Microsoft Intune でデバイス構成プロファイルを監視する

デバイス構成プロファイルを作成し、入力したすべての設定が含まれます。 次の手順では、ユーザーまたはデバイス グループへのプロファイルの展開または "割り当て" を行います。 これが割り当てられると、ユーザーとデバイスでお客様のプロファイルを受け取り、入力した設定が適用されます。

この記事では、プロファイルを割り当てる方法について説明し、デバイス構成プロファイルでスコープ タグを使用する方法について説明します。

デバイス構成プロファイルと構成可能な機能については、「Microsoft Intune のデバイス プロファイルを使用してデバイスの機能と設定を適用する」を参照してください。

注意

プロファイルが削除されるか、デバイスに割り当てられなくなった場合の影響は、プロファイルの設定によって異なります。 設定は CSP に基づいており、CSP によってプロファイルの削除の処理方法は異なります。 たとえば、設定に既存の値が保持され、既定値には戻らない場合があります。 動作は、オペレーティング システムの各 CSP によって制御されます。 Windows CSP の一覧については、構成サービス プロバイダー (CSP) のリファレンスを参照してください。

設定を別の値に変更するには、新しいプロファイルを作成し、その設定を [未構成] に構成して、プロファイルを割り当てます。 デバイスに適用されたら、ユーザーが設定を適切な値に変更する必要があります。

これらの設定を構成するときは、パイロット グループに展開することをお勧めします。 Intune のロールアウトの詳細なアドバイスについては、ロールアウト計画の作成に関する記事を参照してください。

はじめに

プロファイルを割り当てるための正しいロールを持っていることを確認してください。 詳細については、「Microsoft Intune でのロールベースのアクセス制御 (RBAC)」を参照してください。

デバイス プロファイルを割り当てる

1. Microsoft エンドポイント マネージャー管理センター

2. [デバイス] > [構成プロファイル] の順に選択します。 プロファイルがすべて一覧表示されます。

3. 割り当てるプロファイルを選択して、[プロパティ] > [割り当て] > [編集] を選択します。

   

4. [組み込まれたグループ] または [除外されたグループ] を選択した後、[含めるグループを選択] を選択します。 グループを選択するときに、Azure AD グループを選択します。 複数のグループを選択する場合は、Ctrl キーを押しながら自分のグループを選択します。

   

5. [確認と保存] を選択します。 このステップでは、プロファイルは割り当てられません。

6. [保存] を選択します。 保存した時点で、プロファイルが割り当てられます。 デバイスが Intune サービスにチェックインされると、グループはプロファイル設定を受け取ります。

スコープのタグまたは適用性ルールを使用する

プロファイルを作成または更新するときに、スコープのタグと適用性ルールをプロファイルに追加することもできます。

スコープ タグ は、US-NC IT Team や JohnGlenn_ITDepartment など、特定のグループにプロファイルをフィルター処理する場合に便利です。 分散 IT への RBAC とスコープのタグの使用に関するページには、詳細情報が含まれます。

Windows 10/11 デバイスでは、プロファイルが特定の OS バージョンまたは特定の Windows エディションにのみ適用されるように、 適用規則 を追加できます。 詳細については、「適用性ルール」を参照してください。

ユーザー グループとデバイス グループ

多くのユーザーの疑問は、どのような場合にユーザー グループを使用し、どのような場合にデバイス グループを使用するのかということです。 答えは、目標によって異なります。 開始するには、次のガイダンスを参照してください。

デバイス グループ

どのユーザーがサインインしているかに関係なく、デバイスに対して設定を適用する場合は、プロファイルをデバイス グループに割り当てます。 デバイス グループに適用した設定は、ユーザーではなく、常にデバイスに対して有効になります。

例:

• デバイス グループは、専用ユーザーがいないデバイスを管理する場合に便利です。 たとえば、チケットの印刷とインベントリのスキャンを行う、交代制の勤務者によって共有されているデバイスや、特定の倉庫に割り当てられているデバイスなどがあります。 このようなデバイスをデバイス グループに配置し、プロファイルをこのデバイス グループに割り当てます。

