Configuration Managerで構成基準を作成する

Configuration Manager (現在のブランチ) に適用

Configuration Managerの構成基準には、定義済みの構成項目と必要に応じて他の構成基準が含まれています。 構成基準が作成されたら、コレクションに展開して、そのコレクション内のデバイスが構成基準をダウンロードし、そのコンプライアンスを評価できるようにします。

ヒント

Configuration Manager クライアントがベースラインの構成項目を評価する順序を指定する方法はありません。 これは非決定的です。

構成基準

Configuration Managerの構成基準には、構成項目の特定のリビジョンを含めたり、常に最新バージョンの構成項目を使用するように構成したりできます。 構成項目のリビジョンの詳細については、「構成 データの管理タスク」を参照してください。

構成基準の作成に使用できる方法は 2 つあります。

• ファイルから構成データをインポートします。 構成データのインポート ウィザードを開始するには、[資産とコンプライアンス] ワークスペースの [構成項目] ノードまたは [構成基準] ノードで、[構成データのインポート] をクリックします。 詳細については、「 構成データのインポート」を参照してください。

• [構成基準の作成] ダイアログ ボックスを使用して、新しい構成基準を作成します。

構成基準を作成する

[構成基準の作成] ダイアログ ボックスを使用して 構成基準を作成 するには、次の手順に従います。

1. Configuration Manager コンソールで、[資産とコンプライアンス>コンプライアンス設定>構成基準] をクリックします。

2. [ ホーム ] タブの [ 作成 ] グループで、[ 構成基準の作成] をクリックします。

3. [ 構成基準の作成 ] ダイアログ ボックスで、構成基準の一意の名前と説明を入力します。 名前には最大 255 文字、説明には 512 文字を使用できます。

4. [構成データ] の一覧には、この構成基準に含まれるすべての構成項目または構成基準が表示されます。 [ 追加] をクリックして、新しい構成項目または構成基準を一覧に追加します。 次の項目から選択できます。

   • 構成項目

   • ソフトウェア Updates

   • 構成基準

     重要

     各構成基準を 1,000 以下のソフトウェア更新プログラムに制限する必要があります。

5. [目的の変更] リストを使用して、[構成データ] リストで選択した構成項目の動作を指定します。 次の項目から選択できます。

   • 必須: 構成項目がクライアント デバイスで検出されない場合、構成基準は非準拠として評価されます。 検出された場合は、コンプライアンスが評価されます

   • 省略可能: 構成項目は、参照するアプリケーションがクライアント コンピューターで見つかった場合にのみコンプライアンスが評価されます。 アプリケーションが見つからない場合、構成基準は非準拠としてマークされません (アプリケーション構成項目にのみ適用されます)。

   • 禁止: 構成基準は、クライアント コンピューターで構成項目が検出された場合に非準拠として評価されます (アプリケーション構成項目にのみ適用されます)。

   注:

   [目的の変更] ボックスの一覧は、[構成項目の作成ウィザード] の [全般] ページの [この構成項目にアプリケーション設定が含まれています] オプションをクリックした場合にのみ使用できます。

6. [リビジョンの変更] リストを使用して、クライアント デバイスのコンプライアンスを評価する構成項目の特定または最新のリビジョンを選択するか、[常に最新のリビジョンを使用する] を選択します。 構成項目のリビジョンの詳細については、「構成 データの管理タスク」を参照してください。

7. 構成基準から構成項目を削除するには、構成項目を選択し、[ 削除] をクリックします。

8. バージョン 1806 以降で、 共同管理クライアントに対して常にこのベースラインを適用するかどうかを選択します。 オンにすると、このベースラインは、Intuneによって管理されているクライアントにも適用されます。 この例外は、organizationで必要だが、Intuneではまだ使用できない設定を構成するために使用される場合があります。

9. 必要に応じて、[ カテゴリ ] をクリックして、検索とフィルター処理の基準にカテゴリを割り当てます。

10. [ OK] を クリックして [ 構成基準の作成 ] ダイアログ ボックスを閉じ、構成基準を作成します。

注:

[ 常にこのベースラインを共同管理クライアントに適用する] の設定など、既存のベースラインを変更すると、ベースライン コンテンツ のバージョンがインクリメントされます。 クライアントは、ベースライン レポートを更新するために新しいバージョンを評価する必要があります。

コンプライアンス ポリシー評価の一部としてカスタム構成基準を含める

コンプライアンス ポリシー評価ルールとして、カスタム構成基準の評価を追加できます。 構成基準を作成または編集する場合は、 コンプライアンス ポリシー評価の一環としてこのベースラインを評価するオプションがあります。 コンプライアンス ポリシールールを追加または編集する場合、コンプライアンス ポリシー 評価に構成されたベースラインを含めるという条件があります。 共同管理デバイスの場合、コンプライアンス評価の結果全体の一部としてConfiguration Managerコンプライアンス評価の結果を取得するようにIntuneを構成すると、この情報がMicrosoft Entra IDに送信されます。 その後、Microsoft 365 Apps リソースへの条件付きアクセスに使用できます。 詳細については、「 共同管理による条件付きアクセス」を参照してください。

コンプライアンス ポリシー評価の一部としてカスタム構成基準を含めるには、次の手順を実行します。

• コンプライアンス ポリシー評価に構成されたベースラインを含めるルールを使用して、コンプライアンス ポリシーを作成してユーザー コレクションに展開します。
• デバイス コレクションに展開された構成基準のコンプライアンス ポリシー評価の一部として、[このベースラインを評価する] を選択します。

