デバイス コンプライアンス ポリシーを作成して展開するCreate and deploy a device compliance policy

適用対象: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

コンプライアンス ポリシーの作成Create a compliance policy

  1. System Center Configuration Manager コンソールで、[資産とコンプライアンス] を選択します。In the System Center Configuration Manager console, choose Assets and Compliance.

  2. [資産とコンプライアンス] ワークスペースで [コンプライアンス設定] を展開して、[コンプライアンス ポリシー] を選択します。In the Assets and Compliance workspace, expand Compliance Settings, and then choose Compliance Policies.

  3. [ホーム] タブの [作成] グループで、[コンプライアンス ポリシーの作成] を選択します。On the Home tab, in the Create group, choose Create Compliance Policy.

  4. [コンプライアンス ポリシーの作成] ウィザード の [全般] ページで、次の情報を指定します。On the General page of the Create Compliance Policy Wizard, specify the following information:

    • 名前: コンプライアンス ポリシーの一意の名前を入力します。Name -Enter a unique name for the compliance policy. 256 文字まで使用できます。You can use up to 256 characters.

    • 説明: Configuration Manager コンソールで VPN プロファイルを区別しやすくなるように、簡単な説明を入力します。Description -Enter a description that gives an overview of the VPN profile and helps identify it in the Configuration Manager console. 256 文字まで使用できます。You can use up to 256 characters.

    • コンプライアンス ポリシーの種類: デバイスが Configuration Manager によって管理されるかどうかに応じて、作成するポリシーの種類を選びます。Type of compliance policy -Select the type of policy that you want to create, depending on whether the device is managed by Configuration Manager.

      Intune で管理されるデバイスの場合は、 [Compliance rules for devices managed without configuration manager client] (Configuration Manager のクライアントなしで管理されるデバイスのコンプライアンス規則) オプションを選びます。For devices managed by Intune, choose the Compliance rules for devices managed without configuration manager client option. このオプションを選択するときには、このポリシーの適用対象プラットフォームの種類を選択することもできます。When you select this option, you can also select the type of platform that you want this policy to apply to.

    • レポートするコンプライアンス非対応の重要度: このコンプライアンス ポリシーが非対応として評価される場合に報告する重要度のレベルを指定します。Noncompliance severity for reports -Specify the severity level that is reported if this compliance policy is evaluated as noncompliant. 重要度レベルは次のとおりです。The available severity levels are:

      • なし: このコンプライアンス規則を満たしていないデバイスは、Configuration Manager レポート用に非対応重要度を何も報告しません。None -Devices that fail this compliance rule do not report a failure severity for Configuration Manager reports.
      • 情報: このコンプライアンス規則を満たしていないデバイスは、Configuration Manager レポート用に情報というレベルで非対応重要度を報告します。Information -Devices that fail this compliance rule report a failure severity of Information for Configuration Manager reports.
      • 警告: このコンプライアンス規則を満たしていないデバイスは、Configuration Manager レポート用に警告というレベルで非対応重要度を報告します。Warning -Devices that fail this compliance rule report a failure severity of Warning for Configuration Manager reports.
      • 重大: このコンプライアンス規則を満たしていないデバイスは、Configuration Manager レポート用に重大というレベルで非対応重要度を報告します。Critical -Devices that fail this compliance rule report a failure severity of Critical for Configuration Manager reports.
      • 重大 (イベント): このコンプライアンス規則を満たしていないデバイスは、Configuration Manager レポート用に重大というレベルで非対応重要度を報告します。Critical with event -Devices that fail this compliance rule report a failure severity of Critical for Configuration Manager reports. 重大 (イベント) 重大度レベルは、アプリケーションのイベント ログに Windows のイベントとしても記録されます。The critical with event severity level is also logged as a Windows event in the application event log.
  5. [サポートされているプラットフォーム] ページで、このコンプライアンス ポリシーが評価されるデバイス プラットフォームを選択します。On the Supported Platforms page, choose the device platforms that this compliance policy will be evaluated on. [すべてを選択] をクリックして、すべてのデバイス プラットフォームを選択することもできます。You can also Select all to choose all device platforms. サポートされているプラットフォームは、Windows 7、Windows 8.1、Windows 10、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 です。The supported platforms are: Windows 7, Windows 8.1, and Windows 10; Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, and Windows Server 2016.

  6. [ルール] ページで、デバイスが "準拠している" と見なされるために必要な構成を定義するルールを定義します。On the Rules page, you define one or more rules that define the configuration that devices must have in order to be evaluated as compliant. コンプライアンス ポリシーを作成すると、既定でいくつかのルールが有効になりますが、これらルールは編集したり削除したりすることができます。When you create a compliance policy, some rules are enabled by default, but you can edit or delete these rules. すべてのルールの完全なリストは、この記事で後述する「コンプライアンス ポリシー ルール」セクションをご覧ください。For a full list of all the rules, see the "Compliance policy rules" section later in this article.

    注意

    Windows PC では、Windows オペレーティング システム バージョン 8.1 は、8.1 ではなく 6.3 として報告されます。On Windows PCs, Windows operating system version 8.1 is reported as 6.3 instead of 8.1. OS バージョンのルールが Windows 8.1 に設定されている場合は、デバイスに Windows 8.1 がインストールされている場合でもそのデバイスは非準拠として報告されます。If the OS version rule is set to Windows 8.1 for Windows, then the device will be reported as noncompliant even if the device has Windows 8.1. 最小 OS ルールと最大 OS ルールに Windows の適切な 報告 バージョンを設定していることを確認してください。Make sure you're setting the right reported version of Windows for the minimum and maximum OS rules. バージョン番号は、winver コマンドが返すバージョンと一致する必要があります。The version number must match the version that the winver command returns. Windows Phone ではこの問題は発生せず、バージョンは期待どおり 8.1 として報告されます。Windows Phones don't have this issue; the version is reported as 8.1 as expected. Windows 10 オペレーティング システムを使っている Windows PC の場合、バージョンは 10.0 にし、winver コマンドが返す OS ビルド番号を付加したものに設定する必要があります。For Windows PCs with the Windows 10 operating system, the version should be set as 10.0 plus the OS build number that the winver command returns.

  7. ウィザードの [概要] ページで、作成した設定を確認してから、ウィザードを終了します。On the Summary page of the wizard, review the settings that you made, and then finish the wizard.

    [資産とコンプライアンス] ワークスペースの [コンプライアンス ポリシー] ノードに新しいポリシーが表示されます。The new policy appears in the Compliance Policies node of the Assets and Compliance workspace.

コンプライアンス ポリシーの展開Deploy a compliance policy

  1. Configuration Manager コンソールで、[資産とコンプライアンス] を選択します。In the Configuration Manager console, choose Assets and Compliance.

  2. [資産とコンプライアンス] ワークスペースで [コンプライアンス設定] を展開して、[コンプライアンス ポリシー] を選択します。In the Assets and Compliance workspace, expand Compliance Settings, and then choose Compliance Policies.

  3. [ホーム] タブの [展開] グループで、[展開] を選択します。On the Home tab, in the Deployment group, choose Deploy.

  4. [コンプライアンス ポリシーの展開] ダイアログ ボックスで、[参照] をクリックし、ポリシーを展開するユーザー コレクションを選択します。In the Deploy Compliance Policy dialog box, choose Browse to select the user collection to which to deploy the policy.

    さらに、ポリシーが準拠していない場合にアラートを生成するオプションや、ポリシーのコンプライアンスを評価するスケジュールを設定するオプションを選択できます。Additionally, you can select options to generate alerts when the policy isn't compliant, and to set the schedule by which this policy will be evaluated for compliance.

  5. 終了したら、[OK] をクリックします。When you are done, choose OK.

コンプライアンス ポリシーの監視Monitor the compliance policy

Configuration Manager コンソールでコンプライアンス結果を表示するにはTo view compliance results in the Configuration Manager console

  1. Configuration Manager コンソールで、[監視] をクリックします。In the Configuration Manager console, choose Monitoring.

  2. [監視] ワークスペースで、[展開] を選択します。In the Monitoring workspace, choose Deployments.

  3. [展開] 一覧で、コンプライアンス情報を確認するコンプライアンス ポリシーの展開を選択します。In the Deployments list, select the compliance policy deployment for which you want to review compliance information.

  4. メイン ページで、ポリシーの展開のコンプライアンスに関する概要情報を確認できます。You can review summary information about the compliance of the policy deployment on the main page. 詳細情報を表示するには、展開を選択してから、[ホーム] タブの [展開] グループで [ステータスの表示] を選択して、[展開ステータス] ページを開きます。To view more detailed information, select the deployment, and then on the Home tab, in the Deployment group, choose View Status to open the Deployment Status page.

    [展開ステータス] ページには次のタブがあります。The Deployment Status page has the following tabs:

    • [対応]: 影響を受けた資産の数に基づいて、ポリシーのコンプライアンスを表示します。Compliant -Shows the compliance of the policy based on the number of assets affected. ルールを選択して、そのルールに準拠したすべてのユーザーとデバイスを含む [資産とコンプライアンス] ワークスペースの [ユーザー] または [デバイス] のノードの下に、一時ノードを作成できます。You can choose a rule to create a temporary node under the Users or Devices node of the Assets and Compliance workspace, which contains all users or devices that comply with this rule. [資産の詳細] ウィンドウに、そのポリシーに準拠するユーザーやデバイスが表示されます。The Asset Details pane shows the users or devices that comply with the policy. 追加の情報を表示するには、一覧のユーザーまたはデバイスをダブルクリックします。To show additional information, double-click a user or device in the list.

    • [エラー]: 影響を受けた資産の数に基づいて、選択したポリシーの展開におけるすべてのエラーの一覧が表示されます。Error -Shows a list of all errors for the selected policy deployment based on number of assets affected. ルールを選択して、そのルールでエラーとなったすべてのユーザーとデバイスを含む [資産とコンプライアンス] ワークスペースの [ユーザー] または [デバイス] のノードの下に、一時ノードを作成できます。You can choose a rule to create a temporary node under the Users or Devices node of the Assets and Compliance workspace, which contains all users or devices that generated errors with this rule. ユーザーまたはデバイスを選択すると、[資産の詳細] ウィンドウに、問題によって影響を受けるユーザーやデバイスが表示されます。When you select a user or device, the Asset Details pane shows the users or devices that an issue affects. その問題についての追加の情報を表示するには、一覧のユーザーまたはデバイスをダブルクリックします。To show additional information about the issue, double-click a user or device in the list.

    • [非対応]: 影響を受けた資産の数に基づいて、そのポリシー内のすべてのコンプライアンス非対応のルールの一覧を表示します。Non-Compliant -Shows a list of all noncompliant rules within the policy, based on the number of assets affected. ルールを選択して、そのルールに準拠していないすべてのユーザーとデバイスを含む [資産とコンプライアンス] ワークスペースの [ユーザー] または [デバイス] のノードの下に、一時ノードを作成できます。You can choose a rule to create a temporary node under the Users or Devices node of the Assets and Compliance workspace, which contains all users or devices that do not comply with this rule. ユーザーまたはデバイスを選択すると、[資産の詳細] ウィンドウに、問題によって影響を受けるユーザーやデバイスが表示されます。When you select a user or device, the Asset Details pane shows the users or devices that an issue affects. その問題についての追加の情報を表示するには、一覧のユーザーまたはデバイスをダブルクリックします。To show further information about the issue, double-click a user or device in the list.

    • [不明]: 選択したポリシーの展開に対するコンプライアスが報告されなかったすべてのユーザーとデバイスの一覧が、現在のデバイスのクライアント ステータスと共に表示されます。Unknown -Shows a list of all users and devices that did not report compliance for the selected policy deployment, together with the current client status of devices.

個々のデバイスのコンプライアンス ステータスを監視するにはTo monitor the compliance status of an individual device

  1. Configuration Manager コンソールで、[資産とコンプライアンス] ワークスペースを選択します。In the Configuration Manager console, choose the Assets and compliance workspace.

  2. [デバイス] を選択します。Choose Devices.

  3. さらに多くの列を有効にするには、列の 1 つを右クリックします。To enable more columns, right-click one of the columns.

    次の列を追加できます。You can add the following columns:

    • Azure Active Directory デバイス ID: Azure Active Directory でのデバイスの一意の識別子です。Azure Active Directory device ID -Unique identifier for the device in Azure Active Directory.

    • コンプライアンス エラーの詳細: プロセスに問題が発生したときの、エラー メッセージの詳細です。Compliance Error Details -Error message details when the process goes wrong. この列が空白の場合は、エラーが検出されず、コンプライアンス ステータスが正常に報告されたことを示します。If this column is blank, it means no errors were found, and the compliance status was successfully reported.

