• [アーティクル]

Configuration Manager のコンプライアンス ポリシー

 

適用対象: System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager SP1

このトピックの情報は、System Center 2012 Configuration Manager SP1 以降および System Center 2012 R2 Configuration Manager 以降に適用されます。

Configuration Manager のコンプライアンス ポリシーは、デバイスが条件付きアクセス ポリシーによって "準拠している" と見なされるために遵守する必要がある規則および設定を定義します。 コンプライアンス ポリシーを使用して、条件付きアクセスとは別に、デバイスのコンプライアンスに関する問題を監視および修復することもできます。

System_CAPS_important重要

コンプライアンス ポリシーは、Microsoft Intune で管理されているデバイスにのみ適用されます。

次のような規則があります。

  • PIN とパスワード

  • 暗号化

  • デバイスが脱獄またはルート化されているかどうか

  • デバイスの電子メールが Intune ポリシーで管理されているかどうか

  • 必要な最小 OS バージョン: 通常は、企業のコンプライアンス ポリシーとセキュリティ要件に依存します。 これにより、以前の OS バージョンを使用しているためにセキュリティ上の脆弱性が存在する可能性のあるデバイスにアクセスできないようにします。

  • 許可される最大 OS バージョン: テスト前であるなどの理由で、使用可能な最新の OS バージョンをサポートしないようにすることもできます。 指定したバージョンより新しいバージョンのデバイスをブロックすることができます。 対象となるデバイスは、ポリシーが変更されるまで会社のリソースにアクセスできません。

[!メモ]

OS の最小バージョンと最大バージョンのルールを設定するには、System Center 2012 R2 Configuration Manager SP1 用の最新の条件付きアクセス拡張機能を使用する必要があります。

[!メモ]

Windows PC では、Windows オペレーティング システム バージョン 8.1 は、8.1 ではなく 6.3 として報告されます。 OS バージョンのルールが Windows 8.1 に設定されている場合、デバイスに Windows OS 8.1 がインストールされている場合でもそのデバイスは非準拠として報告されます。 最小 OS ルールと最大 OS ルールに Windows の適切な報告バージョンを設定していることを確認してください。 バージョン番号は、winver コマンドによって返されるバージョンと一致する必要があります。

Windows Phone ではこの問題は発生せず、バージョンは期待どおり 8.1 として報告されます。

コンプライアンス ポリシーをユーザー コレクションに展開します。 コンプライアンス ポリシーがユーザーに展開されると、すべてのユーザー デバイスがコンプライアンスをチェックされます。

次の表は、コンプライアンス ポリシーによってサポートされているデバイスの種類と、ポリシーが条件付きアクセス ポリシーと共に使用される場合に非準拠設定がどのように管理されるかを示した一覧です。

デバイスの種類

PIN またはパスワードの構成

デバイスの暗号化

脱獄または root 化されたデバイス

電子メールのプロファイル

最小 OS バージョン

最大 OS バージョン

Windows 8.1 以降

修復

該当なし

該当なし

該当なし

検疫済み

検疫済み

Windows Phone 8.1 以降

修復

修復

該当なし

該当なし

検疫済み

検疫済み

iOS 6.0 以降

修復

修復 (PIN の設定による)

検疫済み (設定ではありません)

検疫済み

検疫済み

検疫済み

Android 4.0 以降

検疫済み

検疫済み

検疫済み (設定ではありません)

該当なし

検疫済み

検疫済み

Samsung KNOX Standard 4.0 以降

検疫済み

検疫済み

検疫済み (設定ではありません)

該当なし

検疫済み

検疫済み

修復 = デバイスのオペレーティング システムによってコンプライアンスが適用されます (たとえば、PIN の設定を求められます)。 設定が非準拠となる場合はありません。

検疫済み = デバイスのオペレーティング システムはコンプライアンスを適用しません (たとえば、Android デバイスはユーザーにデバイスの暗号化を求めません)。 この場合、次のようになります。

  • ユーザーが条件付きアクセス ポリシーの対象となる場合は、デバイスがブロックされます。

  • ポータル サイトまたは Web ポータルは、コンプライアンスの問題をユーザーに通知します。

手順 1. コンプライアンス ポリシーを作成する

  1. Configuration Manager コンソールで、[資産とコンプライアンス] をクリックします。

  2. [資産とコンプライアンス] ワークスペースで [コンプライアンス設定] を展開して、[コンプライアンス ポリシー] をクリックします。

  3. [ホーム] タブの [作成] グループで、[コンプライアンス ポリシーの作成] をクリックします。

  4. コンプライアンス ポリシーの作成ウィザード[全般] ページで、次の情報を指定します。

    設定

    説明

    名前

    コンプライアンス ポリシーの一意の名前を入力します。 最大 256 文字を使用できます。

    説明

    Configuration Manager コンソールで VPN プロファイルを区別しやすくなるように、簡単な説明を入力します。 最大 256 文字を使用できます。

