ポリシー CSP - セキュリティ
AllowAddProvisioningPackage
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/Security/AllowAddProvisioningPackage
ランタイム構成エージェントにプロビジョニング パッケージのインストールを許可するかどうかを指定します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | 許可されていません。 |
| 1 (既定値) | 許可されます。 |
AllowManualRootCertificateInstallation
注
このポリシーは非推奨であり、今後のリリースで削除される可能性があります。
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
❌ Pro ❌ Enterprise ❌ Education ❌ Windows SE ❌ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/Security/AllowManualRootCertificateInstallation
このポリシーは推奨されなくなっています。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | 許可されていません。 |
| 1 (既定値) | 許可されます。 |
AllowRemoveProvisioningPackage
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/Security/AllowRemoveProvisioningPackage
ランタイム構成エージェントにプロビジョニング パッケージの削除を許可するかどうかを指定します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | 許可されていません。 |
| 1 (既定値) | 許可されます。 |
AntiTheftMode
注
このポリシーは非推奨であり、今後のリリースで削除される可能性があります。
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
該当なし | ✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/Security/AntiTheftMode
このポリシーは推奨されなくなっています。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | 無効。 |
| 1 (既定値) | 有効。 |
ClearTPMIfNotReady
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1709 [10.0.16299] 以降 |
./Device/Vendor/MSFT/Policy/Config/Security/ClearTPMIfNotReady
このポリシー設定は、TPM が準備完了以外の状態であることが検出された場合に TPM をクリアするようにユーザーに求めるシステムを構成します。 このポリシーは、システムの TPM が準備完了以外の状態である場合 (TPM が "準備完了、 機能が低下した状態) である場合にのみ有効になります。 TPM をクリアするためのプロンプトは、次回の再起動後、ログインしているユーザーがシステムの Administrators グループに属している場合にのみ発生します。 プロンプトは無視できますが、ポリシーが無効になるか、TPM が準備完了状態になるまで、再起動とログインのたびに再び表示されます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 準備ができていない TPM 状態からの回復を強制しません。 |
| 1 | TPM が TPM Clear で修復できる準備ができていない (または機能が低下している) 場合は、TPM のクリアを求めるメッセージが表示されます。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | ClearTPMIfNotReady_Name |
| フレンドリ名 | TPM が準備完了状態でない場合は、システムを構成してクリアします。 |
| 場所 | [コンピューターの構成] |
| パス | システム > トラステッド プラットフォーム モジュール サービス |
| レジストリ キー名 | Software\Policies\Microsoft\TPM |
| レジストリ値の名前 | ClearTPMIfNotReadyGP |
| ADMX ファイル名 | TPM.admx |
ConfigureWindowsPasswords
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10、バージョン 1803 [10.0.17134] 以降 |
./Device/Vendor/MSFT/Policy/Config/Security/ConfigureWindowsPasswords
Windows 機能のパスワードの使用を構成します。
注
このポリシーは、Windows 10 S でのみサポートされます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 2 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | パスワードを禁止します (非対称資格情報は、Windows 機能のパスワードを置き換えるために昇格されます)。 |
| 1 | パスワードを許可します (パスワードは引き続き Windows 機能に使用できます)。 |
| 2 (既定値) | SKU とデバイスの機能に従って。 Windows 10 S デバイスでは既定で "パスワードを禁止する" が表示され、他のすべてのデバイスは既定で "パスワードの許可" になります)。 |
PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1607 [10.0.14393] 以降 |
./Device/Vendor/MSFT/Policy/Config/Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
デバイスが参加しているときに OOBE 中に自動デバイス暗号化を許可するかどうかを指定Microsoft Entra。
詳細については、「BitLocker デバイスの暗号化」を参照してください。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 暗号化が有効になっています。 |
| 1 | 暗号化が無効になっています。 |
RecoveryEnvironmentAuthentication
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ✅ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10 Version 1809 [10.0.17763] 以降 |
./User/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
./Device/Vendor/MSFT/Policy/Config/Security/RecoveryEnvironmentAuthentication
このポリシーは、RecoveryEnvironment での管理認証の要件を制御します。
検証手順:
このポリシーを検証するには、更新 ("ファイルを保持") とリセット ("すべて削除") に Windows Recovery Environment (WinRE) の管理者認証が必要かどうかをチェックします。
- まず、WinRE でプッシュ ボタン リセット (PBR) を開始します。 管理者としてコマンド プロンプトを開き、次のコマンドを実行します。
reagentc /boottore - デバイスは WinRE に再起動する必要があります。 WinRE インターフェイスで、[ トラブルシューティング ] に移動し、[ この PC のリセット] を選択します。 [ ファイルを保持する] と [ すべて削除] の 2 つのオプションが表示されます。
- [ ファイルを保持する] オプションを選択します。 認証の動作を表示します。
- 戻る矢印を選択し、[ すべて削除] を選択します。 認証の動作を表示します。
戻る代わりに、リセット オプションを実行して、最終的な確認ページで [キャンセル ] を選択することもできます。 その後、メイン WinRE インターフェイスに戻ります。
次の表は、各シナリオでのポリシー設定に想定される動作を示しています。
- ✔️ 認証を求めるメッセージが表示されます。
- ❌ 認証は必要なく、リセット オプションで続行されます。
| ポリシー | ファイルを保持する | [すべて削除する] |
|---|---|---|
既定値 (0) |
✔️ | ❌ |
RequireAuthentication" (1) |
✔️ | ✔️ |
NoRequireAuthentication" (2) |
❌ | ❌ |
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 現在の) 動作。 |
| 1 | RequireAuthentication: 管理認証は、RecoveryEnvironment のコンポーネントに常に必要です。 |
| 2 | NoRequireAuthentication: RecoveryEnvironment のコンポーネントには、管理認証は必要ありません。 |
RequireDeviceEncryption
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1607 [10.0.14393] 以降 |
./Device/Vendor/MSFT/Policy/Config/Security/RequireDeviceEncryption
エンタープライズが内部ストレージ暗号化を有効にできるようにします。 最も制限された値は 1 です。 重要: 暗号化が有効になっている場合は、このポリシーを使用して無効にすることはできません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 暗号化は必要ありません。 |
| 1 | 暗号化が必要です。 |
RequireProvisioningPackageSignature
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/Security/RequireProvisioningPackageSignature
プロビジョニング パッケージに、デバイスの信頼された機関によって署名された証明書が必要かどうかを指定します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 必須ではありません。 |
| 1 | 必須。 |
RequireRetrieveHealthCertificateOnBoot
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/Security/RequireRetrieveHealthCertificateOnBoot
デバイスの起動時または再起動時に、TCG ブート ログを取得してポストし、Microsoft Health構成証明サービス (HAS) から暗号化または署名された正常性構成証明レポートを取得またはキャッシュするかどうかを指定します。 このポリシーを 1 (必須) に設定すると:Dデバイスに TPM 2 があるかどうかを確認することで、デバイスがリモート デバイス正常性構成証明に対応しているかどうかを判断します。 0. デバイスの正常性検証中の待機時間を短縮するために、デバイスがデータをフェッチしてキャッシュできるようにすることで、デバイスのパフォーマンスを向上させます。
注
MDM 登録後に、このポリシーを [必須] に設定することをお勧めします。 最も制限された値は 1 です。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 必須ではありません。 |
| 1 | 必須。 |