Beginning with Windows 11 22H2, where Memory Integrity (also known as hypervisor-protected code integrity or HVCI) is not turned on, Microsoft added a warning message in the Windows Security app to inform users whether the device meets the minimum requirements to turn on HVCI. This has generated significant interest from customers.

Clean installs of Windows 11 will have HVCI enabled by default. This includes new devices from the factory. However, devices updated from Windows 10 will retain whatever setting they had previously. For most customers, HVCI is turned off.

[How will this affect your organization:]

Microsoft Managed Desktop is keeping HVCI optional for existing devices. We are working with the Windows Security team to provide tools and processes that will assist customers in assessing HVCI readiness across their device fleet, so they can widely enable this feature with confidence. Unless customers have opted out, we will continue our Windows 11 22H2 update program while HVCI readiness activities develop.

[When will this happen:]

We expect to release more information to customers regarding those activities before mid-April.

[What you need to do to prepare:]

No action is needed at this time. If you have any questions or concerns, or need assistance, file a service request by visiting the Microsoft Intune admin center.

Additional Information

HVCI Feature Information: Turning on HVCI is an additional hardening step that strengthens kernel protections. Once HVCI is turned on, it will block incompatible drivers from loading and make it difficult for malicious programs from using low-level drivers to affect the device. Before turning on HVCI, it is important to take inventory of your devices and remediate devices with incompatible drivers to ensure end user functionality and device stability.

For more information about the requirements and benefits of Core Isolation, which includes HVCI, see the documentation on Core isolation.

メモリ整合性 (ハイパーバイザーで保護されたコード整合性または HVCI とも呼ばれます) が有効になっていない Windows 11 22H2 以降、Microsoft は Windows セキュリティ アプリに警告メッセージを追加して、デバイスが HVCI を有効にするための最小要件を満たしているかどうかをユーザーに通知するメッセージを追加しました。これは顧客から大きな関心を集めています。

Windows 11のクリーンインストールでは 、HVCIがデフォルトで有効になります。これには、工場からの新しいデバイスが含まれます。ただし、Windows 10から更新されたデバイスは、以前の設定を保持します。ほとんどのお客様にとって、HVCI はオフになっています。

[これは組織にどのように影響しますか:]

Microsoft マネージド デスクトップは、既存のデバイスに対して HVCI をオプションにしています。Microsoft は Windows セキュリティ チームと協力して、お客様がデバイス群全体の HVCI の準備状況を評価するのに役立つツールとプロセスを提供し、自信を持ってこの機能を広く有効にできるようにしています。お客様がオプトアウトしない限り、HVCI 準備アクティビティが開発されている間、Windows 11 22H2 更新プログラム プログラムを継続します。

[これはいつ起こりますか:]

これらの活動に関する情報は、4月中旬までにお客様に公開する予定です。

[準備するために必要なこと:]

現時点では、アクションは必要ありません。質問や懸念がある場合、またはサポートが必要な場合は、Microsoft Intune 管理センターにアクセスしてサービス リクエストを提出してください。

追加情報

HVCI 機能情報: HVCI を有効にすることは、カーネル保護を強化する追加の強化手順です。HVCIをオンにすると、互換性のないドライバーの読み込みがブロックされ、悪意のあるプログラムが低レベルのドライバーを使用してデバイスに影響を与えることが困難になります。HVCI を有効にする前に、デバイスのインベントリを作成し、互換性のないドライバーを使用してデバイスを修正して、エンド ユーザーの機能とデバイスの安定性を確保することが重要です。

HVCI を含むコア分離の要件と利点の詳細については、コア分離に関するドキュメントを参照してください。