Share via

コンプライアンス ポリシーを使用して、Intune で管理するデバイスのルールを設定する

  • [アーティクル]

Microsoft Intuneコンプライアンス ポリシーは、管理対象デバイスの構成を評価するために使用する規則と条件のセットです。 これらのポリシーは、これらの構成要件を満たしていないデバイスから組織のデータとリソースをセキュリティで保護するのに役立ちます。 マネージド デバイスは、ポリシーで設定した条件を満たし、Intuneによって準拠していると見なされる必要があります。

また、ポリシーのコンプライアンス結果を条件付きアクセスMicrosoft Entra統合する場合は、セキュリティの追加レイヤーを利用できます。 条件付きアクセスでは、デバイスの現在のコンプライアンス状態に基づいてMicrosoft Entraアクセス制御を適用して、準拠しているデバイスのみが企業リソースへのアクセスを許可されるようにすることができます。

Intuneコンプライアンス ポリシーは、次の 2 つの領域に分かれています。

  • コンプライアンス ポリシー設定 は、すべてのデバイスが受け取る組み込みのコンプライアンス ポリシーのように機能するテナント全体の構成です。 コンプライアンス ポリシー設定は、明示的なデバイス コンプライアンス ポリシーが割り当てられていないデバイスを扱う方法など、Intune環境でのコンプライアンス ポリシーのしくみを確立します。

  • デバイス コンプライアンス ポリシー は、ユーザーまたはデバイスのグループに展開するプラットフォーム固有の規則と設定の個別のセットです。 デバイスは、ポリシーの規則 I を評価して、デバイスのコンプライアンス状態を報告します。 非準拠状態では、非準拠に対して 1 つ以上のアクションが発生する可能性があります。 Microsoft Entra条件付きアクセス ポリシーでは、その状態を使用して、そのデバイスからの組織リソースへのアクセスをブロックすることもできます。

コンプライアンス ポリシー設定

コンプライアンス ポリシー設定 は、Intune のコンプライアンス サービスがデバイスとどのように対話するかを決定する、テナント全体の設定です。 これらの設定は、デバイス コンプライアンス ポリシーで構成する設定とは異なります。

コンプライアンス ポリシー設定を管理するには、管理センター Microsoft Intuneサインインし、[エンドポイント セキュリティ>] [デバイス コンプライアンス] [コンプライアンス>ポリシー設定] の順に移動します。

コンプライアンス ポリシー設定には、次の設定が含まれます。

  • [コンプライアンス ポリシーが割り当てられていないデバイスをマークする]

    この設定は、デバイス コンプライアンス ポリシー Intune割り当てられていないデバイスを処理する方法を決定します。 この設定には次の 2 つの値があります。

    • 準拠 (既定値): このセキュリティ機能は無効になっています。 デバイス コンプライアンス ポリシーが送信されていないデバイスは "準拠" と見なされます。
    • 非準拠: このセキュリティ機能は有効になっています。 デバイス コンプライアンス ポリシーのないデバイスは、非準拠と見なされます。

    デバイス コンプライアンス ポリシーで条件付きアクセスを使用する場合は、この設定を [準拠していない ] に変更して、準拠として確認されたデバイスのみがリソースにアクセスできるようにします。

    ポリシーが割り当てられていないためにエンド ユーザーが準拠していない場合、ポータル サイト アプリには [コンプライアンス ポリシーが割り当てられていません] と表示されます。

  • [コンプライアンス状態の有効期間 (日)]

    受信したすべてのコンプライアンス ポリシーについて、デバイスが正常に報告する必要がある期間を指定します。 有効期限が切れる前にデバイスがポリシーのコンプライアンス状態を報告できなかった場合、デバイスは非準拠として扱われます。

    既定では、期間は 30 日に設定されます。 1 日から 120 日の期間を構成できます。

    有効期間の設定に対するデバイスのコンプライアンスに関する詳細を表示できます。 管理センター Microsoft Intuneサインインし、[デバイス>モニター>の設定] コンプライアンスに移動します。 この設定の名前は、[設定] 列の [アクティブ] の名前です。 この情報および関連するコンプライアンス状態ビューの詳細については、「デバイス コンプライアンスを監視する」を参照してください。

デバイス コンプライアンス ポリシー

Intuneデバイス コンプライアンス ポリシーは、ユーザーまたはデバイスのグループに展開するプラットフォーム固有の規則と設定の個別のセットです。 コンプライアンス ポリシーを使用して、次の手順を実行します。

  • 準拠ユーザーおよびマネージド デバイスであるために満たす必要があるルールや設定を定義します。 ルールの例としては、最小 OS バージョンを実行するデバイスを要求し、脱獄や根付きではなく、Intuneと統合する脅威管理ソフトウェアによって指定された脅威レベルまたは脅威レベル以下である必要があります。