    • コンプライアンス エラーの場所: コンプライアンスに問題があった場所についての詳細を示します。Compliance Error Location -More details on where the compliance failed. この列が空白の場合は、エラーが検出されず、コンプライアンス ステータスが正常に報告されたことを示します。If this column is blank, it means no errors were found, and the compliance status was successfully reported. コンプライアンス プロセスが失敗する可能性がある場所の例:Examples of where the compliance process might fail:

      • ConfigMgr クライアントConfigMgr Client
      • 管理ポイントManagement point
      • IntuneIntune
      • Azure Active DirectoryAzure Active Directory
    • コンプライアンスの評価時間: コンプライアンスが確認された最後の時刻です。Compliance Evaluation Time -Last time the compliance was checked.

    • コンプライアンスの設定時間: コンプライアンスが Azure Active Directory に更新された最後の時刻です。Compliance Set Time -Last time the compliance was updated to Azure Active Directory.

    • 条件付きアクセス準拠: コンピューターが条件付きアクセス ポリシーに準拠しているかどうかを示します。Conditional Access Compliant -Whether or not the machine complies with conditional access policies.

    重要

    既定では、これらの列は表示されません。These columns aren't shown by default.

Intune のコンプライアンス ポリシー グラフを表示するにはTo view Intune compliance policies charts

  1. Configuration Manager コンソールで、[監視] をクリックします。In the Configuration Manager console, choose Monitoring.

  2. [監視] ワークスペースで、[概要] > [コンプライアンス設定] > [コンプライアンス ポリシー] の順に移動します。In the Monitoring workspace, go to Overview > Compliance Settings > Compliance Policies.

    次のチャートが表示されます。The following charts appear:

    • デバイスの全体の準拠: すべてのコンプライアンス ポリシーに対するデバイスの全体の準拠が表示されます。Overall Device Compliance -Shows the overall compliance of devices for all compliance policies.
    • 非準拠の主な理由: デバイスが非準拠の上位ポリシーが表示されます。Top Non-Compliance Reasons -Shows the top policies for which devices are noncompliant.
  3. いずれかのチャートのセクションを選択し、そのカテゴリ内のデバイスのリストまでドリル ダウンします。Choose a section in either chart to drill down to a list of the devices within that category.

正常性構成レポートを表示するにはTo view a health attestation report

  1. Configuration Manager コンソールで、[監視] をクリックします。In the Configuration Manager console, choose Monitoring.

  2. デバイスのコンプライアンス ステータスに基づいて現在の状態の概要レポートを表示するには、[セキュリティ] 選択して、[正常性構成] を選択します。To view a summary report of the current status of devices by their compliance status, choose Security, and then choose Health Attestation.

  3. すべてのデバイスと正常性構成のすべての属性を一覧表示するレポートを表示するには、[セキュリティ] 選択して、[正常性構成] を選択します。To view a report that lists all devices and all the health attestation attributes, choose Security, and then choose Health Attestation.

コンプライアンス ポリシー ルールCompliance policy rules

  • モバイル デバイスのパスワードの設定が必要: ユーザーがデバイスにアクセスするときのパスワードの入力を必須にすることができます。Require password settings on mobile devices -You can require users to enter a password before they can access their device.

    以下でサポートされています。Supported on:

    • Windows Phone 8+Windows Phone 8+
    • iOS 6+iOS 6+
    • Android 4.0 以降Android 4.0+
    • Samsung KNOX Standard 4.0+Samsung KNOX Standard 4.0+
  • アイドル状態のデバイスのロック解除にパスワードを必要とする: ユーザーがロックされているデバイスにアクセスするときのパスワードの入力を必須にすることができます。Require a password to unlock an idle device -You can require users to enter a password to access device that is locked.

    以下でサポートされています。Supported on:

    • Windows Phone 8+Windows Phone 8+
    • iOS 6+iOS 6+
    • Android 4.0 以降Android 4.0+
    • Samsung KNOX Standard 4.0+Samsung KNOX Standard 4.0+
  • デバイスの画面がロックされるまでの非アクティブな時間 (分): ユーザーがパスワードを再入力しなければならなくなるまでのアイドル時間を指定することができます。Minutes of inactivity before password is required - You can specify the idle time before the user must reenter their password. 選択可能な値 1 分5 分15 分30 分1 時間のいずれかを設定します。Set the value to one of the available options: 1 minute, 5 minutes, 15 minutes, 30 minutes, 1 hour.

    この規則は [アイドル状態のデバイスのロックを解除する際にパスワードを要求する] と併用される必要があります。This rule must be used with Require a password to unlock an idle device. ここで設定した値は、デバイスがアイドル状態と見なされてロックされる時間を決定します。The value set here determines when the device is considered idle and is locked. [アイドル状態のデバイスのロックを解除する際にパスワードを要求する]True に設定した場合、ユーザーはロックされたデバイスにアクセスするためにパスワードを入力する必要があります。When Require a password to unlock an idle device is set to True, the user must enter a password to access the locked device.

    以下でサポートされています。Supported on:

    • Windows Phone 8+Windows Phone 8+
    • Windows RT/8.1Windows RT/8.1
    • iOS 6+iOS 6+
    • Android 4.0 以降Android 4.0+
    • Samsung KNOX Standard 4.0+Samsung KNOX Standard 4.0+
  • 自動更新を必須にする: Windows 8.1 以降のデバイスへの更新プログラムの自動インストールを必須にして、更新プログラムのクラスを指定できます。Require automatic updates -You can require devices with Windows 8.1 or later to automatically install updates, and you can specify the class of updates.

    自動インストールを防止するには、値を None に設定する必要があります。The value should be set to None to prevent automatic installation. すべての推奨される更新プログラムを自動的にインストールするには、[推奨] に設定します。Set to Recommended to automatically install all recommended updates. 重要として分類された更新プログラムのみをインストールするには、[重要] に設定します。To install only updates classified as important, set to Important.

    以下でサポートされています。Supported on:

    • Windows Phone 8+Windows Phone 8+
  • 単純なパスワードを許可する: ユーザーは単純なパスワード ("1234"、"1111" など) を作成できます。Allow simple passwords -You can let users create simple passwords like "1234" or "1111." この設定は既定で無効になっています。This setting is disabled by default.

    以下でサポートされています。Supported on:

    • Windows Phone 8+Windows Phone 8+
    • iOS 6+iOS 6+
  • 最小のパスワードの長さ: ユーザーのパスワードに含まれている必要がある数字または文字の最小数 (既定では 6) を指定できます。Minimum password length -You can specify the minimum number of digits or characters that the user's password must have (6 by default).

    以下でサポートされています。Supported on:

    • Windows Phone 8+Windows Phone 8+
    • Windows 8.1Windows 8.1
    • iOS 6+iOS 6+
    • Android 4.0 以降Android 4.0+
    • Samsung KNOX Standard 4.0+Samsung KNOX Standard 4.0+

    注意

    Windows を実行し Microsoft アカウントでセキュリティ保護されるデバイスについては、[パスワードの最小文字数] が 8 文字より長い場合、または [文字セットの最小数] が 2 よりも大きい場合、コンプライアンス ポリシーは正しく評価を行うことができません。For devices that run Windows and are secured with a Microsoft account, the compliance policy will fail to evaluate correctly if Minimum password length is greater than 8 characters or if Minimum number of character sets is more than 2.

  • モバイル デバイスのファイルの暗号化: リソースに接続するためのデバイスの暗号化を必須にすることができます。File encryption on mobile device -You can require the device to be encrypted in order to connect to resources. Windows Phone 8 を実行するデバイスは自動的に暗号化されます。Devices that run Windows Phone 8 are automatically encrypted. iOS を実行するデバイスは、設定 [モバイル デバイスのパスワードの設定が必要] を構成すると、暗号化されます。Devices that run iOS are encrypted when you configure the setting Require password settings on mobile devices. 既定では、この設定は有効になっています。This setting is enabled by default.

    以下でサポートされています。Supported on:

    • Windows Phone 8+Windows Phone 8+
    • Windows 8.1Windows 8.1
    • iOS 6+iOS 6+
    • Android 4.0 以降Android 4.0+
    • Samsung KNOX Standard 4.0+Samsung KNOX Standard 4.0+
  • デバイスの脱獄または root 化を認めない: この設定が有効である場合は、脱獄 (iOS) または root 化 (Android) されたデバイスは非準拠になります。Device must not be jailbroken or rooted -If you enable this setting, jailbroken (iOS) or rooted (Android) devices are not compliant. この設定は既定で無効になっています。This setting is disabled by default.

    以下でサポートされています。Supported on:

    • iOS 6+iOS 6+
    • Android 4.0 以降Android 4.0+
    • Samsung KNOX Standard 4.0+Samsung KNOX Standard 4.0+
  • 電子メール プロファイルを Intune で管理する必要がある: このオプションが [はい] に設定されている場合、デバイスは、デバイスに展開されたメール プロファイルを使用する必要があります。Email profile must be managed by Intune -When you set this option to Yes, the device must use the email profile deployed to the device. メール プロファイルが、コンプライアンス ポリシーの対象ユーザー グループと同じユーザー グループに展開されていない場合、デバイスは非準拠であると見なされます。The device is considered noncompliant if the email profile is not deployed to the same user group as the user group targeted by the compliance policy.

    デバイスに展開された Intune メール プロファイルと一致するメール アカウントが、ユーザーによってデバイスに既にセットアップされている場合も、非準拠であると見なされます。It is also noncompliant if the user has already set up an email account on the device that matches the Intune email profile that is deployed to the device. この場合、Intune では、ユーザーがプロビジョニングしたプロファイルを上書きできないので、結果としてそのプロファイルを管理できません。In this case, Intune can't overwrite the user-provisioned profile and therefore can't manage it. 既存の電子メール設定を削除すれば Intune は管理対象の電子メール プロファイルをインストールできるようになって、ユーザーはデバイスを準拠させることができます。The user can bring the device into compliance by removing the existing email setting, which lets Intune install the managed email profile.

    電子メール プロファイルの詳細については、「 Microsoft Intune で電子メール プロファイルを使用して会社の電子メールへのアクセスを有効にする」をご覧ください。For details about email profiles, see Enable access to corporate email using email profiles with Microsoft Intune. この設定は既定で無効になっています。This setting is disabled by default.

    以下でサポートされています。Supported on:

    • iOS 6+iOS 6+
  • 電子メール プロファイル: [電子メール アカウントは Intune によって管理される必要がある] が選択されている場合は、[選択] を選択して、デバイスの管理に使用する電子メール プロファイルを選びます。Email profile -If Email account must be managed by Intune is selected, choose Select to choose the email profile that devices must be managed by. 電子メール プロファイルは、デバイス上に存在する必要があります。The email profile must be present on the device.

    以下でサポートされています。Supported on:

    • iOS 6+iOS 6+
  • 必要な最小 OS バージョン: 指定した最小 OS バージョンの要件をデバイスが満たしていない場合、非準拠として報告されます。Minimum OS required -When a device does not meet the minimum OS version requirement that you specify, it is reported as noncompliant. アップグレードする方法に関する情報へのリンクが表示されます。A link with information on how to upgrade appears. ユーザーは、デバイスのアップグレードを行うことを選択できます。アップグレード後は、会社のリソースにアクセスできるようになります。The user can choose to upgrade their device, after which they will be able to access company resources.

    以下でサポートされています。Supported on:

    • Windows Phone 8+Windows Phone 8+
    • Windows 8.1Windows 8.1
    • iOS 6+iOS 6+
    • Android 4.0 以降Android 4.0+
    • Samsung KNOX Standard 4.0+Samsung KNOX Standard 4.0+
  • 許可される最大 OS バージョン: ルールに指定した OS バージョンより新しいバージョンの OS がデバイスで使用されている場合、会社のリソースへのアクセスがブロックされ、IT 管理者に問い合わせることをユーザーに促すメッセージが表示されます。対象の OS バージョンを許可するようにルールを変更するまでは、このデバイスを使用して会社のリソースへアクセスすることはできません。Maximum OS version allowed -When a device uses an OS version later than the one that you specify in the rule, access to company resources is blocked and the user is asked to contact their IT admin. Until you change the rule to allow the OS version, this device cannot be used to access company resources.

    以下でサポートされています。Supported on:

    • Windows Phone 8+Windows Phone 8+
    • Windows 8.1Windows 8.1
    • iOS 6+iOS 6+
    • Android 4.0 以降Android 4.0+
    • Samsung KNOX Standard 4.0+Samsung KNOX Standard 4.0+
  • デバイスが正常として報告されることを必須とする: 新規または既存のコンプライアンス ポリシーで、Windows 10 デバイスが健全であると報告されることを必須とする規則を設定できます。Require devices to be reported as healthy -You can set a rule to require that Windows 10 devices must be reported as healthy in new or existing compliance policies. この設定が有効である場合は、以下のデータ ポイントを対象に正常性構成証明サービス (HAS) を使用して Windows 10 デバイスが評価されます。If you enable this setting, Windows 10 devices are evaluated via the Health Attestation Service (HAS) for the following data points:

    • BitLocker が有効である: Bitlocker がオンである場合は、システムがオフになっているとき、または休止状態になるときに、デバイスはドライブに格納されているデータを不正アクセスから保護できます。BitLocker is enabled -When BitLocker is on, the device can protect data that is stored on the drive from unauthorized access, when the system is turned off or goes to hibernation.

      BitLocker ドライブ暗号化は、Windows オペレーティング システムのボリュームに格納されているすべてのデータを暗号化します。Windows BitLocker Drive Encryption encrypts all data stored on the Windows operating system volume. BitLocker は、Windows オペレーティング システムとユーザー データの保護のために TPM を使用します。BitLocker uses the TPM to help protect the Windows operating system and user data. TMP は、コンピューターのそばに人がいなかった場合や、コンピューターを紛失したり、盗難されたりした場合でも、改ざんされていないことを確認するために役立ちます。It helps to ensure that a computer isn't tampered with, even if it is left unattended, lost, or stolen.

      コンピューターに互換性のある TPM がインストールされている場合は、BitLocker は TPM を使用してデータを保護する暗号化キーをロックします。If the computer is equipped with a compatible TPM, BitLocker uses the TPM to lock the encryption keys that protect the data. その結果、TPM がコンピューターの状態を確認するまで、キーはアクセスできません。As a result, the keys can't be accessed until the TPM has verified the state of the computer.

    • コードの整合性が有効である: コードの整合性は、メモリに読み込まれるたびに、ドライバーまたはシステム ファイルの整合性を検証する機能です。Code integrity is enabled -Code integrity is a feature that validates the integrity of a driver or system file each time it is loaded into memory. コードの整合性により、未署名のドライバーまたはシステム ファイルがカーネルに読み込まれているかどうかが検出されます。Code integrity detects whether an unsigned driver or system file is being loaded into the kernel. また、管理者権限を持つユーザー アカウントが実行している悪意のあるソフトウェアによってシステム ファイルが変更されたかどうかを検出します。It also detects whether a system file has been changed by malicious software that is being run by a user account with admin privileges.

    • セキュア ブートが有効である: セキュア ブートが有効である場合は、システムは強制的に工場出荷時の信頼された状態に起動されます。Secure boot is enabled -When Secure Boot is enabled, the system is forced to start in a factory trusted state. また、セキュア ブートが有効である場合は、マシンの起動に使用するコア コンポーネントには、デバイスの製造者が信頼している適切な暗号署名が必要です。Also, when Secure Boot is enabled, the core components used to start the machine must have correct cryptographic signatures that are trusted by the organization that manufactured the device. マシンの開始前に、UEFI ファームウェアはこれを確認します。The UEFI firmware verifies this before it lets the machine start. ファイルが改ざんされてその署名が破壊されると、システムは起動しません。If any files have been tampered with, breaking their signature, the system will not start.

    • - 起動時マルウェア対策が有効である: この設定は PC のみに適用されます。Early-launch antimalware is enabled -This setting applies only to PCs. 起動時マルウェア対策 (ELAM) は、ネットワーク内のコンピューターの起動時にサードパーティ製のドライバーが初期化する前に、コンピューターを保護します。Early launch anti-malware (ELAM) provides protection for the computers in your network when they start up and before third-party drivers initialize.

      この規則は既定でオフになっています。This rule is turned off by default.

    HAS サービスの動作については、「 Health Attestation CSP (正常性構成証明 CSP)」をご覧ください。For information on how the HAS service works, see Health Attestation CSP.

    以下でサポートされています。Supported on:

    • Windows 10 および Windows 10 MobileWindows 10 and Windows 10 Mobile

注意

Configuration Manager 1802 以降、ソフトウェア センターは、デバイスが準拠していない正常性構成証明項目を表示します。Starting in Configuration Manager 1802, the Software Center shows the Health Attestation item the device is not compliant with. ソフトウェア センターでのデバイス正常性構成証明のデバイスのコンプライアンス Device Health Attestation device compliance in Software Center

  • Apps that cannot be installed on the device (デバイスにインストールできないアプリ): ユーザーが管理非対応のアプリ リストからアプリをインストールした場合、ユーザーは、会社の電子メールや、条件付きアクセスをサポートする他の会社のリソースにアクセスを試みても、ブロックされます。Apps that cannot be installed on the device -If users install an app from the admin-noncompliant list of apps, they’ll be blocked when they try to access corporate email and other corporate resources that support conditional access. この規則では、管理者によって定義された非準拠リストにアプリを追加する場合、アプリ名とアプリ ID が必要です。アプリの発行元を追加することもできますが、必須ではありません。This rule requires the app name and the app ID when adding an app to the noncompliant list defined by the admin. The app publisher can also be added, but it’s not required.

