ポリシーの概要

  • 公開日 Jul 31, 2025
  • 1 分で読めます
  • s
  • s
 Prev Next

紹介

Workforce Experience Platform(WXP)の ポリシー モジュールを使用すると、IT管理者は、管理対象デバイス全体に設定標準、セキュリティベースライン、およびコンプライアンスルールを適用できます。一元化されたポリシーエンジンがなければ、組織は多くの場合、動的で分散したデバイス環境全体で整合性を維持するのに苦労します。

ポリシーを使用すると、必要な構成状態を維持し、手動の介入なしに一貫した適用を確保する自動システム動作を定義できます。ポリシーは、 静的動的Entra ID ベースなどのデバイス グループを通じて適用でき、スクリプトや修復と連携して IT ガバナンスを維持できます。

ポリシーは、一貫したデバイス構成とセキュリティ体制を維持するための強制レイヤーとして機能します。修復とコンプライアンスのワークフローに統合され、エンドポイントが企業標準に準拠していることをプロアクティブに保証します。この機能により、IT チームはリスクを軽減し、コンプライアンスを維持し、大規模な構成変更を自動化することができます。

ポリシーの種類

  • 設定ポリシー (システムレベルの適用): これらのポリシーは、BIOS 設定、ファイアウォールの有効化、セキュアブートなどのシステムレベルの設定を定義および維持します。これらは、設定ドリフトの自動適用と修正により、すべてのデバイス間で一貫性を確保します。ポリシーは、直接適用することも、Microsoft Intuneなどの管理ツールと統合することもできます。

  • セキュリティ ポリシー (ベースラインの適用と修復): これらのポリシーは、ウイルス対策、BitLocker 暗号化、Windows Defender の有効化など、ベースライン セキュリティ設定を設定します。これらは、偏差を検出して修正するために継続的に監視されます。これらのポリシーは、Common Vulnerabilities and Exposures (CVE) の修復、コンプライアンス要件、および業界のベスト プラクティスに準拠しています。

  • コンプライアンス ポリシー (監査に重点を置いた施行): これらのポリシーは、デバイスが内部標準、法的要件、および業界規制に準拠していることを保証します。さらに:

    • すべてのポリシーアクションは、監査とレポート作成の目的でログに記録されます。
    • ロールベースのアクセス制御 (RBAC) は、機密性の高い強制アクションへのアクセスを制限するためにサポートされています。

ターゲット

  • 適用のためのポリシーを定義および管理するIT管理者
  • ポリシーの遵守と監査の準備状況を監視するセキュリティ&コンプライアンスチーム
  • ヘルプデスクとIT技術者が ポリシー適用の問題を調査して修正します

主な機能

主要な機能には、次のようなものがあります。

  • 一元化されたポリシー管理:すべてのポリシーを単一のインターフェイスから定義および管理します。これにより、ポリシーをデバイス グループにリンクすることで、対象を絞った適用が可能になります。
  • 自動適用: デバイスの参加時や状態の変更時にポリシーを自動的に適用し、手動の介入なしに構成のずれを検出して修復します。
  • セキュリティとコンプライアンスの統合: ポリシーを脆弱性スキャンとベースライン構成に合わせながら、監査とコンプライアンスの追跡のためにすべての変更をログに記録します。
  • 推奨されるアクションやグループとの統合: 修復ワークフローの一部としてポリシーをトリガーするか、静的、動的、または Entra ID ベースのグループを使用してポリシーをプロアクティブに適用し、コンテキストに応じた適用を行います。
  • 構成のずれの修正:予想される設定からの逸脱を自動的に検出し、ポリシーを再適用してコンプライアンスを復元し、手動のオーバーヘッドとリスクを軽減します。

ユースケース

  1. セキュリティ ベースラインの適用 (動的グループ ポリシー)
    シナリオ: あなたの会社は、すべてのエンタープライズ ノート PC で BitLocker 暗号化が有効になっていることを確認したいと考えています。
    解決策: BitLocker 暗号化を適用するポリシーを定義し、Windows 11 ノート PC の動的グループに割り当てます。一致するすべてのデバイスはポリシーを自動的に受信し、準拠していないデバイスにはフラグが付けられて修復されます。

  2. 設定のずれ修正(ポリシーの再適用)
    シナリオ: 一部のデバイスでは、Windows Defender が手動でオフになっていることが示されています。
    解決策: ポリシー エンジンはドリフトを検出し、予期された構成を再適用します。監査追跡用のログ エントリが作成され、デバイスはユーザーの介入なしに準拠状態に戻ります。

  3. 直接 BIOS ポリシーの適用 (スクリプトとポリシーのオプション)
    シナリオ: 組織は、フリート全体で BIOS 更新プログラムを正常にロールアウトしたいと考えています。
    解決策:スクリプトを使用するのではなく、「ポリシーの適用」オプションを選択して、外部ツールをバイパスし、ポリシーエンジンを介してBIOSアップデートを強制します。これにより、プラットフォーム内でのデプロイと追跡が標準化されます。

関連記事