Extended Resilience ポリシーの紹介
このトピックは、Tech Preview プログラムに参加しているアカウントにのみ該当します。アドオンライセンス (リハイドレートアドオン) が必要です。プログラムへの参加方法の詳細については、Absolute の営業担当者にお問い合わせください。
Extended Resilience ポリシーを使用すると、致命的なシステムエラーによって Windows をブートできない場合に、Windows デバイスを遠隔でリカバリーすることができます。Extended Resilience では、オペレーティングシステムがロードされる前にその Playbook がファームウェアレベルで実行されるため、デバイスを復旧することができます。これにより、オペレーティングシステムが機能していない状態ではできなかった変更を、オペレーティングシステムに加えることができます。デバイスのオペレーティングシステムが正常に機能している場合でも、Playbook を実行してデバイスを修復または復旧できることに注意してください。
現在のリリースでは、4 つの Playbook を利用できます。
-
ファイル操作 (追加または削除)
-
レジストリーキーの設定/削除
-
ゴールデンイメージの復元
-
スクリプトを実行
システム要件
Extended Resilience ポリシーは、以下の要件を満たす Windows デバイスでサポートされます。
- Windows 11 または 10 オペレーティングシステム
-
X86 アーキテクチャー
ARM ベースのデバイスはサポートされていません。現行リリースでは、RAID 設定はサポートされないことにも注意してください。
-
デバイスの Firmware Persistence のバージョンを判別するには、Persistence ステータスモニターツールをデバイスにダウンロードし、上位管理者権限を使用してツールを開いて以下のコマンドを実行します。
AbtPS バージョン
今後のリリースで、追加の Firmware Persistence バージョンがサポートされる予定です。
- デバイスのファームウェア/BIOS 設定:
- Trusted Platform Module (TPM) 2.0 が有効であること
- Secure Boot が有効な場合、Allow Microsoft 3rd Party UEFI CA 設定 (あれば) が Secure Boot 設定で有効であること
- Lenovo ThinkPad デバイスで、Boot Order Lock 設定 (あれば) が無効であること
-
リハイドレートアドオンライセンスがデバイスに割り当てられていること
一部の Playbook を実行するには、物理的なイーサネットネットワーク接続が必要です。もっと見る
Extended Resilience ポリシーについて
ポリシーグループで Extended Resilience ポリシーをアクティブ化すると:
-
一意のパスコードが生成され、「デバイス詳細」のデバイスの概要ページに追加されます。もっと見る
-
デバイスが次回 Absolute モニタリングセンターに正常に接続した後で、Secure Endpoint Agent の PER コンポーネントが各デバイスにダウンロードされ、アクティブ化されます。
以下を含む追加ファイルがダウンロードされます。
- Absolute Bootloader
- Absolute WinPE Windows Preinstallation Environment (WinPE) は、オフラインデバイスを回復させるために使用できる、軽量バージョンの Windows です。 イメージ
これらのファイルは、Playbook をファームウェアレベルで実行するために必要になります。各デバイスのリブート後、Bootloader が新しい Playbook リクエストをチェックします。新しいリクエストがある場合、Playbook の指示が WinPE イメージに渡され、Playbook が実行されます。
多数の Windows デバイスを含むポリシーグループ内のポリシーをアクティブ化する場合、ネットワークの輻輳防止のため、ダウンロードは段階的に行われます。
その後、PER コンポーネントが以下のアクションを完了して、デバイスをプロビジョニングします。
-
Absolute Bootloader およびそのサポートされるファイルを EFI System Partition にインストールします。
-
ブート順序を変更して、デバイスが再起動するたびに UEFI ファームウェアが Absolute Bootloader を最初に実行するようにします。
-
再起動がトリガーされたときにユーザーがログインしている場合、警告メッセージが表示されます。ユーザーには、すぐに再起動するか、2 時間後に延期する選択肢が与えられます。再起動を延期した場合、2 時間の枠内でデバイスをいつでも手動で再起動できます。
-
Extended Resilience ポリシー設定をダウンロードし、Absolute Bootloader に適用します。
-
デバイスのハードディスクドライブ (HDD) にリカバリーパーティションを作成し、Absolute WinPE Windows Preinstallation Environment (WinPE) は、オフラインデバイスを回復させるために使用できる、軽量バージョンの Windows です。 イメージをパーティションにインストールします。
この手順が完了するまで、最大 24 時間かかる場合があります。
これらの手順が完了すると、デバイスが Playbook を実行する準備が整います。デバイス詳細ページで、デバイスのプロビジョニングステータスを表示できます。
以降は PER コンポーネントにより、Absolute Bootloader が常にデバイス上に存在し、改ざんされることがなく、最初にブートすることが確実になります。また、Playbook リクエストの受信とステータス更新の送信のため、Absolute モニタリングセンターへの安全な接続も維持されます。
ポリシーをアクティブ化する
Extended Resilience ポリシーをアクティブ化するには:
- Extended Resilience ポリシーと Playbook の実行の管理権限を持つユーザーとして、Secure Endpoint Console へログインします。
- ナビゲーションバーで
ポリシー > ポリシーグループをクリックします。 - ポリシーグループのサイドバーで、更新したいポリシーグループをクリックします。ポリシーグループが作業エリアで開きます。
- Extended Resilience の隣にあるアクティブ化スライダーをクリックしてオンに設定します。
ポリシーがアクティブ化され、「Extended Resilience ポリシーがアクティブ化されました」イベントがイベント履歴に記録されます。
Absolute モニタリングセンターへの各デバイスの次回接続時に、PER コンポーネントが展開およびアクティブ化され、デバイスがプロビジョニングされす。
デバイスのプロビジョニングには最大 24 時間かかり、プロセスを完了するために 2 回または 3 回デバイスが再起動する必要があります。Playbook は、デバイスが完全にプロビジョニングされるまで送信できません。デバイスのプロビジョニングステータスを確認する
ポリシーを非アクティブ化するポリシーグループの Extended Resilience を非アクティブ化すると、Absolute モニタリングセンターへの次回接続時に、プロビジョニングを解除する指示がポリシーグループのデバイスに送信されます。
プロビジョニング解除プロセスを完了するには、デバイスを再起動する必要があります。
Secure Endpoint Agent は、以下の操作を実行してデバイスのプロビジョニングを解除します。
-
Absolute Bootloader、WinPE イメージ、およびプロビジョニング中に追加されたすべてのサポートファイルを削除
-
デフォルトのブート順序を復旧
-
リカバリーパーティション内のすべてのファイルを削除
-
PER コンポーネントを削除
Extended Resilience ポリシーを非アクティブ化するには:
- Extended Resilience ポリシーと Playbook の実行の管理権限を持つユーザーとして、Secure Endpoint Console へログインします。
- ナビゲーションバーで ポリシー > ポリシーグループをクリックします。
- ポリシーグループのサイドバーで、更新したいポリシーグループをクリックします。ポリシーグループが作業エリアで開きます。
- Extended Resilience の隣にあるアクティブ化スライダーをクリックしてオフに設定します。
ポリシーが非アクティブ化され、「Extended Resilience ポリシーが非アクティブ化されました」イベントがイベント履歴に記録されます。
デバイスは、Absolute モニタリングセンターへの次回接続後にプロビジョニングが解除されます。
