Windows 10/11 テンプレートを使用して、Microsoft Intuneでグループ ポリシー設定を構成する
重要
2412 年 12 月のリリース以降、Intune管理センターのテンプレート>管理用テンプレート プロファイルの種類から新しい管理用テンプレート ポリシーを作成することはできません。 ADMX テンプレート プロファイルを作成するには、 設定カタログを使用します。 この変更の詳細については、「Intuneの統合設定プラットフォームに移行する Windows デバイス構成ポリシー」を参照してください。
次の UI エクスペリエンスに変更はありません。
- カスタム ADMX テンプレートに使用される "インポートされた管理用テンプレート (プレビュー)" テンプレート。
Microsoft Intuneの 管理用テンプレート には、Microsoft Edge バージョン 77 以降、Internet Explorer、Google Chrome、Microsoft Office プログラム、リモート デスクトップ、OneDrive、パスワード、PIN などの機能を制御するための、数千の設定が含まれています。 これらの設定を使用すると、管理者はクラウドを使用してグループ ポリシーを作成できます。
この機能は、以下に適用されます。
- Windows 11
- Windows 10
Intune テンプレートは 100% クラウドベースで、Intuneに組み込まれており (ダウンロードなし)、OMA-URI の使用を含むカスタマイズは必要ありません。 必要な設定を簡単に見つけて構成できます。
Windows の設定 は、オンプレミスの Active Directory (AD) のグループ ポリシー (GPO) 設定に似ています。 これらの設定は Windows に組み込まれています。 これらは、XML を使用する ADMX によってサポートされる設定 です。
Office、Microsoft Edge、Visual Studio の設定は ADMX によって取り込まれており、オンプレミス環境でダウンロードするのと同じ管理用テンプレート ファイルを使用します。
カスタムおよびサードパーティの ADMX ファイルと ADML ファイルをインポートできます。 詳細については、「 カスタムまたはパートナーの ADMX ファイルをインポートする」を参照してください。
organizationでデバイスを管理する場合は、さまざまなデバイス グループに適用される設定のグループを作成する必要があります。 また、構成できる設定の単純なビューも必要です。 このタスクを完了するには、Microsoft Intuneの [管理用テンプレート] を使用します。
モバイル デバイス管理 (MDM) ソリューションの一部として、これらのテンプレート設定を使用して Windows クライアント デバイスを管理します。
この記事では、Windows クライアント デバイス用のテンプレートを作成する手順について説明し、Intuneのすべての設定をフィルター処理する方法について説明します。 テンプレートを作成すると、デバイス構成プロファイルが作成されます。 その後、組織のクライアント Windowsデバイスにこのプロファイルを割り当てまたは展開することができます。
はじめに
これらの設定の一部は、Windows 10 バージョン 1709 (RS2/ビルド 15063) 以降で使用可能です。 一部の設定は、すべての Windows エディションに含まれていません。 最適なエクスペリエンスを得るには、バージョン 1903 (19H1/ビルド 18362) 以降をWindows 10 Enterpriseすることをお勧めします。
Windows の設定では、Windows ポリシー CSP が使用されます。 CSP は、Home、Professional、Enterprise など、さまざまなエディションの Windows で動作します。 CSP が特定のエディションで動作するかどうかを確認するには、Windows ポリシー CSP に移動してください。
管理用テンプレートを作成するには、テンプレートを使用する方法と設定カタログを使用する方法の 2 つの方法があります。 この記事では、管理用テンプレート テンプレートの使用について説明します。 設定カタログには、より多くの管理用テンプレート設定が用意されています。
設定カタログを使用し、Microsoft Copilotを使用する方法については、「設定カタログを使用して設定を構成する」を参照してください。
ADMX テンプレートでは、次のソースが使用されます。
- Azure Virtual Desktop ターミナル サーバー: Azure Virtual Desktop の管理用テンプレート
- FSLogix: FSLogix の FSLogix グループ ポリシー テンプレート ファイル
- Google Chrome: Chrome エンタープライズ ポリシーの一覧
- Microsoft 365 アプリと Office: Microsoft 365 Apps、Office 2019、および Office 2016
- Microsoft Edge: Microsoft Edge ポリシー ファイル
- OneDrive: 同期設定を制御する OneDrive ポリシー - ポリシーの一覧
- Visual Studio: Visual Studio 管理用テンプレート (ADMX)
- Windows: Windows クライアント OS に組み込まれている
- Linux 用 Windows サブシステム: Linux 用 Windows サブシステム
テンプレートを作成する
Microsoft Intune 管理センターにサインインします。
[デバイス]>[デバイスの管理]>[構成]>[作成]>[新しいポリシー] の順に選択します。
次のプロパティを入力します。
- [プラットフォーム]: [Windows 10 以降] を選択します。
- [プロファイルの種類]: 設定の論理グループを使用するには、[テンプレート]>[管理用テンプレート] の順に選択します。 すべての設定を表示するには、[設定カタログ] を選択します。
[作成] を選択します。
[Basics]\(基本\) で次のプロパティを入力します。
- 名前: 後で簡単に識別できるように、プロファイルに名前を付けます。 たとえば、適切なプロファイル名は ADMX です。Microsoft Edgeで xyz 設定を構成する Windows 10/11 管理テンプレートです。
- 説明: この設定は省略可能ですが、推奨されます。
[次へ] を選択します。
設定を追加します。
重要
2412 年 12 月のリリース以降、Intune管理センターのテンプレート>管理用テンプレート プロファイルの種類から新しい管理用テンプレート ポリシーを作成することはできません。 ADMX テンプレート プロファイルを作成するには、 設定カタログを使用します。 この変更の詳細については、「Intuneの統合設定プラットフォームに移行する Windows デバイス構成ポリシー」を参照してください。