    以下でサポートされています。Supported on:

    • iOS 6+iOS 6+
    • Android 4.0 以降Android 4.0+
    • Samsung KNOX Standard 4.0+Samsung KNOX Standard 4.0+
  • 必要なパスワードの種類: ユーザーが英数字のパスワードまたは数字のパスワードのどちらを使用する必要があるかを指定します。Required password type -Specify whether the user must create an Alphanumeric password or a Numeric password. 英数字のパスワードの場合、パスワードに最低限必要な文字セットの数も指定します。For Alphanumeric passwords, you also specify the minimum number of character sets that the password must have. 文字セットには、小文字、大文字、記号、および数字の 4 種類があります。The four character sets are: lowercase, uppercase letters, symbols, and numbers.

    以下でサポートされています。Supported on:

    • Windows Phone 8+Windows Phone 8+
    • Windows 8.1+Windows 8.1+
    • iOS 6+iOS 6+
  • デバイスでの USB デバッグをブロックする: USB デバッグは Android for Work デバイスでは既に無効になっているため、この設定を構成する必要はありません。Block USB debugging on device -You do not have to configure this setting as USB debugging is already disabled on Android for Work devices.

    以下でサポートされています。Supported on:

    • Android 4.0 以降Android 4.0+
    • Samsung KNOX Standard 4.0+Samsung KNOX Standard 4.0+
  • 提供元不明のアプリをブロックする: デバイスで提供元不明のアプリのインストールを禁止することを必須にします。Block apps from unknown sources -Require that devices prevent installation of apps from unknown sources. Android for Work デバイスでは、不明なソースからのインストールは常に制限されるため、この設定を構成する必要はありません。You do not have to configure this setting as Android for Work devices always restrict installation from unknown sources.

    以下でサポートされています。Supported on:

    • Android 4.0 以降Android 4.0+
    • Samsung KNOX Standard 4.0+Samsung KNOX Standard 4.0+
  • アプリの脅威のスキャンが必須: この設定は、デバイスでアプリの確認機能が有効になっていることを指定します。Require threat scan on apps -This setting specifies that the verify apps feature is enabled on the device.

    以下でサポートされています。Supported on:

    • Android 4.2 から 4.4Android 4.2 through 4.4
    • Samsung KNOX Standard 4.0+Samsung KNOX Standard 4.0+

アプリ ID を検索するFind an app ID

アプリ ID は、Apple および Google のアプリケーション サービス内でアプリを一意に識別する識別子です。An app ID is an identifier that uniquely identifies the app within the Apple and Google application services. たとえば、com.contoso.myapp などです。An example is com.contoso.myapp. アプリ ID を検索するには:To find one:

  • Outlook Web Access (OWA)Android

    • アプリ ID は、アプリの作成に使用した Google Play ストアの URL で検索できます。You can find the app ID in the Google Play store URL that was used to create the app. アプリ ID の例: …?id=com.companyname.appname&hl=enAn example app ID is: …?id=com.companyname.appname&hl=en
  • iOSiOS

    1. iTunes ストアの URL で、次の例のような ID 番号を検索します: /id875948587?mt=8In the iTunes store URL, find the ID number, like the one in this example: /id875948587?mt=8

    2. Web ブラウザーで次の URL に移動し、ID 番号をさきほど検索した ID 番号 (ここでは上記の例) に置換えます: https://itunes.apple.com/lookup?id=875948587In a web browser, go to the following URL, replacing the number with the ID number that you just found (in this case, the previous example): https://itunes.apple.com/lookup?id=875948587

    3. テキスト ファイルをダウンロードして開きます。Download and open the text file.

    4. bundleid" というテキストを検索します。Search for the text bundleId.

      アプリ ID の例: "bundleId":"com.companyname.appname"An example app ID is: "bundleId":"com.companyname.appname"