Windows 登録構成証明
Windows 登録構成証明の目的は、参加するネットワーク内でデバイスの安全性と信頼性を高める方法です。 この機能を使用すると、Windows 10 および 11 デバイスが、信頼されたプラットフォーム モジュール (TPM) テクノロジを使用して、脅威に対する防御を強化することで、登録中に厳格なセキュリティ標準を満たしていることを確認できます。 また、Windows 登録構成証明機能は、安全に登録するデバイスを確認して報告し、プロセスの信頼性を確保します。
組織にメリットを提供する方法を次に示します。
セキュリティの強化: TPM 構成証明は、セキュリティの弱点や侵害されたデバイスを検出して対処するのに役立ち、不正なアクセスやセキュリティ インシデントの可能性を低くします。
規制基準を満たす: Windows 構成証明は、組織がデバイス登録中に厳格なセキュリティ対策に従うことを証明するのに役立ちます。これは、業界の規制とコンプライアンス要件を満たす上で重要です。
主な目標は、登録プロセス中に Windows 構成証明を使用して、組織のインフラストラクチャ内のデバイスに対して、より安全で信頼できる環境を確立することです。
Windows 登録構成証明の要件
より成功した構成証明率を得るための最新の更新プログラムを使用することをお勧めします。
Windows 10
- 10.0.19045.3996+
Windows 11
- 10.0.22000.2713+
- 10.0.22621.2792+
- 10.0.22631.2792+
デバイス上の最小 TPM 2.0
物理デバイスがサポートされています。
注:
仮想マシンは、vTPM を使用している場合でも、次のような証明を行うことはできません。
- Hyper-V と Azure 仮想マシン
- Azure Virtual Desktop セッション ホスト
- Windows 365 クラウド PC
- Microsoft Dev Box
この機能の TPM での構成証明は、Autopilot の事前プロビジョニングと共有デバイス モード (SDM) で発生する TPM 構成証明の後、Intune デバイス管理登録中です。
Windows 構成証明に適用される構成サービス プロバイダー (CSP) の一覧:
Windows 登録構成証明のしくみ
デバイス構成証明の状態レポート
レポートには、デバイス、その TPM、およびデバイスが登録時に正常に構成証明されたかどうかに関する情報が表示されます。 デバイスが構成証明を行わない場合は、[ 状態の詳細] セクションで理由が説明されます。 このレポートを使用して、デバイスの完全な一覧を表示し、登録時に正常に構成証明されたデバイスを確認します。
このレポートにアクセスするには:
Microsoft Intune 管理センターにサインインします。
[デバイスの管理] セクションの [レポート>デバイス構成証明の状態 (プレビュー) を選択します。
構成証明の状態または所有権の種類でフィルター処理し、[レポートの生成] を選択します。
レポートが生成された後、表示される最上位レベルの詳細には、次のものが含まれます。
デバイス名
デバイス ID
UPN
デバイス構成証明の状態
状態の詳細
OS
OS のバージョン
所有権
最終チェックイン
登録日
TPM のバージョン
TPM の製造元
モデル
エントリを選択すると、デバイスに関する詳細情報が表示されます。 左側の [選択 ] 列を使用してエントリを選択し、レポートの上部にある [デバイスの構成証明] アクション を使用して再構成証明することもできます。
次の表に、状態の詳細とその説明を示します。
| 状態の詳細 | 説明 |
|---|---|
| Entra キーを構成証明できない | Entra チームは、ENTRA 証明書のキーを TPM に格納しませんでした。 デバイスが AP ODJ に登録されている場合、この状態の詳細は一時的です。 |
| 構成証明が処理中です | Intune が最新の状態を照会しても、デバイスは構成証明に引き続き取り組んでいます。 |
| TPM が信頼されていません | デバイスには、信頼されていないため、構成証明できない TPM が含まれています。 |
| TPM は使用できません | デバイスに TPM 2.0 がないか、ファームウェアの更新が必要なため TPM を構成証明できません。 ファームウェアを更新する方法の詳細については、「リソース」を参照してください。 |
