構成基準と構成項目について
Configuration Managerでは、基準計画を使用して、特定の時点で確立される製品またはシステムの構成を定義します。 Configuration Managerの構成基準には、グループとしてのコンプライアンスが評価される、必要な構成の定義済みのセットが含まれています。
構成基準
構成基準には、関連付けられた規則を含む 1 つ以上の構成項目が含まれており、コレクションを通じて、コンプライアンス評価スケジュールと共にコンピューターに割り当てられます。
注:
構成基準は、ユーザーを含むコレクションに割り当てることができますが、構成基準はコレクション内のコンピューターによってのみ評価されます。
Configuration Manager コンソールを使用して独自の構成基準を作成し、次のソースから構成基準をインポートできます。
Microsoftまたはその他のベンダーからのベスト プラクティス構成基準
独自の組織内から作成されたカスタム構成基準が、外部からConfiguration Manager
別のConfiguration Manager サイト
構成基準をインポートする場合、最初に同じConfiguration Manager サイトで作成されていない限り、Configuration Manager コンソールで直接変更することはできません。 ビジネス要件を満たすために構成項目を絞り込む必要がある場合、推奨されるパスは次のとおりです。
カスタム値を使用して子構成項目を作成します。
構成基準を複製します。
重複したベースラインを編集し、構成項目を編集した子構成項目に置き換えます。
構成基準規則
構成基準ルールを使用して、構成基準に含まれる構成項目をクライアント コンピューターのコンプライアンスに対して評価する方法を指定します。 Configuration Managerでは変更できない固定の種類の構成基準規則があります。 構成項目は、次の構成基準規則に追加できます。
次のいずれかのオペレーティング システム構成項目が存在し、適切に構成されている必要があります。
これらのアプリケーションと一般的な構成項目は必須であり、適切に構成する必要があります。
これらのオプションのアプリケーション構成項目が検出された場合は、適切に構成する必要があります。
これらのソフトウェア更新プログラムが存在する必要があります。
これらのアプリケーション構成項目は存在してはなりません。
これらの構成基準も検証する必要があります。
構成基準の割り当て
クライアント コンピューターがConfiguration Managerの構成基準に対するコンプライアンスを評価するには、コンピューターのコレクションを通じて構成基準を割り当てる必要があります。
割り当ては、次のプロパティで構成されます。
構成基準自体
コンプライアンス評価の対象となるコレクションと、定義されたサブコレクションが含まれるかどうか
既定のコンプライアンス評価スケジュールで最初に構成されているが、割り当てごとに変更できるコンプライアンス評価スケジュール。
構成基準の割り当ては、構成基準の省略可能なプロパティです。 複数の構成基準の割り当てを定義することで、1 つの構成基準を複数のコレクションに割り当てることができます。
依存構成基準
構成基準規則の 1 つは、別の構成基準を含める方法です。 この入れ子になった機能は、さまざまなコンピューターの基本構成基準を定義し、同様の役割を持つコンピューターに対してより具体的な構成を持つ追加の構成基準を使用して、この基本構成を調整する階層化された方法を提供します。
依存ベースラインは、直接編集できないインポートされた構成基準 (Microsoftのベスト プラクティス構成基準など) と独自のビジネス要件を組み合わせる場合にも使用されます。 ベスト プラクティス構成基準が新しいバージョンでアップグレードされると、新しい構成基準を作成することなく、新しいバージョンをインポートできます。
依存する構成基準は、構成基準のプロパティとしてConfiguration Manager コンソールに表示されます。
重複する構成基準
Configuration Managerの重複する構成基準は、元の構成基準との関係を保持しない既存の構成基準の正確なコピーです。 類似しているが関連性のない構成基準を多数作成し、テンプレートとして使用する構成基準が 1 つ存在する場合は、重複する構成基準を作成するのが適切な場合があります。 もう 1 つのシナリオは、インポートされた構成基準でルールまたは構成項目を再定義する必要がある場合です。
インポートされた構成基準に、Configuration Managerが解釈できない構成データが含まれている場合、複製することはできません。
構成項目
構成項目は、コンプライアンスを評価する個別の構成単位を定義します。 1 つ以上の要素とその検証基準を含めることができます。通常は、独立した変更レベルで監視する構成の単位を定義します。
構成項目は構成基準の構成要素であるため、同じ構成項目を複数の構成基準で使用できます。
Configuration Managerでは、次の構成項目の種類がサポートされています。
オペレーティング システム構成項目
オペレーティング システムのバージョンと構成に関連する設定のコンプライアンスを判断するための構成項目。
アプリケーション構成項目
アプリケーションのコンプライアンスを判断するための構成項目。 これには、アプリケーションがインストールされているかどうかと、その構成に関する詳細が含まれます。
一般的な構成項目
一般的な設定とオブジェクトのコンプライアンスを判断するための構成項目。その存在は、オペレーティング システム、アプリケーション、またはソフトウェア更新プログラムに依存しません。
