Microsoft Intune のポリシーとプロファイルに関する一般的な質問、回答、シナリオ。
重要
2022 年 10 月 22 日、Microsoft Intune は Windows 8.1 を実行しているデバイスのサポートを終了しました。 これらのデバイスでは技術サポートや自動更新は利用できません。
現在Windows 8.1を使用している場合は、Windows 10/11 デバイスに移動します。 Microsoft Intune には、Windows 10/11 クライアント デバイスを管理するセキュリティ機能とデバイス機能が組み込まれています。
Intune でポリシーを操作するときの一般的な質問への回答を入手します。 この記事には、チェックイン時刻の間隔のリストもあり、競合などの詳細についても提供します。
この記事は以下のポリシーに適用されます:
- アプリ保護ポリシー
- アプリ構成ポリシー
- コンプライアンス ポリシー
- 条件付きアクセス ポリシー
- デバイスの構成プロファイル
- 登録ポリシー
ポリシー更新間隔
Intune では、Intune サービスにチェックインするようデバイスに通知されます。 通知の時間は即時から数時間後までさまざまです。 これらの通知時間は、プラットフォームによっても異なります。 Android デバイスでは、 Google Mobile Services (GMS) がポリシーの更新間隔に影響を与える可能性があります。
最初の通知後、デバイスがチェックインしてポリシーまたはプロファイルを取得しなかった場合、Intune ではさらに 3 回試行されます。 電源がオフになっていたり、ネットワークから切断されていたりするようなオフライン デバイスでは、通知が受信されない可能性があります。 この場合、デバイスでは次回のスケジュールされた Intune サービスへのチェックインでポリシーまたはプロファイルを取得します。 同様のことが、準拠している状態から準拠していない状態に移行するデバイスを含む、コンプライアンス違反の確認に適用されます。
"推定" 頻度:
プラットフォーム | 更新サイクル |
---|---|
Android、AOSP | 約 8 時間ごと |
iOS/iPadOS | 約 8 時間ごと |
macOS | 約 8 時間ごと |
Windows 10/11 の PC をデバイスとして登録 | 約 8 時間ごと |
Windows 8.1 | 約 8 時間ごと |
デバイスを最近登録した場合は、コンプライアンス、コンプライアンス違反、構成のチェックインの実行頻度が高くなります。 チェックインは、次のように推定されます。
プラットフォーム | 頻度 |
---|---|
Android、AOSP | 15 分まで 3 分ごと、その後の 2 時間は 15 分ごと、その後は約 8 時間ごと |
iOS/iPadOS | 1 時間まで 15 分ごと、その後は約 8 時間ごと |
macOS | 1 時間まで 15 分ごと、その後は約 8 時間ごと |
Windows 10/11 の PC をデバイスとして登録 | 15 分まで 3 分ごと、その後の 2 時間は 15 分ごと、その後は約 8 時間ごと |
Windows 8.1 | 15 分まで 5 分ごと、その後の 2 時間は 15 分ごと、その後は約 8 時間ごと |
アプリ保護ポリシーの更新間隔については、「アプリ保護ポリシーの配信タイミング」を参照してください。
ユーザーはいつでも、ポータル サイト アプリ、[デバイス]>[チェック状態]、または [設定]>[同期] を開いて、ポリシーまたはプロファイルの更新をすぐに確認できます。 Intune 管理拡張機能エージェントまたは Win32 アプリの関連情報については、「Microsoft Intuneでの Win32 アプリ管理」を参照してください。
デバイスに通知を即時に送信する Intune アクション
通知がトリガーされるさまざまな操作があります。 たとえば、ポリシー、プロファイル、またはアプリの割り当て (または割り当て解除)、更新、削除などが行われたときです。 これらのアクションの時間はプラットフォームによって異なります。
デバイスは、チェックインを指示する通知を受け取ったとき、またはスケジュールされたチェックイン時に Intune にチェックインします。 操作でデバイスまたはユーザーを対象とする場合、チェックインしてこれらの更新プログラムを受信するように Intune からデバイスにすぐに通知されます。 たとえば、ロック、パスコードのリセット、アプリ、またはポリシーの割り当てアクションが実行されると通知が発生します。
その他の変更 (ポータル サイト アプリの連絡先情報の変更や .ipa
ファイルの更新など) では、デバイスへの即時通知は行われません。
