RemoteWipe CSP - Windows Client Management
モバイル オペレーターの DM サーバーまたはエンタープライズ管理サーバーで RemoteWipe 構成サービス プロバイダー (CSP) を使用してデバイスをリモートワイプする方法について説明します。
このブラウザーはサポートされなくなりました。
Microsoft Edge にアップグレードすると、最新の機能、セキュリティ更新プログラム、およびテクニカル サポートを利用できます。
この記事では、Windows 10およびモバイル デバイス管理 (MDM) のすべてのWindows 10デバイスとWindows 11 デバイスの登録と管理エクスペリエンスWindows 11新機能について説明します。 この記事では、重大な変更や既知の問題、よく寄せられる質問の詳細についても説明します。
Windows 10とWindows 11用の Microsoft モバイル デバイス管理プロトコルの詳細については、「[MS-MDM]: モバイル デバイス管理 プロトコル」および「[MS-MDE2]: モバイル デバイス登録プロトコル バージョン 2」を参照してください。
新しい記事または更新された記事 | 説明 |
---|---|
Policy CSP | Windows 11 バージョン 21H2 に次の新しいポリシーを追加しました。 - NewsAndInterests/AllowNewsAndInterests - エクスペリエンス/ConfigureChatIcon - Start/ConfigureStartPins - Virtualizationbasedtechnology/HypervisorEnforcedCodeIntegrity - Virtualizationbasedtechnology/RequireUEFIMemoryAttributesTable |
DMClient CSP | 次のノードの説明を更新しました。 - Provider/ProviderID/ConfigLock/Lock - Provider/ProviderID/ConfigLock/UnlockDuration - Provider/ProviderID/ConfigLock/SecuredCore |
Windows 10およびWindows 11では、アトミック コマンド内の Get コマンドはサポートされていません。
WMI クラスを使用してインストールされたアプリケーションは、MDM アカウントがデバイスから削除されたときに削除されません。
SyncML 内のデータ内の CDATA を ConfigManager および CSP に渡しても、Windows 10とWindows 11では機能しません。
SCEP 用 IIS サーバーの [SSL 設定] の証明書設定は、Windows 10とWindows 11で [無視] に設定する必要があります。
認証を必要とするプロキシを使用するようにWindows デバイスが構成されている場合、登録は失敗します。 この問題を回避するために、ユーザーは認証を必要としないプロキシを使用したり、接続されたネットワークからプロキシ設定を削除したりできます。
職場アカウントを追加して登録されたデバイスに対するサーバーによって開始された登録解除は、MDM アカウントをアクティブのままにできません。 MDM ポリシーとリソースは引き続き設定されており、クライアントは引き続きサーバーと同期できます。
Azure Active Directory Join を使用して登録されたモバイル デバイスでは、リモート サーバーの登録解除が無効になっています。 サーバーにエラー メッセージが返されます。 参加Azure ADモバイル デバイスの登録を削除する唯一の方法は、デバイスをリモートでワイプすることです。
Windows 10とWindows 11では、ClientCertificateInstall を使用してデバイス ストアに証明書をインストールし、ユーザー ストアに証明書をインストールすると、両方の証明書が同じ MDM ペイロードでデバイスに送信されると、デバイス ストア用の証明書もユーザー ストアにインストールされます。 このデュアル インストールでは、接続を確立するための正しい証明書を選択するときに、Wi-Fiまたは VPN に関する問題が発生する可能性があります。 この問題の修正に取り組んでいます。
DevDetail/Ext/Microsoft/OSPlatform のソフトウェア バージョン情報が、System/About の設定のバージョンと一致しません。
展開で、デバイスに複数の証明書がプロビジョニングされていて、プロビジョニングされたWi-Fi プロファイルに厳密なフィルター条件がない場合、Wi-Fi に接続するときに接続エラーが発生することがあります。 解決策は、プロビジョニングされたWi-Fi プロファイルに、1 つの証明書のみに一致するように厳密なフィルター条件を持たないようにすることです。
VPN/Wi-Fi 用に証明書ベースの EAP 認証を展開している企業は、認証の既定の条件を満たす複数の証明書がある状況に直面する可能性があります。 この状況では、次のような問題が発生する可能性があります。
運用環境の準備が整ったデプロイには、展開するプロファイルの一部として適切な証明書の詳細が必要です。 次の情報では、EAP 構成 XML を作成または更新して、余分な証明書をフィルター処理し、適切な証明書を認証に使用できるようにする方法について説明します。
EAP XML は、環境に関連する情報で更新する必要があります。 このタスクは、以下の XML サンプルを編集するか、ステップ バイ ステップ UI ガイドを使用して手動で実行できます。 EAP XML が更新されたら、MDM の手順を参照して、更新された構成を次のようにデプロイします。
EAP 設定の詳細については、次を参照してくださいhttps://technet.microsoft.com/library/hh945104.aspx#BKMK_Cfg_cert_Selct。
EAP XML の生成の詳細については、「 EAP 構成」を参照してください。
拡張キーの使用法の詳細については、以下を参照してください http://tools.ietf.org/html/rfc5280#section-4.2.1.12。
拡張キー使用法 (EKU) を証明書に追加する方法については、以下を参照してください https://technet.microsoft.com/library/cc731792.aspx。
次の一覧では、EAP で使用する証明書の前提条件について説明します。
証明書には、次の EKU (拡張キー使用法) プロパティの少なくとも 1 つが必要です。
信頼されたルート CA にクライアント チェーン上のユーザーまたはコンピューター証明書。
ユーザーまたはコンピューター証明書は、CryptoAPI 証明書ストアによって実行されるチェックのいずれにも失敗せず、証明書はリモート アクセス ポリシーの要件に合格します。
ユーザーまたはコンピューター証明書は、インターネット認証サービス (IAS)/Radius Server で指定されている証明書オブジェクト識別子チェックのいずれも失敗しません。
証明書のサブジェクト代替名 (SubjectAltName) 拡張機能には、ユーザーのユーザー プリンシパル名 (UPN) が含まれています。
次の XML サンプルでは、証明書のフィルター処理を含む EAP TLS XML のプロパティについて説明します。
注意
PEAP または TTLS プロファイルの場合、EAP TLS XML は一部の PEAP または TTLS 固有の要素に埋め込まれます。