| TPM の準備ができていない | TPM は、このデバイスで使用する準備ができていません。 ユーザーは TPM 所有権をリセットする必要があります。 TPM 所有権をリセットする方法の詳細については、「リソース」を参照してください。 |
| クライアント要求が拒否される | クライアントの構成証明要求が MDM サーバーに到達しなかったか、サーバーが要求を拒否しました。 |
| AIK 証明書が提供されませんでした | デバイスに AIK 証明書がありません。 ネットワークの問題が原因である可能性があります。 一時的な場合、デバイスが AIK 証明書を受信すると、構成証明が正常に再試行されます。 |
| クライアントが必要なすべてのパラメーターを指定しなかった | AIK 証明書と AIK 公開キーの両方が見つかりません。 |
| MDM キーが TPM に既に存在する | デバイスは、MDM キーが TPM に既に格納されていることを示します。 ただし、AIK 証明書または AIK 公開キーが見つからないか、ENTRA キーを構成証明できないため、Intune で証明できません。 |
| 機能はサポートされていません | この状態は、まだ構成証明できないデバイスに対して表示されます。 たとえば、Hyper-V と Azure 仮想マシン、Azure Virtual Desktop セッション ホスト、Windows 365 クラウド PC、Microsoft Dev Box などがあります。 |
| Entra トークンがデバイス ID と一致しない | 登録の ENTRA トークンが、登録要求に表示される ENTRA キーと一致しません。 この問題を解決するには、最新の Windows ビルドにアップグレードし、構成証明を再試行します。 |
| Entra トークンにデバイス ID がありません | 登録用の ENTRA トークンに ENTRA デバイス ID がありません。 |
注:
詳細については、「 リソース 」セクションを参照してください。
デバイスの構成証明アクション
レポートに [TPM 構成証明が 開始されていません ] のデバイスが表示されている場合は、一度にいくつかのデバイスを選択し、レポートの上部にある新しいデバイス アクション 構成証明デバイス を使用して TPM がそれらを証明できます。 このデバイスアクションは、デバイスを証明するのに数分未満かかる必要があり、 更新時にレポートに反映されます。
一部の 未起動 デバイスを証明するには:
レポートの上部にあるドロップダウン フィルターを使用して、[ 未開始 ] 構成証明の状態にフィルターを適用します。
[生成] をもう一度選択します。 そこから、いくつかのデバイスを選択し、レポートの上部にある [ デバイスの構成証明 アクション] を選択します。
構成証明は、デバイスのアクティビティと選択したデバイスの数に応じて最大 15 分かかることがあります。 しばらくしてから更新して、選択したデバイスの更新された状態を確認します。
注:
デバイス アクションを一度に選択できるのは最大 100 台のデバイスのみで、 Attest デバイス アクションをトリガーするまで少なくとも 1 分待ちます。
[ 状態の詳細] 列の値に応じて、デバイスが構成証明に失敗している場合は、[ 構成証明デバイス ] アクションを使用して構成証明を再試行できます。 次のいずれかの 状態の詳細 が表示される場合は、 デバイスの構成証明 アクションを再試行することをお勧めします。
AIK 証明書がクライアントによって提供されませんでした
構成証明が処理中です
MDM キーが TPM に既に存在する
TPM の準備ができていない
認証に失敗しました
クライアントは、構成証明に必要なすべての必須パラメーターを提供しませんでした
Entra トークンがデバイス ID と一致しない
デバイス アクションのアクセス許可
デバイスの構成証明アクションを使用するには、リモート タスクと呼ばれるロールベースのアクセス許可が必要です。デバイスが対応している場合は、モバイル デバイス管理 (MDM) 構成証明を示します。 アクションを有効にするには、[アクセス許可] を [はい ] に設定します。 アクセス許可を [はい] に設定すると、IT 管理者は Attest デバイス アクションを 開始できます。
リソース
重要
TPM のトラブルシューティングには通常、ワイプとリセットのアクションが必要です。これにより、データが失われる可能性があります。 TPM のトラブルシューティング手順を実行する前に、バックアップがあることを確認します。
その他のリンク: