次の方法で共有


デバイス プロファイル

デバイス プロファイルは、デバイス構成オプションの階層の一部であると考えることができます。

ピラミッドとして表示されているデバイス構成。説明が続く。

デバイス構成オプション 説明
ユーザーの構成 一番上には、ネットワークの詳細やアプリケーションなど、ユーザーの構成があります。 デバイスには任意の数の構成を含めることができ、これらの構成は Microsoft Managed Desktop によって管理またはブロックされません。
カスタマイズ 次に高いレベルは、より多くの カスタマイズです。 各デバイスには、1 つ以上のカスタマイズ (またはカスタマイズなし) を設定できます。 カスタマイズは次のいずれかになります。
  • 下位レベルのレイヤー (デバイス プロファイルまたは基本構成) または
  • 標準構成の上に重ねられた、まったく新しい要求であること。
デバイス プロファイル すべての Microsoft Managed Desktop デバイスには、プロファイルが 1 つのみ割り当てられている必要があります。 管理者は、デバイスに割り当てるプロファイルを選択できます。

デバイスには、さまざまな事前設定済みのプロファイルを割り当てることができます。 各プロファイルは、特定の種類のユーザーのニーズに合わせて最適化されています。 利用可能なデバイス プロファイルが 3 つあります。
Foundation 基本的に、すべての Microsoft Managed Desktop デバイスには、以下が含まれている基礎があります。
  • 標準のセキュリティ ベースライン
  • コンプライアンス ポリシー
  • Windows Update の設定
  • グループ

Microsoft Managed Desktop を操作するには、すべてのデバイスにこれらの要素のすべてが含まれている必要があります。 これらの要素は、管理者が変更することはできません。 Microsoft Managed Desktop にリクエストを送信する必要があります。

デバイス プロファイルの詳細

次の表は、デバイス プロファイルによって構成された各設定の設定とその既定値をまとめたものです。 バックグラウンドでは、これらの設定は、Microsoft Intune管理センターでカスタム構成プロファイルを使用して OMA-URIs で構成されます。



機能 機密データ パワー ユーザー 標準 キオスク
外部ストレージをブロックする はい はい いいえ はい
クラウド ブロックのレベル 高い 高い 高い 高い
Microsoft アカウントを無効にする はい はい いいえ はい
個人用 OneDrive を無効にする はい はい いいえ はい
昇格のためにセキュリティで保護されたデスクトップに切り替える 不要 はい いいえ 不要
Microsoft Defender for Endpoint タグ M365Managed-SensitiveData M365Managed-PowerUser M365Managed-Standard M365Managed-Kiosk
デバイス上に管理者 不要 はい いいえ 不要
Autopilot プロファイル 最新の Workplace Autopilot プロファイル 最新の Workplace Autopilot プロファイル Power User 最新の Workplace Autopilot プロファイル 最新の Workplace Autopilot プロファイル キオスク
AppLocker はい いいえ いいえ 不要
パブリック ストアをブロックする はい はい いいえ はい

各デバイス プロファイルには、以下の項目も含まれます。

  • デバイス グループMicrosoft Entra動的メンバーシップ。
  • デバイス グループMicrosoft Entra静的メンバーシップ。
  • Microsoft Intune構成プロファイル。

重要

これらのグループのメンバーシップを直接変更しないでください。 「プロファイルの再割り当て」の説明に従ってインターフェイスを使用します。

注:

Windows 365 デバイスで Power User プロファイルを完全に有効にするには、[Windows 365 ユーザー設定] で [ローカル 管理を有効にする] を設定し、割り当てられたグループにユーザーを追加する必要があります。 詳細については、「 ユーザーをローカル管理者にする」を参照してください。

制限事項

他のポリシーと同様に、デバイス プロファイルとその詳細に対する例外をリクエストできます。

Microsoft Entra organization内の各デバイス プロファイルのうち 1 つだけを持つことができます ("テナント")。 たとえば、機密データ デバイス プロファイルが一部のユーザーに対してのみ AppLocker を無効にするように要求することはできません。 機密データ デバイス プロファイルを持つすべてのデバイスは、同じ構成である必要があります。

各デバイスが持つことのできるプロファイルは、1 つだけです。 特定のデバイスが複数のユーザーによって使用されている場合、そのデバイスのすべてのユーザーは同じ構成になります。

管理者 CSV のエクスポート

Power ユーザー デバイス プロファイルが割り当てられているデバイスには、管理者グループにユーザーも含まれます。 IT 管理者は、ローカル管理者グループに割り当てられているすべてのユーザーとグループをダウンロードして表示できます。

CSV ファイルをエクスポートするには:

  1. 管理センター Microsoft Intuneで、左側のウィンドウで [デバイス] を選択します。
  2. [Microsoft マネージド デスクトップ] セクションで、[デバイス] を選択します。
  3. [ エクスポート ] メニュー オプションを選択し、[ 管理者のエクスポート] を選択します。 CSV ファイルがダウンロードされます。

CSV には次のものが含まれます。

  • 過去 28 日間にアクティブになっているすべてのデバイスから取得された情報。
  • 午前 0 時に 1 日に 1 回更新されるデータ。 コンテンツは 24 時間ごとに更新されます。
  • デバイス プロファイル名と は、Power ユーザー デバイス プロファイルに対してフィルター処理できます。
  • Microsoft Entra グループを含むローカル管理者グループのメンバーは、グループに (G) サフィックスが含まれます。 無効なアカウントには、(D) サフィックスが含まれます。
  • GUID として表示される一部のデータ。 GUID として表示されるデータは、ユーザー名を特定できないためです。 ローカル デバイスに表示されるユーザー名のみを収集します。