Intune での iOS/iPadOS のデバイス コンプライアンス設定

この記事では、Intune の iOS/iPadOS デバイスで構成できるさまざまなコンプライアンス設定の一覧と説明を示します。 モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用してメールを要求し、ルート化 (脱獄) デバイスを準拠していないとマークし、許可された脅威レベルを設定し、パスワードを期限切れに設定します。

この機能は、以下に適用されます。

• iOS/iPadOS

Intune 管理者は、これらのコンプライアンス設定を使用して、組織のリソースを保護します。

開始する前に

• コンプライアンス ポリシーとその機能の詳細については、「 デバイス コンプライアンスの概要」を参照してください。
• iOS/iPadOS デバイス コンプライアンス ポリシーを作成するには、「 Microsoft Intune でコンプライアンス ポリシーを作成する」を参照してください。 [プラットフォーム] で [iOS/iPadOS] を選択します。

電子メール

• デバイスでメールを設定できない

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
  • 必須 - マネージド メール アカウントが必要です。 ユーザーが既にデバイスにメール アカウントを持っている場合は、Intune が正しく設定できるようにメール アカウントを削除する必要があります。 デバイスに電子メール アカウントが存在しない場合、ユーザーは IT 管理者に連絡してマネージド メール アカウントを構成する必要があります。

  デバイスは、次の状況では非準拠と見なされます。

  • 電子メール プロファイルは、コンプライアンス ポリシーの対象となるユーザー グループとは異なるユーザー グループに割り当てられます。
  • ユーザーは、デバイスに展開された Intune 電子メール プロファイルと一致する電子メール アカウントをデバイスに既に設定しています。 Intune では、ユーザーが構成したプロファイルを上書きすることはできません。また、Intune でプロファイルを管理することもできません。 準拠するには、エンド ユーザーが既存のメール設定を削除する必要があります。 その後、Intune はマネージド メール プロファイルをインストールできます。

電子メール プロファイルの詳細については、「 Intune で電子メール プロファイルを使用して組織の電子メールへのアクセスを構成する」を参照してください。

デバイスの正常性

• 脱獄されたデバイス
  iOS 8.0 以降でサポートされています

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
  • [ブロック ] - ルート化された (脱獄された) デバイスを準拠していないとしてマークします。

• デバイスは、デバイス脅威レベル以下であることが必要
  iOS 8.0 以降でサポートされています

  この設定を使用して、コンプライアンスの条件としてリスク評価を行います。 許可される脅威レベルを選択します。

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
  • セキュリティ保護済み - このオプションは最も安全であり、デバイスに脅威を持つことができないことを意味します。 任意のレベルの脅威を持つデバイスは非準拠として評価されます。
  • 低 - 低レベルの脅威のみが存在する場合、デバイスは準拠として評価されます。 低レベルより高い脅威が存在する場合、デバイスは非準拠状態になります。
  • 中 - デバイスに存在する脅威が低レベルまたは中レベルの場合、デバイスは準拠として評価されます。 高レベルの脅威を持つデバイスは、非準拠と見なされます。
  • High - このオプションは、すべての脅威レベルを許可するため、最も安全性が低いオプションです。 このソリューションをレポート目的でのみ使用する場合に便利です。

デバイスのプロパティ

オペレーティング システムのバージョン

• 最小 OS バージョン
  iOS 8.0 以降でサポートされています

  OS の最小バージョン要件を満たしていないデバイスは、非準拠と見なされます。 ユーザーは、アップグレード方法に関する情報を含むリンクを表示でき、デバイスのアップグレードを選択できます。 その後、組織のリソースにアクセスできます。

• 最大 OS バージョン
  iOS 8.0 以降でサポートされています

  デバイスが規則のバージョンより後の OS バージョンを使用すると、組織のリソースへのアクセスがブロックされます。 エンド ユーザーは、IT 管理者に問い合わせるよう求められます。 OS バージョンを許可するようにルールが変更されるまで、デバイスは組織のリソースにアクセスできません。

• OS ビルドの最小バージョン
  iOS 8.0 以降でサポートされています

  Apple がセキュリティ更新プログラムを発行すると、通常、ビルド番号は OS バージョンではなく更新されます。 この機能を使用して、デバイスで許可される最小ビルド番号を指定します。 Apple Rapid Security Response 更新プログラムの場合は、 20E772520aなどの補足ビルド バージョンを入力します。

