Intune でカスタム コンプライアンス設定を使用する

カスタム コンプライアンス設定はパブリック プレビューに表示されます

Intune の組み込みのデバイス コンプライアンス オプションを展開するには、管理デバイスのコンプライアンス ポリシーにカスタム コンプライアンス設定を追加できます。 この機能は、以下に適用されます。

  • Windows 10 または 11

カスタム コンプライアンスでは、作成して Intune にアップロードする JSON ファイルと PowerShell スクリプトを使用して、コンプライアンス ポリシーにカスタム設定を追加します。 カスタム コンプライアンス設定は、管理センター内から使用できる組み込みのコンプライアンス設定と同じポリシー Microsoft エンドポイント マネージャーできます。 これにより、Intune にこれらの設定が追加されるのを待つことなく、デバイスで使用可能な設定に柔軟に準拠できます。

ポリシーにカスタム設定を追加する前に、PowerShell スクリプトと JSON ファイルを準備する必要があります。

  • PowerShell スクリプトはデバイス上で実行され、JSON で定義された設定を検出してレポートします。 ポリシーを作成する前Microsoft エンドポイント マネージャー管理センターにスクリプトをアップロードし、ポリシーを構成するときに 1 つのスクリプトを選択します。 ポリシーは、ポリシーの評価時にスクリプトをデバイスに割り当てる。 各コンプライアンス ポリシーは 1 つのスクリプトをサポートし、各スクリプトは複数の設定を検出できます。

  • JSON ファイルは、カスタム コンプライアンスを基に設定する設定と、それらの設定で許容される値を定義します。 また、各設定のコンプライアンスを復元する方法について、デバイス ユーザーのメッセージを構成することもできます。 カスタム コンプライアンス設定を含むコンプライアンス ポリシーを作成するときに、ファイルをアップロードします。

カスタム コンプライアンス設定を展開し、デバイスが報告した後、Microsoft エンドポイント マネージャー 管理センターで組み込みのコンプライアンス設定の詳細と共に結果を表示できます。 カスタム コンプライアンス設定は、組み込みのコンプライアンス設定と同じ方法で、条件付きアクセスの決定に使用されます。 一緒に複合ルール セットを形成し、デバイスのコンプライアンス状態にも同様に影響します。

前提条件

  • Azure Active Directory (Azure AD) 参加 しているデバイス (ハイブリッド Azure AD 参加デバイスを含む)。

    ハイブリッド Azure AD参加しているデバイスは、デバイスに参加し、Azure ADオンプレミスの Active Directory に参加するデバイスです。 詳細については、「Plan your hybrid Azure AD参加実装」を参照してください

    参加していないデバイスAzure ADハイブリッド 接続されていないデバイスAzure AD、該当しないと評価されます。

  • PowerShell 検出スクリプト - これは、JSON ファイルで定義されているカスタム設定を検出するためにデバイス上で実行され、それらの設定の構成値を Intune に返すスクリプトです。 コンプライアンス ポリシーを作成する前に、Microsoft エンドポイント マネージャー 管理センターにスクリプトをアップロードし、ポリシーの作成時に使用するスクリプトを選択します。

    カスタム コンプライアンス スクリプトを作成するには、「検出用 のカスタム PowerShell スクリプト」を参照してください

  • JSON ファイル - JSON ファイルは、カスタム設定と、準拠と見なされる値を定義し、デバイスを設定のコンプライアンスに復元する方法に関するユーザーのメッセージを含む場合があります。 そのポリシーの検出スクリプトを選択した直後に、コンプライアンス ポリシーの作成中に JSON ファイルをアップロードします。

    コンプライアンス用の JSON ファイルを作成するには、「カスタム コンプライアンス JSON ファイル」を参照してください。

カスタム コンプライアンス設定を使用してポリシーを作成する

開始する前に、

  1. 検出に使用する PowerShell スクリプトを作成してアップロードします。 検出については 、「カスタム PowerShell スクリプト」を参照してください

  2. ポリシーの作成時にアップロードする JSON ファイルを準備します。 「カスタム コンプライアンス JSON ファイル」を参照してください

  3. スクリプトと JSON の両方の準備ができたら、コンプライアンス ポリシーを作成する通常の手順から開始し、[構成設定] ページで、次の手順に従ってカスタム コンプライアンスを構成します。

