IntuneのWindows 10/11 のデバイス コンプライアンス設定
この記事では、IntuneのWindows デバイスで構成できるさまざまなコンプライアンス設定を一覧表示し、説明します。 モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用して BitLocker を要求し、最小オペレーティング システムと最大オペレーティング システムを設定し、Microsoft Defender for Endpointなどを使用してリスク レベルを設定します。
この機能は、以下に適用されます。
- Windows 10 または 11
- Windows Holographic for Business
- Surface Hub
Intune管理者は、これらのコンプライアンス設定を使用して、組織のリソースを保護します。 コンプライアンス ポリシーとその動作の詳細については、 デバイス コンプライアンスの概要に関するページを参照してください。
はじめに
コンプライアンス ポリシーを作成します。 [プラットフォーム] には、[Windows 10 以降] を選択します。
デバイスの正常性
Windows正常性構成証明サービスの評価規則
BitLocker を必要とする:
Windows BitLocker ドライブ暗号化は、Windows オペレーティング システム ボリュームに格納されているすべてのデータを暗号化します。 BitLocker では、トラステッド プラットフォーム モジュール (TPM) を使用して、Windowsオペレーティング システムとユーザー データを保護します。 また、コンピューターが無人、紛失、盗難にあった場合でも、コンピューターが改ざんされていないことを確認するのに役立ちます。 コンピューターに互換性のある TPM が搭載されている場合、BitLocker は TPM を使用してデータを保護する暗号化キーをロックします。 その結果、TPM がコンピューターの状態を確認するまで、キーにアクセスできません。- 未構成 (既定値) - この設定は、コンプライアンスまたは非準拠では評価されません。
- 必須 - デバイスは、システムがオフになっている場合や休止状態になったときに、ドライブに格納されているデータを不正アクセスから保護できます。
Device HealthAttestation CSP - BitLockerStatus
注意
Intuneでデバイス コンプライアンス ポリシーを使用している場合は、この設定の状態は起動時にのみ測定されます。 そのため、BitLocker 暗号化が完了した場合でも、デバイスでこれを検出して準拠するには再起動が必要になります。 詳細については、 Device Health 構成証明に関する次の Microsoft サポート ブログを参照してください。
デバイスでセキュア ブートを有効にする必要があります。
- 未構成 (既定値) - この設定は、コンプライアンスまたは非準拠では評価されません。
- 必須 - システムは強制的に工場出荷時の信頼済み状態に起動されます。 マシンの起動に使用されるコア コンポーネントには、デバイスを製造した組織によって信頼されている正しい暗号化署名が必要です。 UEFI ファームウェアは、コンピューターを起動する前に署名を検証します。 ファイルが改ざんされ、署名が壊れた場合、システムは起動しません。
注意
デバイス設定でセキュア ブートを有効にする必要は、一部の TPM 1.2 および 2.0 デバイスでサポートされています。 TPM 2.0 以降をサポートしていないデバイスの場合、Intuneのポリシーの状態 は [非準拠] と表示されます。 サポートされているバージョンの詳細については、「 デバイス正常性構成証明」を参照してください。
コードの整合性が必要です。
コード整合性は、メモリに読み込まれるたびにドライバーまたはシステム ファイルの整合性を検証する機能です。- 未構成 (既定値) - この設定は、コンプライアンスまたは非準拠では評価されません。
- 必須 - コードの整合性が必要です。これは、署名されていないドライバーまたはシステム ファイルがカーネルに読み込まれているかどうかを検出します。 また、システム ファイルが悪意のあるソフトウェアによって変更されたか、管理者特権を持つユーザー アカウントによって実行されているかも検出されます。
その他のリソース:
- 正常性構成証明サービスのしくみの詳細については、「 正常性構成証明 CSP」を参照してください。
- サポート ヒント: Intune コンプライアンス ポリシーの一部としてデバイス正常性構成証明設定を使用する。
デバイスのプロパティ
オペレーティング システムのバージョン
すべてのWindows 10/11 機能更新プログラムと累積的な更新プログラム (以下のいくつかのフィールドで使用) のビルド バージョンを確認するには、リリース情報Windows参照してください。 次の例に示すように、Windows 10の場合は 10.0 のように、ビルド番号の前に適切なバージョン プレフィックスを必ず含めてください。
最小 OS バージョン:
使用できる最小バージョンを major.minor.build.revision 番号 形式で入力します。 正しい値を取得するには、コマンド プロンプトを開き、次のように入力しますver。 このコマンドはver、次の形式でバージョンを返します。Microsoft Windows [Version 10.0.17134.1]入力した OS バージョンより前のバージョンのデバイスがある場合、デバイスは非準拠として報告されます。 アップグレード方法に関する情報を含むリンクが表示されます。 エンド ユーザーは、デバイスのアップグレードを選択できます。 アップグレード後は、会社のリソースにアクセスできます。
