Microsoft Intune でコンプライアンス ポリシーを作成する

Intune を使用して組織のリソースを保護する場合、デバイスのコンプライアンス ポリシーは重要な機能です。 Intune では、最低限の OS バージョンなど、デバイスがコンプライアンス準拠と見なされるために満たす必要がある規則と設定を作成できます。 デバイスが準拠していない場合は、条件付きアクセスを使用してデータとリソースへのアクセスをブロックできます。

また、コンプライアンス非準拠の場合は、通知メールをユーザーに送信するなどの対応を実行できます。 コンプライアンス ポリシーの役割と使用方法の概要については、デバイスのコンプライアンスの概要に関するページを参照してください。

この記事の内容:

  • コンプライアンス ポリシーを作成する前提条件と手順を示します。
  • ユーザーおよびデバイス グループにポリシーを割り当てる方法を示します。
  • ポリシーを "フィルター処理" するためのスコープのタグ、準拠していないデバイスに対して実行できる手順など、追加の機能について説明します。
  • デバイスでポリシーの更新を受信した際のチェックインの更新サイクル時間を示します。

はじめに

デバイス コンプライアンス ポリシーを使う場合、次のことを確認します。

  • 以下のサブスクリプションを使用します。

    • Intune
    • 条件付きアクセスを使用する場合は、Azure Active Directory (AD) Premium Edition が必要です。 「Azure Active Directory の価格」には、さまざまなエディションで入手できる機能を一覧表示しています。 Intune のコンプライアンスには、Azure AD は必要ありません。
  • サポートされているプラットフォームを使用します。

    • Android デバイス管理者
    • Android AOSP (プレビュー)
    • Android Enterprise
    • iOS
    • macOS
    • Windows 10 または 11
    • Windows 8.1
  • Intune にデバイスを登録する (コンプライアンスの状態を確認するために必要です)

  • 1 人のユーザーにデバイスを登録するか、またはプライマリ ユーザーなしで登録します。 複数のユーザーに登録されたデバイスはサポートされていません。

(プレビューで) デバイス コンプライアンスのカスタム設定を使用する場合は、ポリシーを作成する前に、カスタム JSON ファイルと PowerShell スクリプトを準備する必要があります。 サポートされているプラットフォーム、前提条件、ポリシーの作成時に カスタム コンプライアンス カテゴリを構成する方法など、カスタム コンプライアンス設定の詳細については、「カスタム コンプライアンス設定を使用する」を参照してください。

ポリシーの作成

  1. Microsoft エンドポイント マネージャー管理センター

  2. [デバイス] > [コンプライアンス ポリシー] > [ポリシー] > [ポリシーの作成] を選択します。

  3. 次のオプションから、このポリシーの [プラットフォーム] を選択します。

    • Android デバイス管理者
    • Android (AOSP) (プレビュー)
    • Android エンタープライズ
    • iOS/iPadOS
    • macOS
    • Windows 8.1 以降
    • Windows 10 以降

    Android Enterprise の場合は、[ポリシーの種類] も選択します。

    • フル マネージド
    • 専用
    • 会社所有の仕事用プロファイル
    • 個人所有の仕事用プロファイル

    次に、[作成] を選択し、[ポリシーの作成] 構成ウィンドウを開きます。

  4. [基本] タブで、後で識別しやすいように [名前] を指定します。 たとえば、適切なポリシー名は、iOS/iPadOS の脱獄されたデバイスを非準拠としてマークする などです。

    [説明] を指定することもできます。

  5. [コンプライアンス設定] タブで、使用できるカテゴリを展開し、ポリシーの設定を構成します。 次の記事では、各プラットフォームの設定について説明しています。

    (プレビューで) カテゴリ [カスタム コンプライアンス] を使用してカスタム コンプライアンス設定を追加する前に、使用するカスタム設定を定義するために JSON を事前構成し、サポートされているデバイスでそれらの設定の検出を実行する PowerShell スクリプトをアップロードする必要があります。

    サポートされているプラットフォーム、前提条件、ポリシーの作成時に カスタム コンプライアンス カテゴリを構成する方法など、デバイス コンプライアンスのカスタム設定の詳細については、「カスタム コンプライアンス設定を使用する」を参照してください。

  6. [コンプライアンス非対応に対するアクション] タブで、このコンプライアンス ポリシーを満たさないデバイスに自動的に適用する一連のアクションを指定します。

    複数のアクションを追加し、一部のアクションのスケジュールと追加の詳細を構成できます。 たとえば、既定のアクションである [デバイスに非準拠のマークを付ける] のスケジュールを 1 日後に発生するように変更できます。 次に、デバイスが準拠していない場合にユーザーにメールを送信して、その状態を警告するアクションを追加できます。 非準拠のままになっているデバイスをロックするかインベントリから削除するアクションを追加することもできます。

