Microsoft Intuneのポリシーとプロファイルに関する一般的な質問、回答、シナリオ
重要
2022 年 10 月 22 日、Microsoft IntuneはWindows 8.1を実行しているデバイスのサポートを終了しました。 これらのデバイスのテクニカル アシスタンスと自動更新は利用できません。
現在Windows 8.1を使用している場合は、Windows 10/11 デバイスに移行することをお勧めします。 Microsoft Intuneには、Windows 10/11 クライアント デバイスを管理する組み込みのセキュリティ機能とデバイス機能があります。
Intuneでポリシーを操作するときの一般的な質問に対する回答を取得します。 この記事には、チェックイン時刻の間隔のリストもあり、競合などの詳細についても提供します。
この記事は、次のポリシーに適用されます。
- アプリ保護ポリシー
- アプリ構成ポリシー
- コンプライアンス ポリシー
- 条件付きアクセス ポリシー
- デバイスの構成プロファイル
- 登録ポリシー
ポリシー更新間隔
Intune では、Intune サービスにチェックインするようデバイスに通知されます。 通知の時間は即時から数時間後までさまざまです。 これらの通知時間は、プラットフォームによっても異なります。
最初の通知後、デバイスがチェックインしてポリシーまたはプロファイルを取得しなかった場合、Intune ではさらに 3 回試行されます。 電源がオフになっていたり、ネットワークから切断されていたりするようなオフライン デバイスでは、通知が受信されない可能性があります。 この場合、デバイスでは次回のスケジュールされた Intune サービスへのチェックインでポリシーまたはプロファイルを取得します。 同様のことが、準拠している状態から準拠していない状態に移行するデバイスを含む、コンプライアンス違反の確認に適用されます。
"推定" 頻度:
| プラットフォーム | 更新サイクル |
|---|---|
| iOS/iPadOS | 約 8 時間ごと |
| macOS | 約 8 時間ごと |
| Android | 約 8 時間ごと |
| Windows 10/11 の PC をデバイスとして登録 | 約 8 時間ごと |
| Windows 8.1 | 約 8 時間ごと |
デバイスを最近登録した場合は、コンプライアンス、コンプライアンス違反、構成のチェックインの実行頻度が高くなります。 チェックインは、次のように推定されます。
| プラットフォーム | 頻度 |
|---|---|
| iOS/iPadOS | 1 時間まで 15 分ごと、その後は約 8 時間ごと |
| macOS | 1 時間まで 15 分ごと、その後は約 8 時間ごと |
| Android | 15 分まで 3 分ごと、その後の 2 時間は 15 分ごと、その後は約 8 時間ごと |
| Windows 10/11 の PC をデバイスとして登録 | 15 分まで 3 分ごと、その後の 2 時間は 15 分ごと、その後は約 8 時間ごと |
| Windows 8.1 | 15 分まで 5 分ごと、その後の 2 時間は 15 分ごと、その後は約 8 時間ごと |
ユーザーはいつでも、ポータル サイト アプリ、デバイス>の状態の確認、または設定>の同期を開いて、ポリシーまたはプロファイルの更新をすぐに確認できます。 Intune 管理拡張機能エージェントまたは Win32 アプリの関連情報については、「Microsoft Intuneでの Win32 アプリ管理」を参照してください。
Intuneデバイスに通知をすぐに送信するアクション
通知がトリガーされるさまざまな操作があります。 たとえば、ポリシー、プロファイル、またはアプリの割り当て (または割り当て解除)、更新、削除などが行われたときです。 これらのアクションの時間はプラットフォームによって異なります。
デバイスは、チェックインを指示する通知を受け取ったとき、またはスケジュールされたチェックイン時に Intune にチェックインします。 操作でデバイスまたはユーザーを対象とする場合、チェックインしてこれらの更新プログラムを受信するように Intune からデバイスにすぐに通知されます。 たとえば、ロック、パスコードのリセット、アプリ、またはポリシーの割り当てなどの操作が実行された場合です。
ポータル サイト アプリの連絡先情報の修正など、他の変更ではデバイスへの通知はすぐに行われません。
ポリシーまたはプロファイルの設定は、チェックインのたびに適用されます。 Windows 10 MDM ポリシー更新に関するお客様のブログ投稿を参照することをお勧めします。
競合
競合は、異なるポリシーが同じ設定を異なる値に更新するときに発生する可能性があります。 たとえば、コピー/貼り付け設定を異なる値に更新する 2 つのポリシーがあります。 競合は、ポリシーの種類に応じて異なる方法で処理されます。
競合するポリシーをアプリ保護する
競合値は、アプリ保護ポリシーで使用できる最も制限の厳しい設定です。 例外は、リセット前の PIN の試行など、数値入力フィールドです。 数値入力フィールドは、推奨設定オプションを使用して MAM ポリシーを作成した場合と同様に、値と同じように設定されます。
競合は、2 つのプロファイル設定が同じ場合に発生します。 たとえば、コピー/貼り付けの設定以外は同じ MAM ポリシーを 2 つ構成したとします。 このシナリオでは、コピー/貼り付けの設定が最も制限の厳しい値に設定されます。 残りの設定は、構成済みとして適用されます。
ポリシーがアプリに展開され、有効になります。 2 番目のポリシーが展開されます。 このシナリオでは、最初のポリシーが優先され、適用されたままになります。 2 つ目のポリシーは競合を示しています。 両方を同時に適用する (つまり、優先されるポリシーがない) 場合、両方が競合の状態になります。 競合する設定は、最も制限の厳しい値に設定されます。
競合するコンプライアンスポリシーとデバイス構成ポリシー
2 つ以上のポリシーが同じユーザーまたはデバイスに割り当てられる場合、適用される設定は個々の設定レベルで行われます。
コンプライアンス ポリシーの設定は、常に構成プロファイルの設定よりも優先されます。
