セキュリティで保護されたブートが有効になっているデバイスWindows 10、Intuneで [準拠していません] と表示されます

この記事では、セキュリティで保護されたブートが有効になっているWindows 10 デバイスが Microsoft Intune で [準拠していない] と表示されるシナリオについて説明します。

現象

IntuneでWindows 10デバイスのコンプライアンス ポリシーを作成します。 [デバイスでセキュリティで保護されたブートを有効にする] 設定を [必須] に設定します。

このシナリオでは、要件を満たすWindows 10 デバイスが [非準拠] としてマークされます。

原因

[デバイスでセキュア ブートを有効にする必要がある] 設定は、一部の TPM 1.2 および 2.0 デバイスでサポートされています。 TPM 2.0 以降をサポートしていないデバイスの場合、Intuneのポリシーの状態は [準拠していません] と表示されます。 TPM 2.0 には UEFI ファームウェアが必要です。 レガシ BIOS と TPM 2.0 を持つコンピューターは、想定どおりに動作しません。

サポートされているバージョンの詳細については、「 デバイス正常性構成証明でサポートされているバージョン」を参照してください。

モバイル デバイス管理 (MDM) ソリューションで正常性構成証明サービスを使用する方法の詳細については、「Windows 10 ベースのデバイスのセキュリティ状態を保護、制御、およびレポートする」を参照してください。

詳細

次の手順を使用して、デバイスが正常性構成証明機能のハードウェア要件を満たしているかどうかをチェックします。

1. TPM のバージョンを確認します。

   [実行] ボックスに「」と入力tpm.mscし、[仕様バージョン] で値をチェックします。

   

   注:

   TPM バージョンが 1.2 で、デバイスで TPM 2.0 がサポートされている場合は、デバイスの製造元に問い合わせて TPM 2.0 に更新してください。

2. 管理者特権のコマンド プロンプトを開き、コマンドを msinfo32 実行します。

3. [ システムの概要] で、 BIOS モード が UEFI であり、 PCR7 構成 が バインドされていることを確認します。

   

4. 管理者特権の PowerShell コマンド プロンプトを開き、次のコマンドを実行します。

   Confirm-SecureBootUEFI
   

   True の値が返されることを確認 します。

5. 次の PowerShell コマンドを実行します。

   manage-bde -protectors -get $env:systemdrive
   

   ドライブが PCR 7 によって保護されていることを確認します。