すべての設定のアルファベット順の一覧を表示するには、[ 構成設定] に移動し、[ すべての設定 ] を選択します。 または、デバイスに適用される設定 (コンピューターの構成)、またはユーザーに適用される設定 (ユーザー構成) を構成します。
[すべての設定] を選択すると、すべての設定が一覧表示されます。 さらに設定を表示するには、下へスクロールして戻る矢印と次へ矢印を使用します。
任意の設定を選択します。 たとえば、 Office でフィルター処理し、[ 制限付き閲覧のアクティブ化] を選択します。 設定の詳細説明が表示されます。 [ 有効] または [無効] を選択するか、[ 未構成 ] (既定値) のままにします。 詳細な説明では、[有効]、[無効]、または [未構成] を選択したときの動作についても説明されています。
ヒント
Intune の Windows の設定は、ローカル グループ ポリシー エディター (
gpedit
) に表示されるオンプレミスのグループ ポリシー パスに関連付けられます。[コンピューターの構成] または [ユーザーの構成] を選択すると、設定のカテゴリが表示されます。 任意のカテゴリを選択して、使用可能な設定を確認できます。
たとえば、Internet explorer に適用されるすべてのデバイス設定を表示するには、[コンピューターの構成]>[Windows コンポーネント]>[Internet Explorer] を選択します。
[OK] を選択して変更を保存します。
引き続き設定の一覧を確認し、環境内で必要な設定を構成します。 次に、いくつかの例を示します:
- [VBA マクロ通知設定] を使用して、Word や Excel などのさまざまな Microsoft Office プログラムで VBA マクロを処理します。
- [ファイルのダウンロードの許可] 設定を使用して、Internet Explorer からのダウンロードを許可または禁止します。
- [コンピューターのスリープ状態の解除時にパスワードを要求する (電源接続時)] を使用し、デバイスがスリープ モードから回復したときにユーザーにパスワードを求めるように設定します。
- [未署名の ActiveX コントロールのダウンロード] 設定を使用して、Internet Explorer からユーザーが未署名の ActiveX コントロールをダウンロードできないようブロックします。
- [ システムの復元を無効にする ] 設定を使用して、ユーザーがデバイスでシステム復元を実行することを許可または禁止します。
- [Allow importing of favorites]\(お気に入りのインポートを許可する\) 設定を使用し、別のブラウザーから Microsoft Edge にお気に入りをインポートする行為をユーザーに許可または禁止します。
- その他の ...
[次へ] を選択します。
スコープ タグ (オプション) で、
US-NC IT Team
やJohnGlenn_ITDepartment
など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。[次へ] を選択します。
[ 割り当て] で、プロファイルを受け取るユーザーまたはグループを選択します。 詳細については、「Intuneでユーザー プロファイルとデバイス プロファイルを割り当てる」を参照してください。
プロファイルがユーザー グループに割り当てられている場合、構成された ADMX 設定は、ユーザーが登録してサインインするすべてのデバイスに適用されます。 プロファイルがデバイス グループに割り当てられている場合、構成された ADMX 設定は、そのデバイスにサインインするすべてのユーザーに適用されます。 この割り当ては、ADMX 設定がコンピューター構成 (
HKEY_LOCAL_MACHINE
) またはユーザー構成 (HKEY_CURRENT_USER
) である場合に発生します。 一部の設定では、ユーザーに割り当てられたコンピューター設定が、そのデバイスの他のユーザーのエクスペリエンスに影響することもあります。詳細については、「ポリシーの割り当て時のユーザー グループとデバイス グループ」 を参照してください。
[次へ] を選択します。
[確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。
デバイスによって次に構成の更新が確認されるときに、構成した設定が適用されます。
一部の設定を見つける
これらのテンプレートで使用できる設定は数千に及びます。 特定の設定を見つけやすくするには、組み込みの機能を使用します。
使用するテンプレートで [設定]、[状態]、[設定の種類]、または [パス] 列を選択し、一覧を並べ替えます。 たとえば、[パス] 列を選択し、隣の矢印を使用して、
Microsoft Excel
パス内の設定を表示します。テンプレートで検索ボックスを使用して、特定の設定を見つけます。 または パスを設定して検索できます。 たとえば、[ すべての設定 ] を選択し、
copy
を検索します。 「copy
」を含むすべての設定が表示されます。もう 1 つの例として、「
microsoft word
」を検索します。 Microsoft Word プログラムに対して設定できる各設定が表示されます。 「explorer
」を検索して、テンプレートに追加できる Internet Explorer の設定を確認します。[コンピューターの構成] または [ユーザーの構成] を選択して、検索を絞り込むこともできます。
たとえば、使用可能なすべてのインターネット エクスプローラーユーザー設定を表示するには、[ユーザーの構成] を選択し、
Internet Explorer
を検索します。 ユーザーに適用されるインターネット エクスプローラー設定のみが表示されます。
既知の問題のロールバック ポリシーを作成する
登録済みデバイスでは、管理テンプレートを使用して既知の問題ロールバック (KIR) ポリシーを作成し、このポリシーを Windows デバイスに展開できます。 「MICROSOFT INTUNE ADMX ポリシー インジェストを使用してマネージド デバイスに KIR ライセンス認証をデプロイする」を参照してください。
KIR の詳細については、次を参照してください。
- Known Issue Rollback: Windows デバイスの保護と生産性の維持に役立つ
- オンプレミスのグループ ポリシーまたは Intune を使用して Known Issue Rollback を展開する方法
次の手順
テンプレートは作成されますが、まだ何も行っていない可能性があります。 テンプレート (プロファイルとも呼ばれる) の割り当て と ポリシーの状態の監視 を必ず行ってください。
関連項目: