Playbook ポリシーの紹介

お客様のアカウントに関連付けられているAbsolute 製品ライセンスに応じて、Playbook ポリシーが利用できない場合があります。

Playbook ポリシーを使用すると、致命的なシステムエラーによって Windows を起動できない場合に、Windows デバイスを遠隔でリカバリーできるようになります。Playbook 機能 (Absolute Rehydrate とも呼ばれる) では、オペレーティングシステムがロードされる前にデバイスの Playbook がファームウェアレベルで実行されるため、デバイスを復旧することができます。これにより、オペレーティングシステムが機能していない状態ではできなかった変更を、オペレーティングシステムに加えることができます。デバイスのオペレーティングシステムが正常に機能している場合でも、Playbook を実行してデバイスを修復または復旧できることに注意してください。

Playbook のメリット、ユースケース、機能の詳細については、Absolute リハイドレート データシートをご覧ください。

現在のリリースでは、以下の Playbook を利用できます。

  • ファイル操作 (追加または削除)
  • イメージから復元
  • スクリプトを実行
  • レジストリーキーの設定/削除

各 Playbook の詳細を見る

ポリシーグループで Playbook ポリシーをアクティブ化すると:

その後、PER コンポーネントが以下のアクションを完了して、デバイスをプロビジョニングします。

  1. Absolute Bootloader およびそのサポートされるファイルを EFI System Partition にインストールします。
  2. ブート順序を変更して、デバイスが再起動するたびに UEFI ファームウェアが Absolute Bootloader を最初に実行するようにします。
  3. デバイスを再起動します。

    再起動がトリガーされたときにユーザーがログインしている場合、警告メッセージが表示されます。ユーザーには、すぐに再起動するか、2 時間後に延期する選択肢が与えられます。再起動を延期した場合、2 時間の枠内でデバイスをいつでも手動で再起動できます。

  4. Playbook ポリシー設定をダウンロードし、Absolute Bootloader に適用します。

  5. デバイスを再起動します。

    再起動がトリガーされたときにユーザーがログインしている場合、警告メッセージが表示されます。ユーザーには、すぐに再起動するか、2 時間後に延期する選択肢が与えられます。再起動を延期した場合、2 時間の枠内でデバイスをいつでも手動で再起動できます。

    このステップが完了したら、デバイスの Playbook ステータス有効に更新され、デバイスがシステム開始 Playbook を実行する準備が整います。

  6. デバイスのハードディスクドライブ (HDD) にリカバリーパーティションを作成し、Absolute WinPE Windows Preinstallation Environment (WinPE) は、オフラインデバイスを回復させるために使用できる、軽量バージョンの Windows です。 イメージをパーティションにインストールします。

    この手順が完了するまで、最大 24 時間かかる場合があります。

すべての手順が完了すると、デバイスがシステム開始 Playbook とユーザー開始 Playbook の両方を実行する準備が整います。デバイス詳細ページで、デバイスのプロビジョニングステータスを表示できます。

以降は PER コンポーネントにより、Absolute Bootloader が常にデバイス上に存在し、改ざんされることがなく、最初にブートすることが確実になります。また、Playbook リクエストの受信とステータス更新の送信のため、Absolute モニタリングセンターへの安全な接続も維持されます。

Playbook ポリシーは、以下の要件を満たす Windows デバイスでサポートされます。

システムコンポーネント 要件/詳細
オペレーティングシステム
  • Windows 11 オペレーティングシステム

    Microsoft Surface デバイスはサポートされていません。
CPU のアーキテクチャー

  • x86_64 (x64)

    ARM ベースのデバイスはサポートされていません。
Trusted Platform Module (TPM)

  • TPM 2.0 が有効であること

    現在のリリースでは、Firmware TPM (fTPM) はサポートされません。
ファームウェア/BIOS 設定
  • デバイスのファームウェア/BIOS 設定:

    • Playbook を実行するには、セキュアブートを有効または無効にすることができます。

      セキュアブートが有効で、Allow Microsoft 3rd Party UEFI CA 設定 (または同等の設定) が セキュアブート設定で有効な場合、この設定も有効にする必要があります。

      大部分の Windows 11 デバイスで、セキュアブートはデフォルトで有効です。これは、起動プロセス中にシステムをマルウェアや不正なソフトウェアから保護し続けます。そのため、セキュアブートを有効にすることがベストプラクティスです。

