セキュリティで保護されたブートが有効になっているデバイスWindows 10、Intuneで [準拠していません] と表示されます
この記事では、セキュリティで保護されたブートが有効になっているWindows 10 デバイスが Microsoft Intune で [準拠していない] と表示されるシナリオについて説明します。
現象
IntuneでWindows 10デバイスのコンプライアンス ポリシーを作成します。 [デバイスでセキュリティで保護されたブートを有効にする] 設定を [必須] に設定します。
このシナリオでは、要件を満たすWindows 10 デバイスが [非準拠] としてマークされます。
原因
[デバイスでセキュア ブートを有効にする必要がある] 設定は、一部の TPM 1.2 および 2.0 デバイスでサポートされています。 TPM 2.0 以降をサポートしていないデバイスの場合、Intuneのポリシーの状態は [準拠していません] と表示されます。 TPM 2.0 には UEFI ファームウェアが必要です。 レガシ BIOS と TPM 2.0 を持つコンピューターは、想定どおりに動作しません。
サポートされているバージョンの詳細については、「 デバイス正常性構成証明でサポートされているバージョン」を参照してください。
モバイル デバイス管理 (MDM) ソリューションで正常性構成証明サービスを使用する方法の詳細については、「Windows 10 ベースのデバイスのセキュリティ状態を保護、制御、およびレポートする」を参照してください。
詳細
次の手順を使用して、デバイスが正常性構成証明機能のハードウェア要件を満たしているかどうかをチェックします。
TPM のバージョンを確認します。
[実行] ボックスに「」と入力
tpm.msc
し、[仕様バージョン] で値をチェックします。注:
TPM バージョンが 1.2 で、デバイスで TPM 2.0 がサポートされている場合は、デバイスの製造元に問い合わせて TPM 2.0 に更新してください。
管理者特権のコマンド プロンプトを開き、コマンドを
msinfo32
実行します。[ システムの概要] で、 BIOS モード が UEFI であり、 PCR7 構成 が バインドされていることを確認します。
管理者特権の PowerShell コマンド プロンプトを開き、次のコマンドを実行します。
Confirm-SecureBootUEFI
True の値が返されることを確認 します。
次の PowerShell コマンドを実行します。
manage-bde -protectors -get $env:systemdrive
ドライブが PCR 7 によって保護されていることを確認します。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示