System Center Configuration Manager でのデバイス コンプライアンス ポリシーDevice compliance policies in System Center Configuration Manager

適用対象: System Center Configuration Manager (Current Branch)Applies to: System Center Configuration Manager (Current Branch)

Configuration Manager のコンプライアンス ポリシーでは、デバイスが条件付きアクセス ポリシーに準拠していると見なされるために遵守する必要があるルールと設定を定義します。Compliance policies in Configuration Manager define the rules and settings that a device must comply with in order to be considered compliant by conditional access policies. コンプライアンス ポリシーを使用して、条件付きアクセスとは別に、デバイスのコンプライアンスに関する問題を監視および修復することもできます。You can also use compliance policies to monitor and remediate compliance issues with devices independently of conditional access.

重要

この記事では、Microsoft Intune によって管理されるデバイスのコンプライアンス ポリシーについて説明します。This article describes the compliance policies for devices managed by Microsoft Intune. Configuration Manager クライアントによって管理されているデバイスのコンプライアンス ポリシーについては、Configuration Manager で管理されているデバイス用の O365 サービスへのアクセス管理に関するページを参照してください。The compliance policies for devices managed by the Configuration Manager client is described in Manage access to O365 services for devices managed by Configuration Manager.

これらのルールには、次のような要件が含まれます。These rules include requirements like:

  • デバイスにアクセスするための PIN とパスワードPIN and passwords to access a device

  • デバイスに格納されたデータの暗号化Encryption of data stored on the device

  • デバイスが脱獄またはルート化されているかどうかWhether the device is jailbroken or rooted

  • デバイス上の電子メールが Intune のポリシーで管理されるかどうか、または Windows デバイスの正常性構成証明サービスでデバイスが異常であると報告されたかどうかWhether email on the device is managed by an Intune policy, or if the device is reported as unhealthy by the Windows device health attestation service.

  • デバイスにインストールできないアプリ。Apps that can't be installed on the device.

コンプライアンス ポリシーをユーザー コレクションに展開します。You deploy compliance policies to user collections. コンプライアンス ポリシーがユーザーに展開されると、すべてのユーザー デバイスがコンプライアンスをチェックされます。When a compliance policy is deployed to a user, then all of the users devices are checked for compliance.

サポートされているデバイスの種類Supported device types

次の表は、コンプライアンス ポリシーによってサポートされているデバイスの種類と、ポリシーが条件付きアクセス ポリシーと共に使用される場合に非準拠設定がどのように管理されるかを示した一覧です。The following table lists the device types supported by compliance policies and how non-compliant settings are managed when the policy is used with a conditional access policy.

規則Rule Windows 8.1 以降Windows 8.1 and later Windows Phone 8.1 以降Windows Phone 8.1 and later iOS 6.0 以降iOS 6.0 and later Android 4.0 以降、Samsung KNOX Standard 4.0 以降、Android for WorkAndroid 4.0 and later Samsung KNOX Standard 4.0 and later, Android for Work
PIN またはパスワードの構成PIN or password configuration 修復Remediated 修復Remediated 修復Remediated 検疫済みQuarantined
デバイスの暗号化Device encryption 該当なしN/A 修復Remediated 修復 (PIN の設定による)Remediated (by setting PIN) 検疫済みQuarantined
(Android for Work は常に暗号化)(Android for Work always encrypted)
脱獄またはルート化されたデバイスJailbroken or rooted device 該当なしN/A 該当なしN/A 検疫済み (設定ではありません)Quarantined (not a setting) 検疫済み (設定ではありません)Quarantined (not a setting)
電子メールのプロファイルEmail profile 該当なしN/A 該当なしN/A 検疫済みQuarantined 該当なしN/A
最小 OS バージョンMinimum OS version 検疫済みQuarantined 検疫済みQuarantined 検疫済みQuarantined 検疫済みQuarantined
最大 OS バージョンMaximum OS version 検疫済みQuarantined 検疫済みQuarantined 検疫済みQuarantined 検疫済みQuarantined
デバイス正常性構成証明 (1602 更新プログラム)Device Health Attestation (1602 update) 設定を Windows 8.1 に適用できませんSetting isn't applicable to Windows 8.1