      セキュアブートのステータスを確認するには、ブート情報 > セキュアブート列をデバイスレポートに追加します。

      セキュアブートのステータスの確認や、無効な場合に有効にする方法の詳細については、それぞれのデバイスメーカーのマニュアルを参照してください。

    • Lenovo ThinkPad デバイスで、Boot Order Lock 設定が利用可能な場合、その設定が無効であること
Firmware Persistence のバージョン デバイスのメーカーによって Windows デバイスのファームウェアに組み込まれた Absolute Persistence モジュールのバージョン番号です。このモジュールは Secure Endpoint Agent の健全性を監視し、エージェントが所在不明である、損傷を受けた、または改ざんされた場合に回復させます。可能なバージョンは、1.0 および 2.x.x.x です。
  • 2.x.x.x 以降

    デバイスのFirmware Persistence バージョンを判別するには、各デバイスのデバイス詳細ページに移動するか、デバイスレポートに列を追加します。

    または、デバイスに物理的にアクセスできる場合、Persistence ステータスモニターツールをデバイスにダウンロードし、上位の管理者権限を使用してこのツールを開いて、以下のコマンドを実行します。

    AbtPS -version
Secure Endpoint Agent のバージョン

  • 10.0.0.3 以降
インターネット接続

  • ユーザー開始 Playbook を実行するには、ファームウェアレベルでインターネット接続が必要です。デバイスが物理的なイーサネットケーブルを使用していない場合、Wi-Fi がサポートされます。

    Absolute では、WPA または WPA2 で保護された Wi-Fi ネットワークを使用したユーザー開始 Playbook をテストして検証しています。他の認証方法 (WEP や OPEN など) にも対応している可能性があります。
    WPA3 で保護された Wi-Fi ネットワークを使用してユーザー開始 Playbook を実行するには、Absolute テクニカルサポートにサポートをご依頼ください。

Playbook ポリシーを有効にしたデバイスでは、Windows 高速スタートアップ機能を無効にすることを推奨します。この機能が有効な場合、Absolute Bootloader がファイルを破損するエラーを検出した場合に、デバイスが再起動ループでスタックする可能性があります。再起動ループを停止するには、破損したファイルを削除する必要があります。

デバイスの高速スタートアップを無効にするには、以下の1つを実行します。

  • コントロールパネル > 電源オプション > システム設定に移動し、高速スタートアップをオンにする設定を無効にします。または

  • 管理者としてコマンドプロンプトウィンドウを開き、以下のコマンドを実行します。

powercfg /h off

グループポリシーを使用するなど、高速スタートアップを無効化する他の方法については、Windows のマニュアルを参照してください。

ポリシーグループで Playbook ポリシーをアクティブ化する前に、グループ内のデバイスが Playbook のシステム要件を満たしていないか確認できます。また、各デバイスで満たしていない特定の要件を示すレポートを確認することもできます。

適格性をチェックするには:

  1. ポリシーの管理権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで ポリシー > ポリシーグループをクリックします。
  3. ポリシーグループのサイドバーで、チェックしたいポリシーグループをクリックします。ポリシーグループが作業エリアで開きます。

  4. アクティベーションスライダーの左側に アイコンが表示された場合、ポリシーグループ内の一部のデバイスが、Playbook のシステム要件を満たしていません。デバイス数がアイコンの隣に表示されます。

    不適格なデバイスを表示するには:

    1. アイコンをクリックして、デバイスが Playbook を実行できませんページを開きます。このページがフィルタリングされ、Playbook > ステータスが有効ではありませんまたは未対応である、ポリシーグループ内のアクティブなデバイスを表示します。

    2. デバイスごとに、Playbook > ステータス詳細レポート列に含まれる情報を確認します。

      可能な値は次のとおりです。

      • プロビジョニングされていません
        • Playbook ポリシーがアクティブではありません。または
        • ポリシーはコンソールでアクティブ化されていますが、デバイスがオフラインです。または
        • Playbook ポリシーはアクティブ化されていますが、デバイスはまだ Playbook を実行するためにプロビジョニングされていません。再起動が必要な場合があります。
      • Persistence 2.0 バージョンを満たしていません
      • エージェントバージョンの更新が必要です
      • TPM 2.0 が有効ではありません
      • セキュアブートが有効な場合、サードパーティー CA がアクティブである必要があります
      • Windows 10 以上を満たしていません
      • x86_64 CPU アーキテクチャーを満たしていません

    3. [オプション] 不適格なデバイスをトラブルシューティングするには、次のセクションを参照してください。

    4. 不適格なデバイスの確認が完了したら、 をクリックしてページを閉じます。

不適格 (サポートされない) デバイスのトラブルシューティングを支援するため、以下の列をデバイスが Playbook を実行できませんページ追加して、値を確認することで、各デバイスに関する追加のシステム情報を表示できます。これらのレポート列は任意のデバイスレポートにも追加されます。

