概要
この資料は、Microsoft セキュリティ アドバイザリ ADV170012 に説明される脆弱性の影響を受けたデバイスの問題の識別および修復に役立ちます。
この処理は、マイクロソフトが提供する、次の Windows Hello for Business (WHFB) と Azure AD (AAD) の使用方法 に焦点を置いています。
-
Azure AD に参加
-
Hybrid Azure AD に参加
-
Azure AD に登録済み
詳細情報
自分の Azure AD の使用方法を識別する
-
コマンド プロンプト ウィンドウを開きます。
-
次のコマンドを実行して、デバイスの状態を取得します。dsregcmd.exe /status
-
コマンド出力で、次のテーブルに記載されているプロパティの値を確認し、自分の Azure AD の使用方法を決定します。
プロパティ
説明
AzureAdJoined
デバイスが Azure AD に参加しているかどうかを示します。
EnterpriseJoined
デバイスが AD FS に参加しているかどうかを示します。 これは、Windows Hello for Business がオンプレミスでデプロイおよび管理されている、オンプレミスのみの顧客シナリオの一部です。
DomainJoined
デバイスが従来型の Active Directory ドメインに参加しているかどうかを示します。
WorkplaceJoined
現在のユーザーが、職場または学校アカウントを自分の現在のプロファイルに既に追加済みかどうかを示します。 これは、「Azure AD に登録済み」として知られています。 この設定は、デバイスが AzureAdJoined の場合はシステムによって無視されます。
Hybrid Azure AD に参加済み
DomainJoined と AzureAdJoined が [YES] の場合、デバイスは Hybrid Azure AD に参加しています。 そのため、デバイスは Azure Active Directory と従来型の Active Directory ドメインに参加しています。
ワークフロー
デプロイと実装は、組織によって異なる可能性があります。 独自の社内計画を作成するために必要なツールを提供するために、次のワークフローを設計しました。 このワークフローには次の手順が含まれています。
-
影響を受けたデバイスを識別する。 影響を受けたトラステッド プラットフォーム モジュール (TPM)、キー、およびデバイスの環境を検索します。
-
影響を受けたデバイスにパッチをインストールする。この資料に記載されているシナリオ固有の手順に従って、識別されたデバイスの影響を 修復 します。
TPM をクリアする場合の注意点
トラステッド プラットフォーム モジュールは、さまざまなサービスやアプリケーションが使用するシークレットを格納するために使用されるため、TPM をクリアするとビジネスに予期しないまたはマイナスの影響を及ぼす可能性があります。 TPM をクリアする前に、TPM に格納されたシークレットを使用するすべてのサービスやアプリケーションが適切に識別されており、また、シークレットの削除と再作成の準備が完了していることを必ず調査および検証します。
影響を受けたデバイスを識別する方法
影響を受けた TPM を識別するには、Microsoft セキュリティ アドバイザリ ADV170012 を参照してください。
影響を受けたデバイスにパッチをインストールする方法
自分の Azure AD の使用方法に応じて、影響を受けたデバイスに次の手順を使用します。
-
デバイス上に有効なローカル管理者アカウントが存在することを確認またはローカル管理者アカウントを作成します。
注:
推奨される方法は、 新しいローカル管理者アカウントでデバイスにサインインしてアカウントが動作していることを検証し、かつ、 管理者特権でのコマンド プロンプトを開いて適切な権限を確認することです。
-
デバイス上で Microsoft アカウントでサインインしている場合は、[設定]、[アカウント]、[メール & アプリのアカウント] の順に選択し、接続されているアカウントを削除します。
-
デバイスのファームウェア更新プログラムをインストールします。
注:
TPM のファームウェア更新プログラムを適用するための OEM’ のガイダンスに従ってください。 OEM から TPM のファームウェア更新プログラムを入手する方法に関する情報については、 Microsoft セキュリティ アドバイザリ ADV170012 の手順 4: 「適用されるファームウェア更新プログラムの適用」 を参照してください。
-
Azure AD からデバイスの参加を解除します。
注:
続行する前に、ローカル コンピューター以外の別の場所に BitLocker キーが安全にバックアップされていることを確認します。
-
[設定]、[システム]、[バージョン情報] の順に選択し、[職場または学校からの管理または切断] をクリックします。
-
[<AzureAD>に接続済み] をクリックして、[切断] をクリックします。
-
確認のメッセージが表示されたら、[はい] をクリックします。
-
「組織から切断する」かどうかを確認するメッセージが表示されたら、[切断] をクリックします。
-
デバイスのローカル管理者アカウントの情報を入力します。
-
[後で再起動] をクリックします。
-
-
TPM をクリアします。
注:
TPM をクリアすると、デバイス上に格納されているすべてのキーとシークレットが削除されます。 続行する前に、TPM を使用しているその他のデバイスが中断済みまたは検証済みであることを確認します。
Windows 8 以降: 以下の、TPM をクリアするための 2 つの推奨される方法のいずれかを使用した場合、BitLocker は自動的に中断されます。
Windows 7: 続行する前に、BitLocker の中断を手動で行う必要があります。 (「 BitLocker の中断」に関する詳細を参照。)
-
TPM をクリアするには、次のいずれかの方法を使用します。
-
Microsoft 管理コンソールを使用する。
-
