Microsoft Intune でコンプライアンス ポリシーを作成する
Intune を使用して組織のリソースを保護する場合、デバイスのコンプライアンス ポリシーは重要な機能です。 Intune では、最低限の OS バージョンなど、デバイスがコンプライアンス準拠と見なされるために満たす必要がある規則と設定を作成できます。 デバイスが準拠していない場合は、条件付きアクセスを使用してデータとリソースへのアクセスをブロックできます。
また、ユーザーに通知メールを送信するなど、コンプライアンス違反に対するアクションを実行することもできます。 コンプライアンス ポリシーの役割と使用方法の概要については、デバイスのコンプライアンスの概要に関するページを参照してください。
この記事の内容:
- コンプライアンス ポリシーを作成する前提条件と手順を示します。
- ユーザーおよびデバイス グループにポリシーを割り当てる方法を示します。
- ポリシーを "フィルター" するためのスコープ タグや、準拠していないデバイスで実行できる手順など、その他の機能について説明します。
- デバイスでポリシーの更新を受信した際のチェックインの更新サイクル時間を示します。
はじめに
デバイス コンプライアンス ポリシーを使う場合、次のことを確認します。
以下のサブスクリプションを使用します。
- Intune
- 条件付きアクセスを使用する場合は、P1 または P2 エディションMicrosoft Entra ID必要があります。 Microsoft Entra価格は、さまざまなエディションで得られる内容を示しています。 Intuneコンプライアンスでは、Microsoft Entra IDは必要ありません。
サポートされているプラットフォームを使用します。
- Android デバイス管理者
- Android AOSP
- Android Enterprise
- iOS
- Linux - Ubuntu Desktop、バージョン 20.04 LTS、22.04 LTS
- macOS
- Windows 10 または 11
重要
Microsoft Intuneは、2024 年 12 月 31 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。
Intune にデバイスを登録する (コンプライアンスの状態を確認するために必要です)
1 人のユーザーにデバイスを登録するか、またはプライマリ ユーザーなしで登録します。 1 つのデバイスを複数のユーザーに登録することはできません。
Intuneに組み込まれているコンプライアンス設定に加えて、次のプラットフォームでは、コンプライアンス ポリシーへのカスタム コンプライアンス設定の追加がサポートされています。
- Ubuntu Desktop バージョン 20.04 LTS および 22.04 LTS
- Windows 10 または 11
カスタム設定を追加する前に、カスタム コンプライアンスの基礎となる設定を定義するカスタム JSON ファイルと、JSON で定義されている設定を検出するためにデバイスで実行されるスクリプトを準備する必要があります。
サポートされているプラットフォーム、前提条件、ポリシーの作成時に カスタム コンプライアンス カテゴリを構成する方法など、カスタム コンプライアンス設定の使用の詳細については、「 カスタム コンプライアンス設定を使用する」を参照してください。
ポリシーの作成
Microsoft Intune 管理センターにサインインします。
[デバイス>コンプライアンス] に移動し、[ポリシーの作成] を選択します。
次のオプションから、このポリシーの [プラットフォーム] を選択します。
- Android デバイス管理者
- Android (AOSP)
- Android エンタープライズ
- iOS/iPadOS
- Linux - (Ubuntu Desktop、バージョン 20.04 LTS、22.04 LTS、RedHat Enterprise Linux 8、または RedHat Enterprise Linux 9)
- macOS
- Windows 8.1 以降
- Windows 10 以降
Android Enterprise の場合は、[ポリシーの種類] も選択します。
- フル マネージド、専用、および企業所有の仕事用プロファイル
- 個人所有の仕事用プロファイル