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<!--The above property defines the Method type for EAP, 13 means EAP TLS -->
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
<!--The 3 properties above define the method publishers, this is seen primarily in 3rd party Vendor methods.-->
<!-- For Microsoft EAP TLS the value of the above fields will always be 0 -->
</EapMethod>
<!-- Now that the EAP Method is Defined we will go into the Configuration -->
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<!-- Credential Source can be either CertificateStore or SmartCard -->
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
<!--SimpleCertSelection automatically selects a cert if there are mutiple identical (Same UPN, Issuer, etc.) certs.-->
<!--It uses a combination of rules to select the right cert-->
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<!-- ServerValidation fields allow for checks on whether the server being connected to and the server cert being used are trusted -->
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames/>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<!-- For filtering the relevant information is below -->
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<CAHashList Enabled="true">
<!-- The above implies that you want to filter by Issuer Hash -->
<IssuerHash>ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
<!-- Issuing certs thumbprint goes here-->
</IssuerHash>
<!-- You can add multiple entries and it will find the list of certs that have at least one of these certs in its chain-->
</CAHashList>
<EKUMapping>
<!-- This section defines Custom EKUs that you may be adding-->
<!-- You do not need this section if you do not have custom EKUs -->
<!-- You can have multiple EKUs defined here and then referenced below as shown -->
<EKUMap>
<EKUName>
<!--Add a friendly Name for an EKU here for example -->ContostoITEKU</EKUName>
<EKUOID>
<!--Add the OID Value your CA adds to the certificate here, for example -->1.3.6.1.4.1.311.42.1.15</EKUOID>
</EKUMap>
<!-- All the EKU Names referenced in the example below must first be defined here
<EKUMap>
<EKUName>Example1</EKUName>
<EKUOID>2.23.133.8.3</EKUOID>
</EKUMap>
<EKUMap>
<EKUName>Example2</EKUName>
<EKUOID>1.3.6.1.4.1.311.20.2.1</EKUOID>
</EKUMap>
-->
</EKUMapping>
<ClientAuthEKUList Enabled="true">
<!-- The above implies that you want certs with Client Authentication EKU to be used for authentication -->
<EKUMapInList>
<!-- This section implies that the certificate should have the following custom EKUs in addition to the Client Authentication EKU -->
<EKUName>
<!--Use the name from the EKUMap Field above-->ContostoITEKU</EKUName>
</EKUMapInList>
<!-- You can have multiple Custom EKUs mapped here, Each additional EKU will be processed with an AND operand -->
<!-- For example, Client Auth EKU AND ContosoITEKU AND Example1 etc. -->
<EKUMapInList>
<EKUName>Example1</EKUName>
</EKUMapInList>
</ClientAuthEKUList>
<AllPurposeEnabled>true</AllPurposeEnabled>
<!-- Implies that a certificate with the EKU field = 0 will be selected -->
<AnyPurposeEKUList Enabled="true"/>
<!-- Implies that a certificate with the EKU oid Value of 1.3.6.1.4.1.311.10.12.1 will be selected -->
<!-- Like for Client Auth you can also add Custom EKU properties with AnyPurposeEKUList (but not with AllPurposeEnabled) -->
<!-- So here is what the above policy implies.
