DFCI 管理
Windows Autopilot DeploymentとIntuneを使用すると、デバイス ファームウェア構成インターフェイス (DFCI) を使用して UEFI (BIOS) 設定を登録した後で管理できます
モバイル デバイスの登録と管理の新機能
この記事では、すべてのWindows 10デバイスとWindows 11 デバイスのWindows 10およびWindows 11モバイル デバイス管理 (MDM) の登録と管理エクスペリエンスの新機能について説明します。 この記事では、破壊的変更と既知の問題とよく寄せられる質問の詳細についても説明します。
Windows 10とWindows 11のモバイル デバイス管理プロトコルMicrosoftの詳細については、「[MS-MDM]: Mobile デバイス管理 Protocol」および「[MS-MDE2]: Mobile Device Enrollment Protocol Version 2」を参照してください。
| 新規または更新された記事 | 説明 |
|---|---|
| DeviceStatus | 次のノードを追加しました。 |
| eUUIC | 次のノードを追加しました。 |
| PersonalDataEncryption | 新しい CSP |
| Policy CSP | 次のノードを追加しました。 |
| SecureAssessment | 次のノードを追加しました。 |
| WindowsAutopilot | 次のノードを追加しました。 |
| 新規または更新された記事 | 説明 |
|---|---|
| Policy CSP | 次のノードを追加しました。 |
| DMClient CSP | 次のノードの説明を更新しました。 |
| PrinterProvisioning | 新しい CSP |
| 新規または更新された記事 | 説明 |
|---|---|
| Policy CSP | 次のノードを追加しました。 |
| SurfaceHub CSP | 次の新しいノードを追加しました。 |
| WindowsDefenderApplicationGuard CSP | 次のノードの説明を更新しました。 |
| 新規または更新された記事 | 説明 |
|---|---|
| Policy CSP | 次のノードを追加しました。 バージョン 2004 Windows 10で次のポリシーを更新しました。 Windows 10 バージョン 2004 では、次のポリシーが非推奨になりました。 |
| DevDetail CSP | 次の新しいノードを追加しました。 |
| EnterpriseModernAppManagement CSP | 次のノードを追加しました。 |
| SUPL CSP | 次のノードを追加しました。 |
| 新規または更新された記事 | 説明 |
|---|---|
| BitLocker CSP | 次のノードを追加しました。 |
| 新規または更新された記事 | 説明 |
|---|---|
| Policy CSP | 次のノードを追加しました。 |
| ポリシー CSP - 監査 | 新しい監査ポリシー CSP を追加しました。 |
| ApplicationControl CSP | 新しい CSP を追加しました。 |
| Defender CSP | 次の新しいノードを追加しました。 |
| DiagnosticLog CSP DiagnosticLog DDF |
Windows 10 バージョン 1903 で CSP のバージョン 1.4 を追加しました。 新しい 1.4 バージョンの DDF を追加しました。 次の新しいノードを追加しました。 |
| EnrollmentStatusTracking CSP | 新しい CSP を追加しました。 |
| PassportForWork CSP | 次の新しいノードを追加しました。 |
| 新規または更新された記事 | 説明 |
|---|---|
| Policy CSP | 次のノードを追加しました。 |
| BitLocker CSP | 新しいノード AllowStandardUserEncryption を追加しました。 |
| Defender CSP | 新しいノード Health/ProductStatus を追加しました。 |
| DevDetail CSP | 新しいノード SMBIOSSerialNumber を追加しました。 |
| EnterpriseModernAppManagement CSP | AppManagement ノードの下に NonRemovable 設定を追加しました。 |
| Office CSP | FinalStatus 設定を追加しました。 |
| PassportForWork CSP | 新しい設定を追加しました。 |
| RemoteWipe CSP | 新しい設定を追加しました。 |
| SUPL CSP | 3 つの新しい証明書ノードを追加しました。 |
| TenantLockdown CSP | 新しい CSP を追加しました。 |
| Wifi CSP | 新しいノード WifiCost を追加しました。 |
| WindowsDefenderApplicationGuard CSP | 新しい設定を追加しました。 |
| WindowsLicensing CSP | S モードの設定と SyncML の例を追加しました。 |
| Win32CompatibilityAppraiser CSP | 新しい CSP。 |
Windows 10とWindows 11では、アトミック コマンド内の Get コマンドはサポートされていません。
WMI クラスを使用してインストールされたアプリケーションは、MDM アカウントをデバイスから削除しても削除されません。
