Microsoft Intune でのデバイス プロファイルの作成

デバイス プロファイルを使用すると、設定を追加および構成してから、組織内のデバイスにそれらの設定をプッシュすることができます。 ポリシーを作成する場合、いくつかのオプションがあります。

  • 管理用テンプレート: Windows 10/11 デバイスでは、これらのテンプレートは、構成する ADMX 設定です。 ADMX ポリシーまたはグループ ポリシー オブジェクト (GPO) を使い慣れている場合は、管理用テンプレートを使用することが Microsoft Intune およびエンドポイント マネージャーに対して自然な手順となります。

    詳細については、管理用テンプレートに関する記事を参照してください

  • ベースライン: Windows 10/11 デバイスでは、これらのベースラインにはあらかじめ構成されたセキュリティ設定が含まれます。 Microsoft セキュリティ チームによるおすすめを使用してセキュリティ ポリシーを作成したい場合は、セキュリティ ベースラインが適しています。

    詳細については、セキュリティ ベースラインに関する記事を参照してください。

  • 設定カタログ: Windows 10/11 デバイスでは、設定カタログを使用して、利用可能なすべての設定を 1 つの場所に表示します。 たとえば、BitLocker に適用されるすべての設定を確認し、BitLocker のみに焦点を当てたポリシーを作成することができます。 macOS デバイスでは、設定カタログを使用して Microsoft Edge バージョン 77 と設定を構成できます。

    詳細については、「設定カタログ」を参照してください。

    macOS では、引き続き設定ファイルを使用して次を行います。

    • 以前のバージョンの Microsoft Edge を構成する
    • 設定カタログにない Edge ブラウザーの設定を構成する
  • テンプレート: Android、iOS および iPadOS、macOS、および Windows デバイスでは、テンプレートに、VPN、電子メール、キオスク デバイスなどの機能や概念を構成する設定の論理的なグループが含まれています。 Microsoft Intune でのデバイス構成ポリシーの作成に慣れている場合は、既にこれらのテンプレートを使用しています。

    使用可能なテンプレートを含む詳細については、デバイス プロファイルを使用してデバイスに機能と設定を適用する方法に関する記事を参照してください。

この記事の内容:

  • プロファイルを作成する手順を示します。
  • ポリシーを "フィルター処理" するためにスコープのタグを追加する方法を示します。
  • Windows クライアント デバイスの適用性ルールについて、およびルールを作成する方法を示します。
  • デバイスでプロファイルおよびプロファイルの更新を受信した際のチェックインの更新サイクル時間を示します。

プロファイルを作成する

プロファイルは、Microsoft Endpoint Manager admin center で作成されます。 この管理センターで、[デバイス] を選択します。 以下のオプションがあります。

エンドポイント マネージャーと Microsoft Intune で、[デバイス] を選択し、構成および管理できる内容を確認します。

  • 概要: プロファイルの状態が一覧表示され、ユーザーとデバイスに割り当てたプロファイルに関する詳細情報が提供されます。
  • モニター: プロファイルの状態が成功か失敗かを確認し、プロファイルのログも表示します。
  • プラットフォーム別: プラットフォーム別にポリシーとプロファイルを作成して表示します。 このビューには、プラットフォームに固有の機能が表示される場合もあります。 たとえば、[Windows] を選択します。 Windows 更新リングPowerShell スクリプト など、Windows 固有の機能が表示されます。
  • ポリシー: デバイス プロファイルを作成し、カスタムの PowerShell スクリプトをアップロードしてデバイス上で実行し、eSIM を使用してデバイスにデータ プランを追加します。

プロファイルを作成する場合 ([構成プロファイル] > [プロファイルの作成])、ご利用のプラットフォームを選択します。

  • Android デバイス管理者
  • Android エンタープライズ
  • iOS/iPadOS
  • macOS
  • Windows 10 以降
  • Windows 8.1 以降