  • コンプライアンス規則を満たしていないデバイスに適用されるコンプライアンス違反の アクション をサポートします。 非準拠に対するアクションの例としては、デバイスを非準拠としてマークすること、リモートでロックされていること、デバイスの状態に関するデバイス ユーザーの電子メールを送信して、デバイスを修正できることなどがあります。

デバイス コンプライアンス ポリシーを使用する場合:

  • 一部のコンプライアンス ポリシー構成では、デバイス構成ポリシーを使用して管理する設定の構成をオーバーライドできます。 ポリシーの競合解決の詳細については、「 競合するコンプライアンスポリシーとデバイス構成ポリシー」を参照してください。

  • ポリシーは、ユーザー グループ内のユーザーまたはデバイス グループ内のデバイスに展開できます。 コンプライアンス ポリシーがユーザーに展開されると、すべてのユーザーのデバイスのコンプライアンスがチェックされます。 このシナリオでのデバイス グループの使用は、コンプライアンス レポートに役立ちます。

  • 条件付きアクセスMicrosoft Entra使用する場合、条件付きアクセス ポリシーはデバイス コンプライアンスの結果を使用して、準拠していないデバイスからのリソースへのアクセスをブロックできます。

  • 他のIntune ポリシーと同様に、デバイスのコンプライアンス ポリシーの評価は、デバイスがIntuneでチェックインするタイミングと、ポリシーとプロファイルの更新サイクルによって異なります。

デバイス コンプライアンス ポリシーで指定できる設定は、ポリシーの作成時に選択したプラットフォームの種類によって異なります。 デバイス プラットフォームごとに異なる設定がサポートされており、プラットフォームの種類ごとに個別のポリシーが必要です。

次の項目は、デバイスの構成ポリシーのさまざまな側面に特化した記事にリンクしています。

  • 非準拠のアクション - 既定では、各デバイス コンプライアンス ポリシーには、ポリシー規則を満たしていない場合にデバイスを非準拠としてマークするアクションが含まれます。 各ポリシーでは、デバイス プラットフォームに基づいてより多くのアクションをサポートできます。 追加アクションの例を次に示します。

    • 非準拠デバイスに関する詳細情報が含まれているユーザーおよびグループに電子メール アラートを送信します。 非準拠とマークされた直後に電子メールを送信し、デバイスが準拠状態になるまで定期的に電子メールを送信するポリシーを構成することができます。
    • しばらくの間準拠していないデバイスをリモートでロックします
    • しばらくの間準拠していないデバイスを廃止します。 このアクションは、条件を満たすデバイスを廃止する準備ができていることをマークします。 その後、管理者は廃止のマークが付けられたデバイスのリストを表示でき、1 つ以上のデバイスを廃止するには、明示的なアクションを実行する必要があります。 デバイスを廃止すると、そのデバイスは Intune 管理から削除され、デバイスからすべての企業データが削除されます。 このアクションの詳細については、「非準拠に対して使用できるアクション」を参照してください。

  • コンプライアンス ポリシーのCreate – リンクされた記事の情報を使用して、前提条件を確認し、ルールの構成、コンプライアンス違反のアクションの指定、グループへのポリシーの割り当てのオプションを確認できます。 この記事には、ポリシーの更新時間に関する情報も含まれています。

    さまざまなデバイス プラットフォームでのデバイスのコンプライアンス設定を参照してください。

  • カスタム コンプライアンス設定 – カスタム コンプライアンス設定を使用すると、Intuneの組み込みのデバイス コンプライアンス オプションを拡張できます。 カスタム設定を使用すると、デバイスで使用できる設定に対するコンプライアンスを柔軟に行うことができます。これらの設定を追加するためにIntuneを待機する必要はありません。

    カスタム コンプライアンス設定は、次のプラットフォームで使用できます。

    • Linux – Ubuntu Desktop、バージョン 20.04 LTS、22.04 LTS
    • Windows 10
    • Windows 11

コンプライアンス状態を監視する

Intune には、デバイスのコンプライアンス状態を監視し、ポリシーとデバイスの詳細を確認できるデバイス コンプライアンス ダッシュボードが含まれています。 このダッシュボードの詳細については、デバイス コンプライアンスの監視に関する記事を参照してください。

条件付きアクセスと統合する

条件付きアクセスを使用する場合は、デバイス コンプライアンス ポリシーの結果を使用するための条件付きアクセス ポリシーを構成して、組織のリソースにアクセスできるデバイスを決定できます。 このアクセスの制御は、デバイス コンプライアンス ポリシーに含める非準拠に対するアクションとは別のものとして追加されます。