カスタム コンプライアンス設定の構成

コンプライアンス ポリシーを作成するワークフローの間に、[コンプライアンス設定 ] ページで次の作業を行 います。

  1. [コンプライアンス設定 ] ページで 、[カスタム コンプライアンス] カテゴリを展開 します。

  2. [カスタム コンプライアンス] を [要求 ] に設定します

  3. [検出スクリプトの選択] で、[クリックして選択] を選択し、以前に管理者 センターに追加されたスクリプトMicrosoft エンドポイント マネージャー指定します。 このスクリプトは、ポリシーの作成を開始する前にアップロードする必要があります。

  4. カスタム アップロード設定 を使用して JSON ファイルを検証するには、フォルダー アイコンを選択し、このポリシーで使用する JSON ファイルを見つけて追加します。 JSON を作成するには、「カスタム コンプライアンス JSON ファイル」を参照してください

    ファイルを選択すると、JSON が検証され、問題が表示されます。 JSON コンテンツを検証すると、JSON のルールが表形式で表示されます。

  5. コンプライアンス ポリシー作成タスクを完了し、ポリシーをデバイスに割り当てる。

注意

デバイスがWindows設定を使用してコンプライアンス ポリシーを受信すると、Intune 管理拡張機能の存在が確認されます。 見つからない場合、デバイスは拡張機能をインストールする MSI を実行し、クライアントはコンプライアンス ポリシーの一部である PowerShell スクリプトをダウンロードして実行し、コンプライアンス結果をアップロードできます。 サービスによって管理されるアクションには、次のものが含まれます。

  • 8 時間ごとに新しい PowerShell スクリプトまたは更新された PowerShell スクリプトを確認します。
  • 8 時間ごとに検出スクリプトを実行します。
  • ユーザーがデバイスで [コンプライアンスの確認] を選択した場合にダウンロードするスクリプトを実行します。 ただし、Check Compliance を実行するときに、新しいスクリプトまたは更新されたスクリプトのチェックはありません。
  • カスタム コンプライアンスをオンデマンドで実行するためにプッシュ通知をサポートしない。

カスタム コンプライアンス ポリシーの監視

カスタム コンプライアンス設定の設定デバイスごとのコンプライアンスの詳細を表示できます。

監視の詳細については、「 Monitor Intune Device compliance policies」を参照してください

トラブルシューティング

カスタム設定が評価されない

デバイスのコンプライアンス レポートで、次のエラー コードと問題に関する分析情報を確認します。

  • 65007: スクリプトがエラーを返しました
  • 65008: スクリプトの結果に不足している設定
  • 65009: 検出された設定の json が無効です
  • 65010: 検出された設定のデータ型が無効です

PowerShell スクリプトに関連するエラーを確認するには、PowerShell スクリプト ファイルの末尾に次の行が含まれています。 return $hash | ConvertTo-Json -Compress

PowerShell スクリプトを選択したり、削除後も表示されたままにしたりするには、PowerShell スクリプトが表示されません。

現在のビューを更新します。 問題が解決しない場合は、ポリシー作成フローを取り消し、もう一度開始します。

デバイスで問題を修正した後、以降の同期では、問題が解決済みで準拠しているとして識別されません。

コンプライアンスを表示するには、デバイス更新プログラムの非準拠状態が表示されるまで最大 8 時間かかる場合があります。

ユーザーは、デバイスで問題を修正した後にコンプライアンスを手動で確認して、問題が解決され、準拠しているのを特定できますか?

はい、ユーザーは web サイトの ポータル サイト、非準拠のカスタム コンプライアンス設定を修正した後、デバイスの状態を更新する同期をトリガーできます。

追加の演算子とオペランドがサポートされていない理由

特定の演算子とオペランドの追加を要求するには、アカウント マネージャーに問い合わせてください。 その後、将来の更新プログラムを検討できます。

複数の PowerShell 検出スクリプトを 1 つのカスタム コンプライアンス ポリシーに適用できない理由

ポリシーは、1 つの PowerShell スクリプトの使用をサポートします。 ただし、各スクリプトでは、複数のコンプライアンス値のチェックがサポートされています。

次の手順