セキュア ブートとは
セキュア ブートは、起動時に悪意のあるソフトウェアからデバイスを保護するのに役立つ主要な Windows セキュリティ機能です。 セキュア ブートが有効になっている場合、システム ファームウェア (UEFI) は、信頼されたデジタル署名されたコンポーネントのみがデバイスの起動時に読み込み可能であることを確認します。 これにより、ブート レベルのマルウェアを防ぐのに役立ち、Windows が既知の適切で安全に署名されたコードの使用を開始します。
セキュア ブートは、システム ファームウェアに格納されているデジタル証明書に依存します。 これらの証明書は、Windows セキュリティ更新プログラムとの継続的な保護と互換性を確保するために、最新の状態を維持する必要があります。
セキュア ブートの状態が重要な理由
Windows セキュリティの進化に伴い、一部のセキュア ブート証明書は、新たな脅威に対処し、プラットフォーム保護を強化するために更新または置き換えられます。 セキュア ブートが有効になっているが、必要な証明書の更新プログラムがないデバイスでは、互換性やセキュリティの問題が時間の経過と同時に発生する可能性があります。
Windows Autopatch のセキュア ブート状態レポートは、IT 管理者がフリートのセキュア ブートの状態を理解し、問題が発生する前に注意が必要になる可能性があるデバイスを特定できるように設計されています。
Windows セキュア ブート証明書の有効期限と CA 更新プログラムの詳細について説明します。
セキュア ブート状態レポートの概要
セキュア ブートの状態レポートには、Windows Autopatch で管理されているデバイス全体のセキュア ブートのデバイス レベルのビューが表示されます。 これは、次の 3 つの重要な質問に答えるのに役立ちます。
- セキュア ブートが有効になっているデバイスはどれですか?
- どのセキュア ブート対応デバイスが完全に最新の状態ですか?
- 証明書の更新が必要なセキュア ブート対応デバイスはどれですか?
デバイスごとに、セキュア ブートが有効かどうかがレポートに表示されます。 セキュア ブートが有効になっていないデバイスでは、アクションは必要ありません。
このレポートを見つけるには:
- Intune管理センターに移動します。
- [レポート]>[Windows Autopatch]>[Windows 品質更新プログラム] に移動します。
- [ レポート ] タブを選択します。
- [ セキュア ブートの状態] を選択します。
セキュア ブートが有効になっているデバイス
セキュア ブートが有効になっているデバイスの場合、レポートはデバイスのセキュア ブート証明書が最新の状態であるかどうかをさらに示します。
- デバイスがセキュア ブートが有効になっていて、最新の状態である場合、アクションは必要ありません。
- デバイスがセキュア ブートを有効にしていても最新ではない場合は、デバイスのセキュア ブート証明書を 2023 バージョンに更新するアクションが必要です。 セキュリティで保護されたブート証明書の更新に関する IT プロフェッショナルと組織向けのガイダンスについて詳しく説明します。
セキュア ブートが有効になっていないデバイス
デバイスでセキュア ブートが有効になっていない場合は、セキュア ブート証明書の準備の観点からアクションは必要ありません。 これらのデバイスは、可視性のためにレポートに含まれていますが、セキュア ブート証明書の更新は、セキュア ブートが有効になっているデバイスにのみ適用されます。
このレポートが IT 管理者にどのように役立つか
セキュア ブート状態レポートは、IT 管理者に役立ちます。
- 環境全体でのセキュア ブートの導入について理解する
- 証明書の更新が必要なセキュア ブート対応デバイスを特定する
- ファームウェアと BIOS の更新戦略を自信を持って計画する
- セキュア ブートの準備にプロアクティブに対処することでリスクを軽減する
この情報を Windows Autopatch で一元化することで、管理者はセキュア ブートの準備状況をより簡単に監視し、必要に応じて、不要な修復や推測を行うことなく、情報に基づいたターゲットを絞ったアクションを実行できます。
セキュア ブート証明書の状態の解釈
このレポートを使用して、環境全体のセキュア ブートの準備状況を評価する際は、Secure Boot 証明書の状態がどのように評価されるか、および結果を解釈する方法を理解することが重要です。
一部の管理者は、このレポートに示されているセキュア ブート証明書の準備状況と、カスタム スクリプトまたはファームウェア検査ツールの結果を比較し、違いを確認します。 多くの場合、これらの違いは予想され、レポートに問題があることを示していません。
セキュア ブート証明書の準備は、デバイスの製造元によってではなく、デバイスのファームウェア信頼構成によって決まります。 Windows Autopatch は、すべてのデバイスで一定のセキュア ブート証明書のセットを必要とするのではなく、デバイスがブート コンポーネントを信頼するように構成されている方法に基づいて証明書の適用性を評価します。