Win + R キーを押して、「tpm.msc 」と入力し、[OK] をクリックします。
-
[TPM のクリア] をクリックします。
-
-
Clear-Tpm コマンドレット を実行します。
-
-
[再起動] をクリックします。注: 起動時に TPM をクリアするかどうかを確認するメッセージが表示される場合があります。
-
-
デバイスが再起動したら、ローカル管理者アカウントでデバイスにサインインします。
-
デバイスを Azure AD に参加させる。 次のサインイン時に新しい PIN を設定するかどうかを確認するメッセージが表示される場合があります。
-
デバイス上で Microsoft アカウントでサインインしている場合は、[設定]、[アカウント]、[メール & アプリのアカウント] の順に選択し、接続されているアカウントを削除します。
-
管理者特権を持つコマンド プロンプトで、次のコマンドを実行します。dsregcmd.exe /leave /debug
注:
コマンド出力は、「AzureADJoined: No」と表示されるはずです。
-
デバイスのファームウェア更新プログラムをインストールします。
注:
注 : TPM のファームウェア更新プログラムを適用するための OEM’ のガイダンスに従ってください。 OEM から TPM のファームウェア更新プログラムを入手する方法に関する情報については、 Microsoft セキュリティ アドバイザリ ADV170012 の手順 4: 「適用されるファームウェア更新プログラムの適用」 を参照してください。
-
TPM をクリアします。
注:
TPM をクリアすると、デバイス上に格納されているすべてのキーとシークレットが削除されます。 続行する前に、TPM を使用しているその他のデバイスが中断済みまたは検証済みであることを確認します。
Windows 8 以降: 以下の、TPM をクリアするための 2 つの推奨される方法のいずれかを使用した場合、BitLocker は自動的に中断されます。
Windows 7: 続行する前に、BitLocker の中断を手動で行う必要があります。 ( BitLocker の中断に関する詳細を参照。)
-
TPM をクリアするには、次のいずれかの方法を使用します。
-
Microsoft 管理コンソールを使用する。
-
Win + R キーを押して、「tpm.msc 」と入力し、[OK] をクリックします。
-
[TPM のクリア] をクリックします。
-
-
Clear-Tpm コマンドレットを実行します。
-
-
[再起動] をクリックします。注: 起動時に TPM をクリアするかどうかを確認するメッセージが表示される場合があります。
-
デバイスが起動したら、Windows が新しいキーを生成し、自動的にデバイスを Azure AD に参加させます。 この処理の間に、デバイスを使い続けることができます。 ただし、Microsoft Outlook、OneDrive、および SSO または条件付きアクセス ポリシーを必要とするその他のアプリケーションなどのリソースへのアクセスが制限される可能性があります。
注: Microsoft アカウントを使用している場合は、パスワードを知っておく必要があります。
-
デバイスのファームウェア更新プログラムをインストールします。
注:
TPM のファームウェア更新プログラムを適用するための OEM’ のガイダンスに従ってください。 OEM から TPM のファームウェア更新プログラムを入手する方法に関する情報については、 Microsoft セキュリティ アドバイザリ ADV170012 の 手順 4: 「適用されるファームウェア更新プログラムの適用」を参照してください。
-
Azure AD の職場アカウントを削除します。
-
[設定]、[アカウント]、[職場または学校にアクセスする] の順に選択し、職場または学校アカウントをクリックし、次に [切断] をクリックします。
-
切断を確認するメッセージが表示されたら [はい] をクリックします。
-
-
TPM をクリアします。
注:
TPM をクリアすると、デバイス上に格納されているすべてのキーとシークレットが削除されます。 続行する前に、TPM を使用しているその他のデバイスが中断済みまたは検証済みであることを確認します。
Windows 8 以降: 以下の、TPM をクリアするための 2 つの推奨される方法のいずれかを使用した場合、BitLocker は自動的に中断されます。
Windows 7: 続行する前に、BitLocker の中断を手動で行う必要があります。 ( BitLocker の中断に関する詳細を参照。)
-
TPM をクリアするには、次のいずれかの方法を使用します。
-
Microsoft 管理コンソールを使用する。
-
Win + R キーを押して、「tpm.msc 」と入力し、[OK] をクリックします。
-
[TPM のクリア] をクリックします。
-
-
Clear-Tpm コマンドレットを実行します。
-
-
[再起動] をクリックします。注: 起動時に TPM をクリアするかどうかを確認するメッセージが表示される場合があります。
-
PIN を 持つ Microsoft アカウントを使用している場合は、パスワードでサインインする必要があります。
-
職場アカウントをデバイスに再追加します。
-
[設定]、[アカウント]、[職場または学校にアクセスする] の順に選択し、[接続] をクリックします。
-
職場アカウントを入力し、[次へ] をクリックします。
-
職場アカウントとパスワードを入力し、[サインイン] をクリックします。
-
デバイスを Azure AD に参加させるために Azure Multi-Factor Authentication を構成している場合は、続行する前に 2 つ目の要素を提供します。
-
表示される情報が正しいことを確認し、[参加] をクリックします。 次のメッセージが表示されるはずです。You’re all set! We’ve added your account successfully You now have access to your organizations apps and services.
-
-