• BIOS の設定を更新するデバイス ファームウェア構成インターフェイス (DFCI) Intune プロファイルを作成します。 たとえば、デバイスのカメラを無効にするようにこのプロファイルを構成したり、ユーザーが別の OS を起動しないようにブート オプションをロックダウンしたりすることができます。 このプロファイルは、デバイス グループに割り当てることをお勧めします。

• 特定の Windows デバイスでは、デバイスを使用しているユーザーに関係なく、Microsoft Edge の一部の設定を常に制御する必要があります。 たとえば、すべてのダウンロードをブロックし、すべての Cookie を現在の閲覧セッションに限定し、閲覧の履歴を削除するとします。 このシナリオでは、これらの特定の Windows デバイスをデバイス グループに配置します。 次に、Intune で管理用テンプレートを作成し、これらのデバイス設定を追加したうえで、このプロファイルをデバイス グループに割り当てます。

要約すると、デバイスにサインインしているユーザーが誰であるか、または誰かがサインインしているかどうかを気にしない場合は、デバイス グループを使用します。 設定を常にデバイスに適用します。

ユーザー グループ

ユーザー グループに適用されたプロファイル設定は、常にユーザーに対して有効になり、ユーザーがさまざまなデバイスにサインインしたときに使用されます。 ユーザーは、職場用の Surface Pro と個人用の iOS または iPadOS デバイスなど、複数のデバイスを使用することが普通です。 そして、ユーザーはそれらのデバイスから電子メールやその他の組織リソースにアクセスします。

ユーザーが同じプラットフォーム上に複数のデバイスを持つ場合は、グループ割り当てでフィルターを使用できます。 たとえば、ユーザーが個人用の iOS/iPadOS デバイスと、組織所有の iOS/iPadOS を持っています。 そのユーザーにポリシーを割り当てると、 フィルター を使用して、組織所有のデバイスのみを対象にすることができます。

この一般規則に従います。電子メールやユーザー証明書など、ある機能があるユーザーに属する場合、ユーザー グループに割り当てます。

例:

• すべてのユーザーに対して、ユーザーのすべてのデバイスにヘルプ デスク アイコンを配置したいとします。 このシナリオでは、これらのユーザーをユーザー グループに配置し、ヘルプ デスク アイコンのプロファイルをこのユーザー グループに割り当てます。

• ユーザーは、組織が所有する新しいデバイスを受け取ります。 ユーザーは、自身のドメイン アカウントを使用してデバイスにサインインします。 デバイスは Azure AD に自動的に登録され、Intune によって自動的に管理されます。 このプロファイルは、ユーザー グループに割り当てることをお勧めします。

• デバイスにユーザーがサインインするたびに、OneDrive や Office などのアプリの機能を制御することが必要です。 このシナリオでは、OneDrive または Office プロファイルの設定をユーザー グループに割り当てます。

  たとえば、Office アプリで信頼されていない ActiveX コントロールをブロックするとします。 Intune で管理用テンプレートを作成し、この設定を構成したうえで、このプロファイルをユーザー グループに割り当てることができます。

要約すると、ユーザーが使用するデバイスに関係なく、設定や規則を常にユーザーに対して有効にする場合は、ユーザー グループを使用します。

Windows CSPs

Windows デバイスのポリシー設定は、構成サービス プロバイダー (CSP) に基づいています。 これらの設定は、デバイス上のレジストリ キーまたはファイルにマップされます。

エンドポイント マネージャーこれらの CSP が公開されるため、これらの設定を構成して Windows デバイスに割り当てることができます。 これらの設定は、組み込みのテンプレートを使用し、設定カタログ を使用して構成できます。 設定カタログでは、一部の設定がユーザー スコープに適用され、一部の設定がデバイス スコープに適用されます。

