Windows11でサーバーとしてデバイスの健康保護サービスを実行する方法

デバイスの健康証明サービススタートアップ中のシステムの整合性を確認することにより、デバイスのセキュリティを強化する機能です。サーバーとしてサービスを使用すると、組織はネットワーク全体でデバイスの健康を管理および監視し、セキュリティポリシーへのコンプライアンスを保証できます。この記事では、方法を説明しますWindows 11/10でサーバーとしてデバイスヘルス証明サービスを実行する。

Windows11/10でサーバーとしてデバイスの健康を実行する方法

Windows 11/10のサーバーとしてデバイスの健康をインストールして実行する場合は、以下の手順に従ってください。

1. 前提条件を確認します
2. DHAロールをインストールします
3. SSL証明書を証明書ストアに追加します
4. TPMルーツ証明書を抽出し、信頼できる証明書パッケージをインストールします
5. DHAサービスを構成します
6. 構成を確認してください

ガイドを始めましょう。

1]前提条件を確認します

まず、システムが健康機能を使用するための要件を満たしていることを確認します。前提条件は、TPMバージョン1.2または2.0を搭載したクライアントデバイスとともに、デスクトップエクスペリエンスを備えたWindows Server Technical Previews 5以降のバージョンを使用して強調しています。さらに、セットアップでは、SSL、署名、暗号化などの特定の証明書が必要であり、EkcertやAikcertなどの証明書検証モードをサポートします。次に、DHAロールをインストールします。

2] DHAの役割をインストールします

DHAの役割はサーバーにプリインストールされていないため、サーバーマネージャーを使用してインストールしてWindowsサーバーに追加します。同じことをするために、以下の手順に従ってください。

1. 開けるサーバーマネージャー、選択します管理、クリックします役割と機能を追加します。
2. 次のボタンを押して、次のウィンドウで、選択しますロールベースまたは機能ベースのインストールでインストールタイプタブと次に押します。
3. [サーバーの選択]タブで、サーバープールからサーバーを選択し、[次へ]を押して、[サーバーロールの選択]ページに移動します。
4. を確認してくださいデバイスの健康の証明ボックスには、インストール確認ページに到達するまで次のボタンを押して、[インストール]ボタンをクリックします。

インストールプロセスを完了し、完了したらクローズボタンを押します。

3] SSL証明書を証明書ストアに追加します

DHAロールをWindowsサーバーにインストールした後、次のステップはSSL証明書をインポートすることです。そのためには、以下の手順に従ってください。

1. SSL証明書ファイルが配置されている場所に移動し、それを開き、ストアの場所オプションで現在のユーザーを選択します。
2. 次のボタンをクリックし、パスワードを入力し、すべての拡張プロパティボックスを挿入し、[次へ]をクリックし、プロンプトが表示されたら[はい]ボタンを押します。
3. 完了したら、[実行]ダイアログボックスを起動しますMMC、そしてEnterを押します。
4. [ファイル]メニューをクリックして、選択します追加/削除しますスナップインしてクリックします追加オプション。
5. 次に押してから、選択します私のユーザーアカウントまたはサービスアカウント次のボタンを押します。
6. 次に、に行きますサーバーマネージャー、IISをクリックして、クリックしますサーバー証明書。
7. アクションメニューからインポートオプションを選択し、SSL証明書ファイルを参照し、秘密キーパスワードを入力し、インポートプロセスを完了します。
8. もう一度、[ダイアログ]ボックスを起動し、MMCを入力し、[ファイル]オプションをクリックします。
9. クリックしますスナップインを追加/削除しますオプション、から証明書を選択します利用可能なスナップインセクション、選択したスナップインオプションに追加します。
10. チェックします私のユーザーアカウントオプション、証明書を選択し、OKを押します。
11. 証明書をダブルクリックし、[詳細]タブに移動し、下にスクロールしてThumbPrint証明書を見つけます。

次に、thumbprint証明書をコピーし、ファイルに貼り付けます。

次のステップは、署名証明書と暗号化証明書をインストールすることです。そのために、次のコマンドを実行します。

注記：以前に保存するThumbprintに「交換」を置き換えるようにしてください。

$key = Get-ChildItem Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -like "ReplaceWithThumbprint"}

