Intune で非準拠デバイスに対するアクションを構成するConfigure actions for noncompliant devices in Intune

コンプライアンスのポリシーまたは規則に違反するデバイスについて、コンプライアンス非対応に対するアクション を追加できます。For devices that don't meet your compliance policies or rules, you can add Actions for noncompliance. この機能では、エンド ユーザーへのメール送信などのアクションのシーケンスが時間順に構成されます。This feature configures a time-ordered sequence of actions, such as emailing the end user, and more.

概要Overview

既定で、各コンプライアンス ポリシーには、0 日 (0) のスケジュールで [デバイスに非準拠のマークを付ける] の非準拠のアクションが含まれます。By default, each compliance policy includes the action for noncompliance of Mark device noncompliant with a schedule of zero days (0). この既定の結果、Intune で準拠していないデバイスが検出されると、Intune によってデバイスが直ちに非準拠とマークされます。The result of this default is when Intune detects a device isn't compliant, Intune immediately marks the device as noncompliant. デバイスが非準拠としてマークされた後、Azure Active Directory (AD) の条件付きアクセスによって、デバイスをブロックできます。After a device is marked as noncompliance, Azure Active Directory (AD) Conditional Access can block the device.

非準拠に対するアクション を構成することで、非準拠デバイスに対して何を行うか、それをいつ実行するかを柔軟に決定できます。By configuring Actions for noncompliance you gain flexibility to decide what to do about noncompliant devices, and when to do it. たとえば、デバイスをすぐにブロックしないで、ユーザーに準拠するための猶予時間を与えることができます。For example, you might choose to not block the device immediately, and give the user a grace period to become compliant.

設定したアクションごとに、そのアクションが有効になるタイミングを指定するスケジュールを構成できます。For each action you set, you can configure a schedule that determines when that action takes effect. スケジュールは、デバイスが非準拠としてマークされた後の日数です。The schedule is a number of days after the device is marked as noncompliant. アクションの複数のインスタンスを構成することもできます。You can also configure multiple instances of an action. ポリシーでアクションの複数のインスタンスを設定すると、デバイスが非準拠のままになっている場合、その後のスケジュールされた時刻に、アクションが再び実行されます。When you set multiple instances of an action in a policy, the action runs again at that later scheduled time if the device remains non-compliant.

すべてのアクションをすべてのプラットフォームで使用できるわけではありません。Not all actions are available for all platforms.

非準拠に対して使用できるアクションAvailable actions for noncompliance

非準拠に対して使用可能なアクションを次に示します。Following are the available actions for noncompliance:

  • デバイスにコンプライアンス違反のマークを付ける:既定で、このアクションは各コンプライアンス ポリシーに対して設定され、ゼロ (0) 日のスケジュールが設定されるため、デバイスは直ちに非準拠とマークされます。Mark device non-compliant: By default, this action is set for each compliance policy and has a schedule of zero (0) days, marking devices as noncompliant immediately.

    既定のスケジュールを変更すると、非準拠とマークされていなくても、ユーザーが問題を修復したり、準拠させたりできる猶予期間を与えられます。When you change the default schedule, you provide a grace period in which a user can remediate issues or become compliant without being marked as non-compliant.

    このアクションは、Intune によってサポートされているすべてのプラットフォームでサポートされています。This action is supported on all platforms supported by Intune.

  • メールをエンド ユーザーに送信する:このアクションにより、ユーザーに電子メール通知が送信されます。Send email to end user: This action sends an email notification to the user. このアクションを有効にする場合:When you enable this action:

    • このアクションで送信する 通知メッセージ テンプレート を選択します。Select a Notification message template that this action sends. このアクションに割り当てる前に、通知メッセージ テンプレートを作成する必要があります。You Create a notification message template before you can assign one to this action. カスタム通知を作成する場合、メッセージのロケール、件名、メッセージ本文をカスタマイズして、会社のロゴ、会社名、および追加の連絡先情報を含めることができます。When you create the custom notification, you customize the message locale, subject, message body, and can include the company logo, company name, and additional contact information.
    • 1 つ以上の Azure AD グループを選択して、メッセージを追加の受信者に送信することを選択します。Choose to send the message to additional recipients by selecting one or more of your Azure AD Groups.