    構成できるアクションについては、ユーザーに送信する通知メールを作成する方法など、非準拠デバイスに対してアクションを追加する方法に関するページを参照してください。

    [場所] を使用し、コンプライアンス ポリシーに少なくとも 1 つの場所を追加する例もあります。 このケースでは、少なくとも 1 つの場所を選択すると、コンプライアンス非対応に対する既定のアクションが適用されます。 選択した場所のいずれにもデバイスが接続されていない場合、デバイスは準拠していないと見なされます。 ユーザーに 1 日などの猶予期間を与えるようにスケジュールを構成できます。

  7. [スコープ タグ] タブで、タグを選択して、ポリシーを US-NC IT TeamJohnGlenn_ITDepartment などの特定のグループにフィルター処理します。 設定を追加したら、コンプライアンス ポリシーにスコープのタグを追加することもできます。

    スコープ タグの使用の詳細については、スコープのタグを使用してポリシーをフィルター処理する方法に関するページを参照してください。

  8. [割り当て] タブで、グループにポリシーを割り当てます。

    [+ 含めるグループを選択] を選択し、ポリシーを 1 つ以上のグループに割り当てます。 次の手順の後でポリシーを保存すると、これらのグループにポリシーが適用されます。

  9. [確認および作成] タブで設定を確認し、コンプライアンス ポリシーを保存する準備ができたら [作成] を選択します。

    ポリシーの対象となるユーザーまたはデバイスは、Intune にチェックインするときにコンプライアンスが評価されます。

サイクル時間の更新

Intune では、複数の更新サイクルを使用して、コンプライアンス ポリシーの更新が確認されます。 登録してすぐのデバイスでは、チェックインの実行頻度が高くなります。 「ポリシーとプロファイルの更新サイクルに、おおよその更新間隔が一覧表示されています。

ユーザーはいつでもポータル サイト アプリを起動し、デバイスを同期して、ポリシーの更新をすぐに確認できます。

InGracePeriod 状態を割り当てる

コンプライアンス ポリシーの InGracePeriod 状態は値の 1 つです。 この値は、デバイスの猶予期間、およびそのコンプライアンス ポリシーのデバイスの実際の状態の組み合わせによって決まります。

具体的には、デバイスに割り当てられているコンプライアンス ポリシーが NonCompliant 状態になっている場合、次のようになります。

  • デバイスに猶予期間が割り当てられていない場合、コンプライアンス ポリシーに割り当てられる値は NonCompliant です。
  • デバイスに割り当てられている猶予期間が期限切れになっている場合、コンプライアンス ポリシーに割り当てられる値は NonCompliant です。
  • デバイスに将来の猶予期間が割り当てられている場合、コンプライアンス ポリシーに割り当てられる値は InGracePeriod です。

次の表はこれらの点をまとめたものです。

実際のコンプライアンス状態 割り当てられた猶予期間の値 有効なコンプライアンス状態
NonCompliant 猶予期間が割り当てられていない NonCompliant
NonCompliant 昨日の日付 NonCompliant
NonCompliant 明日の日付 InGracePeriod

デバイスのコンプライアンス ポリシーの監視の詳細については、「Intune デバイス コンプライアンス対応ポリシーの監視」を参照してください。

コンプライアンス ポリシーの結果の状態を割り当てる

デバイスに複数のコンプライアンス ポリシーがあり、デバイスの 2 つ以上の割り当て済みコンプライアンス ポリシーが異なるコンプライアンス状態になっている場合、1 つの結果のコンプライアンス状態が割り当てられます。 この割り当ては、各コンプライアンス状態に割り当てられている概念的な重大度レベルを基にしています。 各コンプライアンス状態には、次の重大度レベルがあります。

状態 重要度
不明 1
NotApplicable 2
Compliant 3
InGracePeriod 4
NonCompliant 5
Error 6

デバイスに複数のコンプライアンス ポリシーがある場合、すべてのポリシーの最も高い重大度がそのデバイスに割り当てられます。

たとえば、デバイスに 3 つのコンプライアンス ポリシーが割り当てられていて、1 つが不明状態 (重大度 = 1)、1 つが準拠状態 (重大度 = 3)、1 つが InGracePeriod 状態 (重要度 = 4) であるとします。 この中で重大度レベルが最も高いのは、InGracePeriod 状態です。 したがって、3 つのポリシーすべてのコンプライアンス状態が InGracePeriod となります。

次の手順

ポリシーを監視します