Microsoft Intune でユーザーおよびデバイス プロファイルを割り当てるAssign user and device profiles in Microsoft Intune

プロファイルを作成します。そこには入力したすべての設定が含まれます。You create a profile, and it includes all the settings you entered. 次の手順では、ユーザーまたはデバイス グループへのプロファイルの展開または "割り当て" を行います。The next step is to deploy or "assign" the profile to your user or device groups. これが割り当てられると、ユーザーとデバイスでお客様のプロファイルを受け取り、入力した設定が適用されます。When it's assigned, the users and devices receive your profile, and the settings you entered are applied.

この記事では、プロファイルを割り当てる方法を示し、プロファイルでのスコープのタグの使用についての情報が含まれます。This article shows you how to assign a profile, and includes some information on using scope tags on your profiles.

注意

プロファイルが削除されるか、デバイスに割り当てられなくなった場合の影響は、プロファイルの設定によって異なります。When a profile is removed or no longer assigned to a device, different things can happen, depending on the settings in the profile. 設定は CSP に基づいており、CSP によってプロファイルの削除の処理方法は異なります。The settings are based on CSPs, and each CSP can handle the profile removal differently. たとえば、設定に既存の値が保持され、既定値には戻らない場合があります。For example, a setting might keep the existing value, and not revert back to a default value. 動作は、オペレーティング システムの各 CSP によって制御されます。The behavior is controlled by each CSP in the operating system. Windows CSP の一覧については、構成サービス プロバイダー (CSP) のリファレンスを参照してください。For a list of Windows CSPs, see configuration service provider (CSP) reference.

設定を別の値に変更するには、新しいプロファイルを作成し、その設定を [未構成] に構成して、プロファイルを割り当てます。To change a setting to a different value, create a new profile, configure the setting to Not configured, and assign the profile. デバイスに適用されたら、ユーザーが設定を適切な値に変更する必要があります。Once applied to the device, users should have control to change the setting to their preferred value.

これらの設定を構成するときは、パイロット グループに展開することをお勧めします。When configuring these settings, we suggest deploying to a pilot group. Intune のロールアウトの詳細なアドバイスについては、ロールアウト計画の作成に関する記事を参照してください。For more Intune rollout advice, see create a rollout plan.

始める前にBefore you begin

プロファイルを割り当てるための正しいロールを持っていることを確認してください。Be sure you have the correct role to assign profiles. 詳細については、「Microsoft Intune でのロールベースのアクセス制御 (RBAC)」を参照してください。For more information, see Role-based access control (RBAC) with Microsoft Intune.

デバイス プロファイルを割り当てるAssign a device profile

  1. Microsoft Endpoint Manager 管理センターにサインインします。Sign in to the Microsoft Endpoint Manager admin center.

  2. [デバイス] > [構成プロファイル] の順に選択します。Select Devices > Configuration profiles. プロファイルがすべて一覧表示されます。All the profiles are listed.

  3. 割り当てるプロファイルを選択して、 [プロパティ] > [割り当て] > [編集] を選択します。Select the profile you want to assign > Properties > Assignments > Edit:

    Microsoft Intune とエンドポイント マネージャーでユーザーとグループにプロファイルを展開するには、[割り当て] を選択する。

  4. [組み込まれたグループ] または [除外されたグループ] を選択した後、 [含めるグループを選択] を選択します。Select Included groups or Excluded groups, and then choose Select groups to include. グループを選択するときに、Azure AD グループを選択します。When you select your groups, you're choosing an Azure AD group. 複数のグループを選択する場合は、Ctrl キーを押しながら自分のグループを選択します。To select multiple groups, hold down the Ctrl key, and select your groups.

    Microsoft Intune およびエンドポイント マネージャーでプロファイルの割り当てまたは展開を行うときに、ユーザーとグループを含めたり除外したりする。

  5. [確認と保存] を選択します。Select Review + Save. このステップでは、プロファイルは割り当てられません。This step doesn't assign your profile.

  6. [保存] を選びます。Select Save. 保存した時点で、プロファイルが割り当てられます。When you save, your profile is assigned. デバイスが Intune サービスにチェックインされると、グループはプロファイル設定を受け取ります。Your groups will receive your profile settings when the devices check in with the Intune service.

スコープのタグまたは適用性ルールを使用するUse scope tags or applicability rules

プロファイルを作成または更新するときに、スコープのタグと適用性ルールをプロファイルに追加することもできます。When you create or update a profile, you can also add scope tags and applicability rules to the profile.

スコープ タグ は、US-NC IT TeamJohnGlenn_ITDepartment など、特定のグループにプロファイルをフィルター処理する場合に便利です。Scope tags are a great way to filter profiles to specific groups, such as US-NC IT Team or JohnGlenn_ITDepartment. 分散 IT への RBAC とスコープのタグの使用に関するページには、詳細情報が含まれます。Use RBAC and scope tags for distributed IT has more information.

