次の方法で共有

Intuneの Windows 10/11 のデバイス コンプライアンス設定

  • [アーティクル]

この記事では、Intuneの Windows デバイスで構成できるさまざまなコンプライアンス設定の一覧と説明を行います。 モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用して BitLocker を要求し、最小および最大オペレーティング システムを設定し、Microsoft Defender for Endpointを使用してリスク レベルを設定します。

この機能は、以下に適用されます。

  • Windows 10 または 11
  • Windows Holographic for Business
  • Surface Hub

Intune管理者は、これらのコンプライアンス設定を使用して、組織のリソースを保護します。 コンプライアンス ポリシーとその機能の詳細については、「 デバイス コンプライアンスの概要」を参照してください。

開始する前に

コンプライアンス ポリシーを作成します[プラットフォーム] には、[Windows 10 以降] を選択します。

デバイスの正常性

デバイスが信頼された状態で起動されるようにするために、Intuneは Microsoft デバイス構成証明サービスを利用します。 Intune商用、米国政府機関 GCC High、および Windows 10 実行されている DoD サービス全体のデバイスは、Device Health Attestation (DHA) サービスを使用します。

詳細については、以下を参照してください:

Windows 正常性構成証明サービスの評価規則

  • BitLocker が必要:
    Windows BitLocker ドライブ暗号化は、Windows オペレーティング システム ボリュームに格納されているすべてのデータを暗号化します。 BitLocker では、トラステッド プラットフォーム モジュール (TPM) を使用して、Windows オペレーティング システムとユーザー データを保護します。 また、コンピューターが無人、紛失、または盗難にあった場合でも、コンピューターが改ざんされていないことを確認するのにも役立ちます。 コンピューターに互換性のある TPM が搭載されている場合、BitLocker は TPM を使用してデータを保護する暗号化キーをロックします。 その結果、TPM がコンピューターの状態を確認するまで、キーにアクセスできません。

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
    • [必須] - デバイスは、システムがオフになっている場合や休止状態のときに、ドライブに保存されているデータを不正アクセスから保護できます。

    Device HealthAttestation CSP - BitLockerStatus

    注:

    Intuneでデバイス コンプライアンス ポリシーを使用する場合は、この設定の状態は起動時にのみ測定されることに注意してください。 そのため、BitLocker 暗号化が完了している可能性がありますが、デバイスがこれを検出して準拠するためには再起動が必要です。 詳細については、 Device Health 構成証明に関する次の Microsoft サポート ブログを参照してください。

  • デバイスでセキュア ブートを有効にする必要があります

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
    • [必須] - システムは工場出荷時の信頼された状態に強制的に起動します。 マシンの起動に使用されるコア コンポーネントには、デバイスを製造したorganizationによって信頼されている正しい暗号化署名が必要です。 UEFI ファームウェアは、マシンを起動する前に署名を検証します。 ファイルが改ざんされ、署名が破損した場合、システムは起動しません。

    注:

    [デバイスでセキュア ブートを有効にする必要がある] 設定は、一部の TPM 1.2 および 2.0 デバイスでサポートされています。 TPM 2.0 以降をサポートしていないデバイスの場合、Intuneのポリシーの状態は [準拠していません] と表示されます。 サポートされているバージョンの詳細については、「 Device Health 構成証明」を参照してください。

  • コードの整合性を要求する:
    コードの整合性は、ドライバーまたはシステム ファイルがメモリに読み込まれるたびに整合性を検証する機能です。

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
    • 必須 - 署名されていないドライバーまたはシステム ファイルがカーネルに読み込まれているかどうかを検出するコード整合性が必要です。 また、システム ファイルが悪意のあるソフトウェアによって変更されたか、管理者特権を持つユーザー アカウントによって実行されているかどうかを検出します。

詳細については、以下を参照してください:

デバイスのプロパティ

オペレーティング システムのバージョン

すべてのWindows 10/11 機能Updatesと累積的なUpdatesのビルド バージョンを検出するには (以下の一部のフィールドで使用する)、「Windows リリース情報」を参照してください。 次の例に示すように、ビルド番号の前に適切なバージョン プレフィックス (Windows 10の 10.0 など) を必ず含めてください。