SyncML のデータ内の CDATA を ConfigManager と CSP に渡しても、Windows 10とWindows 11では機能しません。
SCEP 用 IIS サーバーの [SSL 設定] の下の証明書設定は、Windows 10とWindows 11で "無視" に設定する必要があります。
認証を必要とするプロキシを使用するように Windows デバイスが構成されている場合、登録は失敗します。 この問題を回避するには、認証を必要としないプロキシを使用するか、接続されたネットワークからプロキシ設定を削除します。
職場アカウントを追加して登録されたデバイスのサーバーによって開始された登録解除は、MDM アカウントをアクティブのままにできません。 MDM ポリシーとリソースはまだ配置されており、クライアントは引き続きサーバーと同期できます。
Azure Active Directory Join 経由で登録されているモバイル デバイスでは、リモート サーバーの登録解除が無効になります。 サーバーにエラー メッセージが返されます。 Azure AD に参加しているモバイル デバイスの登録を削除する唯一の方法は、デバイスをリモートでワイプすることです。
Windows 10とWindows 11では、ClientCertificateInstall を使用してデバイス ストアとユーザー ストアに証明書をインストールし、両方の証明書が同じ MDM ペイロード内のデバイスに送信されると、デバイス ストア用の証明書もユーザー ストアにインストールされます。 このデュアル インストールでは、接続を確立するために正しい証明書を選択するときに、Wi-Fiまたは VPN に問題が発生する可能性があります。 この問題の解決に取り組んでいます。
DevDetail/Ext/Microsoft/OSPlatform のソフトウェア バージョン情報が、[システム/バージョン情報] の [設定] のバージョンと一致しません。
展開で、デバイスに複数の証明書がプロビジョニングされていて、プロビジョニングされたWi-Fi プロファイルに厳密なフィルター条件がない場合、Wi-Fi に接続するときに接続エラーが発生する可能性があります。 解決策は、プロビジョニングされたWi-Fi プロファイルが厳密なフィルター条件を持ち、1 つの証明書にのみ一致するようにすることです。
VPN/Wi-Fi 用の証明書ベースの EAP 認証を展開する企業では、認証の既定の条件を満たす証明書が複数存在する状況に直面する可能性があります。 このような状況では、次のような問題が発生する可能性があります。
- ユーザーに証明書の選択を求めるメッセージが表示される場合があります。
- 間違った証明書が自動選択され、認証エラーが発生する可能性があります。
運用環境の準備が整ったデプロイには、展開するプロファイルの一部として適切な証明書の詳細が必要です。 次の情報では、不要な証明書が除外され、認証に適切な証明書を使用できるように EAP 構成 XML を作成または更新する方法について説明します。
EAP XML は、環境に関連する情報で更新する必要があります。 このタスクは、以下の XML サンプルを編集するか、ステップ バイ ステップ UI ガイドを使用して手動で実行できます。 EAP XML が更新されたら、MDM の手順を参照して、更新された構成を次のように展開します。
- Wi-Fi については、現在の <WLAN プロファイル XML の EAPConfig> セクションを探します (この詳細は、Wi-Fi CSP の WLanXml ノードに指定するものです)。 これらのタグ内には、完全な EAP 構成が含まれます。 EAPConfig> のセクション<を更新した XML に置き換え、Wi-Fi プロファイルを更新します。 新しいWi-Fi プロファイルを展開する方法に関する MDM のガイダンスを参照する必要がある場合があります。
- VPN の場合、EAP 構成は MDM 構成の別のフィールドです。 MDM プロバイダーと連携して、適切なフィールドを特定して更新します。
EAP 設定の詳細については、「」を参照してください https://technet.microsoft.com/library/hh945104.aspx#BKMK_Cfg_cert_Selct。
EAP XML の生成については、「 EAP 構成」を参照してください。
拡張キーの使用方法の詳細については、「」を参照してください https://datatracker.ietf.org/doc/html/rfc5280#section-4.2.1.12。
拡張キー使用法 (EKU) を証明書に追加する方法については、を参照してください https://technet.microsoft.com/library/cc731792.aspx。
次の一覧では、EAP で使用する証明書の前提条件について説明します。
証明書には、次の EKU (拡張キー使用法) プロパティの少なくとも 1 つが必要です。
- クライアント認証。
- RFC 5280 で定義されているように、このプロパティは、値 1.3.6.1.5.5.7.3.2 を持つ適切に定義された OID です。
- 任意の目的。
- Microsoftによって定義および発行された EKU は、値が 1.3.6.1.4.1.311.10.12.1 である適切に定義された OID です。 この OID を含めることは、証明書を任意の目的で使用できることを意味します。 この EKU が All Purpose EKU よりも優れている利点は、有効なフィルター処理のために、他の重要でない EKU またはカスタム EKU を証明書に追加できることです。
- すべての目的。
- RFC 5280 で定義されているように、CA に一部のアプリケーション ニーズを満たすために拡張キー使用法が含まれているが、キーの使用を制限したくない場合、CA は拡張キー使用量値 0 を追加できます。 このような EKU を持つ証明書は、あらゆる目的で使用できます。
