Configuration Manager での構成基準の作成Create configuration baselines in Configuration Manager

「オブジェクトの適用対象: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Configuration Manager の構成基準には、定義済みの構成項目と、場合によっては他の構成基準が含まれています。Configuration baselines in Configuration Manager contain predefined configuration items and optionally, other configuration baselines. 構成基準を作成すると、構成基準をコレクションに展開できるようになります。それによって、そのコレクションに含まれるデバイスで構成基準をダウンロードしたり、そのデバイスが構成基準に対して対応しているかを評価できます。After a configuration baseline is created, you can deploy it to a collection so that devices in that collection download the configuration baseline and assess their compliance with it.

構成基準Configuration baselines

Configuration Manager の構成基準には、構成項目の特定のリビジョンを含めたり、構成項目の最新バージョンを常に使用するように構成することができます。Configuration baselines in Configuration Manager can contain specific revisions of configuration items or can be configured to always use the latest version of a configuration item. 構成項目のリビジョンの詳細については、「構成データの管理タスク」を参照してください。For more information about configuration item revisions, see Management tasks for configuration data.

構成基準の作成に使用できる方法は、2 つあります。There are two methods that you can use to create configuration baselines:

  • 構成データをファイルからインポートします。Import configuration data from a file. 起動する、 構成データのインポート ウィザード, で、 構成項目 または 構成基準 内のノード、 資産とコンプライアンス ワークスペースで、をクリックして 構成データのインポートです。To start the Import Configuration Data Wizard, in the Configuration Items or Configuration Baselines node in the Assets and Compliance workspace, click Import Configuration Data. 詳細については、「構成データのインポート」を参照してください。For more information, see Import configuration data.

  • [構成基準の作成] ダイアログ ボックスを使用して、新しい構成基準を作成します。Use the Create Configuration Baseline dialog box to create a new configuration baseline.

構成基準の作成Create a configuration baseline

[構成基準の作成] ダイアログ ボックスを使用して構成基準を作成するには、次の手順に従います。To create a configuration baseline by using the Create Configuration Baseline dialog box, use the following procedure:

  1. Configuration Manager コンソールで、 [資産とコンプライアンス] > [コンプライアンス設定] > [構成基準] の順にクリックします。In the Configuration Manager console, click Assets and Compliance > Compliance Settings > Configuration Baselines.

  2. ホーム ] タブで、 作成 グループで、[ 構成基準の作成です。On the Home tab, in the Create group, click Create Configuration Baseline.

  3. [構成基準の作成] ダイアログ ボックスで、構成基準に、一意の名前と説明を入力します。In the Create Configuration Baseline dialog box, enter a unique name and a description for the configuration baseline. 名前には最大 255 文字を、説明には最大 512 文字を使用できます。You can use a maximum of 255 characters for the name and 512 characters for the description.

  4. [構成データ] 一覧に、この構成基準に含まれる、すべての構成項目または構成基準が表示されます。The Configuration data list displays all configuration items or configuration baselines that are included in this configuration baseline. 新しい構成項目または構成基準を一覧に追加するには、 [追加] をクリックします。Click Add to add a new configuration item or configuration baseline to the list. 次の項目から選択できます。You can choose from the following items:

    • 構成項目Configuration Items

    • ソフトウェア更新プログラムSoftware Updates

    • 構成基準Configuration Baselines

      重要

      ソフトウェア更新プログラムが 1000 を超えないように各構成基準を制限する必要があります。You must limit each configuration baseline to no more than 1000 software updates.

  5. [目的の変更] 一覧を使用して、 [構成データ] 一覧で選択した構成項目の動作を指定します。Use the Change Purpose list to specify the behavior of a configuration item that you've selected in the Configuration data list. 次の項目から選択できます。You can select from the following items:

    • 必須:クライアント デバイスで構成項目が検出されない場合、構成基準の評価は "非対応" になります。Required: The configuration baseline is evaluated as noncompliant if the configuration item isn't detected on a client device. 検出された場合、評価は "対応" になりますIf it's detected, it's evaluated for compliance

    • [オプション] :クライアント コンピューターで、構成項目が参照するアプリケーションが見つかる場合のみ、構成項目の評価が "対応" になります。Optional: The configuration item is only evaluated for compliance if the application it references is found on client computers. アプリケーションが見つからない場合、構成基準は "非対応" としてマークされません (アプリケーションの構成項目のみに適用されます)。If the application is not found, the configuration baseline isn't marked as noncompliant (only applicable to application configuration items).