    メールの送信時に、Intune によって、メール通知に非準拠デバイスに関する詳細が含まれます。When the email is sent, Intune includes details about the noncompliant device in the email notification.

    このアクションは、Intune によってサポートされているすべてのプラットフォームでサポートされています。This action is supported on all platforms supported by Intune.

  • コンプライアンス違反デバイスをリモートでロックする:デバイスのリモート ロックを発行するには、このアクションを使用します。Remotely lock the noncompliant device: Use this action to issue a remote lock of a device. その後、ユーザーにはデバイスのロックを解除するための PIN またはパスワードが求められます。The user is then prompted for a PIN or password to unlock the device. 詳細については、リモート ロック機能に関するページを参照してください。More on the Remote Lock feature.

    この操作は、次のプラットフォームでサポートされています。The following platforms support this action:

    • Android デバイス管理者Android device administrator
    • Android Enterprise:Android Enterprise:
      • フル マネージドFully Managed
      • 専用Dedicated
      • 会社所有の仕事用プロファイルCorporate-Owned Work Profile
      • 個人所有の仕事用プロファイルPersonally-Owned Work Profile
      • Android エンタープライズ キオスク デバイスAndroid Enterprise kiosk devices
    • iOS/iPadOSiOS/iPadOS
    • macOSmacOS
  • コンプライアンス違反デバイスをインベントリから削除する:この操作により、デバイスからすべての会社データが削除され、デバイスが Intune 管理から削除されます。Retire the noncompliant device: This action removes all company data off the device and removes the device from Intune management.

    この操作は、次のプラットフォームでサポートされています。The following platforms support this action:

    • Android デバイス管理者Android device administrator
    • Android Enterprise:Android Enterprise:
      • フル マネージドFully Managed
      • 専用Dedicated
      • 会社所有の仕事用プロファイルCorporate-Owned Work Profile
      • 個人所有の仕事用プロファイルPersonally-Owned Work Profile
    • iOS/iPadOSiOS/iPadOS
    • macOSmacOS
    • Windows 10Windows 10

    このアクションがデバイスに適用されるとき、そのデバイスは管理者コンソールのデバイス一覧に追加されます ( [デバイス] > [コンプライアンス ポリシー] > [非準拠デバイスをインベントリから削除する] )。When this action applies to a device, that device is added to a list of devices in the admin console at Devices > Compliance policies > Retire Noncompliant Devices. 管理者が実際にデバイスを削除するまでデバイスは削除されません。The device isn't retired until an admin takes explicit action to retire the device.

    一覧から 1 つまたは複数のデバイスを削除するには、一覧からデバイスを選択し、 [選択したデバイスを削除する] を選択します。To retire one or more devices from the list, select devices from the list and then select Retire Selected Devices. [すべてのデバイスを削除する][すべてのデバイスの削除状態をクリアする][選択したデバイスの削除状態をクリアする] オプションを選択することもできます。You can also select options to Retire All Devices, Clear All Devices Retire State, and Clear Selected Devices Retire State. デバイスの削除状態をクリアすると、 [準拠していないデバイスを削除します] アクションが再び適用されるまでインベントリから削除できるデバイスの一覧からデバイスが削除されます。Clearing the retire state for a device removes the device from the list of devices that can be retired until the action to Retire the noncompliant device is applied to that device again.

    詳細については、デバイスのインベントリからの削除に関するページを参照してください。Learn more about retiring devices.

  • エンド ユーザーにプッシュ通知を送信する:デバイスのポータル サイト アプリまたは Intune アプリを使用して、デバイスへの非準拠に関するプッシュ通知を送信するように、このアクションを構成します。Send push notification to end user: Configure this action to send a push notification about non-compliance to a device through the Company Portal app or Intune App on the device.

    この操作は、次のプラットフォームでサポートされています。The following platforms support this action:

    • Android デバイス管理者Android device administrator
    • Android Enterprise:Android Enterprise:
      • フル マネージドFully Managed
      • 専用Dedicated
      • 会社所有の仕事用プロファイルCorporate-Owned Work Profile
      • 個人所有の仕事用プロファイルPersonally-Owned Work Profile
    • iOS/iPadOSiOS/iPadOS

    プッシュ通知は、デバイスが初めて Intune にチェックインし、コンプライアンス ポリシーに準拠していないことが判明したときに送信されます。The push notification is sent the first time a device checks in with Intune and is found to be non-compliant to the compliance policy. ユーザーが通知を選択すると、ポータル サイト アプリまたは Intune アプリが開き、それらが準拠していない理由に関する情報が表示されます。When a user selects the notification, the Company Portal app or Intune app opens and displays information about why they're non-compliant. それにより、ユーザーは問題を解決するためのアクションを実行できます。The user can then take action to resolve the issue. 非準拠に関するメッセージの詳細は、Intune によって生成され、カスタマイズできません。The message details about non-compliance are generated by Intune and can't be customized.

    重要

    Intune、ポータル サイト アプリ、Microsoft Intune アプリでは、プッシュ通知の配信は保証できません。Intune, the Company Portal app, and the Microsoft Intune app, can't guarantee delivery of a push notification. 通知は (あったとしても) 数時間の遅延の後に表示される場合があります。Notifications might show up after several hours of delay, if at all. これには、ユーザーがプッシュ通知を無効にした場合も含まれます。This includes when users have turned off push notifications.

    緊急メッセージとして、この通知方法に依存しないでしてください。Do not rely on this notification method for urgent messages.

    アクションの各インスタンスは、1 回に 1 つの通知を送信します。Each instance of the action sends a notification a single time. ポリシーから同じ通知を再度送信するには、そのポリシーで、それぞれ異なるスケジュールでアクションの追加インスタンスを構成します。To send the same notification again from a policy, configure additional instances of the action in that policy, each with a different schedule.

    たとえば、最初のアクションを 0 日でスケジュールし、その後 2 番目のアクション セットのインスタンスを 3 日間に設定して追加したとします。For example, you might schedule the first action for zero days and then add a second instance of the action set to three days. 2 番目の通知の前のこの遅延によって、ユーザーは問題を解決するために、2、3 日与えられるため、2 番目の通知が避けられます。This delay before the second notification gives the user a few days to resolve the issue, and avoid the second notification.

    大量の重複メッセージによるスパム ユーザーを回避するには、どのコンプライアンス ポリシーに非準拠についてのプッシュ通知を含めるかを確認して整理し、同じことに対する繰り返しの頻繁な通知を回避するために、スケジュールを確認します。To avoid spamming users with too many duplicate messages, review and streamline which compliance policies include a push notification for non-compliance, and review the schedules to avoid repeat notifications for the same too often.

    次の点を考慮してください。Consider:

    • 同じ日に設定されたプッシュ通知セットの複数のインスタンスを含む単一のポリシーの場合、その日に 1 つの通知のみが送信されます。For a single policy that includes multiple instances of a push notification set for the same day, only a single notification is sent for that day.

    • 複数のコンプライアンス ポリシーに、同じコンプライアンス条件が含まれており、同じスケジュールのプッシュ通知アクションが含まれる場合、Intune によって同じ日に同じデバイスに複数の通知が送信されます。When multiple compliance policies include the same compliance conditions, and include the push notification action with the same schedule, Intune sends multiple notifications to the same device on the same day.

始める前にBefore you begin

デバイス コンプライアンス ポリシーを構成するとき、または後でポリシーを編集することによって、非準拠のアクションを追加できます。You can add actions for noncompliance when you configure device compliance policy, or later by editing the policy. 必要に応じて、各ポリシーに他のアクションを追加できます。You can add additional actions to each policy to meet your needs. 各コンプライアンス ポリシーには、デバイスが非準拠とマークされ、スケジュールが 0 日に設定された、非準拠に対する既定のアクションが自動的に含まれることに注意してください。Keep in mind that each compliance policy automatically includes the default action for noncompliance that marks devices as noncompliant, with a schedule set to zero days.

デバイス コンプライアンス ポリシーを使ってデバイスを企業リソースからブロックするには、Azure AD の条件付きアクセスを設定する必要があります。To use device compliance policies to block devices from corporate resources, Azure AD Conditional Access must be set up. ガイダンスについては、Azure Active Directory の条件付きアクセスに関するページ、または Intune で条件付きアクセスを使用する一般的な方法に関するページを参照してください。See Conditional Access in Azure Active Directory or common ways to use Conditional Access with Intune for guidance.

デバイス コンプライアンス ポリシーの作成については、以下のプラットフォーム固有のガイダンスをご覧ください。To create a device compliance policy, see the following platform-specific guidance:

通知メッセージ テンプレートを作成するCreate a notification message template

ユーザーにメールを送信するには、通知メッセージ テンプレートを作成し、それをコンプライアンス違反のアクションとしてコンプライアンス ポリシーに関連付けます。To send email to your users, create a notification message template and associate that to your compliance policy as an action for noncompliance. その結果、デバイスがコンプライアンスに違反している場合、テンプレートに入力した詳細が、ユーザーに送信されたメールに表示されるようになります。Then, when a device is noncompliant, the details you enter in the template is shown in the email sent to your users.

"通知メッセージ テンプレート" には、それぞれ異なるロケールに指定された複数のメッセージを含めることができます。A notification message template can include multiple messages that are each specified for a different locale. 既定として 1 つのロケールを指定する必要があります。One local must be specified as the default.

複数のメッセージとロケールを指定すると、準拠していないエンドユーザーは、O365 の優先言語に基づいて適切なローカライズされたメッセージを受信します。When you specify multiple messages and locales, non-compliant end-users receive the appropriate localized message based on their O365 preferred language. ユーザーが優先言語を設定していないか、テンプレートにロケール固有のメッセージが含まれていない場合、Intune から既定のメッセージが送信されます。Intune sends the default message to users that haven’t set a preferred language or when the template doesn’t include a specific message for their locale.

テンプレートを作成するにはTo create the template

  1. Microsoft Endpoint Manager 管理センターにサインインします。Sign in to the Microsoft Endpoint Manager admin center.

  2. [エンドポイント セキュリティ] > [デバイスのポリシー準拠] > [通知] > [通知の作成] を選択します。Select Endpoint security > Device compliance > Notifications > Create notification.

  3. [基本] ページで、次の設定を構成します。On the Basics page, configure the following settings:

    • [名前] - テンプレートを識別しやすいようにわかりやすい名前を付けます。Name - Give the template a friendly name to help you identify it.
    • [電子メール ヘッダー - 会社のロゴを含める] (既定 = [有効] ) - ポータル サイトのブランド化の一環でアップロードしたロゴは、メール テンプレートに使用されます。Email header – Include company logo (default = Enable) - The logo you upload as part of the Company Portal branding is used for email templates. ポータル サイトのブランド化の詳細については、会社 ID のブランドのカスタマイズに関するセクションを参照してください。For more information about Company Portal branding, see Company identity branding customization.
    • [電子メール フッター - 会社の名前を含める] (既定 = [有効] )Email footer – Include company name (default = Enable)
    • [電子メール フッター - 連絡先情報を含める] (既定 = [有効] )Email footer – Include contact information (default = Enable)
    • [Company Portal Website Link](ポータル サイト Web サイトのリンク) (既定 = [無効] ) - [有効] に設定すると、電子メールにポータル サイト Web サイトへのリンクが含まれます。Company Portal Website Link (default = Disable) - When set to Enable, the email includes a link to the Company Portal website.

    Intune での通知メッセージの基本ページの例Example of the basics page for a notification message in Intune

    [次へ] を選択して続行します。Select Next to continue.