ポリシーまたはプロファイルの設定は、チェックインのたびに適用されます。 Windows 10 MDM ポリシー更新に関するお客様のブログ投稿は、良いリソースになる可能性があります。
競合
異なるポリシーによって同じ設定が異なる値に更新されると、競合が発生する可能性があります。 たとえば、コピー/貼り付け設定を異なる値に更新する 2 つのポリシーがあるとします。 競合の処理方法は、ポリシーの種類によって異なります。
Intune で Microsoft Copilot を使用する場合、Copilot は競合の解決に役立ちます。 詳細については、「Intune の Copilot でのポリシーと設定の管理」を参照してください。
Intune の Microsoft Copilot を使用して、ポリシーとポリシーで構成されている設定に関する詳細情報を取得することもできます。
競合するアプリ保護ポリシー
競合値は、アプリ保護ポリシーで使用できる最も制限の厳しい設定です。 例外は、リセット前の PIN の試行など、数値入力フィールドです。 数値入力フィールドは、推奨設定オプションを使用して MAM ポリシーを作成した場合と同様に、値と同じように設定されます。
競合は、2 つのプロファイル設定が同じ場合に発生します。 たとえば、コピー/貼り付けの設定以外は同じ MAM ポリシーを 2 つ構成したとします。 このシナリオでは、コピー/貼り付けの設定が最も制限の厳しい値に設定されます。 残りの設定は、構成済みとして適用されます。
ポリシーがアプリに展開され、有効になります。 2 番目のポリシーが展開されます。 このシナリオでは、最初のポリシーが優先され、適用されたままになります。 2 つ目のポリシーは競合を示しています。 両方を同時に適用する (つまり、優先されるポリシーがない) 場合、両方が競合の状態になります。 競合する設定は、最も制限の厳しい値に設定されます。
競合するコンプライアンス ポリシーとデバイス構成ポリシー
2 つ以上のポリシーが同じユーザーまたはデバイスに割り当てられる場合、適用される設定は個々の設定レベルで行われます:
コンプライアンス ポリシーを使用してデバイス設定を評価する場合、コンプライアンス ポリシー内の設定は、デバイス構成ポリシー内の同じ設定よりも優先されます。 コンプライアンス ポリシーの設定は、常に構成プロファイルの設定よりも優先されます。
別のコンプライアンス ポリシーの同じ設定についてコンプライアンス ポリシーを評価する場合、最も制限の厳しいコンプライアンス ポリシーの設定が適用されます。
構成ポリシーの設定が別の構成ポリシーの設定と競合する場合、Intune にこの競合が表示されます。 これらの競合は手動で解決します。
Intune 管理センターには、グループ ポリシー分析、エンドポイント セキュリティ、セキュリティ ベースラインなど、構成ポリシーを作成できる場所がいくつかあります。 競合があり、複数のポリシーがある場合は、ポリシーを構成したすべての場所を確認します。 また、組み込みのレポート機能は競合に役立ちます。 使用可能なレポートの詳細については、「Intune レポート」を参照してください。
競合するカスタム iOS/iPadOS または macOS ポリシー
Intune は Apple 構成ファイルのペイロードまたはカスタム Open Mobile Alliance Uniform Resource Identifier (OMA-URI) ポリシーを評価しません。 配信メカニズムとしてのみ機能します。
カスタム ポリシーを割り当てるときは、構成した設定がコンプライアンス、構成、または他のカスタム ポリシーと競合していないことを確認してください。 カスタム ポリシーとその設定が競合する場合、Apple は設定をランダムに適用します。
組み込みのレポート機能は、競合に役立ちます。 使用可能なレポートの詳細については、「Intune レポート」を参照してください。
プロファイルが削除されたか、適用できなくなりました
プロファイルを削除するか、プロファイルが割り当てられているグループからデバイスを削除すると、プロファイルと設定がデバイスから削除されます。 具体的には、次のリストの説明に従って削除されます。
Wi-Fi、VPN、証明書、電子メールのプロファイル: これらのプロファイルは、すべてのサポートされる登録デバイスから削除されます。
他のすべてのプロファイルの種類:
Android デバイス: 設定はデバイスから削除されません。
iOS/iPadOS: 次を除き、すべての設定が削除されます。
- 音声通話ローミングを許可する
- データ ローミングを許可する
- ローミング中の自動同期を許可する