    • [禁止] :クライアント コンピューターで構成項目が検出された場合、構成基準の評価は "非対応" になります (アプリケーションの構成項目のみに適用されます)。Prohibited: The configuration baseline is evaluated as noncompliant if the configuration item is detected on client computers (only applicable to application configuration items).

    注意

    目的の変更 一覧は、オプションをクリックした場合にのみ使用できます。 この構成項目には、アプリケーションの設定が含まれています。 上、 全般的な のページ、 構成項目の作成ウィザードです。The Change Purpose list is available only if you clicked the option This configuration item contains application settings on the General page of the Create Configuration Item Wizard.

  6. 使用して、 変更リビジョン 特定またはクライアント デバイスでの対応評価のためかを選択する構成項目の最新の改訂版を選択する一覧 常に最新 を常に最新の改訂版を使用します。Use the Change Revision list to select a specific or the latest revision of the configuration item to assess for compliance on client devices or select Always Use Latest to always use the latest revision. 構成項目のリビジョンの詳細については、「構成データの管理タスク」を参照してください。For more information about configuration item revisions, see Management tasks for configuration data.

  7. 構成基準から構成項目を削除するには、構成項目を選択して、 [削除] をクリックします。To remove a configuration item from the configuration baseline, select a configuration item, and then click Remove.

  8. バージョン 1806 以降、必要に応じて [共同管理のクライアントに対して常にこの基準を適用する] を選択します。Starting in version 1806, select if you want to Always apply this baseline for co-managed clients. オンにした場合、この基準は、Intune で管理されているクライアントにも適用されます。When checked, this baseline will apply even on clients that are managed by Intune. この例外は、組織で必要とされる設定を構成するために使用できるかもしれませんが、Intune ではまだ利用できません。This exception might be used to configure settings that are required by your organization but not yet available in Intune.

  9. 必要に応じて、 [カテゴリ] をクリックして検索とフィルターの基準にカテゴリを割り当てます。Optionally, click on Categories to assign categories to the baseline for searching and filtering.

  10. クリックして ok を閉じる、 構成基準の作成 ダイアログ ボックスと、構成基準を作成します。Click OK to close the Create Configuration Baseline dialog box and to create the configuration baseline.

注意

[共同管理のクライアントに対して常にこの基準を適用する] 設定など、既存の基準を変更すると、基準コンテンツのバージョンが 1 ずつ増加します。Modifying an existing baseline, such as setting Always apply this baseline for co-managed clients, will increment the baseline content version. クライアントは、新しいバージョンを評価して基準レポートを更新する必要があります。Clients will need to evaluate the new version to update the baseline reporting.

コンプライアンス ポリシー評価の一部としてカスタム構成基準を含めるInclude custom configuration baselines as part of compliance policy assessment

(バージョン 1910 で導入)(Introduced in version 1910)

バージョン 1910 より、コンプライアンス ポリシー評価の規則として、カスタム構成基準の評価を追加できるようになりました。Starting in version 1910, you can add evaluation of custom configuration baselines as a compliance policy assessment rule. 構成基準を作成または編集するとき、 [コンプライアンス ポリシー評価の一部としてこの基準を評価する] というオプションがあります。When you create or edit a configuration baseline, you have an option to Evaluate this baseline as part of compliance policy assessment. コンプライアンス ポリシー ルールを追加または編集するとき、 [コンプライアンス ポリシーの評価に構成済みのベースラインを含める] という条件があります。When adding or editing a compliance policy rule, you have a condition called Include configured baselines in compliance policy assessment. 共同管理デバイスの場合、全体のコンプライアンス対応状態の一部として Configuration Manager コンプライアンス評価の結果を受け取るように Intune を設定すると、この情報は Azure AD に送信されます。For co-managed devices, and when you configure Intune to take Configuration Manager compliance assessment results as part of the overall compliance status, this information is sent to Azure AD. その後、Office 365 リソースに対する条件付きアクセスで利用できます。You can then use it for conditional access to your Office 365 resources.