  4. [通知メッセージ テンプレート] ページで、1 つ以上のメッセージを構成します。On the Notification message templates page, configure one or more messages. 各メッセージについて、次の詳細を指定します。For each message, specify the following details:

    • ロケールLocale
    • 件名Subject
    • メッセージの本文Message body text

    続行する前に、いずれかのメッセージについて [既定値] のチェックボックスをオンにする必要があります。Before continuing, you must select the checkbox for Is Default for one of the messages. 既定値として設定できるメッセージは 1 つだけです。Only one message can be set as default. メッセージを削除するには、省略記号 (...) を選択し、 [削除] を選択します。To delete a message, select the ellipsis (...) and then Delete.

    Intune の通知メッセージ テンプレート ページの例Example of the Notification message temmplate page in Intune

    [次へ] を選択して続行します。Select Next to continue.

  5. [確認および作成] で構成を確認し、通知メッセージ テンプレートが使えることを確認します。Under Review + create, review your configurations to ensure the notification message template is ready to use. [作成] を選択し、通知の作成を完了します。Select Create to complete creation of the notification.

通知の表示と編集View and edit notifications

作成した通知は、 [コンプライアンス ポリシー] > [通知] ページで利用できます。Notifications that have been created are available in the Compliance policies > Notifications page. このページから、通知を選択してその構成を表示し、次の操作を実行できます。From the page you can select a notification to view its configuration and:

  • [プレビュー メールの送信] を選択して、Intune へのサインインに使用したアカウントに通知メールのプレビューを送信します。Select Send preview email to send a preview of the notification email to the account you've used to sign in to Intune.

    プレビュー メールを正常に送信するには、次の Azure AD グループまたは Intune ロールのものと同じアクセス許可が、アカウントに付与されている必要があります: "Azure AD グローバル管理者"、Intune "管理者" (Intune Azure AD Intune サービス管理者)、または Intune "ポリシーおよびプロファイル マネージャー"。To successfully send the preview email, your account must have permissions equal to those of the following Azure AD groups or Intune roles: Azure AD Global Administrator, Intune Administrator (Intune Azure AD Intune Service Administrator), or Intune Policy and Profile Manager.

  • [基本] または [スコープ タグ][編集] を選択して、変更を加えます。Select Edit for Basics or Scope tags to make a change.

コンプライアンス違反に対するアクションを追加するAdd actions for noncompliance

デバイス コンプライアンス ポリシーを作成するときに、Intune によって、コンプライアンス違反に対するアクションが自動的に作成されます。When you create a device compliance policy, Intune automatically creates an action for noncompliance. デバイスがコンプライアンス ポリシーを満たしていない場合、このアクションがデバイスをコンプライアンス違反としてマークします。If a device isn't meeting your compliance policy, this action marks the device as not compliant. デバイスがコンプライアンス違反としてマークされるまでの期間をカスタマイズできます。You can customize how long the device is marked as not compliant. このアクションを削除することはできません。This action can't be removed.

コンプライアンス ポリシーを作成するとき、または既存のポリシーを更新するときにオプションのアクションを追加できます。You can add optional actions when you create a compliance policy, or update an existing policy.

  1. Microsoft Endpoint Manager 管理センターにサインインします。Sign in to the Microsoft Endpoint Manager admin center.

  2. [デバイス][コンプライアンス ポリシー][ポリシー] の順に選択し、いずれかのポリシーを選択し、 [プロパティ] を選択します。Select Devices > Compliance policies > Policies, select one of your policies, and then select Properties.

    ポリシーがまだない場合は、Don't have a policy yet? AndroidiOSWindows、または他のプラットフォーム用のポリシーを作成します。Create an Android, iOS, Windows, or other platform policy.

    注意

    デバイス グループで対象になっているサードパーティのデバイス コンプライアンス パートナーによって管理されているデバイスで、コンプライアンス アクションを受け取ることは、現時点ではできません。Devices managed by third-party device compliance partners that are targeted with device groups cannot receive compliance actions at this time.

  3. [コンプライアンス非対応に対するアクション] > [追加] の順に選択します。Select Actions for noncompliance > Add.