Windows デバイス: プロファイルを削除または割り当て解除した後、Microsoft Entra ユーザーにデバイスにサインインしてもらい、Intune サービスと同期します。
Intune の設定は、Windows 構成サービスプロバイダー (CSP) に基づいています。 動作は CSP によって異なります。 一部の CSP では設定が削除され、他の CSP では設定が保持されます (これは、タトゥーとも呼ばれます)。
プロファイルは、ユーザー グループに適用されます。 その後、ユーザーはグループから削除されます。 次の場合には、そのユーザーから設定が削除されるまで最大 7 時間以上かかる場合があります。
- Intune 管理センターのポリシー割り当てから削除するプロファイル
- プラットフォーム固有のポリシー更新サイクルを使用して Intune オブジェクトと同期するデバイス (この記事の内容)
デバイス制限プロファイルを変更しましたが、変更内容が適用されていません
制限の緩いプロファイルを適用するには、一部のデバイスを廃止し、Intune に再登録する必要がある場合があります。 たとえば、Android、iOS/iPadOS、Windows クライアント デバイスを廃止して再登録する必要がある場合があります。
Windows 10/11 プロファイルの一部の設定では、"該当なし" が返されます
Windows クライアント デバイスの一部の設定は、[該当なし] と表示される場合があります。 このような状況が発生する場合、その特定の設定が、デバイスで実行されている Windows のバージョンまたはエディションでサポートされていません。 このメッセージは、次の理由で表示される可能性があります。
- 設定が、デバイス上の現在のオペレーティング システム (OS) のバージョンではなく、新しいバージョンの Windows でのみ使用可能である。
- 設定が、特定の Windows エディションまたは特定の SKU (Home、Professional、Enterprise、Education など) でのみに使用可能である。
さまざまな設定に対するバージョンとエディション要件の詳細については、「構成サービス プロバイダー (CSP) のリファレンス」を参照してください。
デバイスを登録すると、動的デバイス グループに割り当てられたアプリとポリシーの適用に遅延が発生します
登録中に、Microsoft Entra 動的デバイス グループを使用できます。 たとえば、デバイスの名前または登録プロファイルに基づいて動的デバイス グループを作成できます。
登録プロファイルは、デバイスの初期セットアップ時にデバイス レコードに適用されます。 Microsoft Entra の動的グループ化はすぐには行われません。 テナント内で行われた他の変更によっては、デバイスがしばらく動的グループに含まれない場合があります (数分から数時間かかる場合があります)。
デバイスがグループに追加されていない場合、最初の Intune チェックイン時にアプリとポリシーはデバイスに割り当てられません。 ポリシーは次のスケジュールされたチェックインまで適用されない可能性があります。
セットアップ/登録シナリオにおいてアプリとポリシーの迅速な配信が重要な場合は、動的なデバイス グループではなくユーザー グループにアプリとポリシーを割り当てます。 ユーザー グループには、デバイスのセットアップ前にメンバーが事前に入力されているため、このような遅延は発生しません。
動的グループの詳細については、次を参照してください:
- Intune でユーザーとデバイスを整理するためのグループを追加する
- Intune を使用してグループ化、ターゲット設定、フィルター処理する場合のパフォーマンスに関する推奨事項
- Microsoft Entra ID のグループの動的メンバーシップ ルール
"同期を開始できませんでした (0x80072f9a)" エラー
Windows デバイスで 、設定 アプリ >Accounts>Access 職場または学校で同期しようとすると、 The sync could not be initiated (0x80072f9a)
エラーが表示される場合があります。
トラステッド プラットフォーム モジュール (TPM) が出荷時の設定にリセットされた場合、デバイスを再登録して同期を再開する必要があります。 デバイスのMicrosoft Entra ID は TPM に格納されます。 そのため、ID が削除された場合は、再登録がMicrosoft Entra ID を再確立する唯一の方法です。
関連記事
- ポリシーとプロファイルのトラブルシューティング。
- さらに支援が必要ですか? 「Microsoft Intune でサポートを受ける方法」を参照してください。