OSConfig の概要
OSConfig は、シナリオを使用して、オンプレミスおよび Azure Arc 接続デバイスの望ましい状態を実現するための管理意図を効率的に提供して適用するセキュリティ構成スタックです。
OSConfig スタックは、基本コマンドレット、ネイティブ API、および目的の状態構成を定義するシナリオ定義で構成されます。 シナリオ定義は、構成のデータドリブンの説明です。 構成は、サブエリアに対応する定義済みの順序と依存関係を持つ名前と値のペアを使用する設定のグループです。
OSConfig は、ローカル デバイス構成の抽象化を提供するために、Windows Server オペレーティング システム (OS) と共に一般的にリリースされます。 オブジェクト モデルの設計はデータ ドリブンであり、デバイス構成のために Windows OS のさまざまなプロバイダーにマッピングできます。 次の図では、OSConfig フローについて説明します。
現在、OSConfig を使用して、Windows Server 2025 や Azure Stack HCI 23H2 など、さまざまな Microsoft Edge OS のセキュリティ ベースラインを確立できます。 Azure Policy、Microsoft Defender、Windows Admin Center、Azure Automanage マシンの構成と統合され、監視とコンプライアンスレポートが容易になります。
OSConfig を使用すると、マッピングの向上や、既存の他の管理定義との直接変換も可能になります。 これらの定義には、グループ ポリシーの .admx ファイル、Windows Management Instrumentation (WMI) の .mof ファイル、構成サービス プロバイダー (CSP) の Device Description Framework (DDF) ファイルが含まれます。
OSConfig ドリフト制御
OSConfig の主な機能の 1 つは、 ドリフト制御です。 これにより、システムが起動し、既知の良好なセキュリティ状態のままであることを確認できます。 有効にすると、OSConfig は、目的の状態から逸脱したシステム変更を自動的に修正します。 OSConfig は、更新タスクを通じて修正を行います。
機能をオフにすると、更新タスクも無効になります。 その後、OSConfig の有無にかかわらず、他のツールを使用してシステムを変更できます。 各管理ツールはさまざまな目的に対応でき、さまざまなアクターで使用できるため、複数の機関が同じデバイス設定のセットを管理できます。 たとえば、当局はクラウドまたは Azure Arc 対応リソースに Azure Policy を大規模に使用できますが、ローカル管理には Windows Admin Center を使用できます。
複数の機関に対処するために、オーケストレーターは、複数の機関がさまざまな IT 管理ツールを使用する環境で確定的な構成を保証します。 このモデルでは、各機関に優先順位が割り当てられます。 この優先順位は、構成の観点からは適用されるだけではありません。 また、機関ごと、さらにはシナリオドキュメントごとにドリフト制御が許可されます。
クラウドまたは Azure Arc 対応リソースのユーザーの場合、優先順位は次のとおりです。
- クラウド機関 (Azure Policy)
- ローカル 機関 (Windows Admin Center と Windows PowerShell)
- その他の展開ツール
OSConfig セキュリティ ベースライン
Windows Server では、推奨されるセキュリティ体制をデバイスと仮想マシンに展開することで、最初からセキュリティに優先順位を付けることができます。 デバイスのライフ サイクル全体を通して、PowerShell または Windows Admin Center を使用して、これらのセキュリティ ベースラインを適用できます。
お使いの環境での OSConfig セキュリティ ベースラインの適用:
- レガシ プロトコルと暗号を無効にして、セキュリティ態勢を強化する。
- Azure Arc ハイブリッド エッジ ベースラインを使用して一貫した大規模な監視を可能にする組み込みのドリフト保護メカニズムを使用して、運用コストを削減します。
- Center for Internet Security (CIS) ベンチマークおよび Defense Information Systems Agency Security Technical Implementation Guides (DISA STIG) 推奨される OS セキュリティ ベースラインの要件を満たすことができます。
OSConfig のセキュリティ上の利点
OSConfig は、次の 1 つのプラットフォームです。
- セキュリティ構成、修復、監視、レポート、バージョン管理など、構成ライフ サイクル全体を通してデバイスにセキュリティ ペイロードを適用します。
- Windows Admin Center、Azure Arc、PowerShell、Azure Policy、Azure Automanage マシンの構成など、複数の管理ツール セットに対して 1 つの一貫性のある実装を備えた、スケーラブルなデータ ドリブン ソリューションを提供します。
- 一貫性のある結果を促進し、複数権限モデルを使用してどの機関が優先するかを強制します。
- 設定間の前提条件と依存関係を尊重するオーケストレーション ディレクティブをサポートします。
- 構成ドリフトの検出、レポート、および修正を使用して、望ましい状態を適用する。
- さまざまな構成プロバイダーをサポートする機能拡張モデルを許可する抽象化を提供する。