XenMobile Server

デバイス正常性構成証明デバイスポリシー

XenMobileでは、分析目的で特定のデータおよびランタイム情報をHealth Attestation Service(HAS)に送信させ、Windows 10およびWindows 11デバイスに正常性状態を報告させることができます。HASは、正常性構成証明書を作成してデバイスに返します。その後、この証明書はデバイスからXenMobileに送信されます。XenMobileは正常性構成証明書を受信すると、その内容に基づいて、管理者が以前に設定した自動アクションを展開します。

HASによって検証されるデータは以下のとおりです。

  • AIKの有無
  • BitLockerの状態
  • ブートデバッグが有効化されているかどうか
  • ブートマネージャーRevリストバージョン
  • コードの整合性チェックが有効化されているかどうか
  • コードの整合性Revリストバージョン
  • Apple Deployment Programポリシー
  • ELAMドライバーが起動されているかどうか
  • 発行時刻
  • カーネルのデバッグが有効化されているかどうか
  • PCR
  • リセット回数
  • 再起動回数
  • セーフモードが有効化されているかどうか
  • SBCPハッシュ
  • セキュアブートが有効化されているかどうか
  • テスト署名が有効化されているかどうか
  • VSMが有効であること。
  • WinPEが有効であること。

詳しくは、Microsoft社の「Device HealthAttestation CSP」ページを参照してください。

このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、「デバイスポリシー」を参照してください。

Microsoft Cloudを使用してDHAを構成するには

デバイス正常性構成証明ポリシーを追加し、選択した各プラットフォームに対してこの設定を構成します。

  • デバイス正常性構成証明を有効にする: デバイス正常性構成証明を必須とするかどうかを選択します。デフォルトは [オフ] です。

オンプレミスのWindows DHAサーバーを使用してDHAを構成するには

オンプレミスでDHAを有効にするには、まずDHAサーバーを構成します。次に、XenMobile Serverポリシーを作成してオンプレミスのDHAサービスを有効にします。

  1. DHAサーバーを構成するには、 Windows Server 2016 Technical Preview 5以降を実行するマシンでDHAサーバーの役割をインストールします。手順については、「オンプレミスのデバイス正常性構成証明サービス (DHA) の構成」を参照してください。

  2. デバイス正常性構成証明ポリシーを追加し、次の設定を構成します。

    • デバイス正常性構成証明を有効にする: [オン] にします。

    • 社内のデバイス正常性構成証明サービス(DHA)の構成: [オン] にします。

    • 社内のDHAサービスのFQDN: セットアップしたDHAサーバーの完全修飾ドメイン名を入力します。

    • 社内のDHAのAPIバージョン: DHAサーバーにインストールするDHAサービスのバージョンを選択します。

デバイス正常性構成証明デバイスポリシー