デバイス正常性構成証明デバイスポリシー

XenMobileでは、Windows 10デバイスに正常性状態の報告を義務付けることができます。この報告では、デバイスは分析目的で特定のデータおよびランタイム情報をHealth Attestation Service (HAS)に送信します。HASは、正常性構成証明書を作成してデバイスに返します。その後、この証明書はデバイスからXenMobileに送信されます。XenMobileは正常性構成証明書の内容に基づいて、設定済みの自動アクションを展開します。

HASによって検証されるデータは以下のとおりです。

  • AIKの有無
  • Bit Lockerの状態
  • ブートデバッグが有効化されているかどうか
  • ブートマネージャーのバージョン
  • コードの整合性チェックが有効化されているかどうか
  • コード整合性のバージョン
  • DEP ポリシー
  • ELAMドライバーが起動されているかどうか
  • 発行元
  • カーネルのデバッグが有効化されているかどうか
  • PCR
  • リセット回数
  • 再起動の回数
  • セーフモードが有効化されているかどうか
  • SBCPハッシュ
  • セキュアブートが有効化されているかどうか
  • テスト署名が有効化されているかどうか
  • VSMが有効であること。
  • WinPEが有効であること。

詳しくは、Microsoftの「HealthAttestation CSP」ページを参照してください。

DHAは、次のようにMicrosoft CloudまたはオンプレミスのWindows DHAサーバーを使用して構成できます:

  • Microsoft Cloudを使用してDHAを構成する:デバイス正常性構成証明ポリシーを追加し、この記事の説明に従って構成します。
  • オンプレミスのWindows DHAサーバーを使用してDHAを構成する:DHAサーバーを構成します。その後、デバイス正常性構成証明ポリシーを追加し、この記事の説明に従って構成します。

    DHAサーバーを構成するには、 Windows Server 2016 Technical Preview 5以降を実行するマシンでDHAサーバーの役割をインストールします。手順については、「社内のデバイス正常性構成証明サービス (DHA) の構成」を参照してください。

このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、「デバイスポリシー」を参照してください。

Windows PhoneおよびWindowsデスクトップ/タブレットの設定

Microsoft Cloudを使用してDHAを構成する場合

  • デバイス正常性構成証明を有効にする: デバイス正常性構成証明を必須とするかどうかを選択します。デフォルトは、[Off]です。

オンプレミスのWindows DHAサーバーを使用してDHAを構成する場合

  • デバイス正常性構成証明を有効にする: [オン] にします。

  • 社内のデバイス正常性構成証明サービス(DHA)の構成: [オン] にします。

  • 社内のDHAサービスのFQDN: セットアップしたDHAサーバーの完全修飾ドメイン名を入力します。

  • 社内のDHAのAPIバージョン: DHAサーバーにインストールするDHAサービスのバージョンを選択します。

デバイス正常性構成証明デバイスポリシー