コンプライアンス ポリシー評価の一部としてカスタム構成基準を含めるには、次の操作を行います。To include custom configuration baselines as part of compliance policy assessment, do the following:

重要

共同管理されているデバイスを対象とする場合は、共同管理の前提条件を満たしていることを確認してください。When targeting devices that are co-managed, ensure you meet the co-management prerequisites.

評価シナリオの例Example evaluation scenario

[コンプライアンス ポリシーの評価に構成済みのベースラインを含める] というルール条件が含まれるコンプライアンス ポリシーでターゲットが設定されたコレクションにユーザーが属する場合、そのユーザーまたはユーザーのデバイスに展開され、 [コンプライアンス ポリシーの評価の一環としてこのベースラインを評価する] オプションが選択されているベースラインのコンプライアンスが評価されます。When a user is part of a collection targeted with a compliance policy that includes the rule condition Include configured baselines in compliance policy assessment, any baselines with the Evaluate this baseline as part of compliance policy assessment option selected that are deployed to the user or the user's device are evaluated for compliance. 次に例を示します。For example:

  • User1User Collection 1 の一部です。User1 is part of User Collection 1.
  • User1 では、Device Collection 1Device Collection 2 に含まれている Device1 が使用されます。User1 uses Device1, which is in Device Collection 1 and Device Collection 2.
  • Compliance Policy 1 には [コンプライアンス ポリシーの評価に構成済みのベースラインを含める] というルール条件があり、User Collection 1 に展開されています。Compliance Policy 1 has the Include configured baselines in compliance policy assessment rule condition and is deployed to User Collection 1.
  • Configuration Baseline 1 では [コンプライアンス ポリシーの評価の一環としてこのベースラインを評価する] が選択されており、Device Collection 1 に展開されています。Configuration Baseline 1 has Evaluate this baseline as part of compliance policy assessment selected and is deployed to Device Collection 1.
  • Configuration Baseline 2 では [コンプライアンス ポリシーの評価の一環としてこのベースラインを評価する] が選択されており、Device Collection 2 に展開されています。Configuration Baseline 2 has Evaluate this baseline as part of compliance policy assessment selected and is deployed to Device Collection 2.

このシナリオでは、Device1 を利用して Compliance Policy 1User1 を評価するとき、Configuration Baseline 1Configuration Baseline 2 も評価されます。In this scenario, when Compliance Policy 1 evaluates for User1 using Device1, both Configuration Baseline 1 and Configuration Baseline 2 are evaluated too.

  • User1 では Device2 が使用されることもあります。User1 sometimes uses Device2.
  • Device2Device Collection 2Device Collection 3 のメンバーです。Device2is a member of Device Collection 2 and Device Collection 3.
  • Device Collection 3 には Configuration Baseline 3 が展開されており、 [コンプライアンス ポリシーの評価の一環としてこのベースラインを評価する] が選択されいます。Device Collection 3 has Configuration Baseline 3 deployed to it, but Evaluate this baseline as part of compliance policy assessment isn't selected.

User1Device2 が使用されるとき、Compliance Policy 1 の評価時、Configuration Baseline 2 のみが評価されます。When User1 uses Device2, only Configuration Baseline 2 gets evaluated when Compliance Policy 1 evaluates.

注意

クライアントで以前に評価されたことがない新しいベースラインがコンプライアンス ポリシーによって評価される場合、非準拠が報告されることがあります。If the compliance policy evaluates a new baseline that has never been evaluated on the client before, it may report non-compliance. これは、コンプライアンスの評価時、ベースライン評価が実行中の場合に発生します。This occurs if the baseline evaluation is still running when the compliance is evaluated. この問題を回避するには、ソフトウェア センター[ポリシー準拠状況の確認] をクリックします。To workaround this issue, click Check compliance in the Software Center.

