セキュリティで保護されたコア PC 構成ロック
企業組織では、IT 管理者は会社のデバイスにポリシーを適用して、デバイスを準拠状態に保ち、ユーザーが構成を変更できないようにして構成ドリフトを作成することで OS を保護します。 構成ドリフトは、ローカル管理者権限を持つユーザーが設定を変更し、デバイスをセキュリティ ポリシーと同期していない場合に発生します。 非準拠状態のデバイスは、MDM との次回の同期と構成がリセットされるまで脆弱になる可能性があります。 構成ロックを備えた Windows 11 を使用すると、IT 管理者は構成のずれを防ぎ、OS 構成を目的の状態に保つことができます。 構成ロックを使用すると、OS は各機能を構成するレジストリ キーを監視し、ドリフトが検出されると、数秒で IT 目的の状態に戻ります。
セキュリティで保護されたコア構成ロック (構成ロック) は、意図しない構成の誤りによって引き起こされるセキュリティで保護されたコア PC 機能からの構成ドリフトを防ぐ新しい セキュリティで保護されたコア PC (SCPC) 機能です。 つまり、セキュリティで保護されたコア PC であることを意図したデバイスが、セキュリティで保護されたコア PC のままであることを保証します。
要約すると、構成ロック:
- MDM を使用して管理するときに、セキュリティで保護されたコア PC 機能を IT が "ロック" できるようにします
- 数秒でドリフト修復を検出
- 悪意のある攻撃を防ぐ
Windows エディションとライセンスに関する要件
次の表は、セキュリティで保護されたコア構成ロックをサポートする Windows エディションの一覧です。
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| はい | はい | はい | ○ |
セキュリティで保護されたコア構成ロック ライセンスの権利は、次のライセンスによって付与されます。
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| はい | ○ | ○ | ○ | ○ |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
構成フロー
セキュリティで保護されたコア PC がデスクトップに到達すると、デバイスがセキュリティで保護されたコア PC かどうかを検出することで、構成ロックによって構成ドリフトが防止されます。 デバイスがセキュリティで保護されたコア PC でない場合、ロックは適用されません。 デバイスがセキュリティで保護されたコア PC の場合、[ロックされたポリシーの一覧] に一覧表示されているポリシーが構成 ロックによってロックされます。
Microsoft Intune を使用した構成ロックの有効化
構成ロックは既定では有効になっていないか、起動時に OS によってオンになっています。 代わりに、オンにする必要があります。
Microsoft Intune を使用して構成ロックを有効にする手順は次のとおりです。
構成ロックを有効にするデバイスが Microsoft Intune に登録されていることを確認します。
Intune 管理センターで、[デバイス>構成プロファイル>プロファイルの作成] を選択します。
次を選択し、[ 作成] を押します。
-
プラットフォーム:
Windows 10 and later -
プロファイルの種類:
Templates - テンプレート名: カスタム
![[構成プロファイル] で、[プロファイルの作成] ページが表示され、[プラットフォーム] が [Windows 10 以降] に設定され、[プロファイルの種類] の [テンプレート] が表示されます。](images/configlock-mem-createprofile.png)
-
プラットフォーム:
プロファイルに名前を付けます。
[構成設定] ステップに到達したら、[追加] を選択し、次の情報を追加します。
-
OMA-URI:
./Vendor/MSFT/DMClient/Provider/MS%20DM%20Server/ConfigLock/Lock -
データ型:
Integer -
値:
1
構成ロックをオフにするには、値を 0 に変更します。
![[構成設定] ステップで、[行の編集] ページに[構成ロックの名前]、[ターンオン構成ロックの説明]、[OMA-URI セット]、[データ型の整数] が [値 1] に設定された状態で表示されます。](images/configlock-mem-editrow.png)
-
OMA-URI:
構成ロックを有効にするデバイスを選択します。 テスト テナントを使用している場合は、[+ すべてのデバイスの追加] を選択できます。
テスト目的で適用規則を設定する必要はありません。
[構成] を確認し、すべてが正しい場合は [作成] を選択します。
デバイスが Microsoft Intune サーバーと同期した後、構成ロックが正常に有効になっているかどうかを確認できます。
![構成ロックデバイス構成プロファイルの [デバイスの状態] には、展開状態が [成功] と表示され、2 つのデバイスが [保留中] と表示されます。](images/configlock-mem-devstatus.png)
セキュリティで保護されたコア PC 機能の構成
構成ロックは、セキュリティで保護されたコア PC が意図せずに誤って構成されないように設計されています。 ファームウェア保護など、SCPC 機能を有効または無効にする機能を保持します。 これらの変更は、グループ ポリシーまたは Microsoft Intune などの MDM サービスを使用して行うことができます。
![System Guard の説明を含む Defender ファームウェア保護設定は、デバイスを侵害されたファームウェアから保護します。設定は [オフ] に設定されます。](images/configlock-mem-firmwareprotect.png)
FAQ
- 構成ロックを無効にできますか? はい、できます。 MDM を使用して、構成ロックを完全にオフにするか、ヘルプデスク アクティビティの一時的なロック解除モードにすることができます。
ロックされたポリシーの一覧
| CSP |
|---|
| BitLocker |
| PassportForWork |
| WindowsDefenderApplicationGuard |
| ApplicationControl |