Windows セキュア ブート証明書更新対応 – ファームウェア更新準備 (Microsoft Intune)

Intune, Microsoft, Security

皆さん、おはようございます。

今回は、Windows セキュア ブート証明書の有効期限切れ対応のシリーズをお伝えします。

第三回目の今回は第二回で紹介した、ファームウェア (UEFI/BIOS) の更新対応について、実際にファームウェア更新を行う際の準備段階である企業や組織内のファームウェア バージョン特定の方法を紹介していきたいと思います。今回は Microsoft Intune を用いてデバイス管理を行っている場合について取り上げます。

第二回の記事で紹介したようにWindows セキュア ブート証明書の更新の前に事前にファームウェア (UEFI/BIOS) を更新しておくことを強くお勧めします。それは、PC メーカーによっては、特定のファームウェア バージョン以降で Windows セキュア ブート証明書の更新スキームに対応している場合があるからです。

今回の記事では、企業や組織内のクライアント マシンを Microsoft Intune で管理している場合にファームウェア バージョンの特定の仕方について紹介したいと思います。

<Microsoft Intune でのファームウェア (UEFI/BIOS) の特定の仕方>

Microsoft Intune において、クライアント マシンを管理している場合、どのようにファームウェア (UEFI/BIOS) を特定していくかは様々な方法があります。

まず、クライアント マシン単体でのファームウェアの確認方法について紹介します。

各デバイスのハードウェア情報で確認する方法

  1. Microsoft Intune 管理センターを開き、[デバイス] > [プラットフォーム別] > [Windows] で対象デバイスを検索します。
  2. 対象デバイスを開き、左ツリーの中の [ハードウェア] を開きます。
  3. [システム格納装置] の [システム管理 BIOS バージョン] で確認できます。

デバイス インベントにて確認する方法

対象デバイスに対して、プロパティカタログを有効化している場合に確認できる方法です。

プロパティカタログの有効化の方法は、Intune のデバイス インベントリ機能を試す をご覧ください。

  1. Microsoft Intune 管理センターを開き、[デバイス] > [プラットフォーム別] > [Windows] で対象デバイスを検索します。
  2. 対象デバイスを開き、左ツリーの中の [デバイス インベントリ] を開きます。
  3. [BIOS Info] を選択して、右側ペインの [SMBIOS Version] を確認します。

デバイス クエリにて、リアルタイムのデータを確認する

Microsoft Intune Suite に含まれる、Microsoft Intune Advanced Analytics ライセンスを保有している場合、リアルタイムで対象のデバイスのファームウェア情報を確認できます。

  1. Microsoft Intune 管理センターを開き、[デバイス] > [プラットフォーム別] > [Windows] で対象デバイスを検索します。
  2. 対象デバイスを開き、左ツリーの中の [デバイス クエリ] を開きます。
  3. 右のペインで下記を入力して、[実行] を選択します。 
    BiosInfo | project SmBiosVersion
  4. 結果が以下のように表示されます。

上記では、一クライアント マシンの情報を確認する方法をお伝えしましたが、実際に企業や組織で対応する場合、管理対象デバイスが一台ではなく、100 台や 1,000 台等複数台になると思いますので、複数台で確認したいところです。

Microsoft Intune Suite に含まれる、Microsoft Intune Advanced Analytics ライセンスを保有している場合は、デバイス クエリの機能が利用できます。

  1. Microsoft Intune 管理センターを開き、[デバイス] > [デバイス クエリ] を開きます。
  2. 右ペインに下記を入力して、[実行] を選択します。 
    Device | join BiosInfo | project DeviceName, Model ,SmBiosVersion
  3. 下記のように結果が表示されます。
    必要に応じて、csv ファイルに [エクスポート] もできます。

デバイス クエリの例

特定モデルのみ絞り込む

Device | join BiosInfo | where Model == "Microsoft Surface Pro with 5G, 11th Edition" |
project DeviceName, Model ,SmBiosVersion

ただし、このデバイス クエリの機能は対象マシンがオンラインである必要があります。

そこで、お勧めしたいのは、[セキュア ブートの状態] というレポートです。

  1. Microsoft Intune 管理センターを開き、[レポート] > [Windows Autopatch] > [Windows 品質更新プログラム] を開きます。
  2. 右側ペインの上部にある [レポート] を選択します。
  3. 表示された、[セキュア ブートの状態] を選択します。
  4. 下記のように、組織内のセキュア ブート証明書の更新状況が一目で確認できます。
  5. このレポートでは、[列] を追加することで、[ファームウェア バージョン] 等を表示させることもできます。
  6. このレポートでは、Microsoft Configuration Manager をテナント アタッチ機能を使い Microsoft Intune に連携している場合は、Configuration Manager 管理下のデバイスも表示されます。
    (TAMAI-CL01 は Configuration Manager 管理デバイス)
  7. このレポートを用いてファームウェア バージョンを特定していき、対象バージョン以下のモデルがあった場合は、個別対処をしていきます。
  8. また、[Autopatch の管理の状態] ([デバイス] > [監視] > [Autopatch の管理の状態]) でフィルターに [アラート – セキュア ブート – 証明書の更新が必要です] を選択することで可視化もできます。

今回の記事では、ファームウェア (UEFI/BIOS) の更新方法についてはメーカーにより異なるので割愛します。