONE UEM console で、[デバイス] に移動して [デバイス リスト表示] から特定の Windows デスクトップ デバイスを選択します。
- [その他のアクション] > [クエリ] > [ベースライン] の順に選択します。このプロセスにより、クエリ コマンドが開始されます。
- 更新されたベースライン順守状態を表示するには、[リソース] > [プロファイルとベースライン] > [ベースライン] の順に移動し [ベースライン] を選択して、[順守状態] カードを確認します。
順守状態の確認
デバイスの設定がベースラインと一致しない場合は、[デバイス詳細] の トラブルシューティング タブを使用して、Workspace ONE UEM がデバイス サンプルを受信したことを確認します。
- Workspace ONE UEM console で、[デバイス] に移動して特定の Windows デスクトップ デバイスを選択します。
- [デバイス詳細] ビューで [トラブルシューティング] タブを選択して、[イベント ログ] および [コマンド] タブを表示します。
- [コマンド] タブで、ベースライン クエリ コマンドのリストを参照してください。リスト化された状態を確認できます。
- キューに登録済み:システムが コマンドをサーバ データベースに入力しました。
- 保留中:デバイスは要求を受信しましたが、応答していません。
- 処理済み:デバイスがサンプルを送信したか、デバイスが次のユーザー セッションのサンプルをキューに登録しています。
- [イベント ログ] タブで、ベースライン サンプル応答を受信したことを確認する [イベント] を表示します。
ベースラインを作成する
業界推奨の設定および構成に合わせてデバイスを構成するために、テンプレートがあるベースライン、またはテンプレートがないベースラインを作成します。Workspace ONE UEM は、CIS ベンチマークおよび Microsoft の Windows セキュリティ ベースラインなどの業界の推奨条件に基づいて、ベースラインを構成します。
前提条件
デバイスは Workspace ONE UEM に加入する必要があります。さらにデバイスには、Workspace ONE Intelligent Hub がインストールされている必要があります。
GPO バックアップ ファイルを使用してカスタム ベースラインを公開する場合は、ベースラインを割り当てるすべてのデバイスに LGPO.exe を追加する必要があります。C:\ProgramData\Airwatch\LGPO\LGPO.exe
に EXE をインストールする必要があります。CIS ベンチマーク テンプレート、Windows セキュリティ ベースライン、または独自に作成ウィザードを使用している場合は、このファイルを追加する必要はありません。
テンプレートを使用したベースラインの作成
GPO バックアップ ファイルを使用してベースラインを作成する場合は、テンプレート プロセスを使用します。
- [リソース] > [プロファイルとベースライン] > [ベースライン] の順に進み、[新規] を選択します。
- [テンプレートを使用する] を選択します。
- [ベースライン名]、[説明] に情報を入力し、ベースラインが [管理元] であるスマート グループを選択します。次へ を選択します。
-
ベースラインを選択します。
設定 |
説明 |
Windows セキュリティ ベースライン |
このベースラインは、Microsoft が提案した設定を適用します。適用する OS プラットフォームとバージョンを選択します。 |
CIS Windows ベンチマーク |
このベースラインは、CIS ベンチマークにより提案された設定を適用します。適用する OS プラットフォーム、バージョン、ベンチマーク レベルを選択します。 |
カスタム ベースライン |
GPO バックアップを使用して ZIP ファイルをアップロードします。このベースラインは、Workspace ONE UEM の外部に作成する必要があります。少なくとも 1 つの GPO フォルダがある場合、バックアップは 5 MB 未満である必要があります。 |
-
次へ を選択します。
- 必要に応じてベースラインをカスタマイズします。ベースラインで構成されている既存の ADMX ポリシーは変更できます。カスタム ベースラインを GPO ベースラインから作成する場合は、既存の ADMX 対応ポリシーをカスタマイズすることはできません。
ユーザー権限の ADMX ポリシーを作成するときに、SID を使用していることを確認します。詳細については、Windows オペレーティングシステムでの既知のセキュリティ識別子を参照してください。
- 次へ を選択します。
- ベースラインに追加のポリシーを追加します。これらのポリシーは、Microsoft ADMX ファイルから取得します。追加するポリシーを検索し、ポリシーを構成します。
- 次へ を選択します。
- 概要を確認し、保存して割り当て を選択します。概要には、カスタマイズまたは追加されたポリシーがすべて含まれます。
- 割り当て中に、ベースラインの割り当て先の Windows デバイスを含んでいるスマート グループを入力します。[除外] タブを使用して、ベースラインを取得するデバイスを再定義できます。割り当てから除外するスマート グループを入力します。
除外は割り当てをオーバーライドします。除外したスマート グループにあるデバイスは、ベースラインを受け取りません。以前の割り当てのベースラインがそのデバイスにすでに存在する場合、そのベースラインはデバイスから削除されます。
- デバイスを再起動してベースラインを展開します。
カスタム ベースラインの作成
テンプレートを使用してベースラインを作成しない場合は、次の手順に従って独自のベースラインを作成します。
- [リソース] > [プロファイルとベースライン] > [ベースライン] の順に進み、[新規] を選択します。
- [独自に作成] を選択します。
- [ベースライン名]、[説明] に情報を入力し、ベースラインが [管理元] であるスマート グループを選択します。次へ を選択します。
- [ポリシーを追加] ウィンドウで、Windows OS バージョンを選択し、ポリシー名の入力を開始します。
たとえば、「User
」または「Computer Configuration
」と入力し、リストから目的のポリシーを選択します。
- ベースラインに追加のポリシーを追加します。
これらのポリシーは、Microsoft ADMX ファイルから取得します。追加するポリシーを検索し、ポリシーを構成します。これらのポリシーはテンプレートで使用できるポリシーと同じですが、[未構成] として表示されます。ポリシーを有効にして構成する必要があります。または、ポリシーを無効にする必要があります。
- デバイスで、[有効]、[無効]、[未構成] のいずれかを、このポリシーの状態として選択します。
- 概要を確認し、保存して割り当て を選択します。サマリには、すべてのポリシーが含まれます。
- 割り当て中に、ベースラインの割り当て先の Windows デバイスを含んでいるスマート グループを入力します。[除外] タブを使用して、ベースラインを取得するデバイスを再定義できます。割り当てから除外するスマート グループを入力します。
除外は割り当てをオーバーライドします。除外したスマート グループにあるデバイスは、ベースラインを受け取りません。以前の割り当てのベースラインがそのデバイスにすでに存在する場合、そのベースラインはデバイスから削除されます。
- デバイスを再起動してベースラインを展開します。