- 強制する プラットフォームレベルのセキュリティ 機能 (セキュア ブート、TPM、仮想化ベースの保護など)
- リストされているデバイスが一致していることを確認してください 基本的なハードウェア セキュリティ 標準。
- 導入組織に最適 ゼロトラスト原則
- の施行を簡素化します 重要なハードウェア セキュリティ要件
やり方を話し合いましょう プラットフォームセキュリティ機能を必要とするポリシーを有効にする Intune の使用。 Intune ポリシー設定 Device Guard \ プラットフォームのセキュリティ機能が必要 アクティベーションに使用されるハードウェア強化のための重要な構成です 仮想化ベースのセキュリティ (VBS)。この設定を構成すると、基本的に、機密性の高いシステム プロセス用に安全で隔離された環境を作成するためにどのハードウェア セキュリティ テクノロジを使用する必要があるかを Windows に指示することになります。
目次
Intune を使用してプラットフォーム セキュリティ プロパティ ポリシーを有効にする方法
組織がソフトウェアのみのセキュリティ モデルからセキュリティ モデルに移行できるようにします。 ハードウェアベースの信頼 モデル。 VBS なし、エントリのハッシュ (NTLM/ケルベロス)は、管理者権限を持つマルウェアがそれらを「スクレイピング」できる通常のシステム メモリ(LSASS)に存在します。 VBS では、これらの秘密が生きています。バーチャルOS カーネルですら見えないバブルです。
Intune ポータルでポリシーの作成を開始します
確認があれば、Intune ポータルに簡単にログインできます。次に、設定できます プラットフォームのセキュリティ機能が必要 管理対象デバイスのポリシー。そのためには、次のサイトにアクセスしてください 楽器 > 構成 >+ フリント > + 新しいポリシー。
ポリシープロファイルを作成する
これは、ポリシーを作成するために実行する必要がある次の手順です。プロファイルを作成するときは、プラットフォームとプロファイルのタイプを選択する必要があります。ここでポリシーを設定したいのは、 Windows 10以降プラットフォームと 定義カタログ プロフィール。次に、をクリックします 作成する ボタン。
名前と説明を追加する
ポリシーの名前付けは、 最初のステップ これは、管理者が後でポリシーを特定するのに役立ちます。これは、ポリシーの目的を知るために必要な重要なステップです。ここに名前があります 必要 そして、説明はオプションです。追加したら、 をクリックします 次 ボタン。
選ぶ プラットフォームのセキュリティ機能 定義
設定セレクターを使用すると、構成設定タブを使用できます。このタブでは、 +設定を追加 設定ピッカーを取得するためのハイパーリンク。設定セレクターには膨大な数の設定が表示されます。ここでは、カテゴリ別に参照して設定を選択したいと思います。私が選ぶ Device Guard\ にはプラットフォームのセキュリティ機能が必要です。
値を選択してください
このポリシーには、 2つの値 利用可能です。これらは、VBS セキュア ブートとセキュア ブート DMA 保護を備えた VBS です。下 ボード 詳細を表示します。
| 価値 | 説明 |
|---|---|
| 1 (デフォルト) | 点灯します セキュアブートを備えた VBS。 |
| 3 | 点灯します セキュア ブートとダイレクト メモリ アクセスを備えた VBS (DMA)。 DMA にはハードウェアのサポートが必要です。 |
と 境界タグの可視性に関する制限を作成します。 プラットフォームのセキュリティ機能が必要。リソースの整理にも役立ちます。このセクションは必須ではないため、ここでは省略します。をクリックしてください 次 ボタン。
グループを選択するための「タスク」タブ
ポリシーを特定のグループに割り当てるには、次を使用できます。 「割り当て」タブ。ここでは、[含まれるグループ]の下にある[+グループの追加]オプションをクリックします。グループのリストからグループを選択し、 選ぶ ボタン。もう一度押します 選ぶ ボタンをクリックして続行します。
「概要」+「作成」タブ
ポリシーの作成を完了する前に、次のことができます。 レビュー 各タブを使用して、構成ミスやポリシーの失敗を回避します。すべての詳細を確認したら、 をクリックします 作成する ボタン。ポリシーを作成すると、 成功 メッセージ。
監視モード
の 監視モード このページには、ポリシーが成功したかどうかが表示されます。ポリシーをすばやく設定してポリシーを活用するには、ポリシーに割り当てられているデバイスを同期します。 企業ポータル。 Intune ポータルを開きます。 >[デバイス]に移動します 構成 > ポリシーを検索します。ここで、この政策が成功したことがわかります。
割り当てられたグループを「プラットフォーム セキュリティ機能が必要」から削除する
削除したい場合は、 割り当てられたグループ ポリシーから、Intune ポータルから行うことができます。これを行うには、Intune ポータルでポリシーを開き、 編集 「割り当て」タブと 取り除く ポリシー。
さらに詳しい情報については、以前の投稿を参照してください。 ステップバイステップのガイドで、Intune からアプリの割り当てを削除する方法を学びます。
必要なプラットフォームのセキュリティ機能を削除する方法
ポリシーは簡単に削除できます Intune ポータル。 何 構成 このセクションでは、ポリシーを削除できます。これにより、クライアント デバイスから完全に削除されます。
詳細については、以前の投稿を参照してください – Intune でダッシュボード履歴ポリシーを段階的に削除する方法。
Windows CSP の詳細
この設定により、ユーザーは有効にすることができます 証明書を保管します 仮想化ベースのセキュリティにより、次回の再起動時に資格情報を保護します。値の型は整数です。このポリシーは以下に適用されます Windows 10バージョン 1709 [10.0.16299] そしてその後はオペレーティングシステムになります。
さらにサポートが必要ですか、または技術的な質問がありますか?
に参加してください LinkedIn ページ そして電報グループ 最新のステップバイステップガイドと最新ニュースを入手します。参加しませんかミーティングページユーザーグループのミーティングに参加します。また、WhatsAppコミュニティあなたもWhatsApp チャンネルMicrosoft テクノロジーに関する最新ニュースを入手します。私たちはそこにいるレディット同じように。
著者
アヌプ・C・ネール彼は 25 年以上の経験を持つワークプレイス テクノロジー ソリューション アーキテクトです。マイクロソフト認定トレーナー。 2015 年以降、11 年以上連続で Microsoft MVP を受賞!彼はブロガー、講演者、そして HTMD コミュニティと HTMD カンファレンスの創設者です。彼の主な焦点は、Intune、Windows、Cloud PC などのデバイス管理テクノロジです。 Intune、SCCM、Windows、Cloud PC、Entra、Microsoft Security などのテクノロジについて執筆しています。
