System Center Configuration Manager の正常性構成証明書Health attestation for System Center Configuration Manager

「オブジェクトの適用対象: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

管理者は Configuration Manager コンソールで Windows 10 デバイス正常性構成証明の状態を確認できます。Administrators can view the status of Windows 10 Device Health Attestation in the Configuration Manager console. デバイスの正常性構成証明で、管理者はクライアント コンピューターで次の信頼できる BIOS、TPM、およびブート ソフトウェアの構成が有効になっていることを確認できます。Device health attestation lets the administrator ensure that client computers have the following trustworthy BIOS, TPM, and boot software configurations enabled:

  • 起動時マルウェア対策 - 起動時マルウェア対策 (ELAM) により、サードパーティのドライバーが初期化される前の起動時にコンピューターが保護されます。Early-launch antimalware - Early launch anti-malware (ELAM) protects your computer when it starts up and before third-party drivers initialize. ELAM を有効にする方法How to turn on ELAM
  • BitLocker - Windows BitLocker ドライブ暗号化は、Windows オペレーティング システムのボリュームに格納されているすべてのデータを暗号化できるソフトウェアです。BitLocker - Windows BitLocker Drive Encryption is software that lets you encrypt all data stored on the Windows operating system volume. BitLocker を有効にする方法How to turn on BitLocker
  • セキュア ブート - セキュア ブートは、PC 業界のメンバーによって開発されたセキュリティ標準で、PC の製造元によって信頼されているソフトウェアのみを使用して PC が起動されるようにするのに役立ちます。Secure Boot - Secure Boot is a security standard developed by members of the PC industry to help make sure that your PC boots using only software that is trusted by the PC manufacturer. セキュア ブートの詳細Learn more about Secure Boot
  • コードの整合性 - コードの整合性は、メモリに読み込まれるたびに、ドライバーまたはシステム ファイルの整合性を検証することによって、オペレーティング システムのセキュリティを強化する機能です。Code Integrity - Code Integrity is a feature that improves the security of the operating system by validating the integrity of a driver or system file each time it is loaded into memory. コードの整合性の詳細Learn about Code Integrity

この機能は、Configuration Manager によって管理されている PC と内部設置型リソース、および Microsoft Intune で管理されているモバイル デバイスで利用できます。This functionality is available for PCs and on-premises resources managed by Configuration Manager and mobile devices managed with Microsoft Intune. 管理者は、報告がクラウドを使用して行われるか、内部設置型インフラストラクチャを使用して行われるかを指定できます。Administrators can specify whether reporting is done via the cloud or on-premises infrastructure. オンプレミスのデバイス正常性構成証明書の監視により、インターネット アクセスがなくても管理者がクライアント PC を監視することができます。On-premises device health attestation monitoring enables administrator to monitor client PCs without internet access.

正常性構成証明書を有効にするEnable Health Attestation

要件:Requirements:

  • デバイス正常性構成証明書が有効になっている、Windows 10 バージョン 1607 または Windows Server 2016 バージョン 1607 を実行しているクライアント デバイス。Client devices running Windows 10 version 1607 or Windows Server 2016 version 1607 with Device Health Attestation enabled.
  • TPM 1.2 または TPM 2 が有効になっているデバイス。TPM 1.2 or TPM 2 enabled devices.
  • クラウド管理を使用する場合は、Configuration Manager クライアント エージェントと、has.spserv.microsoft.com (ポート 443) 正常性構成証明書サービス (クラウド管理) の管理ポイントとの間の通信。When using cloud management, communication between the Configuration Manager client agent and the management point with has.spserv.microsoft.com (port 443) Health Attestation service (cloud management). オンプレミスのときは、クライアントはデバイス正常性構成証明書が有効になっている管理ポイントと通信できる必要があります。When on-premises, the client must be able to communicate with the device health attestation-enabled management point.

Configuration Manager クライアント コンピューターの正常性構成証明書サービスの通信を有効にする方法How to enable Health Attestation service communication on Configuration Manager client computers

次の手順を使用して、インターネットに接続するデバイスのデバイス正常性構成証明書の監視を有効にします。Use this procedure to enable device health attestation monitoring for devices that connect to the internet.

  1. Configuration Manager コンソールで、 [管理] > [概要] > [クライアント設定] を選択します。In the Configuration Manager console, choose Administration > Overview > Client Settings. [コンピューター エージェント] 設定のタブを選択します。Select the tab for Computer Agent settings.
  2. [既定の設定] ダイアログ ボックスで、 [コンピューター エージェント] を選択して、 [正常性構成証明書サービスとの通信を有効にする] まで下にスクロールします。In the Default Settings dialog box, select Computer Agent and then scroll down to Enable communication with Health Attestation Service
  3. [正常性構成証明書サービスとの通信を有効にする][はい] に設定し、 [OK] をクリックします。Set Enable communication with Health Attestation Service to Yes, and then click OK.
  4. デバイスの正常性を報告するデバイスのコレクションのターゲットを設定します。Target the collections of devices that should report device health.

Configuration Manager クライアント コンピューターの内部設置型正常性構成証明書サービスの通信を有効にする方法How to enable on-premises Health Attestation service communication on Configuration Manager client computers

次の手順を使用して、インターネットに接続しない、オンプレミスのデバイスのデバイス正常性構成証明書の監視を有効にします。Use this procedure to enable device health attestation monitoring for on-premises devices that don't connect to the internet.