クライアント上のユーザーまたはコンピューター証明書は、信頼されたルート CA にチェーンされます。
ユーザーまたはコンピューター証明書は、CryptoAPI 証明書ストアによって実行されるいずれかのチェックに失敗せず、証明書はリモート アクセス ポリシーの要件を満たしています。
ユーザーまたはコンピューター証明書は、インターネット認証サービス (IAS)/Radius Server で指定されている証明書オブジェクト識別子チェックのいずれにも失敗しません。
証明書のサブジェクト代替名 (SubjectAltName) 拡張機能には、ユーザーのユーザー プリンシパル名 (UPN) が含まれています。
次の XML サンプルでは、証明書のフィルター処理を含む EAP TLS XML のプロパティについて説明します。
注意
PEAP または TTLS プロファイルの場合、EAP TLS XML は一部の PEAP または TTLS 固有の要素に埋め込まれています。
<EapHostConfig xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<EapMethod>
<Type xmlns="http://www.microsoft.com/provisioning/EapCommon">13</Type>
<!--The above property defines the Method type for EAP, 13 means EAP TLS -->
<VendorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorId>
<VendorType xmlns="http://www.microsoft.com/provisioning/EapCommon">0</VendorType>
<AuthorId xmlns="http://www.microsoft.com/provisioning/EapCommon">0</AuthorId>
<!--The 3 properties above define the method publishers, this is seen primarily in 3rd party Vendor methods.-->
<!-- For Microsoft EAP TLS the value of the above fields will always be 0 -->
</EapMethod>
<!-- Now that the EAP Method is Defined we will go into the Configuration -->
<Config xmlns="http://www.microsoft.com/provisioning/EapHostConfig">
<Eap xmlns="http://www.microsoft.com/provisioning/BaseEapConnectionPropertiesV1">
<Type>13</Type>
<EapType xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV1">
<CredentialsSource>
<!-- Credential Source can be either CertificateStore or SmartCard -->
<CertificateStore>
<SimpleCertSelection>true</SimpleCertSelection>
<!--SimpleCertSelection automatically selects a cert if there are mutiple identical (Same UPN, Issuer, etc.) certs.-->
<!--It uses a combination of rules to select the right cert-->
</CertificateStore>
</CredentialsSource>
<ServerValidation>
<!-- ServerValidation fields allow for checks on whether the server being connected to and the server cert being used are trusted -->
<DisableUserPromptForServerValidation>false</DisableUserPromptForServerValidation>
<ServerNames/>
</ServerValidation>
<DifferentUsername>false</DifferentUsername>
<PerformServerValidation xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</PerformServerValidation>
<AcceptServerName xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">false</AcceptServerName>
<TLSExtensions xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV2">
<!-- For filtering the relevant information is below -->
<FilteringInfo xmlns="http://www.microsoft.com/provisioning/EapTlsConnectionPropertiesV3">