デバイスがIntuneに登録されると、Microsoft Entra IDに登録されます。 デバイスのコンプライアンス状態は、Microsoft Entra IDに報告されます。 条件付きアクセス ポリシーのアクセスの制御が "Require device to be marked as compliant\(デバイスは準拠としてマーク済みである必要があります\)" に設定されている場合、条件付きアクセスでは、そのコンプライアンス状態を使用して、電子メールやその他の組織のリソースへのアクセスを許可するかブロックするかを決定します。

条件付きアクセス ポリシーでデバイス コンプライアンスの状態を使用する場合は、[コンプライアンス ポリシー設定] で管理する [ コンプライアンス ポリシーが割り当てられていないデバイス をマークする] オプションをテナントで構成する方法 確認します。

デバイス コンプライアンス ポリシーでの条件付きアクセスの使用の詳細については、「 デバイス ベースの条件付きアクセス」を参照してください。

条件付きアクセスの詳細については、Microsoft Entraドキュメントを参照してください。

さまざまなプラットフォームでの非準拠と条件付きアクセスに関するリファレンス

次の表では、条件付きアクセス ポリシーとコンプライアンス ポリシーを使用する場合に非準拠設定をどのように管理するかについて説明しています。

  • 修復: デバイス オペレーティング システムによって準拠が強制されます たとえば、ユーザーは PIN を設定するように強制されます。

  • 検疫済み: デバイス オペレーティング システムによって準拠が強制されません。 たとえば、Android デバイスと Android エンタープライズ デバイスでは、ユーザーはデバイスの暗号化を強制されません。 デバイスが準拠していない場合、次のアクションが行われます。

    • ユーザーに条件付きアクセス ポリシーを適用すると、デバイスがブロックされます。
    • ポータル サイト アプリでは、コンプライアンスの問題についてユーザーに通知します。
ポリシーの設定 プラットフォーム
Allowed Distros Linux(only) - 検疫済み
デバイスの暗号化 - Android 4.0 以降: 検疫済み
- Samsung KNOX Standard 4.0 以降: 検疫済み
- Android Enterprise: 検疫済み

- iOS 8.0 以降: 修復済み (PINの設定による)
- macOS 10.11 以降: 検疫済み

- Linux: 検疫済み

- Windows 10/11: 検疫済み
電子メールのプロファイル - Android 4.0 以降: 適用なし
- Samsung KNOX Standard 4.0 以降: 該当なし
- Android Enterprise: 適用なし

- iOS 8.0 以降: 検疫済み
- macOS 10.11 以降: 検疫済み

- Linux: 適用されません

- Windows 10/11: 該当なし
脱獄またはルート化されたデバイス - Android 4.0 以降: 検疫済み (設定ではありません)
- Samsung KNOX Standard 4.0 以降: 検疫済み (設定ではありません)
- Android Enterprise: 検疫済み (設定ではありません)

- iOS 8.0 以降: 検疫済み (設定ではありません)
- macOS 10.11 以降: 適用なし

- Linux: 適用されません

- Windows 10/11: 該当なし
最大 OS バージョン - Android 4.0 以降: 検疫済み
- Samsung KNOX Standard 4.0 以降: 検疫済み
- Android Enterprise: 検疫済み

- iOS 8.0 以降: 検疫済み
- macOS 10.11 以降: 検疫済み

- Linux: 許可されたディストリビューションに関するページを参照してください

- Windows 10/11: 検疫済み
最小 OS バージョン - Android 4.0 以降: 検疫済み
- Samsung KNOX Standard 4.0 以降: 検疫済み
- Android Enterprise: 検疫済み

- iOS 8.0 以降: 検疫済み
- macOS 10.11 以降: 検疫済み

- Linux: 許可されたディストリビューションに関するページを参照してください

- Windows 10/11: 検疫済み
PIN またはパスワードの構成 - Android 4.0 以降: 検疫済み
- Samsung KNOX Standard 4.0 以降: 検疫済み
- Android Enterprise: 検疫済み

- iOS 8.0 以降: 修復済み
- macOS 10.11 以降: 修復済み

- Linux: 検疫済み

- Windows 10/11: 修復済み
Windows 正常性構成証明書 - Android 4.0 以降: 適用なし
- Samsung KNOX Standard 4.0 以降: 該当なし
- Android Enterprise: 適用なし

- iOS 8.0 以降: 適用なし
- macOS 10.11 以降: 適用なし

- Linux: 適用されません

- Windows 10/11: 検疫済み

注:

ポータル サイト アプリは、ユーザーがアプリにサインインしたときに登録修復フローに入り、デバイスが 30 日以上Intuneで正常にチェックインされていない (または、連絡先のコンプライアンス上の理由が失われたためにデバイスが準拠していない)。 このフローでは、もう 1 回チェックインを開始しようとします。 それでも成功しない場合は、ユーザーがデバイスを手動で再登録できるように、廃止コマンドを発行します。

次の手順