The certificate selected will have
Issuer Thumbprint = ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
AND
((Client Authentication EKU AND ContosoITEKU) OR (AnyPurposeEKU) OR AllPurpose Certificate)
Any certificate(s) that match these criteria will be utilised for authentication
-->
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
注意
EAP TLS XSD は 、%systemdrive%\Windows\schemas\EAPMethods\eaptlsconnectionpropertiesv3.xsd にあります。
または、次の手順を使用して EAP 構成 XML を作成することもできます。
EAP 構成の手順 1 ~ 7 に従います。
[Microsoft VPN SelfHost のプロパティ] ダイアログ ボックスで、ドロップダウン メニューから Microsoft : スマート カードまたはその他の証明書 を選択します (このドロップダウン メニューでは EAP TLS が選択されます)。
注意
PEAP または TTLS の場合は、適切な方法を選択し、この手順に従い続行します。
ドロップダウン メニューの下にある [プロパティ ] ボタンをクリックします。
スマート カードまたはその他の [証明書のプロパティ] メニューで、[詳細設定] ボタンを選択します。
[ 証明書の選択の構成 ] メニューで、必要に応じてフィルターを調整します。
[ OK] を クリックしてウィンドウを閉じ、メイン rasphone.exe ダイアログ ボックスに戻ります。
rasphone ダイアログ ボックスを閉じます。
手順 9 の EAP 構成 の手順に従って、適切なフィルター処理を使用して EAP TLS プロファイルを取得します。
注意
また、この UI を使用して、他のすべての適用可能な EAP プロパティを設定することもできます。 これらのプロパティの意味については、ネットワーク アクセスの拡張認証プロトコル (EAP) 設定を参照してください。
MDM クライアントが WNS チャネル URI を自動的に更新すると、MDM クライアントは MDM サーバーとすぐにチェックインします。 そのため、MDM クライアントチェックインごとに、MDM サーバーは "ProviderID/Push/ChannelURI" の GET 要求を送信して最新のチャネル URI を取得し、それを既存のチャネル URI と比較する必要があります。必要に応じてチャネル URI を更新します。
Azure AD参加しているWindows 10とWindows 11では、プロビジョニング/.ユーザーがAzure AD ユーザーとしてログインしていない場合、ユーザー リソースは失敗します。 設定 System > About ユーザー インターフェイスからAzure AD>に参加しようとすると、MDM サーバーから組織の構成を取得するために、Azure AD資格情報を使用してサインアウトしてサインインしてください。 この動作は仕様です。
Kerberos 認証にも VPN 認証に使用される証明書を使用する場合 (NTLM または Kerberos を使用してオンプレミス リソースにアクセスする必要がある場合は必須)、ユーザーの証明書はスマート カード証明書の要件を満たしている必要があります。サブジェクト フィールドには DN の DNS ドメイン名を含める必要があります。SAN には、DNS 登録から DC を見ることができるように完全修飾 UPN が含まれている必要があります。 これらの要件を満たしていない証明書が VPN に使用されている場合、ユーザーは Kerberos 認証を必要とするリソースにアクセスできない可能性があります。
プッシュ ボタン リセット用の DM エージェントは、OMA DM セッションのレジストリ設定を保持しますが、タスク スケジュールは削除されます。 クライアント登録は保持されますが、MDM サービスと同期されることはありません。
いいえ、そうではありません。 MDM は 1 つだけ許可されます。
エントリ | 説明 |
---|---|
dmwappushsvc とは | これは、windows 管理プラットフォームの一部としてオペレーティング システムWindows 10およびWindows 11に付属するWindows サービスです。 これは、オペレーティング システムによって、管理メッセージ、MMS、NabSync、およびサービス表示/サービス読み込み (SI/SL) Windows含むすべての WAP メッセージを分類および処理するためのキューとして内部的に使用されます。 また、サービスは、MDM サーバーとの管理同期セッションを開始および調整します。 |
dmwappushsvc によって処理されるデータは何ですか? | これは、管理プラットフォームの内部作業を処理し、管理のためにデバイスによってリモートで受信されたメッセージの処理に関与するコンポーネントです。 キュー内のメッセージは、メッセージを処理するWindows管理スタックの一部でもある別のコンポーネントによって処理されます。 また、このサービスは、デバイスによって受信された WAP メッセージをさらに処理する内部 OS コンポーネント (MMS、NabSync、SI/SL) にルーティングおよび認証します。 このサービスはテレメトリを送信しません。 |
オフに操作方法場合はオンにしますか? | サービスは、デバイスの "Services" コンソールから停止できます (サービスの実行>>実行を開始します。msc)。 ただし、このサービスは OS のコンポーネントであり、デバイスの適切な機能に必要であるため、サービスを無効にしないことを強くお勧めします。 このサービスを無効にすると、管理が失敗します。 |
新しい記事または更新された記事 | 説明 |
---|---|
