Configuration Manager で構成基準を作成する

Configuration Manager (現在のブランチ) に適用

Configuration Manager の構成基準には、定義済みの構成項目と、必要に応じて他の構成基準が含まれています。 構成基準を作成したら、コレクションに展開して、そのコレクション内のデバイスが構成基準をダウンロードし、その構成基準に準拠している状態を評価できます。

ヒント

Configuration Manager クライアントがベースラインで構成項目を評価する順序を指定する方法はありません。 これは非デターミニズムです。

構成基準

Configuration Manager の構成基準には、構成アイテムの特定のリビジョンを含め、常に最新バージョンの構成アイテムを使用するように構成できます。 構成アイテムのリビジョンの詳細については、「構成データの 管理タスク」を参照してください

構成基準を作成するには、次の 2 つの方法を使用できます。

  • ファイルから構成データをインポートします。 構成データの インポート ウィザードを開始するには、[ 資産とコンプライアンス] ワークスペースの [構成項目] または [構成基準] ノードで、[構成データのインポート] をクリックします。 詳細については、「構成データの インポート」を参照してください

  • [構成 基準の作成] ダイアログ ボックスを使用して、新しい構成基準を作成します。

構成基準の作成

[構成基準の作成] ダイアログ ボックスを使用して構成基準 を作成するには 、次の手順を使用します。

  1. Configuration Manager コンソールで、[アセットと ComplianceCompliance > 設定 > 構成基準] をクリックします

  2. [ホーム] タブの [作成] グループ 、[構成基準 の作成] をクリックします

  3. [構成 基準の作成] ダイアログ ボックスに、構成基準の一意の名前と説明を入力します。 名前には最大 255 文字、説明には 512 文字を使用できます。

  4. [ 構成データ] リスト には、この構成基準に含まれるすべての構成項目または構成基準が表示されます。 [追加 ] を クリックして、新しい構成アイテムまたは構成基準をリストに追加します。 次の項目から選択できます。

    • 構成項目

    • ソフトウェア更新プログラム

    • 構成基準

      重要

      各構成基準を 1000 以下のソフトウェア更新プログラムに制限する必要があります。

  5. [目的 の変更] リストを使用して、[構成データ] ボックスの一覧で選択した構成アイテムの動作 を指定 します。 次の項目から選択できます。

    • 必須: 構成基準は、構成項目がクライアント デバイスで検出されない場合、非準拠として評価されます。 検出された場合は、コンプライアンスが評価されます。

    • オプション: 構成アイテムは、参照するアプリケーションがクライアント コンピューター上にある場合にのみ、コンプライアンスが評価されます。 アプリケーションが見つからない場合、構成基準は非準拠としてマークされない (アプリケーション構成項目にのみ適用されます)。

    • 禁止: 構成基準は、構成アイテムがクライアント コンピューターで検出された場合に非準拠として評価されます (アプリケーション構成項目にのみ適用されます)。

    注意

    [目的の変更] リストは、[構成アイテムの作成ウィザード] の [全般] ページで [この構成アイテムにアプリケーション設定が含まれている] オプションをクリックした場合 にのみ使用できます

  6. [変更 履歴] リスト を使用して、構成アイテムの特定のリビジョンまたは最新のリビジョンを選択してクライアント デバイスのコンプライアンスを評価するか、[常に最新のリビジョンを使用する] を選択して、常に最新のリビジョンを使用します。 構成アイテムのリビジョンの詳細については、「構成データの 管理タスク」を参照してください

  7. 構成基準から構成アイテムを削除するには、構成アイテムを選択し、[削除] をクリック します

  8. バージョン 1806 から、この基準を共同管理クライアントに常に適用する場合 に選択します。 オンにすると、この基準は Intune によって管理されるクライアントにも適用されます。 この例外は、組織が必要としますが、Intune でまだ使用できない設定を構成するために使用される場合があります。

  9. 必要に応じて、[カテゴリ] をクリック して、検索およびフィルター処理の基準にカテゴリを割り当てる必要があります。

  10. [ OK] をクリックして [ 構成基準の作成] ダイアログ ボックスを閉じ、構成基準を作成します。

注意

既存の基準計画を変更する (たとえば、共同管理クライアントに対してこの基準計画を常に適用する) と、ベースライン コンテンツ のバージョンが増加します。 ベースライン レポートを更新するには、クライアントが新しいバージョンを評価する必要があります。

コンプライアンス ポリシー評価の一部としてカスタム構成基準を含める

コンプライアンス ポリシー評価ルールとして、カスタム構成基準の評価を追加できます。 構成基準を作成または編集する場合は、コンプライアンス ポリシー評価の一環としてこの基準を評価 するオプションがあります。 コンプライアンス ポリシー ルールを追加または編集する場合、コンプライアンス ポリシー評価に構成済みの基準計画を含める という条件があります。 共同管理デバイスの場合、また、全体的なコンプライアンス状態の一部として Configuration Manager コンプライアンス評価結果を受け取る Intune を構成すると、この情報が管理者にAzure AD。 その後、リソースへの条件付きアクセスにMicrosoft 365 Appsできます。 詳細については、「条件付きアクセス と共同管理」を参照してください

