ベースラインを使用して Windows デスクトップ デバイスの安全性を維持します。Workspace ONE UEM は、業界推奨の設定を 1 つの構成にキュレートして、デバイスのセキュリティ保護を簡略化します。
デバイスの構成を継続的にベスト プラクティスに準拠させるには、時間がかかります。Workspace ONE UEM では、ベスト プラクティスと業界推奨の設定をベースラインと呼ばれる構成にキュレートします。これらの構成により、Windows デバイスのセットアップと構成にかかる時間が大幅に短縮されます。
ベースラインは、ポリシー カタログを処理するクラウドベースのマイクロ サービスを使用します。オンプレミスのお客様の場合は、お使いの環境がマイクロ サービスと通信できることを確認します。
ベースラインを使用するすべての加入済み Windows デスクトップ デバイスでは、Workspace ONE UEM デバイス サービス (DS) サーバとの接続が中断されないようにする必要があります。デバイスでこの常時接続が必要なのは、ベースラインの状態を最新に保つためです。
プロキシ セットアップを使用している場合、または特定のファイアウォール設定を使用している場合、これらの構成によって Windows 10 デバイスと DS サーバ間の接続が中断されることがあります。たとえば、デバイスが VPN または制限されたネットワークを使用してリソースにアクセスする場合、この設定によって DS サーバへの接続が中断されます。これらのデバイスのベースラインは、古くなっている可能性があります。
ベースラインは、デバイスの Windows OS バージョンを基にしています。すべてのベースラインの OS バージョンは、編集時に後で変更できます。構成中に、使用するベースラインを選択し、ベースライン ポリシーをカスタマイズすることもできます。構成プロセスの一部として、必要な追加のポリシーを追加することもできます。これらのポリシーは、Microsoft ADMX ポリシーです。
デバイスを Workspace ONE UEM に加入させると、デバイスをスマート グループに追加し、ベースラインをグループに割り当てることができます。デバイスは、デバイスの再起動後に、ベースラインのすべての設定と構成を受信して適用します。デバイスは、ベースラインの公開時および定義済みの一定間隔のチェック時に、ベースライン構成を確認します。ベースラインをデバイスにプッシュする際に、Workspace ONE UEM はデバイス設定のスナップショットを保存します。[割り当て] ダイアログ ボックスの [除外] タブを使用して、ベースラインの割り当てを制限できます。割り当てから除外するスマート グループを指定できます。
ベースラインは、ベースライン リスト表示で管理できます。ここから、既存のベースラインを編集および削除できます。デバイスにプッシュされたベースラインを削除すると、Workspace ONE UEM によって保存されたスナップショットに基づき、デバイス設定はベースラインが公開される前に戻ります。
デバイス詳細 ページで、デバイスに適用されているベースラインを確認できます。
デバイスがベースライン順守状態とともにベースラインに従っていることを確認します。ベースラインの詳細 ページから表示されるベースライン順守状態には、デバイスがいつ順守状態、中間、非順守状態、情報なしになったかが表示されます。ベースライン順守状態は、UI を使用して作成されたベースラインにのみ適用されます。
**注:**ZIP パッケージを使用して作成されたカスタム ベースラインの順守状態は表示できません。
中間 のデバイスは、85~99% の順守状態です。この値を使用して、デバイスがいつ順守状態からドロップアウトしたかを確認します。[情報なし] 状態は、Workspace ONE UEM console にデバイスの順守サンプルがないことを意味します。ベースラインを開いて再度公開するだけで、サンプルを強制的に実行できます。
デバイスを業界推奨の設定および構成にするベースラインを作成します。Workspace ONE UEM は、CIS ベンチマークおよび Microsoft の Windows 10 セキュリティ ベースラインなどの業界の推奨条件にベースライン基づいて、ベースラインを構成します。
前提条件
ベースラインでは、デバイスが Workspace ONE UEM に加入し、Workspace ONE Intelligent Hub をインストールしている必要があります。
カスタム ベースラインを公開する場合は、ベースラインを割り当てるすべてのデバイスに LGPO.exe を追加する必要があります。EXE は C:\\ProgramData\\Airwatch\\LGPO\\LGPO.exe でインストールする必要があります。CIS ベンチマークまたは Windows 10 セキュリティ ベースラインを使用している場合は、このファイルを追加する必要はありません。
手順
[リソース] > [プロファイルとベースライン] > [ベースライン] の順に進み、[新規] を選択します。
[ベースライン名]、[説明] を入力し、ベースラインが [管理元] であるスマート グループを選択します。次へ を選択します。
ベースラインを選択します。
| 設定 | 説明 |
|---|---|
| CIS Windows 10 ベンチマーク | このベースラインは、CIS ベンチマークにより提案された設定を適用します。適用する OS バージョンとベンチマーク レベルを選択します。 |
| Windows 10 セキュリティ ベースライン | このベースラインは、Microsoft が提案した設定を適用します。適用する OS バージョンとベンチマーク レベルを選択します。 |
| カスタム ベースライン | GPO バックアップを使用して ZIP ファイルをアップロードします。このベースラインは、Workspace ONE UEM の外部に作成する必要があります。少なくとも 1 つの GPO フォルダがある場合、バックアップは 5 MB 未満である必要があります。 |
次へ を選択します。
必要に応じてベースラインをカスタマイズします。ベースラインで構成されている既存の ADMX ポリシーは変更できます。カスタム ベースラインを GPO ベースラインから作成する場合は、既存の ADMX ポリシーをカスタマイズすることはできません。
ユーザー権限の ADMX ポリシーを作成するときに、SID を使用していることを確認します。詳細については、Windows オペレーティングシステムでの既知のセキュリティ識別子を参照してください。
次へ を選択します。
ベースラインに追加のポリシーを追加します。これらのポリシーは、Microsoft ADMX ファイルから取得します。追加するポリシーを検索し、ポリシーを構成します。
次へ を選択します。
概要を確認し、保存して割り当て を選択します。概要には、カスタマイズまたは追加されたポリシーがすべて含まれます。
割り当て中に、ベースラインの割り当て先の Windows 10 デバイスを含んでいるスマート グループを入力します。除外 タブを使用して、ベースラインを取得するデバイスを再定義できます。割り当てから除外するスマート グループを入力します。
除外は割り当てをオーバーライドします。除外したスマート グループにあるデバイスは、ベースラインを受け取りません。以前の割り当てのベースラインがそのデバイスにすでに存在する場合、そのベースラインはデバイスから削除されます。
結果
Workspace ONE UEM は、スマート グループ内のすべてのデバイス(除外したスマート グループにあるデバイスを除く)にベースラインを割り当てます。
次に行うこと
ベースラインを有効にするには、デバイスを再起動する必要があります。
