Configurations

セキュリティ目標、更新プログラムのコンプライアンス期限、デバイス アクティビティに関する展開関連のポリシーを確認します。

構成の適用

準備フェーズでは、セキュリティ ベースライン、ポリシーと管理用テンプレート、ネットワークなどの構成を作成および更新しました。このフェーズでは、まだ適用していない場合は、これらの構成を適用します。

展開中、構成はアクティブな管理プラットフォームを介してデバイスに適用されます。

クラウドで管理される環境では、これは通常、ポリシーの割り当てを介して Microsoft Intune を通じて行われます。 Windows自動パッチを使用している場合、デバイスが登録され、展開リングに配置されると、構成と更新の管理が自動的に調整されます。 ハイブリッド環境またはオンプレミス環境では、構成は、Configuration Manager およびグループ ポリシーを通じて適用される場合もあります。

モニター設定

展開フェーズでは、テスト結果とフィードバックを監視して、構成によって期待される動作が提供されていることを確認します。

Microsoft Intuneを使用する場合、監視セキュリティ ベースラインは、ベースライン ポリシーが正常に適用されていることを確認し、設定が適用されていないデバイスを特定したり、エラーを報告したりするために Intune によって展開されます。 展開には監視を伴い、ロールアウトのスケールに合わせてベースラインの適用が一貫していることを確認する必要があります。 また、 構成プロファイルの状態を監視 して、ポリシーが正常に適用されたことを確認し、デバイスレポートのエラーまたは競合を特定する必要があります。

ハイブリッド環境またはオンプレミス環境では、デバイスが予想される構成状態を満たしていることを確認するために、Configuration Managerを介して展開される構成基準もコンプライアンスのために監視する必要があります。

Windows自動パッチを使用している場合は、Windows自動パッチ管理状態レポートを確認して、更新プログラムと構成に対するデバイスの管理方法を理解します。

ベースライン アプリケーションの状態に加えて、ユーザー エクスペリエンスとデバイスの動作を監視します。 例えば次が挙げられます。

• ユーザーは必要なリソースにアクセスできますか?
• ユーザーがブロックする必要があるリソースにアクセスできないようにしていますか?
• デスクトップ エクスペリエンスは、ユーザーに適した環境 ("外観") を提供しますか?
• アプリケーションは正しく動作していますか?
• Windows品質更新プログラムは想定どおりにインストールされていますか?
• デバイスは想定どおりにレポートされますか?

展開がより多くのデバイスに拡大するにつれて、他の構成関連の問題が発生する可能性があります。 そのため、デプロイ プロセス全体を通じて、このタスクを定期的に見直す必要があります。

構成の修復

問題が特定された場合は、関係者と共に構成を確認し、変更が必要な場合はどれを決定する必要があります。

古いポリシーや競合するポリシーはありますか? ハイブリッド環境がある場合は、古い、古い、適用できなくなった、または不要になったポリシーに特に注意してください。 このようなポリシーがグループ ポリシーを使用して適用されると、競合が発生する可能性があります。 これは、構成ミスと予期しない動作の一般的な原因です。

Microsoft Intuneまたは Windows Autopatch を使用している場合は、Alerts and remediations overview および Troubleshoot policies and configuration profiles in Microsoft Intune が役立つ可能性のあるリソースです。

必要な構成修復のサイズまたは影響に応じて、まずテスト環境または小規模な展開リングでの変更を検証できます。

手順に関するドキュメントの承認と更新

この段階で意思決定を行う際に、追跡、レポート、および継続性の目的で簡単に共有できる形式でドキュメント化します。 ユーザーの準備に接続された RACI マトリックスで識別されたすべてのユーザーから、これらの成果物の承認を取得します。 次のデプロイ フェーズに進む前に、ヘルプを探し、ギャップに対処します。