ユーザー スコープ設定とデバイス スコープ設定を Windows デバイスに適用する方法については、「設定カタログ: デバイス スコープとユーザー スコープの設定」 を参照してください。

プロファイル割り当てからグループを除外する

Intune のデバイス構成プロファイルを使うと、プロファイルの割り当てに対してグループを含めたり、除外したりすることができます。

ベスト プラクティスには、以下のような内容があります。

• お使いのユーザー グループ専用のプロファイルを作成して割り当ててください。 そのようなユーザーのデバイスを含めるか除外するには、フィルターを使用します。
• お使いのデバイス グループ専用に異なるプロファイルを作成し、割り当ててください。

グループについて詳しくは、「ユーザーとデバイスを整理するためのグループを追加する」をご覧ください。

基礎

ポリシーとプロファイルを割り当てるときに、次の一般的な原則を適用します。

• [Included groups](含まれるグループ) または [Excluded groups](除外されるグループ) を、ポリシーを受け取るユーザーとデバイスの開始点と考えてください。 Azure AD グループは制限付きグループなので、可能な限り最小のグループ スコープを使用します。 ポリシーの割り当てを制限または調整するには、フィルターを使用します。

• 割り当て済みの Azure AD グループ (静的グループとも呼ばれる) を [Included groups](含まれるグループ) または [Excluded groups](除外されるグループ) に追加できます。

  通常、デバイスが Windows オートパイロットなどを使用して Azure AD に事前登録されている場合は、Azure AD グループに静的に割り当てます。 または、デバイスを 1 回限りで組み合わせる場合は、アドホック デプロイを行います。 そうしないと、デバイスを Azure AD グループに静的に割り当てることが現実的でない場合があります。

• 動的な Azure AD グループは、[Included groups](含まれるグループ) または [Excluded groups](除外されるグループ) に追加できます。

• 動的な Azure AD デバイス グループは [Included groups](含まれるグループ) に追加できます。 ただし、動的グループ メンバーシップを設定するときに待機時間が発生する可能性があります。 待機時間が重要なシナリオでは、フィルターを使用して特定のデバイスを対象にし、ポリシーをユーザー グループに割り当てます。

  たとえば、デバイスの登録後すぐに、ポリシーを割り当てたい場合があります。 このような待機時間が重要な状況では、目的のデバイスを対象とするフィルターを作成し、このフィルターを適用したポリシーをユーザー グループに割り当てます。 デバイス グループには割り当てないでください。

  ユーザーレスのシナリオでは、目的のデバイスを対象とするフィルターを作成し、このフィルターを適用したポリシーを "すべてのデバイス" グループに割り当てます。

• [Excluded groups](除外されるグループ) に動的な Azure AD デバイス グループを追加することは避けてください。 登録時の動的なデバイス グループの計算で待機時間が発生すると、望ましくない結果が生じる可能性があります。 たとえば、除外されるグループのメンバーシップが設定される前に、不要なアプリやポリシーがデプロイされる場合があります。