別のコンプライアンス ポリシーの同じ設定についてコンプライアンス ポリシーを評価する場合、最も制限の厳しいコンプライアンス ポリシーの設定が適用されます。
構成ポリシーの設定が別の構成ポリシーの設定と競合する場合、Intune にこの競合が表示されます。 これらの競合は手動で解決します。
Intune管理センターでは、グループ ポリシー分析、エンドポイント セキュリティ、セキュリティ ベースラインなど、構成ポリシーを作成できる場所はほとんどありません。 競合があり、複数のポリシーがある場合は、ポリシーを構成したすべての場所を確認します。 また、組み込みのレポート機能は競合に役立ちます。 使用可能なレポートの詳細については、「Intune レポート」を参照してください。
競合するカスタム iOS/iPadOS または macOS ポリシー
Intune は Apple 構成ファイルのペイロードまたはカスタム Open Mobile Alliance Uniform Resource Identifier (OMA-URI) ポリシーを評価しません。 配信メカニズムとしてのみ機能します。
カスタム ポリシーを割り当てるときは、構成した設定がコンプライアンス、構成、または他のカスタム ポリシーと競合していないことを確認してください。 カスタム ポリシーとその設定が競合している場合、Apple によって設定がランダムに適用されます。
組み込みのレポート機能は、競合に役立ちます。 使用可能なレポートの詳細については、「Intune レポート」を参照してください。
プロファイルが削除されたか、適用されなくなった
プロファイルを削除するか、プロファイルが割り当てられているグループからデバイスを削除すると、プロファイルと設定がデバイスから削除されます。 具体的には、次のリストの説明に従って削除されます。
Wi-Fi、VPN、証明書、電子メールのプロファイル: これらのプロファイルは、すべてのサポートされる登録デバイスから削除されます。
他のすべてのプロファイルの種類:
Android デバイス: 設定はデバイスから削除されません
iOS/iPadOS: 次を除き、すべての設定が削除されます。
- 音声通話ローミングを許可する
- データ ローミングを許可する
- ローミング中の自動同期を許可する
Windows デバイス: プロファイルを削除または割り当て解除した後、Azure AD ユーザーをデバイスにサインインさせ、Intune サービスと同期 します。
Intune の設定は、Windows 構成サービスプロバイダー (CSP) に基づいています。 動作は CSP によって異なります。 一部の CSP では設定が削除され、他の CSP では設定が保持されます (これは、タトゥーとも呼ばれます)。
プロファイルは、ユーザー グループに適用されます。 その後、ユーザーはグループから削除されます。 次の場合には、そのユーザーから設定が削除されるまで最大 7 時間以上かかる場合があります。
- Intune管理センターのポリシー割り当てから削除するプロファイル
- プラットフォーム固有のポリシー更新サイクルを使用して Intune オブジェクトと同期するデバイス (この記事の内容)
デバイス制限プロファイルを変更しましたが、変更内容が適用されていません
制限の緩いプロファイルを適用するには、一部のデバイスを廃止し、Intune に再登録する必要がある場合があります。 たとえば、Android、iOS/iPadOS、Windows クライアント デバイスを廃止して再登録する必要がある場合があります。
Windows 10/11 プロファイルの一部の設定では、"該当なし" が返されます
Windows クライアント デバイスの一部の設定は、"該当なし" と表示される場合があります。 このような状況が発生する場合、その特定の設定が、デバイスで実行されている Windows のバージョンまたはエディションでサポートされていません。 このメッセージは、次の理由で表示される可能性があります。
- 設定が、デバイス上の現在のオペレーティング システム (OS) のバージョンではなく、新しいバージョンの Windows でのみ使用可能である。
- 設定が、特定の Windows エディションまたは特定の SKU (Home、Professional、Enterprise、Education など) でのみに使用可能である。
さまざまな設定に対するバージョンと SKU 要件の詳細については、構成サービス プロバイダー (CSP) のリファレンスに関するページを参照してください。
デバイスが登録されると、動的デバイス グループに割り当てられたアプリとポリシーの適用に遅延が生じる
登録中に、Azure AD 動的デバイス グループを使用できます。 たとえば、デバイスの名前または登録プロファイルに基づいて動的デバイス グループを作成できます。
登録プロファイルは、デバイスの初期セットアップ中にデバイス レコードに適用されます。 Azure AD の動的グループ化はすぐには行われません。 しばらくの間、デバイスが動的グループに存在しない場合があります。テナントで行われている他の変更によっては、数分から数時間かかる場合があります。
デバイスがグループに追加されていない場合、最初のIntuneチェックイン中にアプリとポリシーがデバイスに割り当てられません。 ポリシーは、次回のチェックインが予定されるまで適用されない場合があります。
セットアップ/登録シナリオでアプリとポリシーの迅速な配信が重要な場合は、動的デバイス グループではなく、アプリとポリシーをユーザー グループに割り当てます。 ユーザー グループには、デバイスのセットアップ前にメンバーが事前に設定されており、この遅延はありません。
動的グループの詳細については、次のページを参照してください。
- グループを追加して、Intuneでユーザーとデバイスを整理する
- グループ、ターゲット、フィルターにIntuneを使用する場合のパフォーマンスに関する推奨事項
- Azure AD の動的グループ メンバーシップ ルール
次の手順
- ポリシーとプロファイルのトラブルシューティング
- さらに支援が必要ですか? 「Microsoft Intuneでサポートを受ける方法」を参照してください。