    レポートするコンプライアンス非対応の重要度

    このコンプライアンス ポリシーが非対応として評価される場合に報告する重要度のレベルを指定します。 利用可能な重要度のレベルは、次のとおりです。

    • なし: このコンプライアンス規則を満たしていないデバイスは、Configuration Manager レポート用に非対応重要度を何も報告しません。

    • 情報: このコンプライアンス規則を満たしていないデバイスは、Configuration Manager レポート用に "情報" というレベルで非対応重要度を報告します。

    • 警告: このコンプライアンス規則を満たしていないデバイスは、Configuration Manager レポート用に "警告" というレベルで非対応重要度を報告します。

    • 重大: このコンプライアンス規則を満たしていないデバイスは、Configuration Manager レポート用に "重大" というレベルで非対応重要度を報告します。

    • 重大 (イベント): このコンプライアンス規則を満たしていないデバイスは、Configuration Manager レポート用に "重大" というレベルで非対応重要度を報告します。 重要度のレベルは、アプリケーションのイベント ログでも Windows のイベントとしてログが登録されます。

  5. [サポートされているプラットフォーム] ページで、このコンプライアンス ポリシーが評価されるデバイス プラットフォームを選択するか、[すべて選択] をクリックしてすべてのデバイス プラットフォームを選択します。

  6. [ルール] ページで、デバイスが "準拠している" と見なされるために必要な構成を定義するルールを定義します。 次の表で利用可能なルールについて説明します。 コンプライアンス ポリシーを作成すると、既定でいくつかのルールが有効になりますが、これらは編集したり削除したりすることができます。

    規則名

    説明

    サポートされているプラットフォーム

    モバイル デバイスのパスワードの設定が必要

    ユーザーがデバイスにアクセスするには、パスワードを入力する必要があります。

    (既定で有効)

    • Windows Phone 8 以降

    • iOS 6 以降

    • Android 4.0 以降

    • Samsung KNOX Standard 4.0 以降

    単純なパスワードを許可する

    ユーザーは単純なパスワード ("1234"、"1111" など) を作成できます。

    (既定で無効)

    • Windows Phone 8 以降

    • iOS 6 以降

    最小のパスワードの長さ1

    ユーザーのパスワードに含まれている必要がある数字または文字の最小数を指定します。

    (既定で 6)

    • Windows Phone 8 以降

    • Windows 8.1

    • iOS 6 以降

    • Android 4.0 以降

    • Samsung KNOX Standard 4.0 以降

    モバイル デバイスのファイルの暗号化

    リソースに接続するためにデバイスを暗号化する必要があります。

    Windows Phone 8 を実行するデバイスは自動的に暗号化されます。

    System_CAPS_important重要

    iOS を実行するデバイスは、設定 [モバイル デバイスのパスワードの設定が必要] を構成すると、暗号化されます。

    (既定で有効)

    • Windows Phone 8 以降

    • Android 4.0 以降

    • Samsung KNOX Standard 4.0 以降

    デバイスは脱獄または root 化されていてはならない

    有効になっている場合、脱獄 (iOS) または root 化 (Android) されたデバイスは準拠デバイスではありません。

    (既定で無効)

    • iOS 6 以降

    • Android 4.0 以降

    • Samsung KNOX Standard 4.0 以降

    電子メール プロファイルは Intune によって管理される必要がある

    このオプションが選択されていると、IT 管理者によってデバイスに展開された電子メール プロファイルと一致する電子メール アカウントをユーザーがデバイス上に設定してある場合、デバイスは非準拠デバイスとして報告されます。Configuration Manager では、ユーザーがプロビジョニングしたプロファイルを上書きできないので、結果としてそのプロファイルを管理できません。

    コンプライアンスを保証するには、ユーザーは既存の電子メール設定を削除する必要があります。これにより、Configuration Manager は管理対象のメール プロファイルをインストールできるようになります。

    電子メール プロファイルの詳細については、「Microsoft Intune で電子メール プロファイルを使用して会社の電子メールへのアクセスを有効にする」をご覧ください。

    (既定で無効)

    • iOS 6 以降

    電子メールのプロファイル

    [電子メール アカウントは Intune によって管理される必要がある] が選択されている場合は、[選択] をクリックして、デバイスの管理に使用する電子メール プロファイルを選びます。 電子メール プロファイルは、デバイス上に存在する必要があります。

    • iOS 6 以降

    必要な最小 OS バージョン

    デバイスが最小 OS バージョンの要件を満たしていない場合、非準拠として報告されます。 アップグレードする方法に関する情報へのリンクが表示されます。 エンド ユーザーは、デバイスのアップグレードを行うことを選択できます。アップグレード後は、会社のリソースにアクセスできるようになります。