次に、プロファイルを選択します。 選択したプラットフォームによって構成できる設定が異なります。 以下の記事では、さまざまなプロファイルについて説明されています。

たとえば、プラットフォームとして iOS/iPadOS を選択した場合、オプションは次のプロファイルのようになります。

エンドポイント マネージャーと Microsoft Intune で iOS および iPadOS のデバイス構成ポリシーおよびプロファイルを作成します。

プラットフォームとして Windows 10 以降 を選択した場合、オプションは次のプロファイルのようになります。

エンドポイント マネージャーと Microsoft Intune で Windows のデバイス構成ポリシーおよびプロファイルを作成します。

スコープ タグ

設定を追加したら、プロファイルにスコープ タグを追加することもできます。 スコープ タグを使うと、US-NC IT TeamJohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理することができます。 また、分散 IT で使用されます。

スコープ タグと可能な操作の詳細については、分散 IT での RBAC とスコープのタグの使用に関するページを参照してください。

適用性ルール

適用対象:

  • Windows 11
  • Windows 10

管理者は、適用性ルールを使用して、グループの特定の条件を満たすデバイスを対象にすることができます。 たとえば、すべての Windows 10/11 デバイス グループに適用されるデバイスの制限プロファイルを作成します。 また、Windows Enterprise を実行しているデバイスにのみプロファイルを割り当てる必要があります。

これを行うには、適用性ルール を作成します。 これらのルールは、次のシナリオに最適です。

  • Windows 10 Education (EDU) を使用しています。 Bellows College では、RS3 から RS4 までのすべての Windows 10 EDU デバイスを対象にする必要があります。
  • Contoso では、人事部のすべてのユーザーを対象にし、さらに Windows 10 Professional または Enterprise デバイスのみを対象にする必要があります。

これらのシナリオに取り組むには:

  • Bellows College のすべてのデバイスを含むデバイス グループを作成します。 プロファイルに、OS の最小バージョンが 16299 であり、最大バージョンが 17134 である場合に適用される適用性ルールを追加します。 このプロファイルを Bellows College デバイス グループに割り当てます。

    割り当てられると、入力した最小バージョンから最大バージョンまでのデバイスに対してプロファイルが適用されます。 入力した最小バージョンから最大バージョンまでに含まれないデバイスの場合、その状態は [適用なし] と表示されます。

  • Contoso の人事部 (HR) のすべてのユーザーを含むユーザー グループを作成します。 プロファイルに、Windows 10 Professional または Enterprise を実行しているデバイスに適用される適用性ルールを追加します。 このプロファイルを HR ユーザー グループに割り当てます。

    割り当てられると、Windows 10 Professional または Enterprise を実行しているデバイスに対してプロファイルが適用されます。 これらのエディションを実行していないデバイスの場合、その状態は [適用なし] と表示されます。

  • まったく同じ設定のプロファイルが 2 つある場合は、適用性ルールが含まれていないプロファイルが適用されます。

    たとえば、ProfileA では Windows 10 デバイス グループを対象とし、BitLocker が有効ですが、適用性ルールは含まれていません。 ProfileB では同じ Windows 10 デバイス グループを対象とし、BitLocker が有効であり、Windows 10 Enterprise にのみプロファイルを適用するという適用性ルールが含まれています。

    両方のプロファイルが割り当てられた場合、適用性ルールがないため、ProfileA が適用されます。

プロファイルをグループに割り当てると、適用性ルールはフィルターとして機能し、条件を満たすデバイスのみが対象になります。

ルールを追加する

  1. [適用性ルール] を選択します。 次のように [ルール][プロパティ] を選択できます。

    エンドポイント マネージャーと Microsoft Intune で Windows 10 のデバイス構成プロファイルに適用性ルールを追加します。

  2. [ルール] で、ユーザーまたはグループを含めるか除外するかを選択します。 次のようなオプションがあります。

    • プロファイルを割り当てる条件: 入力した条件を満たすユーザーまたはグループを含めます。
    • プロファイルを割り当てない条件: 入力した条件を満たすユーザーまたはグループを除外します。
  3. [プロパティ] で、フィルターを選択します。 次のようなオプションがあります。