コンプライアンス ポリシー評価の一部としてカスタム構成基準を含めるには、次の手順を実行します。

重要

  • 構成基準をデバイス コレクションに展開する 必要 があります。 ユーザー コレクションに展開 されたベースライン は、これらの設定を使用する場合は受け入れされません。
  • 共同管理されているデバイスをターゲットに設定する場合は、共同管理の前提条件 を満たしていることを確認します。 共同管理クライアントは、コンプライアンス ポリシーのワークロードが Intune によって管理されている場合、修復のためにサービス ウィンドウを無視します。
  • Configuration Manager によって管理されるデバイスの場合、クライアントはコンプライアンス ポリシーの修復のためにサービス ウィンドウを尊重します。 サービス ウィンドウを無視して直ちに修復するには、 ソフトウェア センターで [コンプライアンスの確認] を選択します

評価シナリオの例

ユーザーが、ルール条件を含むコンプライアンス ポリシーを対象としたコレクションの一部である場合 コンプライアンス ポリシー評価に構成済みの基準計画を含める場合、ユーザーまたはユーザーのデバイスに展開された [コンプライアンス ポリシー評価の一部としてこの基準を評価する] オプションが選択されているベースラインは、コンプライアンスについて評価されます。 次に例を示します。

  • User1 の一部です User Collection 1
  • User1uses Device1, is in and Device Collection 1 .Device Collection 2
  • Compliance Policy 1 コンプライアンス ポリシー 評価ルール条件に構成された 基準計画を含め、に展開されます User Collection 1
  • Configuration Baseline 1 has この基準をコンプライアンス ポリシー評価の一部として 評価し、に展開します Device Collection 1
  • Configuration Baseline 2 has この基準をコンプライアンス ポリシー評価の一部として 評価し、に展開します Device Collection 2

このシナリオでは、使用に Compliance Policy 1 対して評価される User1 場合 Device1、両方 Configuration Baseline 1 とも Configuration Baseline 2 評価されます。

  • User1 使用する場合があります Device2
  • Device2のメンバーです。Device Collection 2 Device Collection 3
  • Device Collection 3Configuration Baseline 3 展開されましたが、コンプライアンス ポリシー評価の一部 として この基準計画を評価するは選択されません。

使用する User1 場合 Device2は、評価 Configuration Baseline 2 時にのみ評価 Compliance Policy 1 されます。

注意

コンプライアンス ポリシーが、以前にクライアントで評価されたことがない新しいベースラインを評価した場合、コンプライアンス以外の基準が報告される場合があります。 これは、コンプライアンスの評価時にベースライン評価がまだ実行されている場合に発生します。 この問題を回避するには、ソフトウェア センターで [コンプライアンスの 確認] をクリックします

ベースライン コンプライアンス ポリシー評価のルールを使用してコンプライアンス ポリシーを作成および展開する

  1. [アセット とコンプライアンス] ワークスペースで、[コンプライアンス ポリシー] を 設定し、[ コンプライアンス ポリシー] ノードを選択 します。

  2. リボン の [コンプライアンス ポリシーの 作成] をクリックして、コンプライアンス ポリシー の作成ウィザードを表示します

  3. [全般 ] ページで 、[Configuration Manager クライアントで管理されるデバイスのコンプライアンス ルール] を選択します

    • コンプライアンス ポリシー評価の一環としてカスタム構成基準を含めるには、Configuration Manager クライアントでデバイスを管理する必要があります。
  4. [サポートされているプラットフォーム] ページ でプラットフォームを選択 します。

  5. [ルール ] ページで 、[ 新規] を選択し、[構成済みの基準計画をコンプライアンス ポリシー 評価条件に含める] を選択 します。

    コンプライアンス ポリシー評価条件に構成済みの基準計画を含める

  6. [ OK] をクリックし 、[次 へ] をクリックして [概要 ] ページに移動 します。

  7. 選択内容を確認し、[次へ] を クリックし 、[閉 じる] をクリックします

  8. [コンプライアンス ポリシー ] ノードで 、作成したポリシーを右クリックし、[展開] を選択 します

  9. ポリシーのコレクション、アラート生成設定、コンプライアンス評価スケジュールを選択します。

  10. [ OK] を クリックしてコンプライアンス ポリシーを展開します。

構成基準を選択し、[コンプライアンス ポリシー評価の一環としてこの基準を評価する] をオンにしてください。

  1. [資産 とコンプライアンス] ワークスペースで、[コンプライアンス] 設定を展開し 、[ 構成基準] ノードを選択 します。

  2. デバイス コレクションに展開されている既存のベースラインを右クリックし、[プロパティ] を選択 します。 必要に応じて、新しい基準計画を作成できます。

    • ベースラインは、ユーザー コレクションではなく、デバイス コレクションに展開する必要があります。
  3. [この基準 計画をコンプライアンス ポリシー評価の一部として評価する] 設定を有効 にします。

    • Intune をデバイス構成機関として持つ共同管理デバイスの場合は、共同管理クライアントに対しても常にこの基準を適用するも選択してください。
  4. [ OK] を クリックして、構成基準に対する変更を保存します。

    [構成基準のプロパティ] ダイアログ ボックス

コンプライアンス ポリシー評価の一環として、カスタム構成基準のログ ファイル

  • ComplianceHandler.log
  • SettingsAgent.log
  • DCMAgent.log
  • CIAgent.log

次の手順

構成データをインポートする