    • Windows Phone 8 以降

    • Windows 8.1

    • iOS 6 以降

    • Android 4.0 以降

    • Samsung KNOX Standard 4.0 以降

    許可される最大 OS バージョン

    ルールに指定された OS バージョンより新しいバージョンの OS がデバイスで使用されている場合、会社のリソースへのアクセスがブロックされ、IT 管理者に問い合わせることをユーザーに促すメッセージが表示されます。 対象の OS バージョンを許可するようにルールが変更されるまで、このデバイスを使用して会社のリソースへのアクセスすることはできません。

    • Windows Phone 8 以降

    • Windows 8.1

    • iOS 6 以降

    • Android 4.0 以降

    • Samsung KNOX Standard 4.0 以降

    1 Windows を実行し Microsoft アカウントでセキュリティ保護されるデバイスについては、[パスワードの最小文字数] が 8 文字より長い場合、または [文字セットの最小数] が 2 よりも大きい場合、コンプライアンス ポリシーは正しく評価を行うことができません。

  7. ウィザードの [概要] ページで、作成した設定を確認してから、ウィザードを完了します。

[資産とコンプライアンス] ワークスペースの [コンプライアンス ポリシー] ノードに新しいポリシーが表示されます。

コンプライアンス ポリシーの展開

  1. Configuration Manager コンソールで、[資産とコンプライアンス] をクリックします。

  2. [資産とコンプライアンス] ワークスペースで [コンプライアンス設定] を展開して、[コンプライアンス ポリシー] をクリックします。

  3. [ホーム] タブの [展開] グループで、[展開] をクリックします。

  4. [コンプライアンス ポリシーの展開] ダイアログ ボックスで、[参照] をクリックして、ポリシーを展開するユーザー コレクションを選択します。

    さらに、ポリシーが準拠していない場合にアラートを生成するオプションや、ポリシーのコンプライアンスを評価するスケジュールを構成するオプションを選択できます。

  5. 終了したら、[OK] をクリックします。

コンプライアンス ポリシーの監視

Configuration Manager コンソールでコンプライアンス結果を表示するには

  1. Configuration Manager コンソールで、[監視] をクリックします。

  2. [監視] ワークスペースで、[展開] をクリックします。

  3. [展開] 一覧で、コンプライアンス情報を確認するコンプライアンス ポリシーの展開を選択します。

  4. メイン ページで、ポリシーの展開のコンプライアンスに関する概要情報を確認できます。 詳細情報を表示するには、展開を選択してから、[ホーム] タブの [展開] グループで [ステータスの表示] をクリックして、[展開ステータス] ページを開きます。

    [展開のステータス] ページには次のタブがあります。

    - **\[対応\]**: 影響を受けた資産の数に基づいて、ポリシーのコンプライアンスを表示します。 ルールをクリックして、そのルールに準拠するすべてのユーザーとデバイスを含む **\[資産とコンプライアンス\]** ワークスペースの**\[ユーザー\]** または **\[デバイス\]** のノードの下に一時ノードを作成できます。**\[資産の詳細\]** ウィンドウに、そのポリシーに準拠するユーザーやデバイスが表示されます。 一覧のユーザーまたはデバイスをダブルクリックすると、追加の情報が表示されます。

- **\[エラー\]**: 影響を受けた資産の数に基づいて、選択したポリシーの展開におけるすべてのエラーの一覧を表示します。 ルールをクリックして、そのルールでエラーとなったすべてのユーザーとデバイスを含む **\[資産とコンプライアンス\]** ワークスペースの **\[ユーザー\]** または **\[デバイス\]** のノードの下に一時ノードを作成できます。 ユーザーまたはデバイスを選択すると、**\[資産の詳細\]** ウィンドウは選択された問題に影響を受けているユーザーやデバイスを表示します。 一覧のユーザーまたはデバイスをダブルクリックすると、問題につていの追加の情報が表示されます。

- **\[非対応\]**: 影響を受けた資産の数に基づいて、そのポリシー内のすべてのコンプライアンス非対応のルールの一覧を表示します。 ルールをクリックして、そのルールのコンプライアンスに非対応となったすべてのユーザーとデバイスを含む **\[資産とコンプライアンス\]** ワークスペースの **\[ユーザー\]** または **\[デバイス\]** のノードの下に一時ノードを作成できます。 ユーザーまたはデバイスを選択すると、**\[資産の詳細\]** ウィンドウは選択された問題に影響を受けているユーザーやデバイスを表示します。 一覧のユーザーまたはデバイスをダブルクリックすると、問題について追加の情報が表示されます。

- **\[不明\]**: 選択したポリシーの展開に対するコンプライアスが報告されなかったすべてのユーザーとデバイスの一覧が、現在のデバイスのクライアント ステータスと共に表示されます。

次の手順

条件付きアクセス ポリシーと共にコンプライアンス ポリシーを使用して、組織内のサービスへのアクセスを制御できるようになりました。