Intune デバイスのコンプライアンス対応ポリシーの監視

コンプライアンス レポートを使用すると、デバイスのポリシー準拠を確認したり、組織におけるコンプライアンス関連問題を解決したりできます。 これらのレポートを使用し、次に関する情報を表示できます。

  • デバイスの総合的なコンプライアンス状態
  • 設定別のコンプライアンス状態
  • ポリシー別のコンプライアンス状態
  • 個々のデバイスにドリルダウンし、デバイスに影響を与えている特定の設定やポリシーを表示する

コンプライアンス ダッシュボードを開く

Intune デバイスのポリシー準拠ダッシュボード を開きます。

  1. Microsoft Endpoint Manager 管理センターにサインインします。

  2. [デバイス] > [概要] > [対応状態] タブを選択します。

重要

デバイスのコンプライアンス ポリシーを受け取るには、Intune にデバイスを登録する必要があります。

ダッシュボードの概要

ダッシュボードが開くと、すべてのコンプライアンス レポートを含む概要が表示されます。 これらのレポートで、以下を確認できます。

  • 全体的なデバイスのコンプライアンス
  • ポリシーごとのデバイスのコンプライアンス対応
  • 設定ごとのデバイスのコンプライアンス対応
  • 脅威エージェントの状態
  • デバイスの保護の状態

ダッシュボードの画像。デバイスのコンプライアンス ダッシュボードやさまざまなレポートを確認できます。

このレポートを表示すると、設定別のコンプライアンス状態など、特定のデバイスに適用される特定のコンプライアンス ポリシーとコンプライアンス設定も確認できます。

デバイスの準拠の状態

[デバイスのコンプライアンス状態] グラフには、Intune に登録されているすべてのデバイスのコンプライアンス状態が表示されます。 デバイスのコンプライアンス状態は、Intune と Azure Active Directory という 2 つの異なるデータベースで保持されます。

重要

Intune では、デバイス上のすべてのコンプライアンス評価をデバイスのチェックイン スケジュールに従って行います。 デバイスのチェックイン スケジュールの詳細については、こちらをご覧ください

デバイス コンプライアンス ポリシーのさまざまな状態に関する説明:

  • 準拠:デバイスにデバイス コンプライアンス ポリシーが 1 つ以上、正しく適用されています。

  • 猶予期間: 1 つ以上のデバイス コンプライアンス ポリシー設定でデバイスが対象になっています。 しかしながら、ユーザーはポリシーをまだ適用していません。 この状態は、デバイスはポリシーに準拠していないが、管理者が定義した猶予期間内にあることを意味します。

    • コンプライアンス非対応のデバイスに対する措置はこちらでご覧ください。
  • 評価されていません:新しく登録されたデバイスの最初の状態です。 この状態になるその他の原因としては、次が考えられます。

    • デバイスにコンプライアンス ポリシーが割り当てられておらず、コンプライアンスを確認するトリガーが与えられていない
    • コンプライアンス ポリシーが最後に更新されてからデバイスがチェックインしていない
    • 次などのように、デバイスが特定のユーザーに関連付けられていない
      • ユーザー アフィニティがない Apple の Device Enrollment Program (DEP) で購入した iOS/iPadOS デバイス
      • Android キオスクまたは Android エンタープライズ専用デバイス
    • デバイスがデバイス登録マネージャー (DEM) アカウントを使って登録されている
  • 非準拠:1 つ以上のデバイス コンプライアンス ポリシーがデバイスに適用されませんでした。 あるいは、ユーザーがポリシーに違反しています。

  • 同期されていないデバイス: 次のいずれかの理由により、デバイスがデバイス コンプライアンス ポリシーの状態の報告に失敗しています。

    • 不明:デバイスが何らかの理由でオフラインか、Intune または Azure AD との通信に失敗しています。

    • エラー:デバイスが Intune および Azure AD との通信に失敗し、何らかの理由でエラー メッセージを受信しました。

重要

Intune に登録されていないが、デバイス コンプライアンス ポリシーの適用対象となっているデバイスは、 [準拠] バケットでこのレポートに含まれます。

ドリルダウンして詳細を表示する

[Device compliance status](デバイスのコンプライアンス状態) グラフで状態を選択します。 たとえば、 [非準拠] 状態を選択します。

非準拠状態を選択する

この操作により、 [デバイスのポリシー準拠] ウィンドウが開き、 [デバイスの状態] グラフにデバイスが表示されます。 このグラフには、オペレーティング システム プラットフォームや前回のチェックイン日付など、その状態にあるデバイスに関する詳細が表示されます。 特定の状態にあるデバイスの詳細を示しているダッシュボードの画像

特定のユーザーが所有しているすべてのデバイスを表示する場合、ユーザーの電子メールを入力してグラフ レポートをフィルタリングできます。

ヒント

デバイスにサインインしているユーザーがいない場合は、対象のデバイス コンプライアンス ポリシーが適用されているデバイスにより、ユーザー プリンシパル名として システム アカウント を示すコンプライアンス レポートが Intune に送信されます。 これは、デバイス コンプライアンス ポリシーがユーザーまたはデバイスのグループを対象としており、コンプライアンス ポリシーの評価時にデバイスにサインインしているユーザーがいないことが原因で発生します。

また、同じデバイスにサインインしているユーザーが複数いる場合に、現在サインインしているすべてのユーザーを対象としたコンプライアンス ポリシーがデバイスに適用されていると、デバイスにサインインしているすべてのユーザーがデバイス コンプライアンス ポリシーを評価して Intune に報告する必要があるため、デバイス コンプライアンス レポートに同じデバイスが複数回表示される可能性があります。

注意

コンプライアンス ポリシーをデバイス グループに割り当てる場合、ユーザーがサインインしていると、コンプライアンスの評価が 2 回発生することに注意してください。1 つはユーザーに対して、もう 1 つはシステム アカウントに対してです。 このシナリオでは、システム アカウント の評価が失敗し、デバイスが "非準拠" になる可能性があります。 この動作を防ぐには:

  • ユーザーがサインインしているデバイスの場合 - コンプライアンス ポリシーをユーザー グループに割り当てます。
  • ユーザーがサインインしていないデバイスの場合 - コンプライアンス ポリシーをデバイス グループに割り当てます。

フィルターと列

フィルターと列を選択し、グラフ内の結果を変える

[フィルター] ボタンを選択すると、フィルター メニューが開き、コンプライアンス 状態や 脱獄された デバイスなど、さまざまなオプションが提示されます。 フィルターを 適用 し、結果を更新します。

[列] プロパティを使用し、グラフ出力に列を追加したり、グラフ出力から列を削除したりします。 たとえば、 [ユーザー プリンシパル名] には、デバイスに登録されているメール アドレスが表示されます。 列を 適用 し、結果を更新します。

デバイスの詳細

[デバイスの詳細] グラフで、特定のデバイスを選択し、 [デバイスのポリシー準拠] を選択します。

特定のデバイスを選択し、デバイスのポリシー準拠を選択すると、適用されているコンプライアンス ポリシーを確認できます

Intune には、そのデバイスに適用されているデバイス コンプライアンス ポリシー設定の詳細が表示されます。 特定のポリシーを選択すると、ポリシーに含まれるすべての設定が表示されます。

コンプライアンスのないデバイス

[対応状態] ページにある [ポリシーへの準拠] グラフの隣で [コンプライアンス ポリシーのないデバイス] タイルを選択すると、コンプライアンス ポリシーが割り当てられていないデバイスに関する情報を表示できます。

コンプライアンス ポリシーのないデバイスが表示されます

タイルを選択すると、コンプライアンス ポリシーのないデバイスが残らず表示されます。 また、デバイスの利用者、ポリシーのデプロイ状態、デバイスの型も表示されます。

知っておく必要がある情報

  • [コンプライアンス ポリシーが割り当てられていないデバイスをマークする] というセキュリティ設定では、コンプライアンス ポリシーのないデバイスを特定することが重要です。 特定できたら、少なくとも 1 つのコンプライアンス ポリシーをデバイスに割り当てることができます。

    セキュリティ設定は Microsoft エンドポイント マネージャー 管理センターで構成できます。 [デバイス] > [コンプライアンス ポリシー] > [コンプライアンス ポリシーの設定] の順に進みます。 次に、 [コンプライアンス ポリシーが割り当てられていないデバイスをマークする][準拠] または [非準拠] に設定します。

  • 何らかの種類のコンプライアンス ポリシーが割り当てられているユーザーは、デバイスのプラットフォームに関係なく、このレポートに表示されません。 たとえば、Android デバイスの利用者に Windows コンプライアンス ポリシーを割り当てた場合、そのデバイスはこのレポートに表示されません。 ただし、Intune ではその Android デバイスは準拠と見なされません。 問題を回避するために、デバイス プラットフォームごとにポリシーを作成し、それをすべてのユーザーにデプロイすることをお勧めします。

ポリシーごとのデバイスのコンプライアンス対応

[ポリシーへの準拠] グラフには、ポリシーと、準拠しているデバイスの数、準拠していないデバイスの数が表示されます。

ポリシーの一覧、そのポリシーに準拠しているデバイスの数、準拠していないデバイスの数が表示されます

コンプライアンスの設定

[コンプライアンスの設定] グラフには、すべてのコンプライアンス ポリシーからのすべてのデバイス コンプライアンス ポリシー設定、ポリシー設定が適用されているプラットフォーム、非準拠デバイスの数が表示されます。

さまざまなポリシーのすべての設定が一覧表示されます

コンプライアンス レポートを表示する

[対応状態] のグラフを使用するだけでなく、 [レポート] > [デバイスのポリシー準拠] を使用できます。

  1. Microsoft Endpoint Manager 管理センターにサインインします。

  2. [デバイス] > [モニター] を選択し、次に [コンプライアンス] から表示するレポートを選択します。 次のようなコンプライアンス レポートを使用できます。

    • デバイスのポリシー準拠
    • 非準拠デバイス
    • コンプライアンス ポリシーのないデバイス
    • コンプライアンスの設定
    • ポリシーへの準拠
    • 非準拠ポリシー (プレビュー)
    • Windows 正常性構成レポート
    • 脅威エージェントの状態

レポートについて詳しくは、「Intune のレポート」をご覧ください

デバイス ポリシーの状態を表示する

プラットフォームごとに、ご使用のポリシーのさまざまな状態を確認することができます。 たとえば、macOS コンプライアンス ポリシーがあるとします。 このポリシーによって影響を受けるデバイスを確認し、競合やエラーが発生していないか把握する必要があります。

この機能はデバイス状態レポートに含まれています。

  1. [デバイス] > [コンプライアンス ポリシー] > [ポリシー] の順に選択します。 ポリシーの一覧が表示されます。これにはプラットフォーム、ポリシーが割り当てられているかどうか、およびその他の詳細が含まれます。

  2. ポリシーを選択し、 [概要] を選択します。 このビューでは、ポリシー割り当てに次の状態が含まれています。

    • 成功:ポリシーが適用されます
    • エラー: ポリシーを適用できませんでした。 メッセージは通常、説明のリンクを含むエラー コードと共に表示されます。
    • [競合] :2 つの設定が同じデバイスに適用されます。Intune では競合に対処できません。 管理者が確認する必要があります。
    • Pending:デバイスはまだ、ポリシーを受信するために Intune にチェックインされていません。
    • 適用なし:デバイスがポリシーを受信できません。 たとえば、ポリシーで iOS 11.1 に特有の設定が更新されるが、デバイスが iOS 10 を使用している場合です。
  3. このポリシーを使用してデバイスの詳細を表示するには、状態のいずれかを選択します。 たとえば、 [成功] を選択します。 次のウィンドウでは、デバイス名や展開状態など、特定のデバイスの詳細が一覧表示されます。

Intune のポリシー競合の解決方法

複数の Intune ポリシーを 1 つのデバイスに適用すると、ポリシーの競合が発生する可能性があります。 ポリシーの設定が重複した場合、Intune では次のルールを使用して競合を解決します。

  • Intune の構成ポリシーと準拠ポリシーの設定が競合している場合は、構成ポリシーの設定よりも準拠ポリシーの設定が優先されます。 構成ポリシーの設定の方が安全性が高い場合でも同様です。

  • 複数の準拠ポリシーを展開した場合、Intune ではその中で最も安全なポリシーが使用されます。

次のステップ

コンプライアンス ポリシーの概要