• OS ビルドの最大バージョン
  iOS 8.0 以降でサポートされています

  Apple がセキュリティ更新プログラムを発行すると、通常、ビルド番号は OS バージョンではなく更新されます。 この機能を使用して、デバイスで許可される最大ビルド番号を入力します。 Apple Rapid Security Response 更新プログラムの場合は、 20E772520aなどの補足ビルド バージョンを入力します。

Microsoft Defender for Endpoint

• デバイスは、次のマシン リスク スコア以下であることが必要

  Microsoft Defender for Endpoint によって評価されたデバイスに対して許可される最大マシン リスク スコアを選択します。 このスコアを超えるデバイスは、非準拠としてマークされます。

  • 未構成 (既定値)
  • Clear
  • 低
  • [ Medium]
  • High

システム セキュリティ

Password

注:

コンプライアンスまたは構成ポリシーが iOS/iPadOS デバイスに適用されると、ユーザーは 15 分ごとにパスコードを設定するように求められます。 パスコードが設定されるまで、ユーザーに継続的にメッセージが表示されます。 iOS/iPadOS デバイスのパスコードが設定されると、暗号化プロセスが自動的に開始されます。 パスコードが無効になるまで、デバイスは暗号化されたままになります。

• モバイル デバイスのロックを解除するパスワードを要求する

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたは非準拠については評価されません。
  • 必須 - ユーザーは、デバイスにアクセスする前にパスワードを入力する必要があります。 パスワードを使用する iOS/iPadOS デバイスは暗号化されます。

• 単純なパスワード
  iOS 8.0 以降でサポートされています

  • 未構成 (既定値) - ユーザーは 1234 や 1111 などの単純なパスワードを作成できます。
  • ブロック - ユーザーは、1234 や 1111 などの単純なパスワードを作成できません。

• パスワードの最小文字数
  iOS 8.0 以降でサポートされています

  パスワードに必要な最小桁数または文字数を入力します。

• パスワードの入力が必要
  iOS 8.0 以降でサポートされています

  パスワードに数字のみを含めるか、 数字 とその他の文字 (英数字) を混在させる必要があるかどうかを選択します。

• パスワード内の英数字以外の文字数
  パスワードに必要な特殊文字の最小数 ( &、 #、 %、 !など) を入力します。

  数値を大きく設定するには、より複雑なパスワードを作成する必要があります。

• 画面ロック後にパスワードが要求されるまでの最長時間 (分)
  iOS 8.0 以降でサポートされています

  ユーザーがデバイスにアクセスするためにパスワードを入力する必要がある前に、画面がロックされた後の時間を指定します。 オプションには、既定の [未構成]、[ 直ちに]、[ 1 分 ] から [4 時間] が含まれます。

• 画面がロックされるまでの非アクティブな最長時間 (分)
  デバイスが画面をロックするまでのアイドル時間を入力します。 オプションには、既定の [未構成]、[ 直ちに]、[ 1 分 ] から [15 分] が含まれます。

• パスワードの有効期限 (日)
  iOS 8.0 以降でサポートされています

  パスワードの有効期限が切れるまでの日数を選択し、新しいパスワードを作成する必要があります。

• 再使用を禁止するパスワード世代数
  iOS 8.0 以降でサポートされています

  使用できない以前に使用したパスワードの数を入力します。

デバイスのセキュリティ

• 制限されたアプリ
  アプリを制限するには、バンドル ID をポリシーに追加します。 デバイスにアプリがインストールされている場合、デバイスは非準拠としてマークされます。

  • [アプリ名 ] - バンドル ID を識別するのに役立つわかりやすい名前を入力します。

  • アプリ バンドル ID - アプリ プロバイダーによって割り当てられた一意のバンドル識別子を入力します。

    アプリ バンドル ID を取得するには:

    • Apple の Web サイトには、組み込みの Apple アプリの一覧があります。
    • Intune に追加されたアプリの場合は、 Intune 管理センターを使用できます。
    • 一部の例については、 組み込みの iOS/iPadOS アプリのバンドル ID に関するページを参照してください。

  注:

  [制限付きアプリ] 設定は、管理コンテキストの外部にインストールされている管理されていないアプリケーションに適用されます。

次の手順

• 非準拠デバイスのアクションを追加し、 スコープ タグを使用してポリシーをフィルター処理します。
• コンプライアンス ポリシーを監視します。
• macOS デバイスのコンプライアンス ポリシー設定を参照してください。