ソフトウェア更新プログラムの構成項目
Configuration Managerのソフトウェア更新機能を使用してソフトウェア更新プログラムのコンプライアンスを判断するための構成項目。
[Desired Configuration Management]\(必要な構成管理\) ノードでソフトウェア更新プログラムの構成項目をインポート、作成、または構成することはできません。 代わりに、ソフトウェア更新プログラムのダウンロード時に、ソフトウェア更新プログラム機能を使用して構成基準で使用できます。 つまり、ソフトウェア更新プログラムの構成項目は構成基準に含まれるように選択できますが、[ 構成項目] ノードには表示されません。
その他の構成項目は、Configuration Manager コンソールでインポート、作成、および構成できます。 これらの構成項目には、次のような多数のプロパティが表示されます。
一般
オブジェクト
Settings
Windows バージョン
適用対象
検出方法
各構成項目で使用できるプロパティは、構成項目の種類によって異なります。 たとえば、オペレーティング システム構成項目を構成して、オペレーティング システムの正確なバージョンを確認できます。 このプロパティは他の構成項目には適用されないため、他の構成項目で使用できる Windows Version プロパティは表示されません。 次の表に、Configuration Managerの構成項目の構成可能なプロパティを示し、構成可能なプロパティを構成項目の種類ごとに使用できるかどうかを示します。
| 構成項目の種類 | 一般 | Windows バージョン | オブジェクト | Settings | 検出方法 | 適用対象 | セキュリティ |
|---|---|---|---|---|---|---|---|
| 一般 | √ | Ø | √ | √ | Ø | √ | √ |
| アプリケーション | √ | Ø | √ | √ | √ | √ | √ |
| オペレーティング システム | √ | √ | √ | √ | Ø | Ø | √ |
| ソフトウェアの更新 | √ | Ø | Ø | Ø | Ø | Ø | √ |
キー:
√ = Available プロパティ
Ø = プロパティは使用できません
ソフトウェア更新プログラムの構成項目を除き、Configuration Manager コンソールの [必要な構成管理] の [構成項目] ノードで、各構成項目のプロパティを表示および編集できます。 [ソフトウェア 更新] ノードを使用して、ソフトウェア更新プログラムの構成項目を表示および編集します。
[Desired Configuration Management]\(必要な構成管理\) ノードの構成項目の構成可能なプロパティに加えて、[全般] プロパティにも監査情報が表示されます。このプロパティには、構成項目が作成された日時、最終編集日時、およびユーザーが表示されます。 さらに、[ リレーションシップ] プロパティ タブには、構成項目が他の構成項目と構成基準とどのように関連しているかを示します。
子構成項目
子構成項目は、元の構成項目のプロパティを継承し続ける構成項目のコピーです。 子構成項目の継承されたオブジェクトと設定を検証条件で変更することはできませんが、継承されたオブジェクトと設定に追加の検証条件を追加したり、新しいオブジェクトと設定を子構成項目に追加したりすることもできます。 子構成項目を作成および編集するための通常の目的は、ビジネス要件を満たすように元の構成項目を調整することです。
親から子構成項目に継承されるプロパティの依存関係関係のため、元の構成項目を変更すると子構成項目に影響します。
子構成項目は、ベスト プラクティスの構成基準から構成データをインポートし、子構成項目にプロパティを引き続き渡す新しいバージョンがリリースされたときに構成データを更新できるようにする場合に適しています。
子構成項目を使用するもう 1 つのシナリオは、正確な管理のために継承を保持する必要がある場合です。 たとえば、すべてのコンピューターが準拠する必要があるが、財務部門のコンピューターには追加のセキュリティ要件が適用される会社のセキュリティ ポリシーを定義する構成項目がある場合は、子構成項目を使用できます。 このような場合は、会社のセキュリティ ポリシー構成項目から子構成項目を作成する場合があります。 子構成項目は、会社のセキュリティ ポリシーからすべてのプロパティを継承しますが、追加のセキュリティ要件が含まれるよう編集されます。 会社のセキュリティ ポリシーが変更された場合は、財務部門のコンピューターの構成項目も変更しなくても、元の構成項目を変更できます。 同様に、財務部門のコンピューターの要件が変更された場合は、会社のセキュリティ ポリシーを定義する元の構成項目ではなく、子構成項目のみを変更する必要があります。
重複する構成項目
重複する構成項目は、元の構成項目との関係を保持しない別の構成項目の正確なコピーです。 そのため、重複する構成項目をテンプレートとして使用して、いくつかのプロパティのみを変更し、両方の構成項目を個別に保持したり、読み取り専用構成項目 (ベスト プラクティス構成基準など) をインポートし、変更を加えて構成項目を使用したり、元の構成項目からの継承を保持したりするときに使用できます。
さらに、インポートされた構成項目を使用して、オブジェクトまたは設定 (またはその関連する検証条件) から削除する場合は、重複する構成項目を作成し、それに応じてその重複する構成項目を編集するだけです。