設定カタログを使用して、Windows、iOS/iPadOS、macOS デバイスの設定を構成する

  • [アーティクル]

設定カタログには、ユーザーが構成可能なすべての設定が 1 か所にまとめて列挙されています。 この機能を使用すると、ポリシーを作成する方法、および使用可能なすべての設定を表示する方法が簡単になります。 たとえば、設定カタログを使用して、すべての BitLocker 設定を含む BitLocker ポリシーを作成できます。

Intuneで Microsoft Copilot を使用することもできます。 設定カタログで Copilot 機能を使用する場合は、Copilot を使用して次のことができます。

  • 各設定の詳細を確認し、What If 分析に影響を与え、競合の可能性を見つけます。
  • 既存のポリシーを要約し、ユーザーとセキュリティに対する影響分析を取得します。

オンプレミスの グループ ポリシー オブジェクト (GPO) と同様に詳細なレベルで設定を構成する場合、設定カタログはクラウドベースのポリシーへの自然な移行です。

ポリシーを作成するときは、ゼロから始めます。 制御および管理する設定のみを追加します。

organizationでデバイスを管理およびセキュリティで保護するには、モバイル デバイス管理 (MDM) ソリューションの一部として設定カタログを使用します。 設定カタログには、さらに多くの設定が継続的に追加されています。 設定の一覧については、 IntunePMFiles/DeviceConfig GitHub リポジトリに移動します。

この機能は、以下に適用されます。

  • iOS/iPadOS

    Apple プロファイル固有のペイロード キーから直接生成されるデバイス設定が含まれます。 その他の設定とキーが継続的に追加されています。 プロファイル固有のペイロード キーの詳細については、「Profile-Specific Payload Keys」 (Apple の Web サイトが開きます) を参照してください。

    Apple の宣言型デバイス管理 (DDM) は、設定カタログに組み込まれています。 ユーザー登録を使用して登録された iOS/iPadOS 15 以降のデバイスの設定カタログから設定を構成すると、自動的に DDM が使用されます。 何らかの理由で DDM が機能しない場合、これらのデバイスは Apple の標準 MDM プロトコルを使用します。 その他のすべての iOS/iPadOS デバイスでは、Apple の標準 MDM プロトコルが引き続き使用されます。

  • macOS

    Apple プロファイル固有のペイロード キーから直接生成されるデバイス設定が含まれます。 その他の設定とキーが継続的に追加されています。 プロファイル固有のペイロード キーの詳細については、「Profile-Specific Payload Keys」 (Apple の Web サイトが開きます) を参照してください。

    Apple の宣言型デバイス管理 (DDM) は、設定カタログで使用できます。 DDM を使用して、ソフトウェア更新プログラム、パスコード制限などを管理できます。

  • Windows 10/11

    以前は使用していなかった設定など、何千もの設定があります。 これらの設定は、Windows 構成サービス プロバイダー (CSP) から直接生成されます。 また、管理用テンプレートを構成し、さらに多くの管理用テンプレート設定を使用することもできます。 Windows によって MDM プロバイダーに設定が追加または公開されると、これらの設定が Microsoft Intune に追加され、構成できるようになります。

ヒント

  • 設定カタログの設定の一覧については、 IntunePMFiles/DeviceConfig GitHub リポジトリに移動します。
  • 構成した Microsoft Edge ポリシーを確認するには、Microsoft Edge を開き、edge://policy にアクセスします。

この記事では、ポリシーを作成する手順、Intuneの設定を検索してフィルター処理する方法、Copilot の使用方法を示します。

ポリシーを作成すると、デバイス構成プロファイルが作成されます。 その後、組織内のデバイスにこのプロファイルを割り当てるか展開できます。

設定カタログを使用して構成できる一部の機能については、「 Intune の設定カタログを使用して完了できるタスク」 を参照してください。

ポリシーの作成

ポリシーは、設定カタログ プロファイルの種類を使用して作成できます。

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイスの構成Create] を>選択します。>

  3. 次のプロパティを入力します。

    • プラットフォーム: iOS/iPadOSmacOS、または Windows 10 以降を選択します
    • プロファイルの種類: [設定カタログ] を選択します

  4. [作成] を選択します。

  5. [Basics]\(基本\) で次のプロパティを入力します。

    • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、プロファイルに名前を付けます。 たとえば、適切なプロファイル名は、macOS: MSFT Edge 設定またはすべての Win10 デバイスの Win10: BitLocker 設定です。
    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。