Playbook の適格性で要求される値が列に表示されなかった場合、問題を解消するためのヒントが提供されます (該当する場合)。

レポート列 Playbook の適格性で要求される値
エージェントバージョン

10.0.0.3 以降

以前のバージョンが表示された場合、以下のいずれか 1 つが適用されます。

  • アカウントで自動エージェント更新が無効になっていて、デバイスのポリシーグループが低いエージェントバージョンに割り当てられています。

  • デバイスがまだチェックインを完了していないため、最新のエージェントをダウンロードしていません (デバイスがオフラインの可能性があります)
OS > 名前 Microsoft Windows 10 以降
CPU > アーキテクチャー

X86_64 CPU アーキテクチャーのバリエーション

ARM ベースのアーキテクチャーが報告された場合、デバイスは適格ではありません。
Firmware Persistence > バージョン

2.x.x.x 以降

バージョン 1.0 が表示された場合、Firmware Persistence をアップグレードできません。デバイスは適格ではありません。

TPM >

  • 有効

  • 所有

  • アクティブ化済み

はい

「いいえ」と報告された場合、BIOS で関連する TPM 設定を有効にする方法について、メーカーのマニュアルを参照してください。
TPM > 仕様バージョン

2.0 以降

1.2 と報告された場合、TPM をバージョン 2.0 にアップグレードする方法について、メーカーのマニュアルを参照してください。
ブート情報 > ブートオーダーロック済み

いいえ、またはデータなし

「はい」と報告された場合、BIOS で Boot Order Locked 設定を無効にする方法について、Lenovo のマニュアルを参照してください。
ブート情報 > Microsoft サードパーティ UEFI CA

はいまたはいいえ

この列の値は適格性を示さない場合があります。はい (有効) といいえ (無効) のどちらもサポートされます。ただし、「いいえ」が報告され、セキュアブートが有効な場合、サードパーティー CA がアクティブである必要がありますがステータ詳細列に表示された場合、セキュアブートは有効ですが、Allow Microsoft 3rd Party UEFI CA設定 (または同等の設定) が無効なことを示します。したがって、デバイスは適格ではありません。この問題を解消する方法については、ナレッジベースの記事「Manual install of Microsoft 3rd Party UEFI CA」を参照してください。

Playbook ポリシーをアクティブ化するには:

  1. ポリシーの管理権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで ポリシー > ポリシーグループをクリックします。
  3. ポリシーグループのサイドバーで、更新したいポリシーグループをクリックします。ポリシーグループが作業エリアで開きます。
  4. Playbook の隣にあるアクティブ化スライダーをクリックして、オンに設定します。スライダーがグレー表示の場合、ポリシーをアクティブ化する前にエージェントのアップグレードが必要なことに注意してください。

    ポリシーがアクティブ化され、「Playbook ポリシーがアクティブ化されました」イベントがイベント履歴に記録されます。

Absolute モニタリングセンターへの各デバイスの次回接続時に、PER コンポーネントが展開およびアクティブ化されます。

デバイスのプロビジョニングには最大 24 時間かかり、プロセスを完了するためにデバイスが 2 回再起動する必要があります。

デバイスが完全にプロビジョニングされると、システム開始 Playbook とユーザー開始 Playbook の両方を実行する準備が整います。デバイスのプロビジョニングステータスを確認する

ポリシーグループの Playbook ポリシーを非アクティブ化すると、Absolute モニタリングセンターへの次回接続時に、プロビジョニングを解除する指示がポリシーグループのデバイスに送信されます。

プロビジョニング解除プロセスを完了するには、デバイスを再起動する必要があります。

Secure Endpoint Agent は、以下の操作を実行してデバイスのプロビジョニングを解除します。

  • Absolute Bootloader、WinPE イメージ、およびプロビジョニング中に追加されたすべてのサポートファイルを削除
  • デフォルトのブート順序を復旧
  • リカバリーパーティション内のすべてのファイルを削除
  • PER コンポーネントを削除

Playbook ポリシーが非アクティブ化され、Playbook 実行リクエストが保留中である場合、リクエストは失敗し、「Playbook がキャンセルされました」または「Playbook が失敗しました」イベントがイベント履歴に記録されます。リクエストがすでにデバイスで進行している場合、Playbook は引き続き実行され、「Playbook が完了しました」イベントが記録されます。

Playbook ポリシーを非アクティブ化するには:

  1. ポリシーの管理権限を持つユーザーとして、Secure Endpoint Console へログインします。
  2. ナビゲーションバーで ポリシー > ポリシーグループをクリックします。
  3. ポリシーグループのサイドバーで、更新したいポリシーグループをクリックします。ポリシーグループが作業エリアで開きます。
  4. Playbook の隣にあるアクティブ化スライダーをクリックしてオフに設定します。

    ポリシーが非アクティブ化され、「Playbook ポリシーが非アクティブ化されました」イベントがイベント履歴に記録されます。

デバイスは、Absolute モニタリングセンターへの次回接続後にプロビジョニングが解除されます。