基準のコンプライアンス ポリシー評価の規則を使用して、コンプライアンス ポリシーを作成および展開するCreate and deploy a compliance policy with a rule for baseline compliance policy assessment

  1. [資産とコンプライアンス] ワークスペースで [コンプライアンス設定] を展開し、 [コンプライアンス ポリシー] ノードを選択します。In the Assets and Compliance workspace, expand Compliance Settings, then select the Compliance Polices node.

  2. リボンの [コンプライアンス ポリシーの作成] をクリックし、 [コンプライアンス ポリシーの作成] ウィザードを表示します。Click Create Compliance Policy in the ribbon to bring up the Create Compliance Policy Wizard. 詳細については、「デバイス コンプライアンス ポリシーを作成して展開する」を参照してください。For more information, see Create and deploy a device compliance policy.

  3. [全般] ページで [Configuration Manager クライアントで管理されるデバイスのコンプライアンス規則] を選択します。On the General page, select Compliance rules for devices managed with the Configuration Manager client.

    • コンプライアンス ポリシー評価の一環としてカスタム構成ベースラインを含めるには、デバイスを Configuration Manager クライアントで管理する必要があります。Devices must be managed with the Configuration Manager client to include custom configuration baselines as part of compliance policy assessment.
  4. [サポートされているプラットフォーム] ページでプラットフォームを選択します。Select your platforms on the Supported Platforms pages.

  5. [ルール] ページで [新規] を選択し、 [コンプライアンス ポリシーの評価に構成済みのベースラインを含める] 条件を選択します。On the Rules page, select New, then select the Include configured baselines in compliance policy assessment condition.

    [コンプライアンス ポリシーの評価に構成済みのベースラインを含める] 条件

  6. [OK] をクリックし、 [次へ] をクリックして [概要] ページに進みます。Click OK, then Next to get to the Summary page.

  7. 選択内容を確認し、 [次へ] をクリックし、 [閉じる] をクリックします。Verify your selections and click Next then Close.

  8. [コンプライアンス ポリシー] ノードで、作成したポリシーを右クリックし、 [展開] を選択します。In the Compliance Polices node, right-click on the policy you created, and select Deploy.

  9. ポリシーに対してコレクション、アラート生成設定、コンプライアンス評価スケジュールを選択します。Choose your collection, alert generation settings, and your compliance evaluation schedule for the policy.

  10. [OK] をクリックし、コンプライアンス ポリシーを展開します。Click OK to deploy the compliance policy.

構成基準を選択し、[コンプライアンス ポリシー評価の一部としてこの基準を評価する] をオンにするSelect a configuration baseline and check "Evaluate this baseline as part of compliance policy assessment"

  1. [資産とコンプライアンス] ワークスペースで、 [コンプライアンス設定] を展開し、 [構成基準] ノードを選択します。In the Assets and Compliance workspace, expand Compliance Settings, then select the Configuration Baselines node.

  2. デバイス コレクションに展開されている既存のベースラインを右クリックし、 [プロパティ] を選択します。Right-click on an existing baseline that's deployed to a device collection, then select Properties. 必要に応じて、新しいベースラインを作成できます。If needed, you can create a new baseline.

    • ベースラインは、ユーザー コレクションではなく、デバイス コレクションに展開する必要があります。The baseline must be deployed to a device collection, not a user collection.
  3. [コンプライアンス ポリシーの評価の一環としてこのベースラインを評価する] 設定を有効にします。Enable the Evaluate this baseline as part of compliance policy assessment setting.

    • デバイス構成機関として Intune を使用している共同管理デバイスの場合は、[共同管理クライアントに対しても常にこの基準を適用する] をオンにします。For co-managed devices that have Intune as the Device configuration authority, ensure Always apply this baseline even for co-managed clients is also selected.
  4. [OK] をクリックし、構成基準の変更内容を保存します。Click OK to save the changes to your configuration baseline.

    構成基準のプロパティ ダイアログ ボックス

コンプライアンス ポリシー評価の一部としてのカスタム構成基準のログ ファイルLog files for custom configuration baselines as part of compliance policy assessment

  • ComplianceHandler.logComplianceHandler.log
  • SettingsAgent.logSettingsAgent.log
  • DCMAgent.logDCMAgent.log
  • CIAgent.logCIAgent.log

次のステップNext steps

構成データのインポートImport configuration data