  6. [次へ] を選択します。

  7. [構成設定] で、[追加の追加] を選択します。 設定ピッカーで、カテゴリを選択して、使用可能なすべての設定を表示します。

    たとえば、[Windows 10 以降] を選択し、[認証] を選択して、このカテゴリのすべての設定を表示します。

    管理センターとMicrosoft Intuneで [Windows と認証] を選択した場合の設定カタログIntune示すスクリーンショット。

    たとえば、[macOS] を選択します。 [Microsoft Edge - すべて] カテゴリには、新しい設定を含め、構成できるすべての設定が一覧表示されます。 その他のカテゴリには、現在使用されていない設定や、古いバージョンに適用される設定が含まれています。

    macOS を選択し、Microsoft Intuneおよび管理センターで機能またはカテゴリを選択したときに設定カタログIntune示すスクリーンショット。

    ヒント

    • macOS では、カテゴリは一時的に削除されています。 特定の設定を検索するには、[Microsoft Edge - すべて] カテゴリを使用するか、設定名を検索します。 設定名の一覧については、「Microsoft Edge - ポリシー」を参照してください。

    • ヒントの [詳細情報] リンクを使用して、設定が古いかどうかを確認し、またサポートされているバージョンを確認します。

  8. 構成する設定を選択します。 または、[Select all these settings]\(これらの設定をすべて選択\) を選択します。

    Microsoft Intune管理センターでこれらの設定をすべて選択したときの設定Intune示すスクリーンショット。

    設定を追加したら、設定ピッカーを閉じます。 すべての設定が表示され、[ブロック][許可] などの既定値が構成されます。 これらの既定値は、OS の既定値と同じです。 設定を構成しない場合は、マイナス記号を選択します。

    [設定カタログ] を示すスクリーンショット。Microsoft Intuneと管理センターの既定値Intune OS の既定値と同じです。

    マイナスを選択した場合 (-):

    • Intune では、この設定は変更または更新されません。 マイナスは、未構成と同じです。 [未構成] に設定した場合、その設定は管理されなくなります。
    • ポリシーから設定が削除されます。 次にポリシーを開いたときに、設定は表示されません。 再度それを追加することができます。
    • 次回デバイスがチェックインしたときに、設定はロックされなくなります。 別のポリシーまたはデバイス ユーザーがポリシーを変更できます。

    ヒント

    • Windows の設定ヒントで、[詳細] は CSP にリンクしています。

    • 設定で複数の値を許可する場合は、各値を個別に追加することをお勧めします。

      たとえば、[ Bluetooth>サービスの許可リスト ] 設定に複数の値を入力できます。 個別の行に各値を入力する: Microsoft Intuneの設定カタログとIntune管理センターの個別の行に複数の値を持つ設定を示すスクリーンショット

      1 つのフィールドに複数の値を追加できますが、文字制限が発生する可能性があります。

  9. [次へ] を選択します。

  10. スコープ タグ (オプション) で、US-NC IT TeamJohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「分散 IT に RBAC ロールとスコープのタグを使用する」を参照してください。

    [次へ] を選択します。

  11. [割り当て] で、プロファイルを受け取るユーザーまたはグループを選択します。 プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

    [次へ] を選択します。

  12. [確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

デバイスによって次に構成の更新が確認されるときに、構成した設定が適用されます。

いくつかの設定を見つけて、各設定の詳細を確認する

設定カタログには、何千もの設定が用意されています。 目的の設定を見つけるには、設定カタログの検索機能とフィルター機能を使用できます。

Copilot を使用する場合は、各設定に関する AI によって生成された情報を取得できます。

新しいポリシーを作成したり、既存のポリシーを更新したりすると、設定を見つけるのに役立つ検索機能とフィルター機能が組み込まれています。

  • ポリシーで、特定の設定を見つけるには、[設定>追加Searchを使用できます。 browser などのカテゴリ、officegoogle などのキーワード、特定の設定などで検索することができます。

    たとえば、「internet explorer」というメッセージを探してみてください。 internet explorer に関するべての設定が表示されています。 カテゴリを選択して、使用可能な設定を表示します。

    インターネット エクスプローラーを検索して、Microsoft Intune と管理センターのすべての IE 設定を表示する場合の設定カタログIntune示すスクリーンショット。

  • ポリシーで、[設定の追加]>[フィルターの追加] を使用します。 キー、演算子、値を選択します。

    OS Edition でフィルター処理する場合は、特定の Windows エディションに適用される設定をフィルター処理できます。

    Microsoft Intune 管理センターで Windows エディション別に設定リストをフィルター処理する場合の設定カタログIntune示すスクリーンショット。