次に、[ 作成 ] を選択して構成ページを開きます。
[基本] タブで、後で識別しやすいように [名前] を指定します。 たとえば、適切なポリシー名は、iOS/iPadOS の脱獄されたデバイスを非準拠としてマークするなどです。
[説明] を指定することもできます。
[コンプライアンス設定] タブで、使用できるカテゴリを展開し、ポリシーの設定を構成します。 次の記事では、各プラットフォームで使用できるコンプライアンス設定について説明します。
サポートされているプラットフォームのポリシーにカスタム設定を追加します。
ヒント
これは、次のプラットフォームでのみサポートされるオプションの手順です。
- Linux - Ubuntu Desktop、バージョン 20.04 LTS、22.04 LTS
- Windows 10/11 ポリシーにカスタム設定を追加する前に、検出スクリプトをIntuneにアップロードし、コンプライアンスに使用する設定を定義する JSON ファイルを準備しておく必要があります。 「 カスタム コンプライアンス設定」を参照してください。
[ コンプライアンス設定 ] ページで、[ カスタム コンプライアンス ] カテゴリを展開します。
Windows の場合:
- [ コンプライアンス設定 ] ページで、[ カスタム コンプライアンス ] を展開し、[ カスタム コンプライアンス ] を [必須] に設定します。
- [検出スクリプトの選択] で、[クリックして選択] を選択し、以前にMicrosoft Intune管理センターに追加されたスクリプトを指定します。 このスクリプトは、ポリシーの作成を開始する前にアップロードする必要があります。
- [ カスタム コンプライアンス設定で JSON ファイルをアップロードして検証する] で、フォルダー アイコンを選択し、このポリシーで使用する Windows 用の JSON ファイルを見つけて追加します。 JSON の詳細については、「 カスタム コンプライアンス設定用の JSON を作成する」を参照してください。
Linux の場合:
- [ コンプライアンス設定 ] ページで、[ 設定の追加 ] を選択して [設定] ピッカー ウィンドウを開きます。
- [ カスタム コンプライアンス] を選択し、[8] を選択します。
- [コンプライアンス設定] ページに戻り、[カスタム コンプライアンスが必要] のトグルを選択して True に変更します。
- [検出スクリプトの選択] で、[再利用可能な設定の設定] を選択し、以前にMicrosoft Intune管理センターに追加されたスクリプトを指定します。 このスクリプトは、ポリシーの作成を開始する前にアップロードされている必要があります。
- [ 規則ファイルの選択] で、フォルダー アイコンを選択し、このポリシーで使用する Linux 用の JSON ファイルを見つけて追加します。 JSON の詳細については、「 カスタム コンプライアンス設定用の JSON を作成する」を参照してください。
入力した JSON が検証され、問題が表示されます。 JSON コンテンツの検証後、JSON のルールがテーブル形式で表示されます。
[コンプライアンス非対応に対するアクション] タブで、このコンプライアンス ポリシーを満たさないデバイスに自動的に適用する一連のアクションを指定します。
複数のアクションを追加し、一部のアクションのスケジュールと詳細を構成できます。 たとえば、既定のアクションである [デバイスに非準拠のマークを付ける] のスケジュールを 1 日後に発生するように変更できます。 次に、デバイスが準拠していない場合にユーザーにメールを送信して、その状態を警告するアクションを追加できます。 非準拠のままのデバイスをロックまたは廃止するアクションを追加することもできます。
構成できるアクションについては、ユーザーに送信する通知メールを作成する方法など、非準拠デバイスに対してアクションを追加する方法に関するページを参照してください。
[場所] を使用し、コンプライアンス ポリシーに少なくとも 1 つの場所を追加する例もあります。 このケースでは、少なくとも 1 つの場所を選択すると、コンプライアンス非対応に対する既定のアクションが適用されます。 選択した場所のいずれにもデバイスが接続されていない場合、デバイスは準拠していないと見なされます。 ユーザーに 1 日などの猶予期間を与えるようにスケジュールを構成できます。
[スコープ タグ] タブで、タグを選択して、ポリシーを
US-NC IT Team
やJohnGlenn_ITDepartment
などの特定のグループにフィルター処理します。 設定を追加したら、コンプライアンス ポリシーにスコープのタグを追加することもできます。スコープ タグの使用の詳細については、スコープのタグを使用してポリシーをフィルター処理する方法に関するページを参照してください。
[割り当て] タブで、グループにポリシーを割り当てます。
[+ 含めるグループを選択] を選択し、ポリシーを 1 つ以上のグループに割り当てます。 次の手順の後でポリシーを保存すると、これらのグループにポリシーが適用されます。
Linux のポリシーでは、ユーザーベースの割り当てはサポートされておらず、デバイス グループにのみ割り当てることができます。
[確認および作成] タブで設定を確認し、コンプライアンス ポリシーを保存する準備ができたら [作成] を選択します。
ポリシーの対象となるユーザーまたはデバイスは、Intune にチェックインするときにコンプライアンスが評価されます。
サイクル時間の更新
Intune では、複数の更新サイクルを使用して、コンプライアンス ポリシーの更新が確認されます。 登録してすぐのデバイスでは、チェックインの実行頻度が高くなります。 「ポリシーとプロファイルの更新サイクルに、おおよその更新間隔が一覧表示されています。
ユーザーはいつでもポータル サイト アプリを起動し、デバイスを同期して、ポリシーの更新をすぐに確認できます。
InGracePeriod 状態を割り当てる
コンプライアンス ポリシーの InGracePeriod 状態は値の 1 つです。 この値は、デバイスの猶予期間、およびそのコンプライアンス ポリシーのデバイスの実際の状態の組み合わせによって決まります。
具体的には、デバイスに割り当てられているコンプライアンス ポリシーが NonCompliant 状態になっている場合、次のようになります。
- デバイスに猶予期間が割り当てられていない場合、コンプライアンス ポリシーに割り当てられる値は NonCompliant です。
- デバイスに割り当てられている猶予期間が期限切れになっている場合、コンプライアンス ポリシーに割り当てられる値は NonCompliant です。
- デバイスに将来の猶予期間が割り当てられている場合、コンプライアンス ポリシーに割り当てられる値は InGracePeriod です。
次の表はこれらの点をまとめたものです。
実際のコンプライアンス状態 | 割り当てられた猶予期間の値 | 有効なコンプライアンス状態 |
---|---|---|
NonCompliant | 猶予期間が割り当てられていない | NonCompliant |
NonCompliant | 昨日の日付 | NonCompliant |
NonCompliant | 明日の日付 | InGracePeriod |
デバイスのコンプライアンス ポリシーの監視の詳細については、「Intune デバイス コンプライアンス対応ポリシーの監視」を参照してください。
コンプライアンス ポリシーの結果の状態を割り当てる
デバイスに複数のコンプライアンス ポリシーがあり、デバイスの 2 つ以上の割り当て済みコンプライアンス ポリシーが異なるコンプライアンス状態になっている場合、1 つの結果のコンプライアンス状態が割り当てられます。 この割り当ては、各コンプライアンス状態に割り当てられている概念的な重大度レベルを基にしています。 各コンプライアンス状態には、次の重大度レベルがあります。
状態 | 重要度 |
---|---|
不明 | 1 |
NotApplicable | 2 |
Compliant | 3 |
InGracePeriod | 4 |
NonCompliant | 5 |
Error | 6 |
デバイスに複数のコンプライアンス ポリシーがある場合、すべてのポリシーの最も高い重大度がそのデバイスに割り当てられます。
たとえば、デバイスに 3 つのコンプライアンス ポリシーが割り当てられていて、1 つが不明状態 (重大度 = 1)、1 つが準拠状態 (重大度 = 3)、1 つが InGracePeriod 状態 (重要度 = 4) であるとします。 この中で重大度レベルが最も高いのは、InGracePeriod 状態です。 したがって、3 つのポリシーすべてのコンプライアンス状態が InGracePeriod となります。