Windows 10 デバイスでは、適用性ルール を追加して、特定の OS のバージョンまたは特定の Windows のエディションにのみプロファイルが適用されるようにすることができます。On Windows 10 devices, you can add applicability rules so the profile only applies to a specific OS version or a specific Windows edition. 詳細については、「適用性ルール」を参照してください。Applicability rules has more information.

ユーザー グループとデバイス グループUser groups vs. device groups

多くのユーザーの疑問は、どのような場合にユーザー グループを使用し、どのような場合にデバイス グループを使用するのかということです。Many users ask when to use user groups and when to use device groups. 答えは、目標によって異なります。The answer depends on your goal. 開始するには、次のガイダンスを参照してください。Here's some guidance to get you started.

Device groupsDevice groups

どのユーザーがサインインしているかに関係なく、デバイスに対して設定を適用する場合は、プロファイルをデバイス グループに割り当てます。If you want to apply settings on a device, regardless of who's signed in, then assign your profiles to a devices group. デバイス グループに適用した設定は、ユーザーではなく、常にデバイスに対して有効になります。Settings applied to device groups always go with the device, not the user.

次に例を示します。For example:

  • デバイス グループは、専用ユーザーがいないデバイスを管理する場合に便利です。Device groups are useful for managing devices that don't have a dedicated user. たとえば、チケットの印刷とインベントリのスキャンを行う、交代制の勤務者によって共有されているデバイスや、特定の倉庫に割り当てられているデバイスなどがあります。For example, you have devices that print tickets, scan inventory, are shared by shift workers, are assigned to a specific warehouse, and so on. このようなデバイスをデバイス グループに配置し、プロファイルをこのデバイス グループに割り当てます。Put these devices in a devices group, and assign your profiles to this devices group.

  • BIOS の設定を更新するデバイス ファームウェア構成インターフェイス (DFCI) Intune プロファイルを作成します。You create a Device Firmware Configuration Interface (DFCI) Intune profile that updates settings in the BIOS. たとえば、デバイスのカメラを無効にするようにこのプロファイルを構成したり、ユーザーが別の OS を起動しないようにブート オプションをロックダウンしたりすることができます。For example, you configure this profile to disable the device camera, or lock down the boot options to prevent users from booting up another OS. このプロファイルは、デバイス グループに割り当てることをお勧めします。This profile is a good scenario to assign to a devices group.

  • 特定の Windows デバイスでは、デバイスを使用しているユーザーに関係なく、Microsoft Edge の一部の設定を常に制御する必要があります。On some specific Windows devices, you always want to control some Microsoft Edge settings, regardless of who's using the device. たとえば、すべてのダウンロードをブロックし、すべての Cookie を現在の閲覧セッションに限定し、閲覧の履歴を削除するとします。For example, you want to block all downloads, limit all cookies to the current browsing session, and delete the browsing history. このシナリオでは、これらの特定の Windows デバイスをデバイス グループに配置します。For this scenario, put these specific Windows devices in a devices group. 次に、Intune で管理用テンプレートを作成し、これらのデバイス設定を追加したうえで、このプロファイルをデバイス グループに割り当てます。Then, create an Administrative Template in Intune, add these device settings, and then assign this profile to the devices group.

要約すると、デバイスにサインインしているユーザーが誰であるか、または誰かがサインインしているかどうかを気にしない場合は、デバイス グループを使用します。To summarize, use device groups when you don't care who's signed in on the device, or if anyone signs in. 設定を常にデバイスに適用します。You want your settings to always be on the device.

ユーザー グループUser groups

ユーザー グループに適用されたプロファイル設定は、常にユーザーに対して有効になり、ユーザーがさまざまなデバイスにサインインしたときに使用されます。Profile settings applied to user groups always go with the user, and go with the user when signed in to their many devices. ユーザーは、職場用の Surface Pro と個人用の iOS または iPadOS デバイスなど、複数のデバイスを使用することが普通です。It's normal for users to have many devices, such as a Surface Pro for work, and a personal iOS/iPadOS device. そして、ユーザーはそれらのデバイスから電子メールやその他の組織リソースにアクセスします。And, it's normal for a person to access email and other organization resources from these devices.

この一般規則に従います。電子メールやユーザー証明書など、ある機能があるユーザーに属する場合、ユーザー グループに割り当てます。Follow this general rule: If a feature belongs to a user, such as email or user certificates, then assign to user groups.