    注:

    Edge、Office、OneDrive の設定の場合、OS のバージョンまたはエディションでその設定が適用されるかどうかは判断されません。 そのため、Windows Professional などの特定のエディションにフィルターを適用すると、Edge、Office、OneDrive の設定は表示されません。

    デバイスまたはユーザー スコープで設定をフィルター処理することもできます。 ユーザー スコープとデバイス スコープの詳細については、 デバイス スコープとユーザー スコープの設定 に関するページを参照してください (この記事では)。

    管理センターとMicrosoft Intuneの設定カタログのユーザーとデバイススコープのフィルター Intune示すスクリーンショット。

プロファイルをコピーする

[複製] を選択して、既存のプロファイルのコピーを作成します。 複製は、元のプロファイルと類似しているが異なるプロファイルが必要な場合に役立ちます。

コピーには元のプロファイルと同じ設定構成とスコープ タグが含まれていますが、それに割り当てはアタッチされていません。 新しいプロファイルに名前を付けたら、そのプロファイルを編集して設定を調整したり、割り当てを追加したりできます。

  1. [デバイスの構成]> に移動します。
  2. コピーするプロファイルを見つけます。 プロファイルを右クリックするか、省略記号のコンテキスト メニューを選択します ()。
  3. [複製する] を選択します。
  4. ポリシーの新しい名前と説明を入力します。
  5. 変更内容を保存します。

プロファイルのインポートとエクスポート

この機能は、以下に適用されます。

  • Windows 10 以降

設定カタログ ポリシーを作成するときに、ポリシーをファイルに .json エクスポートできます。 その後、このファイルをインポートして、新しいポリシーを作成できます。 この機能は、既存のポリシーに似たポリシーを作成する場合に便利です。 たとえば、ポリシーをエクスポートし、インポートして新しいポリシーを作成し、新しいポリシーに変更を加えます。

  1. [デバイスの構成]> に移動します。

  2. 既存のポリシーをエクスポートするには、プロファイル > を選択して省略記号コンテキスト メニュー () >[JSON のエクスポート] を選択します。

    Microsoft Intune管理センターで設定カタログ ポリシーを JSON としてエクスポートする方法Intune示すスクリーンショット。

  3. 以前にエクスポートした設定カタログ ポリシーをインポートするには、[Create>インポート ポリシー] を選択します。

    Microsoft Intune 管理センターで既存の設定カタログ ポリシーをインポートする方法Intune示すスクリーンショット。

    エクスポートした JSON ファイルを選択し、新しいポリシーに名前を付けます。 変更内容を保存します。

競合とレポート

競合は、設定カタログを使用して構成されたポリシーなど、同じ設定が異なる値に更新されたときに発生します。 Intune管理センターでは、既存のポリシーの状態をチェックできます。 データは自動的に更新され、ほぼリアル タイムで動作します。

設定ごとの状態レポートなど、競合のトラブルシューティングに役立つ組み込みの機能があります。

Copilot を使用する場合は、いくつかの組み込みプロンプトを使用して、影響を含む既存のポリシーに関する詳細情報を取得できます。

Intune管理センターでは、組み込みのレポート機能を使用して、競合の検出と解決に役立ちます。

  1. Intune管理センターで、[デバイスの構成] を選択します>。 一覧で、設定カタログを使用して作成したポリシーを選択します。 [プロファイルの種類] 列には、[設定カタログ] が表示されます。

    Microsoft Intune 管理センターで設定カタログを開く方法Intune示すスクリーンショット。

  2. ポリシーを選択すると、デバイスの状態が表示されます。 ポリシーの状態とポリシーのプロパティの概要が表示されます。 [構成設定] セクションでポリシーを変更または更新することもできます。

    設定カタログ ポリシーを選択して、Microsoft Intune 管理センターと管理センターでデバイスの状態、ポリシーの状態、およびプロパティIntune表示する方法を示すスクリーンショット。

  3. [レポートを表示] を選びます。 このレポートには、デバイス名やポリシーの状態などの詳細情報が表示されます。 また、展開の状態でフィルター処理したり、レポートを .csv ファイルにエクスポートすることもできます。