Policy CSP | Windows 10 バージョン 20H2 に次の新しいポリシーを追加しました。 - Experience/DisableCloudOptimizedContent - LocalUsersAndGroups/Configure - MixedReality/AADGroupMembershipCacheValidityInDays - MixedReality/BrightnessButtonDisabled - MixedReality/FallbackDiagnostics - MixedReality/MicrophoneDisabled - MixedReality/VolumeButtonDisabled - マルチタスク/BrowserAltTabBlowout |
SurfaceHub CSP | 次の新しいノードを追加しました。 - Properties/SleepMode |
WindowsDefenderApplicationGuard CSP | 次のノードの説明を更新しました。 - 設定/AllowWindowsDefenderApplicationGuard |
新しい記事または更新された記事 | 説明 |
---|---|
Policy CSP | Windows 10 バージョン 2004 で次の新しいポリシーを追加しました。 - ApplicationManagement/BlockNonAdminUserInstall - Bluetooth/SetMinimumEncryptionKeySize - DeliveryOptimization/DOCacheHostSource - DeliveryOptimization/DOMaxBackgroundDownloadBandwidth - DeliveryOptimization/DOMaxForegroundDownloadBandwidth - Education/AllowGraphingCalculator - TextInput/ConfigureJapaneseIMEVersion - TextInput/ConfigureSimplifiedChineseIMEVersion - TextInput/ConfigureTraditionalChineseIMEVersion Windows 10バージョン 2004 で次のポリシーを更新しました。 - DeliveryOptimization/DOCacheHost Windows 10 バージョン 2004 では、次のポリシーが非推奨になりました。 - DeliveryOptimization/DOMaxDownloadBandwidth - DeliveryOptimization/DOMaxUploadBandwidth - DeliveryOptimization/DOPercentageMaxDownloadBandwidth |
DevDetail CSP | 次の新しいノードを追加しました。 - Ext/Microsoft/DNSComputerName |
EnterpriseModernAppManagement CSP | 次の新しいノードを追加しました。 - IsStub |
SUPL CSP | 次の新しいノードを追加しました。 - FullVersion |
新しい記事または更新された記事 | 説明 |
---|---|
BitLocker CSP | Windows 10 バージョン 1909 に次の新しいノードが追加されました。 - ConfigureRecoveryPasswordRotation - RotateRecoveryPasswords - RotateRecoveryPasswordsStatus - RotateRecoveryPasswordsRequestID |
新しい記事または更新された記事 | 説明 |
---|---|
Policy CSP | Windows 10 Version 1809に次の新しいポリシー設定を追加しました。 - ApplicationManagement/LaunchAppAfterLogOn - ApplicationManagement/ScheduleForceRestartForUpdateFailures - Authentication/EnableFastFirstSignIn (プレビュー モードのみ) - Authentication/EnableWebSignIn (プレビュー モードのみ) - Authentication/PreferredAadTenantDomainName - Browser/AllowFullScreenMode - Browser/AllowPrelaunch - Browser/AllowPrinting - Browser/AllowSavingHistory - Browser/AllowSideloadingOfExtensions - Browser/AllowTabPreloading - Browser/AllowWebContentOnNewTabPage - Browser/ConfigureFavoritesBar - Browser/ConfigureHomeButton - Browser/ConfigureKioskMode - Browser/ConfigureKioskResetAfterIdleTimeout - Browser/ConfigureOpenMicrosoftEdgeWith - Browser/ConfigureTelemetryForMicrosoft365Analytics - Browser/PreventCertErrorOverrides - Browser/SetHomeButtonURL - Browser/SetNewTabPageURL - Browser/UnlockHomeButton - Defender/CheckForSignaturesBeforeRunningScan - Defender/DisableCatchupFullScan - Defender/DisableCatchupQuickScan - Defender/EnableLowCPUPriority - Defender/SignatureUpdateFallbackOrder - Defender/SignatureUpdateFileSharesSources - DeviceGuard/ConfigureSystemGuardLaunch - DeviceInstallation/AllowInstallationOfMatchingDeviceIDs - DeviceInstallation/AllowInstallationOfMatchingDeviceSetupClasses - DeviceInstallation/PreventDeviceMetadataFromNetwork - DeviceInstallation/PreventInstallationOfDevicesNotDescribedByOtherPolicySettings - DmaGuard/DeviceEnumerationPolicy - Experience/AllowClipboardHistory - Experience/DoNotSyncBrowserSettings - Experience/PreventUsersFromTurningOnBrowserSyncing - Kerberos/UPNNameHints - Privacy/AllowCrossDeviceClipboard - Privacy/DisablePrivacyExperience - Privacy/UploadUserActivities - Security/RecoveryEnvironmentAuthentication - System/AllowDeviceNameInDiagnosticData - System/ConfigureMicrosoft365UploadEndpoint - System/DisableDeviceDelete - System/DisableDiagnosticDataViewer - Storage/RemovableDiskDenyWriteAccess - TaskManager/AllowEndTask - Update/DisableWUfBSafeguards - Update/EngagedRestartDeadlineForFeatureUpdates - Update/EngagedRestartSnoozeScheduleForFeatureUpdates - Update/EngagedRestartTransitionScheduleForFeatureUpdates - Update/SetDisablePauseUXAccess - Update/SetDisableUXWUAccess - WindowsDefenderSecurityCenter/DisableClearTpmButton - WindowsDefenderSecurityCenter/DisableTpmFirmwareUpdateWarning - WindowsDefenderSecurityCenter/HideWindowsSecurityNotificationAreaControl - WindowsLogon/DontDisplayNetworkSelectionUI |
BitLocker CSP | Windows 10 Version 1809に新しいノード AllowStandardUserEncryption を追加しました。 Windows 10 Proのサポートが追加されました。 |
Defender CSP | Windows 10 Version 1809に新しいノード Health/ProductStatus を追加しました。 |
DevDetail CSP | Windows 10 Version 1809に新しいノード SMBIOSSerialNumber を追加しました。 |
EnterpriseModernAppManagement CSP | Windows 10 Version 1809の AppManagement ノードの下に、Removable 以外の設定を追加しました。 |
Office CSP | Windows 10 Version 1809に FinalStatus 設定を追加しました。 |
PassportForWork CSP | Windows 10 Version 1809に新しい設定を追加しました。 |
RemoteWipe CSP | Windows 10 Version 1809に新しい設定を追加しました。 |
SUPL CSP | Windows 10 Version 1809に 3 つの新しい証明書ノードを追加しました。 |
TenantLockdown CSP | Windows 10 Version 1809に新しい CSP を追加しました。 |
Wifi CSP | Windows 10 Version 1809に新しいノード WifiCost を追加しました。 |
WindowsDefenderApplicationGuard CSP | Windows 10 Version 1809に新しい設定を追加しました。 |
WindowsLicensing CSP | Windows 10 Version 1809に S モード設定と SyncML の例を追加しました。 |
Win32CompatibilityAppraiser CSP | Windows 10 Version 1809に新しい構成サービス プロバイダーを追加しました。 |
MDM ドキュメントで何が変更されたかについては、MDM の 変更履歴に関するドキュメントを参照してください。
モバイル オペレーターの DM サーバーまたはエンタープライズ管理サーバーで RemoteWipe 構成サービス プロバイダー (CSP) を使用してデバイスをリモートワイプする方法について説明します。
UPDATE 構成サービス プロバイダー (CSP) を使用して、IT 管理者が新しい更新プログラムのロールアウトを管理および制御する方法について説明します。
構成サービス プロバイダー (Configuration Service Provider (CSP)) は、デバイスの構成設定の読取、設定、変更、または削除するインターフェイスです。
エンタープライズ固有のモバイル デバイス管理 (MDM) 構成設定を指定するために DMClient 構成サービス プロバイダー (CSP) を使用する方法について説明します。
フィードバックの送信と表示