<CAHashList Enabled="true">
<!-- The above implies that you want to filter by Issuer Hash -->
<IssuerHash>ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
<!-- Issuing certs thumbprint goes here-->
</IssuerHash>
<!-- You can add multiple entries and it will find the list of certs that have at least one of these certs in its chain-->
</CAHashList>
<EKUMapping>
<!-- This section defines Custom EKUs that you may be adding-->
<!-- You do not need this section if you do not have custom EKUs -->
<!-- You can have multiple EKUs defined here and then referenced below as shown -->
<EKUMap>
<EKUName>
<!--Add a friendly Name for an EKU here for example -->ContostoITEKU</EKUName>
<EKUOID>
<!--Add the OID Value your CA adds to the certificate here, for example -->1.3.6.1.4.1.311.42.1.15</EKUOID>
</EKUMap>
<!-- All the EKU Names referenced in the example below must first be defined here
<EKUMap>
<EKUName>Example1</EKUName>
<EKUOID>2.23.133.8.3</EKUOID>
</EKUMap>
<EKUMap>
<EKUName>Example2</EKUName>
<EKUOID>1.3.6.1.4.1.311.20.2.1</EKUOID>
</EKUMap>
-->
</EKUMapping>
<ClientAuthEKUList Enabled="true">
<!-- The above implies that you want certs with Client Authentication EKU to be used for authentication -->
<EKUMapInList>
<!-- This section implies that the certificate should have the following custom EKUs in addition to the Client Authentication EKU -->
<EKUName>
<!--Use the name from the EKUMap Field above-->ContostoITEKU</EKUName>
</EKUMapInList>
<!-- You can have multiple Custom EKUs mapped here, Each additional EKU will be processed with an AND operand -->
<!-- For example, Client Auth EKU AND ContosoITEKU AND Example1 etc. -->
<EKUMapInList>
<EKUName>Example1</EKUName>
</EKUMapInList>
</ClientAuthEKUList>
<AllPurposeEnabled>true</AllPurposeEnabled>
<!-- Implies that a certificate with the EKU field = 0 will be selected -->
<AnyPurposeEKUList Enabled="true"/>
<!-- Implies that a certificate with the EKU oid Value of 1.3.6.1.4.1.311.10.12.1 will be selected -->
<!-- Like for Client Auth you can also add Custom EKU properties with AnyPurposeEKUList (but not with AllPurposeEnabled) -->
<!-- So here is what the above policy implies.
The certificate selected will have
Issuer Thumbprint = ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff ff
AND
((Client Authentication EKU AND ContosoITEKU) OR (AnyPurposeEKU) OR AllPurpose Certificate)
Any certificate(s) that match these criteria will be utilised for authentication
-->
</FilteringInfo>
</TLSExtensions>
</EapType>
</Eap>
</Config>
</EapHostConfig>
注意
EAP TLS XSD は %systemdrive%\Windows\schemas\EAPMethods\eaptlsconnectionpropertiesv3.xsd にあります