たとえば、Microsoft 署名付きブート コンポーネントのみを信頼するように構成されているデバイスは、Microsoft セキュア ブート証明書が存在しない場合でも、 最新の状態で報告される場合があります。 このシナリオでは、Microsoft 以外の証明書は、そのデバイスのブート構成には適用されません。
セキュア ブート証明書の状態を検証する場合は、デバイスのファームウェア信頼構成に比較アカウントがあることを確認します。 アクティブなブート構成を考慮せずに証明書の存在を比較すると、デバイスの準備性に関する誤った結論が生じる可能性があります。
セキュア ブート状態レポートでデバイスが 最新 の状態として報告される場合は、アクションは必要ありません。
セキュア ブート状態レポート列
セキュア ブート状態レポートには、すべての顧客に表示される既定の列のセットと、より深いハードウェアとファームウェアの分析情報を得るためにビューに追加できるオプションの列が含まれています。
既定の列
これらの列は既定で表示され、IT 管理者がデバイス全体のセキュア ブート カバレッジと証明書の準備状況をすばやく理解できるように設計されています。
| 列名 | 説明 |
|---|---|
| デバイス名 | デバイスの名前。 |
| OS バージョン | デバイスで実行されている Windows オペレーティング システムのバージョン。 |
| デバイス ID のMicrosoft Entra | デバイスに関連付けられているMicrosoft Entraデバイス ID。 |
| セキュア ブートの有効化 | デバイスでセキュア ブートが有効になっているかどうかを示します。 |
| 証明書の状態 | デバイス上のセキュア ブート証明書が 最新、 最新ではない、または 適用されないかどうかを示す集計状態。 |
| デバイス モデル | デバイスの商用モデル。 |
省略可能な列
これらの列をレポートに追加して、より詳細なハードウェアとファームウェアのコンテキストを提供できます。 これらはトラブルシューティング、ハードウェアの相関関係、高度な分析に役立ちますが、セキュア ブートの状態を理解するために必要ではありません。
| 列名 | 説明 |
|---|---|
| デバイスの製造元 | OEM によって報告されたデバイスの製造元。 |
| システム ボードの製造元 | デバイスのシステム ボード (マザーボード) の製造元。 |
| モデル ファミリ | デバイス製品ファミリまたは製品ライン。 |
| システム ボード モデル | デバイスで使用される特定のシステム ボード モデル。 |
| システム ボードバージョン | システム ボードのバージョンまたはリビジョン。 |
| デバイス SKU | 特定のハードウェア構成を識別する OEM SKU。 |
| ファームウェアの製造元 | デバイスのファームウェア (BIOS/UEFI) の製造元。 |
| ファームウェアのバージョン | 現在インストールされているファームウェア (BIOS/UEFI) バージョン。 |
| ファームウェアのリリース日 | インストールされているファームウェア バージョンのリリース日。 |
データの鮮度、レポートの待機時間、診断データの要件
セキュア ブートの状態レポートは、起動後にデバイスによって報告されるセキュア ブート関連のイベントに基づいています。 その結果、セキュリティで保護されたブート状態または証明書の状態への変更がレポートにすぐには表示されない場合があります。
セキュア ブート証明書が更新され、デバイスが再起動されると、更新された状態が処理されてセキュア ブート状態レポートに反映されるまでに最大 12 時間かかることがあります。
修復直後にデバイス に [最新ではない]、[ 適用不可]、または [不明] が表示された場合、エラーは示されません。 追加のアクションを実行する前に、デバイスがレポートを完了するまでの時間を許可します。
セキュア ブート状態レポートは、セキュア ブート診断データの正常なレポートと処理にも依存します。 必要な (基本的な) Windows 診断データを共有するようにデバイスが構成されていない場合、セキュア ブート イベントは報告されず、デバイスがレポートに [不明] または [適用不可] と表示される場合があります。 この場合、レポートはエラーや構成の誤りを示しません。デバイスのセキュア ブート診断データが受信されていないことを示します。
正確で完全なレポートを確保するために、必要な Windows 診断データを共有するようにデバイスを構成します。 テナントで Windows 用データ プロセッサ サービス (DPSW) が有効になっていることを確認します。
レポートの最近の機能強化
セキュア ブート状態レポートが更新され、表示されるデータの完全性と一貫性が向上しました。
- レポートでは、表示できるデバイスの数が制限されなくなりました。
- エクスポートされたレポート データに、該当するすべてのデバイスが含まれるようになりました。
- エクスポートされたデータに、レポートに表示されるのと同じ値が反映されるようになりました。
これらの機能強化により、レポート ビューとエクスポートされたデータの両方で、デバイス フリート全体でセキュア ブート状態が完全かつ一貫して表示されるようになります。