    デバイス名、ポリシーの状態など、Microsoft Intuneおよび管理センター Intune詳細なレポート情報を表示する方法を示すスクリーンショット。

  4. 設定ごとの状態を使用して、各設定の状態を確認することもできます。 この状態は、ポリシーの各設定によって影響を受けたデバイスの合計数を示すものです。

    次の操作を実行できます。

    • 設定が正常に適用されている、競合が発生している、またはエラーが発生しているデバイスの数を確認する。
    • 準拠、競合、またはエラー状態のデバイスの数を選択する。 また、その状態にあるユーザーまたはデバイスの一覧を参照する。
    • 検索、並べ替え、フィルター処理、エクスポート、前後のページへの移動を行う。

  5. 管理センターで、[デバイス]>[監視]>[割り当て失敗] を選択します。 エラーまたは競合のために設定カタログ ポリシーの展開に失敗した場合は、この一覧に表示されます。 また .csv ファイルに [エクスポート] することもできます。

  6. デバイスを表示するポリシーを選択します。 次に、特定のデバイスを選択して、失敗した設定と、考えられるエラー コードを確認します。

ヒント

Intune レポート」は役に立つリソースで、使用できるすべてのレポート機能について説明しています。 表示できるすべてのレポート データについては、「Intune レポート」を参照してください。

競合の解決の詳細については、次のページを参照してください。

設定カタログとテンプレート

ポリシーを作成するときに、[Settings catalog]\(設定カタログ\)[テンプレート] の 2 種類のポリシーがあります。

Windows または macOS ポリシーを作成し、Microsoft Intuneおよび管理センターで設定カタログまたはテンプレートを選択Intune示すスクリーンショット。

テンプレートには、キオスク、VPN、Wi-Fi などの設定の論理グループが含まれます。 これらのグループ化を使用して設定を構成する場合は、このオプションを使用します。

[Settings catalog]\(設定カタログ\) には、使用可能なすべての設定が一覧表示されます。 使用可能なすべてのファイアウォール設定、または使用可能なすべての BitLocker 設定を表示する場合は、このオプションを使用します。 また、特定の設定を探している場合も、このオプションを使用します。

デバイス スコープとユーザー スコープの設定の違い

設定を選択する場合に、Allow EAP Cert SSO (User)Grouping (Device) など、設定名に (User) タグや (Device) タグが含まれる設定があります。 これらのタグが表示されている場合、そのポリシーはユーザー スコープまたはデバイス スコープにのみ影響します。

ユーザー スコープとデバイス スコープの詳細については、「ポリシー CSP」を参照してください。

ポリシーを割り当てるときは、デバイスとユーザーのグループを使います。 デバイスとユーザーのスコープには、ポリシーの適用方法が記述されています。

スコープの割り当て動作

Intune からポリシーを展開する場合、ユーザー スコープまたはデバイス スコープを任意の種類の対象グループに割り当てることができます。 ユーザーごとのポリシーの動作は、設定のスコープによって異なります。

  • ユーザー スコープ ポリシーは、HKEY_CURRENT_USER (HKCU) に書き込まれます。
  • デバイス スコープ ポリシーは、HKEY_LOCAL_MACHINE (HKLM) に書き込まれます。

デバイスが Intune にチェック インすると、デバイスは常に deviceID を提示します。 デバイスには、チェックのタイミングとユーザーがサインインしている場合に応じて、 が表示される場合と存在userIDしない場合があります。

次のリストには、スコープ、割り当て、および予想される動作のいくつかの可能な組み合わせが含まれています。

  • デバイス スコープ ポリシーがデバイスに割り当てられている場合、その設定はそのデバイス上のすべてのユーザーに適用されます。
  • デバイス スコープ ポリシーがユーザーに割り当てられている場合、そのユーザーがサインインして Intune の同期が行われると、デバイス スコープの設定がデバイス上のすべてのユーザーに適用されます。
  • ユーザー スコープ ポリシーがデバイスに割り当てられている場合、その設定はそのデバイス上のすべてのユーザーに適用されます。 この動作は、[結合] に設定されたループバックと似ています。
  • ユーザー スコープ ポリシーがユーザーに割り当てられている場合、その設定が適用されるのはそのユーザーのみです。
  • ユーザー スコープとデバイス スコープで使用できる設定がいくつかあります。 これらの設定のいずれかがユーザースコープとデバイススコープの両方に割り当てられている場合、ユーザースコープはデバイススコープよりも優先されます。

初期チェックイン中にユーザー ハイブがない場合は、一部のユーザー スコープ設定が適用されないとマークされているのを確認できます。 この動作は、ユーザーが存在する前の、デバイスの初期の段階で発生します。

次の手順