Windows 10/11 テンプレートを使用して、Microsoft Intuneでグループ ポリシー設定を構成する

  • [アーティクル]

Microsoft Intuneの 管理用テンプレート には、Microsoft Edge バージョン 77 以降、Internet Explorer、Google Chrome、Microsoft Office プログラム、リモート デスクトップ、OneDrive、パスワード、PIN などの機能を制御するための、数千の設定が含まれています。 これらの設定により、管理者はクラウドを使用してグループ ポリシーを作成できます。

この機能は、以下に適用されます。

  • Windows 11
  • Windows 10

Intune テンプレートは 100% クラウドベースで、Intune に組み込まれており (ダウンロードなし)、OMA-URI の使用を含むカスタマイズは必要ありません。 これらによって、設定を構成し、必要な設定を見つけるための、簡単で明快な方法が提供されます。

  • Windows の設定は、オンプレミスの Active Directory (AD) のグループ ポリシー (GPO) 設定に似ています。 これらの設定は、Windows に組み込みの、XML を使用する ADMX ベースの設定 です。

  • Office、Microsoft Edge、Visual Studio の設定は ADMX によって取り込まれており、オンプレミス環境でダウンロードするのと同じ管理用テンプレート ファイルを使用します。

  • カスタムおよびサード パーティの ADMX ファイルと ADML ファイルをインポートできます。 手順を含む詳細については、「 カスタムまたはパートナーの ADMX ファイルをインポートする」を参照してください。

組織でデバイスを管理するとき、さまざまなデバイス グループに適用される設定のグループを作成することが推奨されます。 また、構成できる設定の単純なビューも必要です。 このタスクを完了するには、Microsoft Intune で管理用テンプレートを使用します。

モバイル デバイス管理 (MDM) ソリューションの一部として、これらのテンプレート設定をワンストップショップとして使用して、Windowsクライアント デバイスを管理します。

この記事では、Windowsクライアント デバイス用のテンプレートを作成する手順と、Intune で使用可能なすべての設定をフィルター処理する方法を示します。 テンプレートを作成すると、デバイス構成プロファイルが作成されます。 その後、組織のクライアント Windowsデバイスにこのプロファイルを割り当てまたは展開することができます。

はじめに

テンプレートを作成する

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス構成の作成] を>選択します>。

  3. 次のプロパティを入力します。

    • [プラットフォーム]: [Windows 10 以降] を選択します。
    • プロファイルの種類: 設定の論理グループを使用するには、[テンプレート] [管理用テンプレート>] を選択します。 すべての設定を表示するには、[設定カタログ] を選択します。

  4. [作成] を選択します。

  5. [Basics]\(基本\) で次のプロパティを入力します。

    • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、プロファイルに名前を付けます。 たとえば、適切なプロファイル名は ADMX です。Microsoft Edgeで xyz 設定を構成する Windows 10/11 管理テンプレートです。
    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。

  6. [次へ] を選択します。

  7. [構成設定][すべての設定] を選択して、すべての設定のアルファベット順の一覧を表示します。 または、次のようにデバイスに適用される設定 ([コンピューターの構成]) と、ユーザーに適用される設定 ([ユーザーの構成]) を構成します。

    MICROSOFT INTUNEおよび管理センターのユーザーとデバイスに ADMX テンプレート設定Intune適用します。

    注:

    [設定カタログ] を使用している場合は、[設定の追加] を選択し、[管理用テンプレート] を展開します。 設定を選択して、構成できる内容を確認します。

    Microsoft Intuneおよび管理センターの [設定カタログ] で管理テンプレートIntune展開します。

    設定カタログを使用したポリシーの作成の詳細については、「設定カタログを 使用して設定を構成する」を参照してください。

  8. [すべての設定] を選択すると、すべての設定が一覧表示されます。 さらに設定を表示するには、下へスクロールして戻る矢印と次へ矢印を使用します。

    設定のサンプル一覧を参照し、管理センターとMicrosoft Intuneで前のボタンと次のボタンIntune使用します。

  9. 任意の設定を選択します。 たとえば、[Office] でフィルター処理して、[参照の制限を有効にする] を選択します。 設定の詳細説明が表示されます。 [有効][無効] を選択するか、または設定を [未構成] (既定値) のままにします。 詳細な説明では、[有効][無効]、または [未構成] を選択したときの動作についても説明されています。

    ヒント

    Intune の Windows の設定は、ローカル グループ ポリシー エディター (gpedit) に表示されるオンプレミスのグループ ポリシー パスに関連付けられます。

  10. [コンピューターの構成] または [ユーザーの構成] を選択すると、設定のカテゴリが表示されます。 任意のカテゴリを選択して、使用可能な設定を確認できます。