OS の最大バージョン:
使用できる最大バージョンを major.minor.build.revision 番号 形式で入力します。 正しい値を取得するには、コマンド プロンプトを開き、次のように入力しますver。 このコマンドはver、次の形式でバージョンを返します。Microsoft Windows [Version 10.0.17134.1]デバイスが入力されたバージョンより後の OS バージョンを使用している場合、組織のリソースへのアクセスはブロックされます。 エンド ユーザーは、IT 管理者に問い合わせるよう求められます。 OS バージョンを許可するように規則が変更されるまで、デバイスは組織のリソースにアクセスできません。
モバイル デバイスに必要な最小 OS:
使用できる最小バージョンを major.minor.build 番号形式で入力します。入力した OS バージョンの以前のバージョンがデバイスにある場合、デバイスは非準拠として報告されます。 アップグレード方法に関する情報を含むリンクが表示されます。 エンド ユーザーは、デバイスのアップグレードを選択できます。 アップグレード後は、会社のリソースにアクセスできます。
モバイル デバイスに必要な最大 OS:
使用できる最大バージョンを major.minor.build 番号に入力します。デバイスが入力されたバージョンより後の OS バージョンを使用している場合、組織のリソースへのアクセスはブロックされます。 エンド ユーザーは、IT 管理者に問い合わせるよう求められます。 OS バージョンを許可するように規則が変更されるまで、デバイスは組織のリソースにアクセスできません。
有効なオペレーティング システム ビルド:
オペレーティング システムの最小ビルドと最大ビルドの一覧を指定します。 有効なオペレーティング システム ビルドにより、OS の最小バージョンと最大バージョンと比較すると、柔軟性が向上します。 最小 OS バージョンが 10.0.18362.xxx (Windows 10 1903) に設定され、最大 OS バージョンが 10.0.18363.xxx (Windows 10 1909) に設定されているシナリオを考えてみましょう。 この構成により、最近の累積的な更新プログラムがインストールされていない Windows 10 1903 デバイスを準拠として識別できます。 1 つのWindows 10 リリースで標準化されている場合は、OS の最小バージョンと最大バージョンが適している可能性がありますが、複数のビルドを使用する必要がある場合は要件に対応できない場合があります。それぞれは特定のパッチ レベルです。 このような場合は、代わりに有効なオペレーティング システム ビルドを利用することを検討してください。これにより、次の例のように複数のビルドを指定できます。例:
次の表は、さまざまなWindows 10 リリースで使用できるオペレーティング システムバージョンの範囲の例です。 この例では、3 つの異なる機能更新プログラムが許可されています (1809、1909、2004)。 具体的には、2020 年 6 月から 9 月までの累積的な更新プログラムを適用したWindowsのバージョンのみが準拠していると見なされます。 これはサンプル データのみです。 このテーブルには、エントリを記述するテキストを含む最初の列と、そのエントリの OS の最小バージョンと最大バージョンが含まれています。 2 番目と 3 番目の列は 、major.minor.build.revision 番号 形式の有効な OS ビルド バージョンに準拠している必要があります。 1 つ以上のエントリを定義したら、コンマ区切り値 (CSV) ファイルとしてリストを エクスポート できます。説明 最小 OS バージョン 最大 OS バージョン Win 10 2004 (2020 年 6 月から 9 月) 10.0.19041.329 10.0.19041.508 Win 10 1909 (2020 年 6 月から 9 月) 10.0.18363.900 10.0.18363.1110 Win 10 1809 (2020 年 6 月から 9 月) 10.0.17763.1282 10.0.17763.1490
Configuration Managerコンプライアンス
Windows 10/11 を実行している共同管理デバイスにのみ適用されます。 Intune専用デバイスは、使用できない状態を返します。
- Configuration Managerからデバイスコンプライアンスを要求 する:
- 未構成 (既定) - IntuneコンプライアンスのConfiguration Manager設定はチェックされません。
- 必須 - Configuration Managerのすべての設定 (構成項目) が準拠している必要があります。
システム セキュリティ
Password
モバイル デバイスのロックを解除するためにパスワードを要求する:
- 未構成 (既定値) - この設定は、コンプライアンスまたは非準拠では評価されません。
- 必須 - ユーザーは、デバイスにアクセスする前にパスワードを入力する必要があります。
単純なパスワード:
- 未構成 (既定値) - ユーザーは、 1234 や 1111 などの簡単なパスワード を 作成できます。
- ブロック - ユーザーは、 1234 や 1111 などの単純なパスワード を 作成できません。
パスワードの種類:
必要なパスワードまたは PIN の種類を選択します。 次のようなオプションがあります。- デバイスの既定値 (既定値) - パスワード、数字の PIN、または英数字の PIN が必要です
- 数値 - パスワードまたは数値 PIN が必要です
- 英数字 - パスワードまたは英数字の PIN が必要です。
