Playbook ポリシーの紹介

システム要件

Playbook ポリシーは、以下の要件を満たす Windows デバイスでサポートされます。

Windows 11 または 10 オペレーティングシステム

Microsoft Surface デバイスはサポートされていません。
X86 アーキテクチャー

ARM ベースのデバイスはサポートされていません。
Firmware Persistence のバージョンデバイスのメーカーによって Windows デバイスのファームウェアに組み込まれた Absolute Persistence モジュールのバージョン番号です。このモジュールは Secure Endpoint Agent の健全性を監視し、エージェントが所在不明である、損傷を受けた、または改ざんされた場合に回復させます。可能なバージョンは、1.0 および 2.x.x.x です。 2.x.x.x 以降
デバイスのFirmware Persistence バージョンを判別するには、各デバイスのデバイス詳細ページに移動するか、デバイスレポートに列を追加します。
または、デバイスに物理的にアクセスできる場合、Persistence ステータスモニターツールをデバイスにダウンロードし、上位の管理者権限を使用してこのツールを開いて、以下のコマンドを実行します。
AbtPS -version

デバイスのファームウェア/BIOS 設定:
- Trusted Platform Module (TPM) 2.0 が有効であること
  現在のリリースでは、Firmware TPM (fTPM) はサポートされません。
- Secure Boot が有効な場合、Allow Microsoft 3rd Party UEFI CA 設定 (あれば) が Secure Boot 設定で有効であること
- Lenovo ThinkPad デバイスで、Boot Order Lock 設定 (あれば) が無効であること

デバイスが Secure Endpoint Agent バージョン 9.2.0.3 以降を実行していること。

一部の Playbook を実行するには、物理的なイーサネットネットワーク接続が必要です。もっと見る

Playbook ポリシーについて

ポリシーグループで Playbook ポリシーをアクティブ化すると:

一意のパスコードが生成され、「デバイス詳細」のデバイスの概要ページに追加されます。もっと見る
デバイスが次回 Absolute モニタリングセンターに正常に接続した後で、Secure Endpoint Agent の PER コンポーネントスーパーバイザーパスワードの管理リクエストが処理されるときに、デバイスでスーパーバイザーパスワードを管理する役割を果たす、Secure Endpoint Agent の軽量ソフトウェアコンポーネントです。が各デバイスにダウンロードされ、アクティブ化されます。
以下を含む追加ファイルもダウンロードされます。
- Absolute Bootloader
- Absolute WinPE Windows Preinstallation Environment (WinPE) は、オフラインデバイスを回復させるために使用できる、軽量バージョンの Windows です。イメージ
これらのファイルは、Playbook をファームウェアレベルで実行するために必要になります。各デバイスのリブート後、Bootloader が新しい Playbook リクエストをチェックします。新しいリクエストがある場合、Playbook の指示が WinPE イメージに渡され、Playbook が実行されます。
多数の Windows デバイスを含むポリシーグループ内のポリシーをアクティブ化する場合、ネットワークの輻輳防止のため、ダウンロードは段階的に行われます。

その後、PER コンポーネントが以下のアクションを完了して、デバイスをプロビジョニングします。

Absolute Bootloader およびそのサポートされるファイルを EFI System Partition にインストールします。
ブート順序を変更して、デバイスが再起動するたびに UEFI ファームウェアが Absolute Bootloader を最初に実行するようにします。
デバイスを再起動します。
再起動がトリガーされたときにユーザーがログインしている場合、警告メッセージが表示されます。ユーザーには、すぐに再起動するか、2 時間後に延期する選択肢が与えられます。再起動を延期した場合、2 時間の枠内でデバイスをいつでも手動で再起動できます。
Playbook ポリシー設定をダウンロードし、Absolute Bootloader に適用します。
デバイスを再起動します。
デバイスのハードディスクドライブ (HDD) にリカバリーパーティションを作成し、Absolute WinPE Windows Preinstallation Environment (WinPE) は、オフラインデバイスを回復させるために使用できる、軽量バージョンの Windows です。イメージをパーティションにインストールします。

これらの手順が完了するまで、最大 24 時間かかる場合があります。

これらの手順が完了すると、デバイスが Playbook を実行する準備が整います。デバイス詳細ページで、デバイスのプロビジョニングステータスを表示できます。

以降は PER コンポーネントにより、Absolute Bootloader が常にデバイス上に存在し、改ざんされることがなく、最初にブートすることが確実になります。また、Playbook リクエストの受信とステータス更新の送信のため、Absolute モニタリングセンターへの安全な接続も維持されます。

ポリシーをアクティブ化する

Playbook ポリシーをアクティブ化するには：

ポリシーの管理権限を持つユーザーとして、Secure Endpoint Console へログインします。
ナビゲーションバーでポリシー > ポリシーグループをクリックします。
ポリシーグループのサイドバーで、更新したいポリシーグループをクリックします。ポリシーグループが作業エリアで開きます。
Playbook の隣にあるアクティブ化スライダーをクリックしてオンに設定します。
ポリシーがアクティブ化され、「Playbook ポリシーがアクティブ化されました」イベントがイベント履歴に記録されます。

Absolute モニタリングセンターへの各デバイスの次回接続時に、PER コンポーネントが展開およびアクティブ化され、デバイスがプロビジョニングされす。

デバイスのプロビジョニングには最大 24 時間かかり、プロセスを完了するためにデバイスが 2 回再起動する必要があります。Playbook は、デバイスが完全にプロビジョニングされるまで送信できません。デバイスのプロビジョニングステータスを確認する

ポリシーを非アクティブ化する

ポリシーグループの Playbook ポリシーを非アクティブ化すると、Absolute モニタリングセンターへの次回接続時に、プロビジョニングを解除する指示がポリシーグループのデバイスに送信されます。

プロビジョニング解除プロセスを完了するには、デバイスを再起動する必要があります。

Secure Endpoint Agent は、以下の操作を実行してデバイスのプロビジョニングを解除します。

Absolute Bootloader、WinPE イメージ、およびプロビジョニング中に追加されたすべてのサポートファイルを削除
デフォルトのブート順序を復旧
リカバリーパーティション内のすべてのファイルを削除
PER コンポーネントを削除

Playbook ポリシーを非アクティブ化するには：

ポリシーの管理権限を持つユーザーとして、Secure Endpoint Console へログインします。
ナビゲーションバーでポリシー > ポリシーグループをクリックします。
ポリシーグループのサイドバーで、更新したいポリシーグループをクリックします。ポリシーグループが作業エリアで開きます。
Playbook の隣にあるアクティブ化スライダーをクリックしてオフに設定します。
ポリシーが非アクティブ化され、「Playbook ポリシーが非アクティブ化されました」イベントがイベント履歴に記録されます。

デバイスは、Absolute モニタリングセンターへの次回接続後にプロビジョニングが解除されます。