    • OS のエディション: 一覧で、ルールに含む (または除外する) Windows クライアント エディションを確認します。

    • OS のバージョン: ルールに含む (または除外する) Windows クライアント バージョンの 最小値 および 最大値 を入力します。 両方の値が必要です。

      たとえば、最小バージョンには 10.0.16299.0 (RS3 または 1709) を、最大バージョンには 10.0.17134.0 (RS4 または 1803) を入力できます。 または、さらに細かい設定が可能であり、最小バージョンとして 10.0.16299.001 を、最大バージョンとして 10.0.17134.319 を入力できます。

      バージョンの値の詳細については、「Windows クライアント リリース情報」を参照してください。

  4. [追加] を選択して変更を保存します。

サイクル時間の更新

Intune では、複数の更新サイクルを使用して、構成プロファイルへの更新が確認されます。 登録してすぐのデバイスでは、チェックインの実行頻度が高くなります。 「ポリシーとプロファイルの更新サイクルに、おおよその更新間隔が一覧表示されています。

ユーザーはいつでもポータル サイト アプリを起動し、デバイスを同期して、プロファイルの更新をすぐに確認できます。

推奨事項

プロファイルを作成するとき、次の推奨設定を考慮してください。

  • それが何であり、何をするものなのかわかるようにポリシーに名前を付けます。 コンプライアンス ポリシー構成プロファイルにはすべて、省略可能な [説明] プロパティがあります。 [説明] には、ポリシーの内容を他のユーザーが理解できるよう、具体的な情報を入力します。

    いくつかの構成プロファイルの例を次に示します。

    プロファイル名: 管理者テンプレート - Windows 10 の全ユーザー用の OneDrive 構成プロファイル
    プロファイルの説明: Windows 10 の全ユーザー用の最小設定と基本設定が含まれる OneDrive 管理者テンプレート プロファイル。 ユーザーが組織データを個人 OneDrive アカウントと共有することを禁止する目的で user@contoso.com により作成されます。

    プロファイル名: iOS/iPadOS の全ユーザー用の VPN プロファイル
    プロファイルの説明: すべての iOS/iPadOS ユーザーが Contoso VPN に接続するための最小設定と基本設定が含まれる VPN プロファイル。 ユーザー名とパスワードをユーザーに求めず、ユーザーが VPN で自動的に認証されるよう、user@contoso.com によって作成されます。

  • Microsoft Edge 設定を構成する、Microsoft Defender のウイルス対策設定を有効にする、iOS/iPadOS 脱獄デバイスをブロックするなど、そのタスク別にプロファイルを作成します。

  • マーケティング、販売、IT 管理者などの特定のグループに適用されるプロファイルや、場所や学校のシステム別に適用されるプロファイルを作成します。

  • ユーザー ポリシーとデバイス ポリシーを分離します。

    たとえば、Intune の管理テンプレートには、数千の ADMX 設定があります。 これらのテンプレートには、設定がユーザーに適用されるのか、デバイスに適用されるのかが示されます。 管理テンプレートを作成するときは、ユーザー設定をユーザー グループに割り当て、デバイス設定をデバイス グループに割り当てます。

    次の画像は、ユーザーに適用するか、デバイスに適用するか、または両方に適用することができる設定の例を示しています。

    エンドポイント マネージャーと Microsoft Intune でユーザーとデバイスに適用される Intune 管理テンプレート。

  • 制限の厳しいポリシーを作成するたびに、この変更についてユーザーに伝えます。 たとえば、パスコードの要件を 4 文字から 6 文字に変更する場合、ポリシーを割り当てる前にユーザーに通知できます。

次の手順

プロファイルを割り当てその状態を監視します。