$keyname = $key.PrivateKey.CspKeyContainerInfo.UniqueKeyContainerName

$keypath = $env:ProgramData + "\Microsoft\Crypto\RSA\MachineKeys\" + $keyname icacls $keypath /grant IIS_IUSRS`:R

4] TPMルーツ証明書を抽出し、TRSUTED証明書パッケージをインストールします

SSL証明書を完了したら、TPM証明書パッケージをダウンロードします。これを行うには、Windowsサーバーのコマンドラインインターフェイスで次のコマンドを実行します。

mkdir .\TrustedTpm

expand -F:\* .\TrustedTpm.cab .\TrustedTpm

cd .\TrustedTpm

.\setup.cmd

5] DHAサービスを構成します

最後に、DHAサービスを構成し、認証モードを設定し、証明書チェーンポリシーを構成します。コマンドプロンプトの高いモードの下に与えられたコマンドを必ず実行してください。

DHAサービスを構成するには、Windowsサーバーで次のコマンドを実行して同じことを行います。

Install-DeviceHealthAttestation -EncryptionCertificateThumbprint ReplaceWithThumbprint

-SigningCertificateThumbprint ReplaceWithThumbprint `

-SslCertificateStoreName My -SslCertificateThumbprint ReplaceWithThumbprint `

-SupportedAuthenticationSchema "AikCertificate"

証明書チェーンポリシーを設定するには、次のコマンドを実行します。

$policy = Get-DHASCertificateChainPolicy $policy.RevocationMode = "NoCheck"Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy

構成中にプロンプ​​トに「はい」または「はい」のいずれかを選択します。

6]構成を確認します

最後に、DHAサービスが意図したとおりに機能していることを確認するために、いくつかのコマンドを実行します。

アクティブな署名証明書を確認するには：Get-DHASActiveSigningCertificate

正しく構成されている場合、コマンドはアクティブな署名証明書、そのタイプ（署名）、およびそのサムプリントを表示します。

暗号化証明書を有効にするには：Set-DHASActiveEncryptionCertificate -Thumbprint "ReplaceWithThumbprint" -Force

注記：「交換」を暗号化証明書のサムプリントに置き換えます。

暗号化証明書がアクティブであるかどうかを確認するには：Get-DHASActiveEncryptionCertificate

証明書がアクティブ化されている場合、ユーザーはthumbprintが表示されます。

DHAサービスをテストするには、次のURLに移動します。

https://<dha.myserver.com>/DeviceHeathAttestation/ValidateHealthCertificate/v1

サービスが正しく実行されている場合、ユーザーは「メソッドが許可されていない」というメッセージが表示されます。それでおしまい。これにより、DHAサービスが生産の使用の準備ができていることが保証されます。

読む：Windows ServerでWindows Search Serviceを有効または無効にします

デバイスの健康の証明は利用できません、TPMをクリアします

エラーメッセージで述べたように、「デバイスの健康が利用できない」エラーは、信頼できるプラットフォームモジュール（TPM）の問題により発生する可能性があります。 TPMをクリアすると、問題が解決できます。削除するには、[実行]ダイアログボックスを開き、tpm.mscを入力し、[OK]ボタンをクリックしてTPM管理ウィンドウを開きます。コンソールで、[アクション]セクションに移動し、[TPM]を[オプション]を選択し、[再起動]ボタンをクリックします。これにより、TPMをデフォルトフェーズにリセットします。うまくいけば、これが問題を解決するでしょう。

読む：Windows Serverでホストガーディアンサービスを構成する方法

このデバイスでは、デバイスの健康の証明はサポートされていません

エラーメッセージが表示された場合このデバイスでは、デバイスの健康の証明はサポートされていません'、システムがDHAサービスを適切に機能させるための要件を満たしていないことを示しています。そのような状況を避けるために、投稿で前述した前提条件をチェックしてください。

また読む：Windows Serverにマルチポイントサービスをインストールして構成します。