    たとえば、Internet explorer に適用されるすべてのデバイス設定を表示するには、[コンピューターの構成]>[Windows コンポーネント]>[Internet Explorer] を選択します。

    Microsoft Intune 管理センターでインターネット エクスプローラーに適用されるすべてのデバイス設定Intune表示する

  11. [OK] を選択して変更を保存します。

    設定の一覧を移動し、環境内で必要な設定の構成に進みます。 次に、いくつかの例を示します:

    • [VBA マクロ通知設定] を使用して、Word や Excel などのさまざまな Microsoft Office プログラムで VBA マクロを処理します。
    • [ファイルのダウンロードの許可] 設定を使用して、Internet Explorer からのダウンロードを許可または禁止します。
    • [コンピューターのスリープ状態の解除時にパスワードを要求する (電源接続時)] を使用し、デバイスがスリープ モードから回復したときにユーザーにパスワードを求めるように設定します。
    • [未署名の ActiveX コントロールのダウンロード] 設定を使用して、Internet Explorer からユーザーが未署名の ActiveX コントロールをダウンロードできないようブロックします。
    • [システムの復元をオフにする] 設定を使用して、デバイスでユーザーがシステムの復元を実行するのを許可または禁止します。
    • [Allow importing of favorites]\(お気に入りのインポートを許可する\) 設定を使用し、別のブラウザーから Microsoft Edge にお気に入りをインポートする行為をユーザーに許可または禁止します。
    • その他...

  12. [次へ] を選択します。

  13. スコープ タグ (オプション) で、US-NC IT TeamJohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「 分散型 IT にロールベースのアクセス制御 (RBAC) とスコープ タグを使用する」を参照してください。

    [次へ] を選択します。

  14. [割り当て] で、プロファイルを受け取るユーザーまたはグループを選択します。 プロファイルの割り当ての詳細については、「Intuneでユーザー プロファイルとデバイス プロファイルを割り当てる」を参照してください。

    プロファイルがユーザー グループに割り当てられている場合、ユーザーが登録し、サインインしたすべてのデバイスに、構成済みの ADMX 設定が適用されます。 プロファイルがデバイス グループに割り当てられている場合は、そのデバイスにサインインするすべてのユーザーに、構成済みの ADMX 設定が適用されます。 この割り当ては、ADMX 設定がコンピューター構成 (HKEY_LOCAL_MACHINE)、またはユーザー構成 (HKEY_CURRENT_USER) の場合に行われます。 一部の設定では、ユーザーに割り当てられたコンピューター設定も、そのデバイス上の他のユーザーのエクスペリエンスに影響を与える可能性があります。

    詳細については、「 ポリシーを割り当てるときにユーザー グループとデバイス グループ」を参照してください

    [次へ] を選択します。

  15. [確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

デバイスによって次に構成の更新が確認されるときに、構成した設定が適用されます。

一部の設定を見つける

これらのテンプレートで使用できる設定は数千に及びます。 特定の設定を見つけやすくするには、組み込みの機能を使用します。

  • 使用するテンプレートで [設定][状態][設定の種類]、または [パス] 列を選択し、一覧を並べ替えます。 たとえば、[パス] 列を選択し、隣の矢印を使用して、Microsoft Excel パス内の設定を表示します。

  • テンプレートで検索ボックスを使用して、特定の設定を見つけます。 設定またはパスで検索できます。 たとえば、[すべての設定] を選択し、copy を検索します。 「copy」を含むすべての設定が表示されます。

    Microsoft Intune管理センターと管理センターの管理用テンプレートのすべてのデバイス設定を表示するコピー Intune Search。

    もう 1 つの例として、「microsoft word」を検索します。 Microsoft Word プログラムに対して設定できる各設定が表示されます。 「explorer」を検索して、テンプレートに追加できる Internet Explorer の設定を確認します。

  • [コンピューターの構成] または [ユーザーの構成] を選択して、検索を絞り込むこともできます。

    たとえば、使用可能なすべてのインターネット エクスプローラー ユーザー設定を表示するには、[ユーザーの構成] を選択して を検索しますInternet Explorer。 ユーザーに適用される IE 設定のみが表示されます。

    ADMX テンプレートで [ユーザーの構成] を選択し、Microsoft Intune で Internet Explorer を検索するか、フィルターを適用します。

Known Issue Rollback (KIR) ポリシーを作成する

登録済みデバイスでは、管理用テンプレートを使用して Known Issue Rollback (KIR) ポリシーを作成し、このポリシーを Windows デバイスに展開できます。 具体的な手順については、「Microsoft Intune の ADMX ポリシー インジェストの使用により KIR のアクティブ化をマネージド デバイスに展開する」を参照してください。

KIR の概要と詳細については、次の情報を参照してください。

次の手順