正常性構成証明は、デバイスの起動時にスキャンを行って整合性の欠陥を検知します。健全性構成証明を使用して、Workspace ONE UEM で管理されているときに侵害状態になった Windows デスクトップ デバイスを検出します。

企業リソースにアクセスするデバイスの正常性を検証することは、BYOD と企業所有デバイス展開の双方において重要です。Windows の正常性構成証明サービスは、セキュアな接続を使用してクラウドからデバイスのブート情報にアクセスします。この情報は、測定され、関連データ ポイントに対して検証され、デバイスのブート状態が正常であること、セキュリティの脆弱性や脅威の対象になっていないことを確認します。セキュア ブート、コード整合性、BitLocker、ブート マネージャー等を測定します。

Workspace ONE UEM を使用して、Windows 正常性構成証明サービスを構成しデバイス順守を確実に行うことができます。有効にしたチェック項目のいずれかで失敗の結果が出ると、Workspace ONE UEM の順守ポリシー エンジンにより、構成されている順守ポリシーに基づく対応措置が取られます。この機能により、貴社の企業データを、侵害状態にあるデバイスからセキュアに保護することができます。Workspace ONE UEM は必要な情報を OS ではなくデバイスのハードウェアからプルするので、OS カーネルが侵害されている場合でも侵害状態デバイスを検出することができます。

Windows デスクトップ順守ポリシーの正常性構成証明を構成する

Windows の正常性認証サービスを使用して侵害デバイスを検出し、貴社のデバイスのセキュリティを保護します。このサービスにより、Workspace ONE UEM は、デバイスを起動する際に整合性を確認し、対応措置を取ることができます。

  1. グループと設定 > すべての設定 > デバイスとユーザー > Windows > Windows デスクトップ > Windows 正常性構成証明 と進みます。

  2. オンプレミス環境で、正常性構成証明を実行しているカスタム サーバを使用している場合、カスタム サーバを使用 を選択します。サーバ URL フィールドの値を入力します。

  3. 正常性認証設定を構成します。

    設定 説明
    カスタム サーバを使用 このオプションを選択して、健全性構成証明のためにカスタム サーバを構成します。

    このオプションを使用するには、Windows Server 2016 以降を実行しているサーバが必要です。

    このオプションを有効にすると、サーバ URL フィールドが表示されます。
    サーバ URL 正常性構成証明用のカスタム サーバの URL を入力します。
    セキュア ブート無効化 デバイス上でセキュア ブートが無効になっているときに、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    セキュア ブートの場合、システムは強制的に信頼された工場出荷状態で起動します。セキュア ブートを有効にする場合、デバイス起動時に使用されるコア コンポーネントに、OEM から信頼された正しい暗号化署名が付いている必要があります。デバイス起動前に、UEFI ファームウェアによって暗号化署名が検証されます。改ざんされたファイルが検出された場合、システムは起動しません。
    認証 ID キー (AIK) が存在しない デバイスに AIK が存在しないときに、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    デバイス上に認証 ID キー (AIK) がある場合、そのデバイス上に保証キー (EK) 証明書があることを意味します。そのデバイスは、EK 証明書を持っていないデバイスよりも信頼できます。
    データ実行防止 (DEP) ポリシー無効化 デバイス上で DEP が無効になっているときに、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    データ実行防止 (DEP) ポリシーは、システム レベルで OS に組み込まれたメモリ保護機能です。このポリシーにより、既定のヒープ、スタック、メモリ プールなどのデータ ページからコードが実行されることを禁止できます。DEP は、ハードウェアとソフトウェアの両方で適用されます。
    BitLocker 無効化 デバイス上で BitLocker 暗号化が無効になっている場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
    コードの整合性チェック無効化 デバイス上でコード整合性検査が無効になっているときに、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    コード整合性検査とは、ドライバまたはシステム ファイルがメモリに読み込まれるたびに、その整合性を検査する機能です。未署名のドライバおよびシステム ファイルは、コード整合性検査を受けてから、カーネルに読み込まれます。また、コード整合性検査では、管理者特権を持つユーザーが、悪意のあるソフトウェアによって改ざんされたシステム ファイルを実行していないかどうかが検査されます。
    起動時マルウェア対策無効化 デバイス上で起動時マルウェア対策が無効になっているときに、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。

    起動時マルウェア対策 (ELAM) 機能は、ネットワーク コンピュータの起動時から、サード パーティ製ドライバの初期化まで、ネットワーク コンピュータを保護します。
    コードの整合性バージョン チェック コードの整合性バージョン チェックで失敗の結果が出た場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
    ブート マネージャ バージョン チェック ブート マネージャ バージョン チェックで失敗の結果が出た場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
    ブート アプリ セキュリティのバージョン番号確認 ブート アプリ セキュリティのバージョン番号が入力された番号と合致しない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
    ブートマネージャセキュリティのバージョン番号確認 ブート マネージャ セキュリティのバージョン番号が入力された番号と合致しない場合に、侵害デバイス状態としてフラグを立てるには、このオプションを有効にします。
    高度な設定 「ソフトウェア バージョン識別子」 セクションで高度な設定を構成するには、このオプションを有効にします。
  4. [保存] を選択します。

親トピック:順守ポリシー

check-circle-line exclamation-circle-line close-line
Scroll to top icon