Windows 10 および Windows 10 Mobile は検疫されます。Windows 10 and Windows 10 Mobile are Quarantined.
該当なしN/A 該当なしN/A 該当なしN/A
アプリをインストールすることはできません。Apps that cannot be installed 該当なしN/A 該当なしN/A 検疫済みQuarantined 検疫済みQuarantined

修復 = デバイス OS によってコンプライアンスが適用されています。Remediated = Compliance is enforced by the device OS. たとえば、ユーザーは PIN を設定するように強制されます。For example, the user is forced to set a PIN. 設定が非準拠となる場合はありません。There's never a case when the setting is non-compliant.

検疫済み = デバイス OS によってコンプライアンスが適用されていません。Quarantined = The device OS doesn't enforce compliance. たとえば、Android デバイスでは、デバイスを暗号化するようにユーザーに強制していません。For example, Android devices don't force the user to encrypt the device. この場合、次のようになります。In this case:

  • ユーザーが条件付きアクセス ポリシーの対象となる場合は、デバイスがブロックされます。If the user is targeted by a conditional access policy, the device is blocked.

  • ポータル サイトまたは Web ポータルは、コンプライアンスの問題をユーザーに通知します。The company portal or web portal notifies the user about any compliance issues.

コンプライアンス ポリシーが割り当てられていないデバイスDevices without any assigned compliance policy

2018 年 7 月以降、コンプライアンス ポリシーが割り当てられていないすべてのデバイスを準拠または非準拠のいずれと見なすかを構成します。 Starting in July 2018, configure whether all devices that have no assigned compliance policy are considered compliant or non-compliant. 既定では、コンプライアンス ポリシーが割り当てられていないデバイスは準拠と見なされます。By default, devices with no assigned compliance policy are considered compliant. Azure Portal で、この設定を変更するには、次の手順を使用します。Use the following steps to change this setting in the Azure portal:

  1. Azure Portal 上で Intune にサインインします。Sign in to the Intune on Azure portal.

  2. [デバイス コンプライアンス] を選択し、次に [設定] グループの [コンプライアンス ポリシーの設定] を選択します。Select Device compliance, and then select Compliance policy settings in the Setup group.

  3. 設定 [コンプライアンス ポリシーが割り当てられていないデバイスをマークする] では、次のオプションのいずれかを選択します。For the setting Mark devices with no compliance policy assigned as, select one of the following options:

    • 準拠 (既定) - コンプライアンス ポリシーが割り当てられていないデバイスはポリシーに準拠していると見なされます。Compliant (default) - Devices with no assigned compliance policy are considered compliant with policy. 条件付きアクセスが有効になっている場合、これらのデバイスは内部リソースにアクセスできます。If conditional access is enabled, these devices have access to internal resources.

    • 非準拠 - コンプライアンス ポリシーが割り当てられていないデバイスはポリシーに準拠していないと見なされます。Not Compliant - Devices with no assigned compliance policy are considered not compliant with policy. 条件付きアクセスが有効になっている場合、これらのデバイスは、条件付きアクセス ポリシー内の条件に従って、内部リソースからブロックされます。If conditional access is enabled, these devices are blocked from internal resources, per the conditions in the conditional access policy.

  4. [保存] をクリックします。Click Save.

プラットフォームごとに少なくとも 1 つのコンプライアンス ポリシーを環境内のすべてのユーザーに展開することを強くお勧めします。We strongly recommend that you deploy at least one compliance policy for each platform to all users in your environment. 次に、内部リソースのセキュリティを確保するために、この設定を [非準拠] に構成します。Then configure this setting to Not Compliant in order to ensure the security of your internal resources. 詳細については、Intune サービスでのセキュリティ拡張機能に関するブログ記事を参照してください。For more information, see the Security Enhancements in the Intune Service blog post.

次のステップNext Steps

デバイス コンプライアンス ポリシーを作成して展開するCreate and deploy a device compliance policy

関連項目See also

Configuration Manager でサービスへのアクセスを管理するManage access to services in Configuration Manager