  • OS の最小バージョン:
    major.minor.build.revision 番号形式で最小許容バージョンを入力します。 正しい値を取得するには、コマンド プロンプトを開き、「 ver」と入力します。 ver コマンドは、次の形式でバージョンを返します。

    Microsoft Windows [Version 10.0.17134.1]

    入力した OS バージョンより前のバージョンのデバイスがある場合は、非準拠として報告されます。 アップグレード方法に関する情報を含むリンクが表示されます。 エンド ユーザーは、デバイスのアップグレードを選択できます。 アップグレード後、会社のリソースにアクセスできます。

  • 最大 OS バージョン:
    major.minor.build.revision 番号形式で、許可される最大バージョンを入力します。 正しい値を取得するには、コマンド プロンプトを開き、「 ver」と入力します。 ver コマンドは、次の形式でバージョンを返します。

    Microsoft Windows [Version 10.0.17134.1]

    入力したバージョンより後の OS バージョンをデバイスが使用している場合、organizationリソースへのアクセスはブロックされます。 エンド ユーザーは、IT 管理者に問い合わせるよう求められます。 OS のバージョンを許可するように規則が変更されるまで、デバイスはorganizationリソースにアクセスできません。

  • モバイル デバイスに必要な最小 OS:
    major.minor.build 番号形式で、許可される最小バージョンを入力します。

    入力した OS バージョンが以前のバージョンのデバイスがある場合、非準拠として報告されます。 アップグレード方法に関する情報を含むリンクが表示されます。 エンド ユーザーは、デバイスのアップグレードを選択できます。 アップグレード後、会社のリソースにアクセスできます。

  • モバイル デバイスに必要な最大 OS:
    major.minor.build 番号に、許可される最大バージョンを入力します。

    入力したバージョンより後の OS バージョンをデバイスが使用している場合、organizationリソースへのアクセスはブロックされます。 エンド ユーザーは、IT 管理者に問い合わせるよう求められます。 OS のバージョンを許可するように規則が変更されるまで、デバイスはorganizationリソースにアクセスできません。

  • 有効なオペレーティング システム ビルド:
    オペレーティング システムの最小ビルドと最大ビルドの一覧を指定します。 有効なオペレーティング システム ビルドでは、OS の最小バージョンと最大バージョンと比較すると、柔軟性が向上します。 最小 OS バージョンが 10.0.18362.xxx (Windows 10 1903) に設定され、最大 OS バージョンが 10.0.18363.xxx (Windows 10 1909) に設定されているシナリオを考えてみましょう。 この構成により、最新の累積的な更新プログラムがインストールされていないWindows 10 1903 デバイスを準拠として識別できます。 1 つのWindows 10 リリースで標準化している場合は、OS の最小バージョンと最大バージョンが適している場合がありますが、複数のビルドを使用する必要がある場合は要件に対応できない場合があります。それぞれは特定のパッチ レベルです。 このような場合は、代わりに有効なオペレーティング システム ビルドを利用することを検討してください。これにより、次の例に従って複数のビルドを指定できます。

    バージョン、メジャー、マイナー、ビルドの各フィールドでサポートされる最大値は 65535 です。 たとえば、入力できる最大値は 65535.65535.65535.65535 です。

    :
    次の表は、さまざまなWindows 10 リリースで許容されるオペレーティング システムバージョンの範囲の例です。 この例では、3 つの異なる機能Updatesが許可されています (1809、1909、2004)。 具体的には、2020 年 6 月から 9 月までの累積的な更新プログラムを適用した Windows のバージョンのみが準拠していると見なされます。 これはサンプル データのみです。 テーブルには、エントリを記述するテキストを含む最初の列が含まれており、そのエントリの OS の最小バージョンと最大バージョンが続きます。 2 番目と 3 番目の列は 、major.minor.build.revision 番号 形式の有効な OS ビルド バージョンに準拠している必要があります。 1 つ以上のエントリを定義した後、コンマ区切り値 (CSV) ファイルとしてリストを エクスポート できます。

    説明 最小 OS バージョン 最大 OS バージョン
    Win 10 2004 (2020 年 6 月から 9 月) 10.0.19041.329 10.0.19041.508
    Win 10 1909 (2020 年 6 月から 9 月) 10.0.18363.900 10.0.18363.1110
    Win 10 1809 (2020 年 6 月から 9 月) 10.0.17763.1282 10.0.17763.1490

    注:

    ポリシーで複数の OS バージョン ビルドの範囲を指定し、デバイスに準拠範囲外のビルドがある場合、ポータル サイトは、デバイスがこの設定に準拠していないことがデバイス ユーザーに通知されます。 ただし、技術的な制限があるため、コンプライアンス修復メッセージには、ポリシーで指定された最初の OS バージョン範囲のみが表示されることに注意してください。 organizationのマネージド デバイスに対して許容される OS バージョンの範囲を文書化することをお勧めします。

Configuration Managerコンプライアンス

Windows 10/11 を実行している共同管理デバイスにのみ適用されます。 Intune専用デバイスは、使用できない状態を返します。

  • Configuration Managerからデバイスコンプライアンスを要求する:
    • 未構成 (既定値) - Intuneは、コンプライアンスのConfiguration Manager設定のいずれにもチェックしません。
    • 必須 - Configuration Managerのすべての設定 (構成項目) が準拠している必要があります。

システム セキュリティ

Password

  • モバイル デバイスのロックを解除するには、パスワードが必要です

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
    • 必須 - ユーザーは、デバイスにアクセスする前にパスワードを入力する必要があります。

  • 単純なパスワード:

    • 未構成 (既定値) - ユーザーは、1234 や 1111 などの単純なパスワードを作成できます。
    • ブロック - ユーザーは、1234 や 1111 などの単純なパスワードを作成できません。

  • パスワードの種類:
    必要なパスワードまたは PIN の種類を選択します。 次のようなオプションがあります。

    • デバイスの既定値 (既定値) - パスワード、数値 PIN、または英数字 PIN が必要
    • 数値 - パスワードまたは数値 PIN が必要
    • 英数字 - パスワードまたは英数字 PIN が必要です。

    [英数字] に設定すると、次の設定を使用できます。

  • パスワードの最小長:
    パスワードに必要な最小桁数または文字数を入力します。

  • パスワードが必要になるまでの非アクティブ時間の最大時間 (分):
    ユーザーがパスワードを再入力する前のアイドル時間を入力します。

  • パスワードの有効期限 (日数):
    パスワードの有効期限が切れるまでの日数を入力し、1 から 730 までの新しいパスワードを作成する必要があります。

  • 再利用を防ぐための以前のパスワードの数:
    使用できない以前に使用したパスワードの数を入力します。

  • デバイスがアイドル状態 (モバイルとホログラフィック) から戻るときにパスワードを要求します。

    • 未構成 (既定値)
    • [必須] - デバイスがアイドル状態から戻るたびに、デバイス ユーザーにパスワードの入力を要求します。

    重要

    Windows デスクトップでパスワード要件が変更されると、ユーザーは次回サインインしたときに影響を受けます。これは、デバイスがアイドル状態からアクティブになったときです。 要件を満たすパスワードを使用しているユーザーは、引き続きパスワードを変更するように求められます。

暗号化

  • デバイス上のデータ ストレージの暗号化:
    この設定は、デバイス上のすべてのドライブに適用されます。

    • 未構成 (既定値)
    • [必須] - デバイス上のデータ ストレージを暗号化するために [必須] を使用します。

    DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance

    注:

    [デバイス上のデータ ストレージの暗号化] 設定では、デバイス上の暗号化の有無 (具体的には OS ドライブ レベル) が一般的にチェックされます。 現在、Intuneでは BitLocker を使用した暗号化チェックのみがサポートされています。 より堅牢な暗号化設定を行うには、Windows デバイス正常性構成証明を利用して TPM レベルで BitLocker の状態を検証する Require BitLocker の使用を検討してください。 ただし、この設定を利用する場合は、デバイスが準拠として反映される前に再起動が必要になる可能性があることに注意してください。

デバイスのセキュリティ

  • ファイアウォール:

    • 未構成 (既定値) - Intuneは Windows ファイアウォールを制御せず、既存の設定も変更しません。
    • [必須 ] - Windows ファイアウォールを有効にし、ユーザーが無効にできないようにします。

    Firewall CSP

    注:

    • 再起動後にデバイスが直ちに同期する場合、またはスリープから復帰した直後に同期する場合、この設定は エラーとして報告される可能性があります。 このシナリオは、デバイスのコンプライアンス状態全体に影響しない可能性があります。 コンプライアンスの状態を再評価するには、 デバイスを手動で同期します