重要

• 構成基準を デバイス コレクションに展開する必要があります。 これらの設定を使用する場合、 ユーザー コレクションにデプロイされたベースラインは適用されません。
• 共同管理されているデバイスをターゲットにする場合は、 共同管理の前提条件を満たしていることを確認します。 共同管理クライアントは、コンプライアンス ポリシーワークロードがIntuneによって管理されている場合、修復のためにサービス ウィンドウを無視します。
• Configuration Managerによって管理されるデバイスの場合、クライアントはコンプライアンス ポリシーの修復のためにサービス ウィンドウを優先します。 サービス ウィンドウを無視してすぐに修復するには、ソフトウェア センターで [コンプライアンスの確認] を選択します。

評価シナリオの例

ユーザーがコンプライアンス ポリシーを対象とするコレクションの一部であり、ルール条件 [構成されたベースラインをコンプライアンス ポリシー評価に含める] を含む場合、ユーザーまたはユーザーのデバイスに展開されている [コンプライアンス ポリシー評価の一部としてこのベースラインを評価 する] オプションが選択されているベースラインは、コンプライアンスが評価されます。 以下に例を示します。

• User1 は User Collection 1の一部です。
• User1は、Device Collection 1とDevice Collection 2にあるDevice1を使用します。
• Compliance Policy 1 には、 コンプライアンス ポリシー評価ルールの条件に構成されたベースラインを含める があり、 User Collection 1にデプロイされます。
• Configuration Baseline 1 は、[ コンプライアンス ポリシー評価の一部としてこのベースラインを評価 する] が選択され、 Device Collection 1にデプロイされます。
• Configuration Baseline 2 は、[ コンプライアンス ポリシー評価の一部としてこのベースラインを評価 する] が選択され、 Device Collection 2にデプロイされます。

このシナリオでは、Compliance Policy 1がDevice1を使用してUser1を評価すると、Configuration Baseline 1とConfiguration Baseline 2の両方も評価されます。

• User1 場合によっては、 Device2を使用することがあります。
• Device2は、 Device Collection 2 および Device Collection 3 のメンバーです。
• Device Collection 3 Configuration Baseline 3展開されていますが、コンプライアンス ポリシー評価の一部としてこのベースラインを評価することは選択されていません。

User1がDevice2を使用する場合、Compliance Policy 1評価時に評価されるのはConfiguration Baseline 2だけです。

注:

コンプライアンス ポリシーで、以前にクライアントで評価されたことのない新しいベースラインが評価された場合、コンプライアンス違反が報告される可能性があります。 これは、コンプライアンスの評価時にベースライン評価がまだ実行されている場合に発生します。 この問題を回避するには、ソフトウェア センターで [コンプライアンスの確認] をクリックします。

ベースライン コンプライアンス ポリシー評価の規則を使用してコンプライアンス ポリシーを作成して展開する

1. [ 資産とコンプライアンス ] ワークスペースで、[ コンプライアンス設定] を展開し、[ コンプライアンス ポリシー ] ノードを選択します。

2. リボンの [ コンプライアンス ポリシーの作成 ] をクリックして、 コンプライアンス ポリシーの作成ウィザードを表示します。

3. [全般] ページで、[Configuration Manager クライアントで管理されているデバイスのコンプライアンス規則] を選択します。

   • コンプライアンス ポリシー評価の一部としてカスタム構成基準を含めるためには、デバイスを Configuration Manager クライアントで管理する必要があります。

4. [サポートされているプラットフォーム] ページで プラットフォームを 選択します。

5. [ ルール ] ページで、[ 新規] を選択し、[ 構成済みのベースラインをコンプライアンス ポリシー評価条件に含める ] を選択します。

   

6. [ OK] をクリックし、[ 次へ ] をクリックして [概要 ] ページに移動します。

7. 選択内容を確認し、[ 次へ ]、[ 閉じる] の順にクリックします。

8. [ コンプライアンス ポリシー] ノードで 、作成したポリシーを右クリックし、[展開] を選択 します。

9. コレクション、アラート生成の設定、ポリシーのコンプライアンス評価スケジュールを選択します。

10. [ OK] を クリックしてコンプライアンス ポリシーを展開します。

構成基準を選択し、「コンプライアンス ポリシー評価の一環としてこのベースラインを評価する」をチェックします。

1. [ 資産とコンプライアンス ] ワークスペースで、[ コンプライアンス設定] を展開し、[ 構成基準 ] ノードを選択します。

2. デバイス コレクションに展開されている既存のベースラインを右クリックし、[プロパティ] を選択 します。 必要に応じて、新しいベースラインを作成できます。

   • ベースラインは、ユーザー コレクションではなくデバイス コレクションに展開する必要があります。

3. [コンプライアンス ポリシー評価の一部としてこのベースラインを評価する] 設定を有効にします。

   • デバイス構成機関としてIntuneされている共同管理デバイスの場合は、[共同管理クライアントに対しても常にこのベースラインを適用する] も選択されていることを確認します。

4. [ OK] を クリックして、構成基準への変更を保存します。

   

コンプライアンス ポリシー評価の一環としてのカスタム構成基準のログ ファイル

• ComplianceHandler.log
• SettingsAgent.log
• DCMAgent.log
• CIAgent.log

次の手順

構成データをインポートする