Configuration Manager 1702 から、インターネット アクセスのないクライアント デバイスをサポートするために、管理ポイントにオンプレミスのデバイス正常性構成証明書のサービス URL を構成できるようになりました。Starting with Configuration Manager 1702, the on-premises device health attestation service URL can be configured on the management point to support client devices without internet access.

  1. Configuration Manager コンソールで、 [管理] > [概要] > [サイト構成] > [サイト] の順に移動します。In the Configuration Manager console, navigate Administration > Overview > Site Configuration > Sites.
  2. オンプレミスのデバイス正常性構成証明書クライアントをサポートしている管理ポイントを含むプライマリまたはセカンダリ サイトを右クリックして、 [サイト コンポーネントの構成] > [管理ポイント] を選択します。Right-click the primary or secondary site with the management point that support on-premises device health attestation clients, and select Configure site components > Management Point. [管理ポイント コンポーネントのプロパティ] ページが開きます。The Management Point Component Properties page opens.
  3. [詳細オプション] タブで [追加] を選択し、有効なオンプレミスのデバイス正常性構成証明書のサービス URL を指定します。On the Advanced Options tab, select Add and specify a valid on-premises device health attestation service URL. 複数の URL を追加できます。You can add multiple URLs. オンプレミスの URL が複数指定されると、クライアントはそのすべてを受け取り、どれを使用するかをランダムに選択します。If multiple on-premises URLs are specified, clients receive the full set and randomly choose which to use.
  4. Configuration Manager コンソールで、 [管理] > [概要] > [クライアント設定] を選択します。In the Configuration Manager console, choose Administration > Overview > Client Settings. [コンピューター エージェント] 設定のタブを選択します。Select the tab for Computer Agent settings.
  5. 下にスクロールして [正常性構成証明書サービスとの通信を有効にする] を表示し、 [はい] に設定します。Scroll down to Enable communication with Health Attestation Service, and set to Yes.
  6. [オンプレミスの正常性構成証明サービスを使用する] オプションをクリックし、 [はい] に設定します。Click the Use on-premises Health Attestaion Service option, and set to Yes.
  7. クライアント エージェントの設定でデバイス正常性構成証明書のレポートが有効に設定されている、デバイスの正常性をレポートするデバイスのコレクションのターゲットを設定します。Target the collections of devices that should report device health with the client agent settings to enable device health attestation reporting.

デバイス正常性構成証明書サービスの URL を編集または削除することもできます。You can also Edit or Remove device health attestation service URLs.

注意

Configuration Manager 1702 にアップグレードする前にデバイス正常性構成証明書を使用した場合は、クライアント エージェント設定で指定されたオンプレミスの URL がアップグレード中に管理ポイントのプロパティに事前に設定されます。If you used device health attestation prior to upgrading to Configuration Manager 1702, the on-premises URLs specified in the client agent settings is pre-populate in the management point properties during the upgrade. オンプレミスのクライアントはアップグレードされるまで、クライアント エージェント設定で指定された URL を引き続き使用します。On-premises clients will continue to use the URL specified in client agent settings until they are upgraded. その後、管理ポイントで指定された URL のいずれかに切り替えます。They will then switch to one of the URLs specified on the management point.

Windows のデバイス正常性構成証明書Monitor device health attestation

  1. デバイス正常性構成証明書ビューを表示するには、Configuration Manager コンソールで [監視] ワークスペースに移動し、 [セキュリティ] ノードをクリックしてから [正常性構成証明書] をクリックします。To view the device health attestation view, in the Configuration Manager console go to the Monitoring workspace of, click Security node, and then click Health Attestation.
  2. デバイス正常性構成証明書が表示されます。Device Health Attestation is displayed.

Configuration Manager デバイス正常性構成証明書には、次の情報が表示されます。Configuration Manager Device Health Attestation displays the following:

  • 正常性構成証明書のステータス - 対応、非対応、エラー、および不明な状態のデバイスの共有を表示します。Health Attestation Status - Shows the share of devices in compliant, noncompliant, error, and unknown states
  • 正常性構成証明書を報告するデバイス - 正常性構成証明書のステータスを報告するデバイスの割合を示します。Devices Reporting Health Attestation - Shows the percentage of devices reporting Health Attestation status
  • クライアントの種類別の非対応のデバイス - 非対応のモバイル デバイスとコンピューターの共有を表示します。Noncompliant Devices by Client Type - Shows share of mobile devices and computers that are noncompliant
  • 最も不足している正常性構成証明書の設定 - 正常性構成証明書の設定のないデバイスの数を設定ごとに表示します。Top Missing Health Attestation Settings - Shows the number of devices missing the health attestation setting, listed per setting

クライアント デバイス正常性構成証明書のステータスは、Microsoft Intune を備えた Configuration Manager によって管理されるデバイスのコンプライアンス ポリシーに条件付きアクセスの規則を定義するために使用できます。Client Device Health Attestation status can be used to define rules for conditional access in compliance policies for devices managed by Configuration Manager with Microsoft Intune. 詳細については、「System Center Configuration Manager でのデバイス コンプライアンス ポリシーの管理」をご覧ください。For details, see Manage device compliance policies in System Center Configuration Manager.