Microsoft Intune のポリシーとプロファイルに関する一般的な質問、回答、シナリオ。
重要
2022 年 10 月 22 日、Microsoft Intune は Windows 8.1 を実行しているデバイスのサポートを終了しました。 これらのデバイスでは技術サポートや自動更新は利用できません。
現在Windows 8.1を使用している場合は、Windows 10/11 デバイスに移動します。 Microsoft Intune には、Windows 10/11 クライアント デバイスを管理するセキュリティ機能とデバイス機能が組み込まれています。
Intune でポリシーを操作するときの一般的な質問への回答を入手します。 この記事には、チェックイン時刻の間隔のリストもあり、競合などの詳細についても提供します。
この記事は以下のポリシーに適用されます:
- アプリ保護ポリシー
- アプリ構成ポリシー
- コンプライアンス ポリシー
- 条件付きアクセス ポリシー
- デバイスの構成プロファイル
- 登録ポリシー
ポリシー更新間隔
デバイスがチェックインすると、現在のユーザー/デバイス コンテキストのコンプライアンス、コンプライアンス違反、構成がすぐにチェックされ、保留中のアクション、ポリシー、アプリが割り当てられます。
チェックインには、次の 4 種類のメインがあります。
スケジュールされたチェックイン - これらのチェックは所定の間隔で行われ、プラットフォームに応じてクライアントまたはサービスによって開始できます。 チェックインは、次のように見積もられます。
プラットフォーム | 推定更新サイクル |
---|---|
Android、AOSP | 約 8 時間ごと |
iOS/iPadOS | 約 8 時間ごと |
macOS | 約 8 時間ごと |
Windows 10/11 の PC をデバイスとして登録 | 約 8 時間ごと |
エンド ユーザー主導のチェックイン – これらのチェックは、ポータル サイト アプリで特定のアクションを実行する場合 (デバイス>状態の確認や設定>Sync を使用してポリシーやプロファイルの更新をチェックしたり、ダウンロードするアプリを選択したりするときに、エンド ユーザーによって駆動されます。
管理 チェックイン - これらのチェックは、デバイス同期、リモート ロック、パスコードのリセットなど、Intune ポータルから 1 つのデバイスで特定のアクションを実行する場合に管理者によって駆動されます。 リモートでユーザーを支援するなどの他のアクションでは、デバイスのチェックが発生しません。
通知ベースのチェックイン - これらのチェックは、通知をトリガーするさまざまなアクションによって発生します。 たとえば、ポリシー、プロファイル、またはアプリが割り当てられている (または割り当てられていない)、更新、削除、またはグループ メンバーシップの更新などのバックグラウンドで特定の変更が行われた場合Microsoft Entra。 その他の変更では、ユーザーが使用可能なアプリを追加するなど、デバイスに対する即時の通知は発生しません。
Intuneは、Intune サービスを使用してチェックにオンライン デバイスに通知します。 通知時間は、すぐにから数時間まで異なります。 これらの通知時間は、プラットフォームによっても異なります。
Android デバイスでは、 Google Mobile Services (GMS) がポリシーの更新間隔に影響を与える可能性があります。
iOS デバイスでは、 特定の条件がポリシーの更新間隔に影響する可能性があります。
電源オフや切断されたデバイスなどのオフライン デバイスが通知を受け取らない可能性があります。 この場合、デバイスは、次にスケジュールされたチェックでIntuneでポリシーまたはプロファイルを取得します。
注:
Intune レポートが、Intune ポータルのデバイスのポリシーの最新の状態を反映するには、さらに時間がかかる場合があります。
さらに、デバイスが最初に登録されると、構成チェックインがより頻繁に実行され、構成、コンプライアンス、およびコンプライアンス違反のチェックが実行されます。 チェックインは、次のように見積もられます。
プラットフォーム | 推定更新サイクル |
---|---|
Android、AOSP | 15 分まで 3 分ごと、その後の 2 時間は 15 分ごと、その後は約 8 時間ごと |
iOS/iPadOS | 1 時間まで 15 分ごと、その後は約 8 時間ごと |
macOS | 1 時間まで 15 分ごと、その後は約 8 時間ごと |
Windows 10/11 の PC をデバイスとして登録 | 15 分まで 3 分ごと、その後の 2 時間は 15 分ごと、その後は約 8 時間ごと |
アプリ保護ポリシーの更新間隔については、「アプリ保護ポリシーの配信タイミング」を参照してください。
ポータル サイト
ユーザーはいつでも、ポータル サイト アプリを開いて [デバイス] に移動し>状態を確認してデバイスの設定を評価し、職場または学校のリソースへのアクセスを確認したり、[設定]>Sync に移動して、organizationから最新の更新プログラム、要件、通信を取得したりできます。
Intune 管理拡張機能エージェントまたは Win32 アプリの関連情報については、「Microsoft Intuneでの Win32 アプリ管理」を参照してください。
関連情報については、「Windows 用に登録済みデバイスを同期する」と「windows 用のデバイス アクセスを確認する」ポータル サイト参照してください。
競合
異なるポリシーによって同じ設定が異なる値に更新されると、競合が発生する可能性があります。 たとえば、コピー/貼り付け設定を異なる値に更新する 2 つのポリシーがあるとします。 競合の処理方法は、ポリシーの種類によって異なります。
Intune で Microsoft Copilot を使用する場合、Copilot は競合の解決に役立ちます。 詳細については、「Intune の Copilot でのポリシーと設定の管理」を参照してください。
Intune の Microsoft Copilot を使用して、ポリシーとポリシーで構成されている設定に関する詳細情報を取得することもできます。
競合するアプリ保護ポリシー
競合値は、アプリ保護ポリシーで使用できる最も制限の厳しい設定です。 例外は、リセット前の PIN の試行など、数値入力フィールドです。 数値入力フィールドは、推奨設定オプションを使用して MAM ポリシーを作成した場合と同様に、値と同じように設定されます。
競合は、2 つのプロファイル設定が同じ場合に発生します。 たとえば、コピー/貼り付けの設定以外は同じ MAM ポリシーを 2 つ構成したとします。 このシナリオでは、コピー/貼り付けの設定が最も制限の厳しい値に設定されます。 残りの設定は、構成済みとして適用されます。
ポリシーがアプリに展開され、有効になります。 2 番目のポリシーが展開されます。 このシナリオでは、最初のポリシーが優先され、適用されたままになります。 2 つ目のポリシーは競合を示しています。 両方を同時に適用する (つまり、優先されるポリシーがない) 場合、両方が競合の状態になります。 競合する設定は、最も制限の厳しい値に設定されます。
競合するコンプライアンス ポリシーとデバイス構成ポリシー
2 つ以上のポリシーが同じユーザーまたはデバイスに割り当てられる場合、適用される設定は個々の設定レベルで行われます:
コンプライアンス ポリシーを使用してデバイス設定を評価する場合、コンプライアンス ポリシー内の設定は、デバイス構成ポリシー内の同じ設定よりも優先されます。 コンプライアンス ポリシーの設定は、常に構成プロファイルの設定よりも優先されます。
別のコンプライアンス ポリシーの同じ設定についてコンプライアンス ポリシーを評価する場合、最も制限の厳しいコンプライアンス ポリシーの設定が適用されます。
構成ポリシーの設定が別の構成ポリシーの設定と競合する場合、Intune にこの競合が表示されます。 これらの競合は手動で解決します。
Intune 管理センターには、グループ ポリシー分析、エンドポイント セキュリティ、セキュリティ ベースラインなど、構成ポリシーを作成できる場所がいくつかあります。 競合があり、複数のポリシーがある場合は、ポリシーを構成したすべての場所を確認します。 また、組み込みのレポート機能は競合に役立ちます。 使用可能なレポートの詳細については、「Intune レポート」を参照してください。
競合するカスタム iOS/iPadOS または macOS ポリシー
Intune は Apple 構成ファイルのペイロードまたはカスタム Open Mobile Alliance Uniform Resource Identifier (OMA-URI) ポリシーを評価しません。 配信メカニズムとしてのみ機能します。
カスタム ポリシーを割り当てるときは、構成した設定がコンプライアンス、構成、または他のカスタム ポリシーと競合していないことを確認してください。 カスタム ポリシーとその設定が競合する場合、Apple は設定をランダムに適用します。
組み込みのレポート機能は、競合に役立ちます。 使用可能なレポートの詳細については、「Intune レポート」を参照してください。
プロファイルが削除されたか、適用できなくなりました
プロファイルを削除するか、プロファイルが割り当てられているグループからデバイスを削除すると、プロファイルと設定がデバイスから削除されます。 具体的には、次のリストの説明に従って削除されます。
Wi-Fi、VPN、証明書、電子メールのプロファイル: これらのプロファイルは、すべてのサポートされる登録デバイスから削除されます。
他のすべてのプロファイルの種類:
Android デバイス: 設定はデバイスから削除されません。
iOS/iPadOS: 次を除き、すべての設定が削除されます。