    • すべての受信トラフィックを許可するように Windows ファイアウォールを構成するデバイスに構成 (グループ ポリシーを使用するなど) が適用されている場合、またはファイアウォールをオフにすると、[ファイアウォール][必須] に設定すると、デバイス構成ポリシー Intune [ファイアウォール] がオンになっている場合でも、[非準拠] が返されます。 これは、グループ ポリシー オブジェクトがIntune ポリシーをオーバーライドするためです。 この問題を解決するには、競合するグループ ポリシー設定を削除するか、ファイアウォール関連のグループ ポリシー設定をデバイス構成ポリシーに移行Intuneすることをお勧めします。 一般に、受信接続のブロックなど、 既定の設定を保持することをお勧めします。 詳細については、「 Windows ファイアウォールを構成するためのベスト プラクティス」を参照してください。

  • トラステッド プラットフォーム モジュール (TPM):

    • 未構成 (既定値) - Intuneは TPM チップ バージョンのデバイスをチェックしません。
    • 必須 - Intuneは、TPM チップのバージョンでコンプライアンスがチェックされます。 TPM チップのバージョンが 0 (ゼロ) を超える場合、デバイスは準拠しています。 デバイスに TPM バージョンがない場合、デバイスは準拠していません。

    DeviceStatus CSP - DeviceStatus/TPM/SpecificationVersion

  • ウイルス対策:

    • 未構成 (既定値) - Intuneデバイスにインストールされているウイルス対策ソリューションに対してチェックされません。
    • 必須 - Symantec や Microsoft Defender など、Windows セキュリティ Center に登録されているウイルス対策ソリューションを使用してコンプライアンスを確認します。 [必須] に設定すると、ウイルス対策ソフトウェアが無効になっているデバイスまたは古いデバイスは準拠していません。

    DeviceStatus CSP - DeviceStatus/ウイルス対策/状態

  • スパイウェア対策:

    • 未構成 (既定値) - Intuneは、デバイスにインストールされているスパイウェア対策ソリューションに対してチェックされません。
    • 必須 - Symantec や Microsoft Defender など、Windows セキュリティ Center に登録されているスパイウェア対策ソリューションを使用してコンプライアンスを確認します。 [必須] に設定されている場合、マルウェア対策ソフトウェアが無効になっているデバイスまたは古いデバイスは非準拠です。

    DeviceStatus CSP - DeviceStatus/Antispyware/Status

Defender

Windows 10/11 Desktop では、次のコンプライアンス設定がサポートされています。

  • Microsoft Defenderマルウェア対策:

    • 未構成 (既定値) - Intuneは、サービスを制御したり、既存の設定を変更したりしません。
    • [必須] - Microsoft Defenderマルウェア対策サービスを有効にし、ユーザーが無効にできないようにします。

  • Microsoft Defenderマルウェア対策の最小バージョン:
    Microsoft Defenderマルウェア対策サービスの最小許容バージョンを入力します。 たとえば、「4.11.0.0」と入力します。 空白のままにすると、Microsoft Defenderマルウェア対策サービスの任意のバージョンを使用できます。

    既定では、バージョンは構成されていません

  • Microsoft Defenderマルウェア対策セキュリティ インテリジェンスを最新の状態に保つ:
    デバイス上のWindows セキュリティウイルスと脅威保護の更新プログラムを制御します。

    • 未構成 (既定値) - Intuneは要件を適用しません。
    • [必須] - Microsoft Defenderセキュリティ インテリジェンスを強制的に最新の状態にします。

    Defender CSP - Defender/Health/SignatureOutOfDate CSP

    詳細については、「Microsoft Defender ウイルス対策とその他の Microsoft マルウェア対策のセキュリティ インテリジェンスの更新プログラム」を参照してください。

  • リアルタイム保護:

    • 未構成 (既定値) - Intuneはこの機能を制御せず、既存の設定も変更しません。
    • [必須 ] - マルウェア、スパイウェア、およびその他の不要なソフトウェアをスキャンするリアルタイム保護を有効にします。

    ポリシー CSP - Defender/AllowRealtimeMonitoring CSP

Microsoft Defender for Endpoint

Microsoft Defender for Endpointルール

条件付きアクセス シナリオでのMicrosoft Defender for Endpoint統合の詳細については、「Microsoft Defender for Endpointでの条件付きアクセスの構成」を参照してください。

  • デバイスがマシン リスク スコア以下である必要があります
    この設定を使用して、コンプライアンスの条件として、防御の脅威サービスからリスク評価を行います。 許可される最大脅威レベルを選択します。

    • 未構成 (既定値)
    • Clear -このオプションは、デバイスに脅威を持つことができないため、最も安全です。 デバイスが任意のレベルの脅威を持っていることとして検出された場合、デバイスは非準拠として評価されます。
    • 低 - 低レベルの脅威のみが存在する場合、デバイスは準拠として評価されます。 それ以上の場合、デバイスは非準拠状態になります。
    • - デバイス上の既存の脅威が低レベルまたは中レベルの場合、デバイスは準拠として評価されます。 デバイスに高レベルの脅威が検出された場合は、非準拠と判断されます。
    • - このオプションは最も安全性が低く、すべての脅威レベルを許可します。 レポート目的でのみこのソリューションを使用している場合に役立つ場合があります。

    防御の脅威サービスとしてMicrosoft Defender for Endpointを設定するには、「条件付きアクセスでMicrosoft Defender for Endpointを有効にする」を参照してください。

Linux 用 Windows サブシステム

このセクションの設定には、Linux 用 Windows サブシステム (WSL) プラグインが必要です。 詳細については、「Linux 用 Windows サブシステムのコンプライアンスを評価する」を参照してください。

[ 許可される Linux ディストリビューションとバージョン] に、少なくとも 1 つの Linux ディストリビューション名を入力します。 必要に応じて、OS の最小バージョンまたは最大バージョンを入力します。

注:

入力した配布名とバージョンは、次の方法でコンプライアンス ポリシーに影響します。

  • ディストリビューションが指定されていない場合は、すべてのディストリビューションが許可されます。 これは既定の動作です。
  • ディストリビューション名のみが指定されている場合、そのディストリビューションのすべてのインストール済みバージョンが許可されます。
  • ディストリビューション名と最小 OS バージョンが指定されている場合は、指定された名前と最小バージョン以降のすべてのインストール済みディストリビューションが許可されます。
  • ディストリビューション名と最大 OS バージョンが指定されている場合は、指定された名前と最大バージョン以前のインストール済みディストリビューションがすべて許可されます。
  • ディストリビューション名、最小 OS バージョン、および最大 OS バージョンが指定されている場合、指定された範囲内のすべてのインストール済みディストリビューションと OS バージョンが許可されます。

Windows Holographic for Business

Windows Holographic for Businessでは、Windows 10以降のプラットフォームが使用されます。 Windows Holographic for Businessでは、次の設定がサポートされています。

  • システム セキュリティ>暗号化>デバイス上のデータ ストレージの暗号化

Microsoft HoloLensでデバイスの暗号化を確認するには、「デバイスの暗号化を確認する」を参照してください。

Surface Hub

Surface Hub では、Windows 10以降のプラットフォームが使用されます。 Surface Hubs は、コンプライアンスと条件付きアクセスの両方でサポートされています。 Surface Hubs でこれらの機能を有効にするには、Intuneで Windows の自動登録 (Microsoft Entra IDが必要) を有効にし、Surface Hub デバイスをデバイス グループとしてターゲットにすることをお勧めします。 準拠と条件付きアクセスを機能させるには、Surface Hubs をMicrosoft Entra参加させる必要があります。

ガイダンスについては、「 Windows デバイスの登録を設定する」を参照してください。

Windows 10/11 チーム OS を実行している Surface Hubs に関する特別な考慮事項:
Windows 10/11 Team OS を実行する Surface Hubs では、現時点では、Microsoft Defender for Endpointとパスワードのコンプライアンス ポリシーはサポートされていません。 そのため、Windows 10/11 Team OS を実行する Surface Hubs では、次の 2 つの設定を既定値の [未構成] に設定します。

  • [ パスワード] カテゴリで、[ モバイル デバイスのロックを解除するにはパスワードを要求する ] を既定値の [未構成] に設定します。

  • カテゴリ Microsoft Defender for Endpointで、[デバイスがコンピューター リスク スコアの下にあるか下に存在することを要求する] を既定値の [未構成] に設定します。

次の手順