ポリシー CSP - セキュリティ
セキュリティ ポリシー
- Security/AllowAddProvisioningPackage
- Security/AllowAutomaticDeviceEncryptionForAzureADJoinedDevices
- Security/AllowRemoveProvisioningPackage
- Security/ClearTPMIfNotReady
- Security/ConfigureWindowsPasswords
- Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
- Security/RecoveryEnvironmentAuthentication
- Security/RequireDeviceEncryption
- Security/RequireProvisioningPackageSignature
- Security/RequireRetrieveHealthCertificateOnBoot
Security/AllowAddProvisioningPackage
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | いいえ | いいえ |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
ランタイム構成エージェントにプロビジョニング パッケージのインストールを許可するかどうかを指定します。
サポートされている値は次のとおりです。
- 0 – 許可しない。
- 1 (既定値) – 許可する。
Security/AllowAutomaticDeviceEncryptionForAzureADJoinedDevices
注意
- このポリシーは、Windows 10 バージョン 1607 では非推奨です。
デバイスが Azure AD に参加しているときに、OOBE 中にデバイスの自動 暗号化 を許可するかどうかを指定します。
サポートされている値は次のとおりです。
- 0 – 許可しない。
- 1 (既定値) – 許可する。
Security/AllowRemoveProvisioningPackage
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | いいえ | いいえ |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
ランタイム構成エージェントにプロビジョニング パッケージの削除を許可するかどうかを指定します。
サポートされている値は次のとおりです。
- 0 – 許可しない。
- 1 (既定値) – 許可する。
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| Home | ||
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
管理者アクセスが必要です。 TPM が TPM Clear で修復できる準備ができていない状態になると、再起動後の最初の管理者ログオン時にプロンプトが表示されます。 プロンプトには、TPM のクリアに関する説明と、再起動が必要であることを示す説明が表示されます。 ユーザーはそれを無視できますが、再起動後に次の管理者ログオンに表示されます。
ADMX の情報:
- GP フレンドリ名: TPM が準備完了状態でない場合は、TPM をクリアするようにシステムを構成します。
- GP 名: ClearTPMIfNotReady_Name
- GP パス: System/Trusted Platform Module Services
- GP ADMX ファイル名: TPM.admx
サポートされている値は次のとおりです。
- 0 (既定値) – 準備ができていない TPM 状態からの強制的な復旧は行われません。
- 1 – TPM が TPM クリアで修復できる準備ができていない状態 (または機能の低下) である場合は、TPM をクリアするように求められます。
Security/ConfigureWindowsPasswords
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | いいえ | いいえ |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
Windows機能のパスワードの使用を構成します。
注意
このポリシーは、Windows 10 S でのみサポートされています。
サポートされている値は次のとおりです。
- 0 -パスワードを禁止します (非対称資格情報は、Windows機能のパスワードを置き換えるために昇格されます)。
- 1- パスワードを許可します (パスワードは引き続きWindows機能に使用できます)。
- 2- 既定値 (SKU とデバイスの機能に従って既定の機能。 Windows 10 S デバイスには "パスワードを許可しない" 既定値が表示され、他のすべてのデバイスは既定で "パスワードを許可する" に設定されます)。
Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | いいえ | いいえ |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
非推奨のポリシー Security/AllowAutomaticDeviceEncryptionForAzureADJoinedDevices を置き換えるために、バージョン 1607 Windows 10で追加されました。
デバイスが Azure AD に参加しているときに、OOBE 中にデバイスの自動 暗号化 を許可するかどうかを指定します。
サポートされている値は次のとおりです。
- 0 (既定値) – 暗号化が有効です。
- 1 – 暗号化が無効です。
Security/RecoveryEnvironmentAuthentication
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | いいえ | いいえ |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- ユーザー
- デバイス
このポリシーは、RecoveryEnvironment の管理者認証要件を制御します。
サポートされている値:
- 0 - 既定値: default(current) 動作を使用し続けます。
- 1 - RequireAuthentication: RecoveryEnvironment のコンポーネントには管理者認証が常に必要です。
- 2 - NoRequireAuthentication: RecoveryEnvironment のコンポーネントでは管理者認証は必要ありません。
検証手順
検証では、更新 ("Keep my files") と Reset ("Remove everything") に WinRE で管理者認証が必要かどうかを確認する必要があります。 WinRE でプッシュ ボタン リセット (PBR) を開始するプロセス:
- 管理者として cmd を開き、コマンド "initializationc /boottore" を実行し、OS を再起動して WinRE に起動します。
- OS は WinRE UI のブルー スクリーンに起動し、TroubleShoot ->この PC をリセットします。"Keep my files" と "Remove everything" という 2 つのオプションが表示されます。
MDM ポリシーが "Default" (0) に設定されているか存在しない場合、管理者認証フローは既定の動作として機能する必要があります。
- WinRE で PBR を起動し、[ファイルを保持する] を選択すると、管理者認証がポップアップ表示されます。
- [<-] (右矢印) ボタンをクリックし、[すべて削除] を選択します。管理者認証をポップアップ表示せず、PBR オプションに移動するだけです。
MDM ポリシーが "RequireAuthentication" に設定されている場合 (1)
- WinRE で PBR を起動し、[ファイルを保持する] を選択すると、管理者認証がポップアップ表示されます。
- [<-] (右矢印) ボタンをクリックし、[すべて削除] を選択すると、管理者認証もポップアップ表示されます。
MDM ポリシーが "NoRequireAuthentication" に設定されている場合 (2)
- WinRE で PBR を起動し、[ファイルを保持する] を選択します。管理者認証をポップアップ表示しないでください。
- PBR オプションに移動し、最後の確認ページで [キャンセル] をクリックし、UI が戻ってくるのを待機します。
- [TroubleShoot] ->もう一度 [この PC のリセット] をクリックし、[すべて削除] を選択します。管理者認証もポップアップ表示されません。
Security/RequireDeviceEncryption
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
企業が内部ストレージ暗号化を有効にできるようにします。
最も制限された値は 1 です。
重要
暗号化が有効になっている場合、このポリシーを使用して暗号化を無効にすることはできません。
サポートされている値は次のとおりです。
- 0 (既定値) – 暗号化は必要ありません。
- 1 – 暗号化が必要です。
Security/RequireProvisioningPackageSignature
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | いいえ | いいえ |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
プロビジョニング パッケージに、デバイス信頼された機関によって署名された証明書が必要かどうかを指定します。
サポートされている値は次のとおりです。
- 0 (既定値) – 必須ではありません。
- 1 – 必須。
Security/RequireRetrieveHealthCertificateOnBoot
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
デバイスの起動または再起動時に、TCG ブート ログを取得してポストし、Microsoft Health構成証明サービス (HAS) から暗号化または署名された正常性構成証明レポートを取得またはキャッシュするかどうかを指定します。
このポリシーを 1 に設定する (必須):
- デバイスに TPM 2.0 があるかどうかを確認して、デバイスがリモート デバイス正常性構成証明に対応しているかどうかを判断します。
- デバイスの正常性検証中の待機時間を短縮するために、デバイスがデータをフェッチおよびキャッシュできるようにすることで、デバイスのパフォーマンスを向上させます。
注意
このポリシーは、MDM 登録後に [必須] に設定することをお勧めします。
最も制限された値は 1 です。
サポートされている値は次のとおりです。
- 0 (既定値) – 必須ではありません。
- 1 – 必須。
関連トピック
フィードバック
フィードバックの送信と表示