  4. アクション を選択します。Select your Action:

    • メールをエンド ユーザーに送信する:デバイスがコンプライアンスに違反している場合は、ユーザーにメールを送信することを選択します。Send email to end users: When the device is noncompliant, choose to email the user. また、Also:

      • 先ほど作成した メッセージ テンプレート を選択しますChoose the Message template you previously created
      • グループを選んで、追加の受信者 を入力しますEnter any Additional recipients by selecting groups
    • コンプライアンス違反デバイスをリモートでロックする:デバイスがコンプライアンスに違反しているとき、デバイスをロックします。Remotely lock the noncompliant device: When the device is noncompliant, lock the device. このアクションにより、ユーザーはデバイスのロックを解除するために PIN またはパスコードを入力するよう強制されます。This action forces the user to enter a PIN or passcode to unlock the device.

    • コンプライアンス違反デバイスをインベントリから削除する:デバイスがコンプライアンスに違反しているとき、デバイスから会社のデータをすべて削除し、Intune 管理からデバイスを削除します。Retire the noncompliant device: When the device is noncompliant, remove all company data off the device and remove the device from Intune management.

    • エンド ユーザーにプッシュ通知を送信する:デバイスのポータル サイト アプリまたは Intune アプリを使用して、デバイスへの非準拠に関するプッシュ通知を送信するように、このアクションを構成します。Send push notification to end user: Configure this action to send a push notification about non-compliance to a device through the Company Portal app or Intune App on the device.

  5. スケジュール の構成:コンプライアンス違反が発生してからユーザーのデバイスに対するアクションをトリガーするまでの日数 (0 から 365) を入力します。Configure a Schedule: Enter the number of days (0 to 365) after noncompliance to trigger the action on users' devices. この猶予期間の後、条件付きアクセス ポリシーを適用できます。After this grace period, you can enforce a conditional access policy. 日数として 0 を入力した場合、条件付きアクセスは すぐに 有効になります。If you enter 0 (zero) number of days, then conditional access takes effect immediately. たとえば、デバイスがコンプライアンスに違反していた場合、条件付きアクセスを使ってメール、SharePoint、およびその他の組織のリソースへのアクセスを直ちにブロックします。For example, if a device is noncompliant, use conditional access to block access to email, SharePoint, and other organization resources immediately.

    コンプライアンス ポリシーを作成すると、 [デバイスに非準拠のマークを付ける] アクションが自動的に作成され、自動的に 0 日 (直ちに) に設定されます。When you create a compliance policy, the Mark device noncompliant action is automatically created, and automatically set to 0 days (immediately). このアクションでは、デバイスがチェックインすると、そのデバイスは直ちにコンプライアンス違反として評価されます。With this action, when the device checks-in, the device is evaluated as non-compliant immediately. 条件付きアクセスも使用する場合は、条件付きアクセスがすぐに有効になります。If also using conditional access, then conditional access kicks in immediately. 猶予期間を許可する場合は、 [デバイスに非準拠のマークを付ける] アクションの [スケジュール] を変更します。If you want to allow a grace period, then change the Schedule on the Mark device noncompliant action.

    コンプライアンス ポリシーでは、たとえば、ユーザーに通知することもできます。In your compliance policy, for example, you also want to notify the user. [メールをエンド ユーザーに送信する] アクションを追加することができます。You can add the Send email to end user action. この [電子メールを送信する] アクションで、 [スケジュール] を 2 日間に設定します。On this Send email action, you set the Schedule to two days. デバイスまたはエンド ユーザーが 2 日目にまだコンプライアンス違反として評価されている場合は、2 日目にメールが送信されます。If the device or end user is still evaluated as non-compliant on day two, then your email is sent on day two. コンプライアンス違反の 5 日目にもう一度そのユーザーにメールを送信したい場合は、別のアクションを追加し、その [スケジュール] を 5 日間に設定します。If you want to email the user again on day five of noncompliance, then add another action, and set the Schedule to five days.

    コンプライアンスと組み込みアクションについて詳しくは、コンプライアンスの概要に関するページをご覧ください。For more information on compliance, and the built-in actions, see the compliance overview.

  6. 完了したら、 [追加] > [OK] の順に選択して変更を保存します。When finished, select Add > OK to save your changes.

次のステップNext steps

ポリシーを監視しますMonitor your policies.