サポート マトリックス

グループを除外するためのサポートを理解するには、次のマトリックスを使用します。

• ✔️ サポートされている
• ❌: サポート対象外
• ❕ : 部分的にサポートされている

シナリオ	サポート
1	❕ 部分的にサポートされている 別の動的なデバイス グループを除外している間に、動的なデバイス グループにポリシーを割り当てることができます。 ただし、待機時間が重要なシナリオでは推奨されません。 グループ メンバーシップを除外する計算で待機時間が発生すると、ポリシーがデバイスに提供される可能性があります。 このシナリオでは、デバイスを除外するために、動的なデバイス グループではなくフィルターを使用することをお勧めします。 たとえば、[すべてのデバイス] に割り当てられているデバイス ポリシーがあるとします。 後ほど、新しいマーケティング デバイスではこのポリシーを受信しないという要件が発生します。 そのため、enrollmentProfilename プロパティ (device.enrollmentProfileName -eq "Marketing_devices") に基づいて、Marketing devices という動的なデバイス グループを作成します。 このポリシーに、Marketing devices 動的グループを除外グループとして追加します。 新しいマーケティング デバイスが Intune に初めて登録され、新しい Azure AD デバイス オブジェクトが作成されます。 動的なグループ化のプロセスでは、デバイスを Marketing device グループに含める際に計算が遅延する可能性があります。 同時に、デバイスは Intune に登録され、該当するすべてのポリシーの受信を開始します。 デバイスが除外グループに含められる前に、Intune ポリシーが展開される可能性があります。 この動作により、不要なポリシー (またはアプリ) が Marketing devices グループに展開されます。 そのため、待機時間の影響を受けやすいシナリオでは、動的なデバイス グループを使用しないことをお勧めします。 代わりに、フィルターを使用します。
2	✔️ サポートされている 静的なデバイス グループを除外している間に、動的なデバイス グループにポリシーを割り当てることができます。
3	❌ はサポートされていません ユーザー グループ (動的と静的の両方) を除外している間に、動的なデバイス グループにポリシーを割り当てることはできません。 Intune はユーザーとデバイスのグループ関係を評価せず、含まれているユーザーのデバイスは除外されません。
4	❌ はサポートされていません 動的なデバイス グループへのポリシーの割り当てとユーザー グループ (動的と静的の両方) の除外は、サポートされていません。 Intune はユーザーとデバイスのグループ関係を評価せず、含まれているユーザーのデバイスは除外されません。
5	❕ 部分的にサポートされている 動的なデバイス グループを除外している間に、静的なデバイス グループにポリシーを割り当てることができます。 ただし、待機時間が重要なシナリオでは推奨されません。 グループ メンバーシップを除外する計算で待機時間が発生すると、ポリシーがデバイスに提供される可能性があります。 このシナリオでは、デバイスを除外するために、動的なデバイス グループではなくフィルターを使用することをお勧めします。
6	✔️ サポートされている 静的なデバイス グループへのポリシーの割り当てと異なる静的なデバイス グループの除外がサポートされています。
7	❌ はサポートされていません 静的なデバイス グループへのポリシーの割り当てとユーザー グループ (動的と静的の両方) の除外は、サポートされていません。 Intune はユーザーとデバイスのグループ関係を評価せず、含まれているユーザーのデバイスは除外されません。
8	❌ はサポートされていません 静的なデバイス グループへのポリシーの割り当てとユーザー グループ (動的と静的の両方) の除外は、サポートされていません。 Intune はユーザーとデバイスのグループ関係を評価せず、含まれているユーザーのデバイスは除外されません。
9	❌ はサポートされていません 動的なユーザー グループへのポリシーの割り当てとデバイス グループ (動的と静的の両方) の除外は、サポートされていません。
10	❌ はサポートされていません 動的なユーザー グループへのポリシーの割り当てとデバイス グループ (動的と静的の両方) の除外は、サポートされていません。
11	✔️ サポートされている 他のユーザー グループ (動的と静的の両方) を除外している間に、動的なユーザー グループにポリシーを割り当てることができます。
12	✔️ サポートされている 他のユーザー グループ (動的と静的の両方) を除外している間に、動的なユーザー グループにポリシーを割り当てることができます。
13	❌ はサポートされていません デバイス グループ (動的と静的の両方) を除外している間に、静的なユーザー グループにポリシーを割り当てることはできません。
14	❌ はサポートされていません デバイス グループ (動的と静的の両方) を除外している間に、静的なユーザー グループにポリシーを割り当てることはできません。
15	✔️ サポートされている 他のユーザー グループ (動的と静的の両方) を除外しているときに、静的なユーザー グループにポリシーを割り当てることができます。
16	✔️ サポートされている 他のユーザー グループ (動的と静的の両方) を除外しているときに、静的なユーザー グループにポリシーを割り当てることができます。

次の手順

ポリシーを監視するガイダンス、およびプロファイルを実行するデバイスについては、デバイス プロファイルの監視に関するページを参照してください。