コンプライアンス ポリシーを使用して、Intune で管理するデバイスのルールを設定する
Microsoft Intune コンプライアンス ポリシーは、管理対象デバイスの構成を評価するために使用する規則と条件のセットです。 これらのポリシーは、これらの構成要件を満たしていないデバイスから組織のデータとリソースをセキュリティで保護するのに役立ちます。 管理対象デバイスは、Intune によって準拠していると見なされるために、ポリシーで設定した条件を満たす必要があります。
また、ポリシーのコンプライアンス結果を Microsoft Entra 条件付きアクセスと統合する場合は、セキュリティの追加レイヤーを利用できます。 条件付きアクセスでは、デバイスの現在のコンプライアンス状態に基づいて Microsoft Entra アクセス制御を適用して、準拠しているデバイスのみが企業リソースへのアクセスを許可されるようにすることができます。
Intune コンプライアンス ポリシーは、次の 2 つの領域に分かれています。
コンプライアンス ポリシー設定 は、すべてのデバイスが受け取る組み込みのコンプライアンス ポリシーのように機能するテナント全体の構成です。 コンプライアンス ポリシー設定は、明示的なデバイス コンプライアンス ポリシーが割り当てられていないデバイスを扱う方法など、Intune 環境でのコンプライアンス ポリシーのしくみを確立します。
デバイス コンプライアンス ポリシー は、ユーザーまたはデバイスのグループに展開するプラットフォーム固有の規則と設定の個別のセットです。 デバイスは、ポリシー内のルールを評価して、デバイスコンプライアンスの状態を報告します。 非準拠状態では、非準拠に対して 1 つ以上のアクションが発生する可能性があります。 Microsoft Entra 条件付きアクセス ポリシーでは、その状態を使用して、そのデバイスからの組織リソースへのアクセスをブロックすることもできます。
コンプライアンス ポリシー設定
コンプライアンス ポリシー設定 は、Intune のコンプライアンス サービスがデバイスとどのように対話するかを決定する、テナント全体の設定です。 これらの設定は、デバイス コンプライアンス ポリシーで構成する設定とは異なります。
コンプライアンス ポリシー設定を管理するには、 Microsoft Intune 管理センター にサインインし、 エンドポイント セキュリティ>Device compliance>Compliance ポリシー設定に移動します。
コンプライアンス ポリシー設定には、次の設定が含まれます。
[コンプライアンス ポリシーが割り当てられていないデバイスをマークする]
この設定は、デバイス コンプライアンス ポリシーが割り当てられていないデバイスを Intune が処理する方法を決定します。 この設定には次の 2 つの値があります。
- 準拠 (既定値): このセキュリティ機能は無効になっています。 デバイス コンプライアンス ポリシーが送信されていないデバイスは "準拠" と見なされます。
- 非準拠: このセキュリティ機能は有効になっています。 デバイス コンプライアンス ポリシーのないデバイスは、非準拠と見なされます。
デバイス コンプライアンス ポリシーで条件付きアクセスを使用する場合は、この設定を [準拠していない ] に変更して、準拠として確認されたデバイスのみがリソースにアクセスできるようにします。
ポリシーが割り当てられていないためにエンド ユーザーが準拠していない場合、ポータル サイト アプリには [コンプライアンス ポリシーが割り当てられていません] と表示されます。
[コンプライアンス状態の有効期間 (日)]
受信したすべてのコンプライアンス ポリシーについて、デバイスが正常に報告する必要がある期間を指定します。 有効期限が切れる前にデバイスがポリシーのコンプライアンス状態を報告できなかった場合、デバイスは非準拠として扱われます。
既定では、期間は 30 日に設定されます。 1 日から 120 日の期間を構成できます。
有効期間の設定に対するデバイスのコンプライアンスに関する詳細を表示できます。 Microsoft Intune 管理センターにサインインし、[デバイス>Monitor>Setting compliance] に移動します。 この設定の名前は、[設定] 列の [アクティブ] の名前です。 この情報および関連するコンプライアンス状態ビューの詳細については、「デバイス コンプライアンスを監視する」を参照してください。
デバイス コンプライアンス ポリシー
Intune デバイス コンプライアンス ポリシーは、ユーザーまたはデバイスのグループに展開するプラットフォーム固有の規則と設定の個別のセットです。 コンプライアンス ポリシーを使用して、次の手順を実行します。
準拠ユーザーおよびマネージド デバイスであるために満たす必要があるルールや設定を定義します。 ルールの例としては、デバイスに最小 OS バージョンの実行を要求し、脱獄や根付きではなく、Intune と統合された脅威管理ソフトウェアによって指定された 脅威レベル または脅威レベル以下である必要があります。
コンプライアンス規則を満たしていないデバイスに適用されるコンプライアンス違反の アクション をサポートします。 非準拠に対するアクションの例としては、デバイスを非準拠としてマークすること、リモートでロックされていること、デバイスの状態に関するデバイス ユーザーの電子メールを送信して、デバイスを修正できることなどがあります。
デバイス コンプライアンス ポリシーを使用する場合:
一部のコンプライアンス ポリシー構成では、デバイス構成ポリシーを使用して管理する設定の構成をオーバーライドできます。 ポリシーの競合解決の詳細については、「 競合するコンプライアンスポリシーとデバイス構成ポリシー」を参照してください。
ポリシーは、ユーザー グループ内のユーザーまたはデバイス グループ内のデバイスに展開できます。 コンプライアンス ポリシーがユーザーに展開されると、すべてのユーザーのデバイスのコンプライアンスがチェックされます。 このシナリオでのデバイス グループの使用は、コンプライアンス レポートに役立ちます。
Microsoft Entra 条件付きアクセスを使用する場合、条件付きアクセス ポリシーはデバイス コンプライアンスの結果を使用して、準拠していないデバイスからのリソースへのアクセスをブロックできます。
他の Intune ポリシーと同様に、デバイスのコンプライアンス ポリシーの評価は、デバイスが Intune でチェックインするタイミングと、 ポリシーとプロファイルの更新サイクルによって異なります。
デバイス コンプライアンス ポリシーで指定できる設定は、ポリシーの作成時に選択したプラットフォームの種類によって異なります。 デバイス プラットフォームごとに異なる設定がサポートされており、プラットフォームの種類ごとに個別のポリシーが必要です。
次の項目は、デバイスの構成ポリシーのさまざまな側面に特化した記事にリンクしています。
非準拠のアクション - 既定では、各デバイス コンプライアンス ポリシーには、ポリシー規則を満たしていない場合にデバイスを非準拠としてマークするアクションが含まれます。 各ポリシーでは、デバイス プラットフォームに基づいてより多くのアクションをサポートできます。 追加アクションの例を次に示します。
- 非準拠デバイスに関する詳細情報が含まれているユーザーおよびグループに電子メール アラートを送信します。 非準拠とマークされた直後に電子メールを送信し、デバイスが準拠状態になるまで定期的に電子メールを送信するポリシーを構成することができます。
- しばらくの間準拠していないデバイスをリモートでロックします。
- しばらくの間準拠していないデバイスを廃止します。 このアクションは、条件を満たすデバイスを廃止する準備ができていることをマークします。 その後、管理者は廃止のマークが付けられたデバイスのリストを表示でき、1 つ以上のデバイスを廃止するには、明示的なアクションを実行する必要があります。 デバイスを廃止すると、そのデバイスは Intune 管理から削除され、デバイスからすべての企業データが削除されます。 このアクションの詳細については、「非準拠に対して使用できるアクション」を参照してください。
コンプライアンス ポリシーの作成 – リンクされた記事の情報を使用して、前提条件を確認し、オプションを使用してルールを構成し、コンプライアンス違反のアクションを指定し、ポリシーをグループに割り当てることができます。 この記事には、ポリシーの更新時間に関する情報も含まれています。
さまざまなデバイス プラットフォームでのデバイスのコンプライアンス設定を参照してください。
- Android デバイス管理者
- Android エンタープライズ
- Android Open Source Project (AOSP)
- iOS
- Linux
- macOS
- Windows Holographic for Business
- Windows 10/11
-
Windows 8.1 以降
重要
2022 年 10 月 22 日、Microsoft Intune は Windows 8.1 を実行しているデバイスのサポートを終了しました。 これらのデバイスでは技術サポートや自動更新は利用できません。
現在 Windows 8.1 を使用している場合は、Windows 10/11 デバイスに移動します。 Microsoft Intune には、Windows 10/11 クライアント デバイスを管理するセキュリティ機能とデバイス機能が組み込まれています。
カスタム コンプライアンス設定 – カスタム コンプライアンス設定を使用すると、Intune の組み込みのデバイス コンプライアンス オプションを拡張できます。 カスタム設定を使用すると、Intune がこれらの設定を追加するのを待たずに、デバイスで使用できる設定に基づいてコンプライアンスを柔軟に行うことができます。
カスタム コンプライアンス設定は、次のプラットフォームで使用できます。
- Linux – Ubuntu Desktop、バージョン 20.04 LTS、22.04 LTS
- Windows 10
- Windows 11
コンプライアンス状態を監視する
Intune には、デバイスのコンプライアンス状態を監視し、ポリシーとデバイスの詳細を確認できるデバイス コンプライアンス ダッシュボードが含まれています。 このダッシュボードの詳細については、デバイス コンプライアンスの監視に関する記事を参照してください。
条件付きアクセスと統合する
条件付きアクセスを使用する場合は、デバイス コンプライアンス ポリシーの結果を使用するための条件付きアクセス ポリシーを構成して、組織のリソースにアクセスできるデバイスを決定できます。 このアクセスの制御は、デバイス コンプライアンス ポリシーに含める非準拠に対するアクションとは別のものとして追加されます。
デバイスが Intune に登録されると、Microsoft Entra ID に登録されます。 デバイスのコンプライアンス状態は、Microsoft Entra ID に報告されます。 条件付きアクセス ポリシーのアクセスの制御が "Require device to be marked as compliant\(デバイスは準拠としてマーク済みである必要があります\)" に設定されている場合、条件付きアクセスでは、そのコンプライアンス状態を使用して、電子メールやその他の組織のリソースへのアクセスを許可するかブロックするかを決定します。
条件付きアクセス ポリシーでデバイス コンプライアンスの状態を使用する場合は、[コンプライアンス ポリシー設定] で管理する [ コンプライアンス ポリシーが割り当てられていないデバイス をマークする] オプションをテナントで構成する方法 を確認します。
デバイス コンプライアンス ポリシーでの条件付きアクセスの使用の詳細については、「 デバイス ベースの条件付きアクセス」を参照してください。
条件付きアクセスの詳細については、Microsoft Entra のドキュメントを参照してください。
さまざまなプラットフォームでの非準拠と条件付きアクセスに関するリファレンス
次の表では、条件付きアクセス ポリシーとコンプライアンス ポリシーを使用する場合に非準拠設定をどのように管理するかについて説明しています。
修復: デバイス オペレーティング システムによって準拠が強制されます たとえば、ユーザーは PIN を設定するように強制されます。
検疫済み: デバイス オペレーティング システムによって準拠が強制されません。 たとえば、Android デバイスと Android エンタープライズ デバイスでは、ユーザーはデバイスの暗号化を強制されません。 デバイスが準拠していない場合、次のアクションが行われます。
- ユーザーに条件付きアクセス ポリシーを適用すると、デバイスがブロックされます。
- ポータル サイト アプリでは、コンプライアンスの問題についてユーザーに通知します。
ポリシーの設定 | プラットフォーム |
---|---|
Allowed Distros | Linux(only) - 検疫済み |
デバイスの暗号化 |
-
Android 4.0 以降: 検疫済み - Samsung KNOX Standard 4.0 以降: 検疫済み - Android Enterprise: 検疫済み - iOS 8.0 以降: 修復済み (PINの設定による) - macOS 10.11 以降: 検疫済み - Linux: 検疫済み - Windows 10/11: 検疫済み |
電子メールのプロファイル |
-
Android 4.0 以降: 適用なし - Samsung KNOX Standard 4.0 以降: 該当なし - Android Enterprise: 適用なし - iOS 8.0 以降: 検疫済み - macOS 10.11 以降: 検疫済み - Linux: 適用されません - Windows 10/11: 適用されません |
脱獄またはルート化されたデバイス |
-
Android 4.0 以降: 検疫済み (設定ではありません) - Samsung KNOX Standard 4.0 以降: 検疫済み (設定ではありません) - Android Enterprise: 検疫済み (設定ではありません) - iOS 8.0 以降: 検疫済み (設定ではありません) - macOS 10.11 以降: 適用なし - Linux: 適用されません - Windows 10/11: 適用されません |
最大 OS バージョン |
-
Android 4.0 以降: 検疫済み - Samsung KNOX Standard 4.0 以降: 検疫済み - Android Enterprise: 検疫済み - iOS 8.0 以降: 検疫済み - macOS 10.11 以降: 検疫済み - Linux: 許可されたディストリビューションに関するページを参照してください - Windows 10/11: 検疫済み |
最小 OS バージョン |
-
Android 4.0 以降: 検疫済み - Samsung KNOX Standard 4.0 以降: 検疫済み - Android Enterprise: 検疫済み - iOS 8.0 以降: 検疫済み - macOS 10.11 以降: 検疫済み - Linux: 許可されたディストリビューションに関するページを参照してください - Windows 10/11: 検疫済み |
PIN またはパスワードの構成 |
-
Android 4.0 以降: 検疫済み - Samsung KNOX Standard 4.0 以降: 検疫済み - Android Enterprise: 検疫済み - iOS 8.0 以降: 修復済み - macOS 10.11 以降: 修復済み - Linux: 検疫済み - Windows 10/11: 修復済み |
Windows 正常性構成証明書 |
-
Android 4.0 以降: 適用なし - Samsung KNOX Standard 4.0 以降: 該当なし - Android Enterprise: 適用なし - iOS 8.0 以降: 適用なし - macOS 10.11 以降: 適用なし - Linux: 適用されません - Windows 10/11: 検疫済み |
注:
ポータル サイト アプリは、ユーザーがアプリにサインインしたときに登録修復フローに入り、デバイスが 30 日以上 Intune に正常にチェックインされていない (または 、連絡先 のコンプライアンス上の理由が失われたためにデバイスが非準拠である) 場合です。 このフローでは、もう 1 回チェックインを開始しようとします。 それでも成功しない場合は、ユーザーがデバイスを手動で再登録できるように、廃止コマンドを発行します。
次の手順
- ポリシーを作成して展開し、前提条件を確認する
- デバイスのコンプライアンスの監視
- Microsoft Intune でのデバイス ポリシーとプロファイルの一般的な質問、イシューと解決策
- 「ポリシー エンティティのリファレンス」には、Intune データ ウェアハウス ポリシー エンティティに関する情報が含まれます