次に例を示します。For example:

  • すべてのユーザーに対して、ユーザーのすべてのデバイスにヘルプ デスク アイコンを配置したいとします。You want to put a Help Desk icon for all users on all their devices. このシナリオでは、これらのユーザーをユーザー グループに配置し、ヘルプ デスク アイコンのプロファイルをこのユーザー グループに割り当てます。In this scenario, put these users in a users group, and assign your Help Desk icon profile to this users group.

  • ユーザーは、組織が所有する新しいデバイスを受け取ります。A user receives a new organization-owned device. ユーザーは、自身のドメイン アカウントを使用してデバイスにサインインします。The user signs in to the device with their domain account. デバイスは Azure AD に自動的に登録され、Intune によって自動的に管理されます。The device is automatically registered in Azure AD, and automatically managed by Intune. このプロファイルは、ユーザー グループに割り当てることをお勧めします。This profile is a good scenario to assign to a users group.

  • デバイスにユーザーがサインインするたびに、OneDrive や Office などのアプリの機能を制御することが必要です。Whenever a user signs in to a device, you want to control features in apps, such as OneDrive or Office. このシナリオでは、OneDrive または Office プロファイルの設定をユーザー グループに割り当てます。In this scenario, assign your OneDrive or Office profile settings to a users group.

    たとえば、Office アプリで信頼されていない ActiveX コントロールをブロックするとします。For example, you want to block untrusted ActiveX controls in your Office apps. Intune で管理用テンプレートを作成し、この設定を構成したうえで、このプロファイルをユーザー グループに割り当てることができます。You can create an Administrative Template in Intune, configure this setting, and then assign this profile to a users group.

要約すると、ユーザーが使用するデバイスに関係なく、設定や規則を常にユーザーに対して有効にする場合は、ユーザー グループを使用します。To summarize, use user groups when you want your settings and rules to always go with the user, whatever device they use.

プロファイル割り当てからグループを除外するExclude groups from a profile assignment

Intune のデバイス構成プロファイルを使うと、プロファイルの割り当てに対してグループを含めたり、除外したりすることができます。Intune device configuration profiles let you include and exclude groups from profile assignment.

ベスト プラクティスとして、お使いのユーザー グループ専用のプロファイルを作成して割り当てることをお勧めします。As a best practice, create and assign profiles specifically for your user groups. また、お使いのデバイス グループ専用に異なるプロファイルを作成し、割り当ててください。And, create and assign different profiles specifically for your device groups. グループについて詳しくは、「ユーザーとデバイスを整理するためのグループを追加する」をご覧ください。For more information on groups, see Add groups to organize users and devices.

プロファイルを割り当てる場合は、グループを含めたり除外したりするときに、次の表をお使いください。When you assign your profiles, use the following table when including and excluding groups. チェックマークは、割り当てがサポートされていることを意味します。A checkmark means that assignment is supported:

プロファイル割り当てに対するグループの追加または除外のサポートされているオプション

知っておくべきことWhat you should know

  • 次のグループの種類が同じシナリオでは、除外は包含よりも優先されます。Exclusion takes precedence over inclusion in the following same group type scenarios:

    • ユーザー グループの包含とユーザー グループの除外Including user groups and excluding user groups
    • デバイス グループの包含とデバイス グループの除外Including device groups and excluding device group

    たとえば、すべての会社ユーザー ユーザー グループにデバイス プロファイルを割り当てるが、上級管理スタッフ ユーザー グループのメンバーを除外するとします。For example, you assign a device profile to the All corporate users user group, but exclude members in the Senior Management Staff user group. どちらのグループもユーザー グループであるため、上級管理スタッフ を除く すべての会社ユーザー にプロファイルが割り当てられます。Since both groups are user groups, All corporate users except the Senior Management staff get the profile.

  • Intune では、ユーザーとデバイスのグループの関係は評価されません。Intune doesn't evaluate user-to-device group relationships. 混合グループにプロファイルを割り当てた場合、必要な結果または予期する結果が得られないことがあります。If you assign profiles to mixed groups, the results may not be what you want or expect.

    たとえば、すべてのユーザー ユーザー グループにデバイス プロファイルを割り当て、個人所有のすべてのデバイス デバイス グループを除外するとします。For example, you assign a device profile to the All Users user group, but exclude an All personal devices device group. この混合グループのプロファイル割り当てでは、すべてのユーザー にプロファイルが割り当てられます。In this mixed group profile assignment, All users get the profile. 除外は適用されません。The exclusion does not apply.

    そのため、混合グループにプロファイルを割り当てることはお勧めしません。As a result, it's not recommended to assign profiles to mixed groups.

次のステップNext steps

ポリシーを監視するガイダンス、およびプロファイルを実行するデバイスについては、デバイス プロファイルの監視に関するページを参照してください。See monitor device profiles for guidance on monitoring your profiles, and the devices running your profiles.