- 音声通話ローミングを許可する
- データ ローミングを許可する
- ローミング中の自動同期を許可する
Windows デバイス: プロファイルを削除または割り当て解除した後、Microsoft Entra ユーザーにデバイスにサインインしてもらい、Intune サービスと同期します。
Intune の設定は、Windows 構成サービスプロバイダー (CSP) に基づいています。 動作は CSP によって異なります。 一部の CSP では設定が削除され、他の CSP では設定が保持されます (これは、タトゥーとも呼ばれます)。
プロファイルは、ユーザー グループに適用されます。 その後、ユーザーはグループから削除されます。 次の場合には、そのユーザーから設定が削除されるまで最大 7 時間以上かかる場合があります。
- Intune 管理センターのポリシー割り当てから削除するプロファイル
- プラットフォーム固有のポリシー更新サイクルを使用して Intune オブジェクトと同期するデバイス (この記事の内容)
デバイス制限プロファイルを変更しましたが、変更内容が適用されていません
制限の緩いプロファイルを適用するには、一部のデバイスを廃止し、Intune に再登録する必要がある場合があります。 たとえば、Android、iOS/iPadOS、Windows クライアント デバイスを廃止して再登録する必要がある場合があります。
Windows 10/11 プロファイルの一部の設定では、"該当なし" が返されます
Windows クライアント デバイスの一部の設定は、[該当なし] と表示される場合があります。 このような状況が発生する場合、その特定の設定が、デバイスで実行されている Windows のバージョンまたはエディションでサポートされていません。 このメッセージは、次の理由で表示される可能性があります。
- 設定が、デバイス上の現在のオペレーティング システム (OS) のバージョンではなく、新しいバージョンの Windows でのみ使用可能である。
- 設定が、特定の Windows エディションまたは特定の SKU (Home、Professional、Enterprise、Education など) でのみに使用可能である。
さまざまな設定に対するバージョンとエディション要件の詳細については、「構成サービス プロバイダー (CSP) のリファレンス」を参照してください。
デバイスを登録すると、動的デバイス グループに割り当てられたアプリとポリシーの適用に遅延が発生します
登録中に、Microsoft Entra 動的デバイス グループを使用できます。 たとえば、デバイスの名前または登録プロファイルに基づいて動的デバイス グループを作成できます。
登録プロファイルは、デバイスの初期セットアップ時にデバイス レコードに適用されます。 Microsoft Entra の動的グループ化はすぐには行われません。 テナント内で行われた他の変更によっては、デバイスがしばらく動的グループに含まれない場合があります (数分から数時間かかる場合があります)。
デバイスがグループに追加されていない場合、最初の Intune チェックイン時にアプリとポリシーはデバイスに割り当てられません。 ポリシーは次のスケジュールされたチェックインまで適用されない可能性があります。
セットアップ/登録シナリオにおいてアプリとポリシーの迅速な配信が重要な場合は、動的なデバイス グループではなくユーザー グループにアプリとポリシーを割り当てます。 ユーザー グループには、デバイスのセットアップ前にメンバーが事前に入力されているため、このような遅延は発生しません。
動的グループの詳細については、次を参照してください:
- Intune でユーザーとデバイスを整理するためのグループを追加する
- Intune を使用してグループ化、ターゲット設定、フィルター処理する場合のパフォーマンスに関する推奨事項
- Microsoft Entra ID のグループの動的メンバーシップ ルール
"同期を開始できませんでした (0x80072f9a)" エラー
Windows デバイスで 、設定 アプリ >Accounts>Access 職場または学校で同期しようとすると、 The sync could not be initiated (0x80072f9a)
エラーが表示される場合があります。
トラステッド プラットフォーム モジュール (TPM) が出荷時の設定にリセットされた場合、デバイスを再登録して同期を再開する必要があります。 デバイスのMicrosoft Entra ID は TPM に格納されます。 そのため、ID が削除された場合は、再登録がMicrosoft Entra ID を再確立する唯一の方法です。
関連記事
- ポリシーとプロファイルのトラブルシューティング。
- さらに支援が必要ですか? 「Microsoft Intune でサポートを受ける方法」を参照してください。