[英数字] に設定すると、次の設定を使用できます。
パスワードの複雑さ:
次のようなオプションがあります。- 数字と小文字を必要とする (既定値)
- 数字、小文字、大文字を必要とする
- 数字、小文字、大文字、特殊文字が必要です
ヒント
英数字パスワード ポリシーは複雑な場合があります。 詳細については、管理者が CSP を読み取ることをお勧めします。
パスワードの最小長:
パスワードに必要な最小桁数の数字または文字を入力します。パスワードが必要になるまでの非アクティブな最大分数:
ユーザーがパスワードを再入力する前にアイドル時間を入力します。パスワードの有効期限 (日数):
パスワードの有効期限が切れる日数を入力し、1 から 730 の新しいパスワードを作成する必要があります。再利用を防ぐための以前のパスワードの数:
使用できない以前に使用したパスワードの数を入力します。デバイスがアイドル状態から戻るときにパスワードを要求する (Mobile と Holographic):
- 未構成 (既定)
- 必須 - デバイスがアイドル状態から戻るたびに、デバイス ユーザーにパスワードの入力を要求します。
重要
Windows デスクトップでパスワード要件が変更されると、ユーザーは次回のサインイン時に影響を受けます。これは、デバイスがアイドル状態からアクティブになったときに発生するためです。 要件を満たすパスワードを使用しているユーザーは、引き続きパスワードを変更するように求められます。
暗号化
デバイス上のデータ ストレージの暗号化:
この設定は、デバイス上のすべてのドライブに適用されます。- 未構成 (既定)
- 必須 - デバイス上のデータ ストレージを暗号化するには 、[必須] を使用します。
DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance
注意
デバイス設定上のデータ ストレージの暗号化 は、デバイス上の暗号化の存在を一般的にチェックします。具体的には OS ドライブ レベルです。 現在、Intuneでは、BitLocker での暗号化チェックのみがサポートされています。 より堅牢な暗号化設定については、Windowsデバイス正常性構成証明を利用して TPM レベルで Bitlocker の状態を検証する Require BitLocker の使用を検討してください。 ただし、この設定を利用する場合は、デバイスが準拠として反映される前に再起動が必要になる可能性があることに注意してください。
デバイス セキュリティ
ファイアウォール:
- 未構成 (既定) - IntuneはMicrosoft Defender ファイアウォールを制御したり、既存の設定を変更したりしません。
- 必須 - Microsoft Defender ファイアウォールをオンにし、ユーザーがオフにできないようにします。
注意
再起動後にデバイスがすぐに同期される場合、またはスリープ状態からすぐに同期する場合、この設定は エラー として報告される可能性があります。 このシナリオは、デバイスコンプライアンスの全体的な状態には影響しない可能性があります。 コンプライアンスの状態を再評価するには、 デバイスを手動で同期します。
すべての受信トラフィックを許可するように Defender Firewall を構成するデバイスにグループ ポリシーが適用されている場合、またはファイアウォールをオフにした場合、デバイス構成ポリシー Intuneファイアウォールがオンになっている場合でも、[ファイアウォール] を [必須] に設定すると [非準拠] が返されます。 これは、グループ ポリシー オブジェクトがIntune ポリシーをオーバーライドするためです。 この問題を解決するには、競合するグループ ポリシー設定を削除するか、ファイアウォール関連のグループ ポリシー設定をデバイス構成ポリシー Intune移行することをお勧めします。 一般に、受信接続をブロックするなど、 既定の設定を維持することをお勧めします。 詳細については、「Windows Defender ファイアウォールを構成するためのベスト プラクティス」を参照してください。
トラステッド プラットフォーム モジュール (TPM):
- 未構成 (既定) - Intuneデバイスで TPM チップバージョンが確認されません。
- 必須 - Intuneは、TPM チップのバージョンに準拠していないか確認します。 TPM チップ バージョンが 0 (ゼロ) を超える場合、デバイスは準拠しています。 デバイスに TPM バージョンがない場合、デバイスは準拠していません。
ウイルス対策:
- 未構成 (既定) - Intuneデバイスにインストールされているウイルス対策ソリューションはチェックされません。
- 必須 - Symantec や Microsoft Defender など、Windows セキュリティ センターに登録されているウイルス対策ソリューションを使用してコンプライアンスを確認します。
スパイウェア対策:
- 未構成 (既定) - Intuneデバイスにインストールされているスパイウェア対策ソリューションはチェックされません。
- 必須 - Symantec や Microsoft Defender など、Windows セキュリティ センターに登録されているスパイウェア対策ソリューションを使用してコンプライアンスを確認します。
Defender
Windows 10/11 Desktop では、次のコンプライアンス設定がサポートされています。
Microsoft Defender マルウェア対策:
- 未構成 (既定) - Intuneサービスを制御したり、既存の設定を変更したりすることはありません。
- 必須 - Microsoft Defender マルウェア対策サービスを有効にし、ユーザーが無効にできないようにします。
Microsoft Defender マルウェア対策の最小バージョン:
Microsoft Defender マルウェア対策サービスの最小許容バージョンを入力します。 たとえば、「4.11.0.0」と入力します。 空白のままにすると、任意のバージョンの Microsoft Defender マルウェア対策サービスを使用できます。既定では、バージョンは構成されていません。
Microsoft Defender マルウェア対策セキュリティ インテリジェンスの最新の状態:
デバイス上のWindows セキュリティウイルスと脅威の保護の更新プログラムを制御します。- 未構成 (既定) - Intuneは要件を適用しません。
- 必須 - Microsoft Defender セキュリティ インテリジェンスを強制的に最新の状態にする。
Defender CSP - Defender/Health/SignatureOutOfDate CSP
詳細については、Microsoft Defender ウイルス対策およびその他の Microsoft マルウェア対策のセキュリティ インテリジェンス更新プログラムに関するページを参照してください。
リアルタイム保護:
- 未構成 (既定) - Intuneこの機能を制御したり、既存の設定を変更したりすることはありません。
- 必須 - マルウェア、スパイウェア、およびその他の不要なソフトウェアをスキャンするリアルタイム保護を有効にします。
Microsoft Defender for Endpoint
Microsoft Defender for Endpointルール
条件付きアクセスシナリオでのMicrosoft Defender for Endpoint統合の詳細については、「Microsoft Defender for Endpointでの条件付きアクセスの構成」を参照してください。
デバイスがコンピューターのリスク スコア以下である必要があります。
この設定を使用して、防御脅威サービスからリスク評価をコンプライアンスの条件として受け取ります。 許可される最大脅威レベルを選択します。- 未構成 (既定)
- デバイス に脅威が発生することはできないため、このオプションは最も安全です。 デバイスが任意のレベルの脅威を持っていることが検出された場合、デバイスは非準拠として評価されます。
- 低 - 低レベルの脅威のみが存在する場合、デバイスは準拠として評価されます。 それ以上の値を指定すると、デバイスは非準拠状態になります。
- 中 - デバイス上の既存の脅威が低レベルまたは中レベルの場合、デバイスは準拠として評価されます。 デバイスが高レベルの脅威を持っていることが検出された場合は、準拠していないと判断されます。
- 高 - このオプションは安全性が最も低く、すべての脅威レベルを許可します。 このソリューションをレポート目的でのみ使用している場合に便利な場合があります。
防御脅威サービスとしてMicrosoft Defender for Endpointを設定するには、「条件付きアクセスでMicrosoft Defender for Endpointを有効にする」を参照してください。
Windows Holographic for Business
Windows Holographic for Businessは 、Windows 10 以降のプラットフォームを 使用します。 Windows Holographic for Businessは、次の設定をサポートしています。
- システム セキュリティ > 暗号化 > デバイス上のデータ ストレージの暗号化。
Microsoft HoloLensでデバイスの暗号化を確認するには、「デバイスの暗号化を確認する」を参照してください。
Surface Hub
Surface Hubは 、Windows 10 以降のプラットフォームを 使用します。 Surface Hubs は、コンプライアンスと条件付きアクセスの両方でサポートされています。 Surface Hubs でこれらの機能を有効にするには、Intuneでの自動登録 (Azure Active Directory (Azure AD) が必要) Windows有効にし、デバイス グループとしてSurface Hub デバイスをターゲットにすることをお勧めします。 Surface Hubs は、コンプライアンスと条件付きアクセスを機能させるために Azure AD に参加している必要があります。
ガイダンスについては、「Windows デバイスの登録を設定する」を参照してください。
Windows 10/11 Team OS を実行する Surface Hubs に関する特別な考慮事項:
Windows 10/11 Team OS を実行する Surface Hubs では、現時点ではMicrosoft Defender for Endpointポリシーとパスワード コンプライアンス ポリシーはサポートされていません。 そのため、Windows 10/11 Team OS を実行する Surface Hubs では、次の 2 つの設定を既定の [未構成] に設定します。
[ パスワード] カテゴリで、[ モバイル デバイスのロックを解除するにはパスワードを要求する ] を既定の [未構成] に設定します。
カテゴリ Microsoft Defender for Endpointで、[デバイスをコンピューターのリスク スコア以下にする必要 があります] を既定の [未構成] に設定します。
次の手順
- 非準拠デバイスのアクションを追加 し、 スコープ タグを使用してポリシーをフィルター処理します。
- コンプライアンス ポリシーを監視します。
- Windows 8.1 デバイスのコンプライアンス ポリシー設定を参照してください。