Configuration Managerの正常性構成証明

Configuration Manager (現在のブランチ) に適用

Configuration Manager コンソールでデバイス正常性構成証明Windows 10状態を表示できます。 デバイス正常性構成証明を使用すると、クライアント コンピューターで次の信頼できる BIOS、TPM、ブート ソフトウェア構成が有効になっていることを確認できます。

• 早期起動マルウェア対策 (ELAM) は、起動時とサード パーティ製ドライバーの初期化前にコンピューターを保護します。 詳細については、「早期起動マルウェア対策の概要」を参照してください。

• Windows BitLocker ドライブ暗号化 は、リムーバブル ディスクを含め、OS とデータ ボリュームに格納されているすべてのデータを暗号化します。 詳細については、「 BitLocker 管理の計画」を参照してください。

• セキュア ブート は、PC 製造元から信頼されているソフトウェアのみを使用してデバイスが起動することを確認するためのセキュリティ標準です。 詳細については、「 セキュア ブート」を参照してください。

• コードの整合性 は、ドライバーまたはシステム ファイルがメモリに読み込まれるたびに整合性を検証することで、OS のセキュリティを向上させます。 詳細については、「 コード整合性の仮想化ベースの保護を有効にする」を参照してください。

この機能は、Configuration Managerによって管理されるオンプレミス リソースと、Microsoft Intuneで管理されるモバイル デバイスで使用できます。 クラウドまたはオンプレミスのインフラストラクチャを使用してレポートを実行するかどうかを指定できます。 オンプレミスのデバイス正常性構成証明の監視を使用すると、インターネットにアクセスせずにクライアント PC を監視できます。

正常性構成証明を有効にする

要件

• サポートされているバージョンのWindows 10またはWindows Server 2016以降を実行しているクライアント デバイス。デバイス正常性構成証明が有効になっています。

• TPM 1.2 または TPM 2 が有効なデバイス。

• クラウド管理を使用する場合、Configuration Manager クライアント エージェントと (ポート 443) 正常性構成証明サービスを使用したhas.spserv.microsoft.com管理ポイント間の通信。 オンプレミスの場合、クライアントはデバイス正常性構成証明が有効な管理ポイントと通信する必要があります。

Configuration Manager クライアント コンピューターで正常性構成証明サービス通信を有効にする方法

インターネットに接続するデバイスのデバイス正常性構成証明の監視を有効にするには、次の手順を使用します。

1. Configuration Manager コンソールで、[管理>][概要>] [クライアント設定] の順に選択します。 [コンピューター エージェントの設定] タブを選択します。

2. [ 既定の設定] ダイアログ ボックスで、[ コンピューター エージェント ] を選択し、下にスクロールして [正常性構成証明サービスとの通信を有効にする] に移動します。

3. [正常性構成証明サービスとの通信を有効にする] を [はい] に設定し、[OK] を選択します。

4. デバイスの正常性を報告する必要があるデバイスのコレクションを対象にします。

Configuration Manager クライアント コンピューターでオンプレミスの正常性構成証明サービス通信を有効にする方法

インターネットに接続しないオンプレミスデバイスのデバイス正常性構成証明の監視を有効にするには、次の手順を使用します。

インターネットにアクセスできないクライアント デバイスをサポートするように、管理ポイントでオンプレミスのデバイス正常性構成証明サービス URL を構成できます。

1. Configuration Manager コンソールで、[管理>] [概要>] [サイト構成サイト]> の順に移動します。

2. オンプレミスのデバイス正常性構成証明クライアントをサポートする管理ポイントを持つプライマリ サイトまたはセカンダリ サイトを右クリックし、[ サイト コンポーネント>管理ポイントの構成] を選択します。 [ 管理ポイント コンポーネントのプロパティ] ページが開きます。

3. [ 詳細オプション] タブで、[ 追加 ] を選択し、有効なオンプレミスデバイス正常性構成証明サービス URL を指定します。 複数の URL を追加できます。 複数のオンプレミス URL が指定されている場合、クライアントは完全なセットを受け取り、使用する URL をランダムに選択します。

4. Configuration Manager コンソールで、[管理>][概要>] [クライアント設定] の順に選択します。 [コンピューター エージェントの設定] タブを選択します。

5. [ 正常性構成証明サービスとの通信を有効にする] まで下にスクロールし、[ はい] に設定します。

6. [ オンプレミスの正常性構成証明サービスを使用する ] オプションを選択し、[ はい] に設定します。

7. デバイスの正常性をクライアント エージェントの設定で報告する必要があるデバイスのコレクションをターゲットにして、デバイス正常性構成証明レポートを有効にします。

デバイス正常性構成証明サービスの URL を 編集 または 削除 することもできます。

デバイス正常性の構成証明を監視する

デバイス正常性構成証明の状態を表示するには、Configuration Manager コンソールで [監視] ワークスペースに移動し、[セキュリティ] ノードを展開して、[正常性構成証明] を選択します。

デバイス正常性構成証明Configuration Manager、次の情報が表示されます。

• 正常性構成証明の状態 - 準拠状態、非準拠状態、エラー状態、不明な状態のデバイスの共有を表示します

• デバイスレポート正常性構成証明 - 正常性構成証明 の状態を報告するデバイスの割合を示します

• クライアントの種類別の非準拠デバイス - 非準拠のモバイル デバイスとコンピューターの共有を表示します

• [上位の不足している正常性構成証明の設定] - 正常性構成証明の設定が不足しているデバイスの数を設定ごとに一覧表示します