または、次の手順を使用して EAP 構成 XML を作成することもできます。
EAP 構成の手順 1 から 7 に従います。
[Microsoft VPN SelfHost のプロパティ] ダイアログ ボックスで、ドロップダウン メニューから [Microsoft: スマート カードまたはその他の証明書] を選択します (このドロップダウン メニューでは EAP TLS を選択します)。
注意
PEAP または TTLS の場合は、適切な方法を選択し、この手順に従います。
ドロップダウン メニューの下にある [ プロパティ ] ボタンをクリックします。
[ スマート カード] またはその他の [証明書のプロパティ ] メニューで、[ 詳細設定 ] ボタンを選択します。
[ 証明書の選択の構成 ] メニューで、必要に応じてフィルターを調整します。
[ OK] を クリックしてウィンドウを閉じ、メインの [rasphone.exe] ダイアログ ボックスに戻ります。
rasphone ダイアログ ボックスを閉じます。
手順 9 の EAP 構成 の手順に従って、適切なフィルター処理を使用して EAP TLS プロファイルを取得します。
注意
また、この UI を使用して、他のすべての該当する EAP プロパティを設定することもできます。 これらのプロパティの意味については、「 ネットワーク アクセスの拡張認証プロトコル (EAP) 設定」を参照してください。
MDM クライアントが WNS チャネル URI を自動的に更新すると、MDM クライアントは MDM サーバーにすぐにチェックインします。 そのため、MDM クライアントのチェックインごとに、MDM サーバーは"ProviderID/Push/ChannelURI" の GET 要求を送信して、最新のチャネル URI を取得し、既存のチャネル URI と比較する必要があります。必要に応じてチャネル URI を更新します。
Azure AD 参加済みWindows 10とWindows 11で、/をプロビジョニングします。ユーザーが Azure AD ユーザーとしてログインしていない場合、ユーザー リソースは失敗します。 [設定] [システム>] [ユーザー インターフェイスについて] > から Azure AD に参加しようとすると、MDM サーバーから組織の構成を取得するために、必ず Azure AD 資格情報でサインアウトしてサインインしてください。 この動作は仕様です。
VPN 認証にも使用する証明書を Kerberos 認証に使用する場合 (NTLM または Kerberos を使用してオンプレミス リソースにアクセスする必要がある場合は必須)、ユーザーの証明書はスマート カード証明書の要件を満たす必要があります。サブジェクト フィールドには DN に DNS ドメイン名が含まれている必要があります。SAN には完全修飾 UPN が含まれている必要があります。DC を DNS 登録から見つけられます。 これらの要件を満たしていない証明書を VPN に使用すると、ユーザーは Kerberos 認証を必要とするリソースにアクセスできない可能性があります。
プッシュ ボタン リセット用の DM エージェントは、OMA DM セッションのレジストリ設定を保持しますが、タスク スケジュールを削除します。 クライアント登録は保持されますが、MDM サービスと同期されることはありません。
いいえ、そうではありません。 MDM は 1 つだけ許可されます。
- テナント管理者としてポータルにサインインします。 https://portal.azure.com
- 左側のウィンドウで [Active Directory] を選択します。
- テナントを選択します。
- [ 構成] を選択します。
- クォータを無制限に設定します。
| エントリ | 説明 |
|---|---|
| dmwappushsvc とは | これは、windows 管理プラットフォームの一部としてオペレーティング システムWindows 10 Windows 11に付属する Windows サービスです。 これは、Windows 管理メッセージとサービス表示/サービス読み込み (SI/SL) を含むすべてのワイヤレス アプリケーション プロトコル (WAP) メッセージを分類および処理するためのキューとして、オペレーティング システムによって内部的に使用されます。 このサービスでは、MDM サーバーとの管理同期セッションも開始および調整されます。 |
| dmwappushsvc によって処理されるデータは何ですか? | これは、管理プラットフォームの内部作業を処理し、管理のためにデバイスによってリモートで受信されたメッセージの処理に関与するコンポーネントです。 キュー内のメッセージは、メッセージを処理するための Windows 管理スタックの一部でもある別のコンポーネントによって処理されます。 また、このサービスは、デバイスによって受信された WAP メッセージを、さらに処理する内部 OS コンポーネントにルーティングして認証します。 このサービスはテレメトリを送信しません。 |
| オフ操作方法場合はオフになりますか? | サービスは、デバイス上の "サービス" コンソール (Start Run services.msc) から停止し、ワイヤレス アプリケーション プロトコル (WAP) プッシュ メッセージ ルーティング サービスデバイス管理検索できます。>> ただし、このサービスは OS のコンポーネント部分であり、デバイスの適切な機能に必要であるため、サービスを無効にしないことを強くお勧めします。 このサービスを無効にすると、管理が失敗します。 |
MDM ドキュメントの変更点については、MDM ドキュメントの 変更履歴に関するページを参照してください。