Intuneでの iOS/iPadOS のデバイス コンプライアンス設定

この記事では、Intuneの iOS/iPadOS デバイスで構成できるさまざまなコンプライアンス設定の一覧と説明を行います。 モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用してメールを要求し、ルート化 (脱獄) デバイスを準拠していないとマークし、許可された脅威レベルを設定し、パスワードを期限切れに設定します。

この機能は、以下に適用されます。

• iOS
• iPadOS

Intune管理者は、これらのコンプライアンス設定を使用して、組織のリソースを保護します。 コンプライアンス ポリシーとその機能の詳細については、「 デバイス コンプライアンスの概要」を参照してください。

開始する前に

コンプライアンス ポリシーを構成する場合、さまざまな設定を使用して、特定のニーズに合わせて保護を調整できます。 特定のセキュリティ構成シナリオを実装する方法を理解するには、iOS コンプライアンス ポリシーのセキュリティ構成フレームワークガイダンスを参照してください。

セキュリティ構成フレームワークは、個人所有および監視対象のデバイスにガイダンスを提供する個別の構成レベルに編成されており、各レベルは前のレベルから構築されています。

各レベルの設定の詳細については、以下を参照してください。

• 個人所有のデバイスと監視対象デバイスについては、「iOS/iPadOS デバイスコンプライアンスセキュリティ構成」を参照してください。

続行する準備ができたら、 iOS/iPadOS デバイス コンプライアンス ポリシーを作成します。

メール

• デバイスでメールを設定できない

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
  • 必須 - マネージド メール アカウントが必要です。 ユーザーが既にデバイスにメール アカウントを持っている場合は、Intuneが正しく設定できるように、メール アカウントを削除する必要があります。 デバイスに電子メール アカウントが存在しない場合、ユーザーは IT 管理者に連絡してマネージド メール アカウントを構成する必要があります。

  デバイスは、次の状況では非準拠と見なされます。

  • 電子メール プロファイルは、コンプライアンス ポリシーの対象となるユーザー グループとは異なるユーザー グループに割り当てられます。
  • ユーザーは、デバイスに展開されたIntune電子メール プロファイルと一致する電子メール アカウントをデバイスに既に設定しています。 Intuneユーザーが構成したプロファイルを上書きすることはできません。また、Intuneは管理できません。 準拠するには、エンド ユーザーが既存のメール設定を削除する必要があります。 その後、Intuneマネージド 電子メール プロファイルをインストールできます。

電子メール プロファイルの詳細については、「Intuneを使用して電子メール プロファイルを使用して組織の電子メールへのアクセスを構成する」を参照してください。

デバイスの正常性

• 脱獄されたデバイス
  iOS 8.0 以降でサポートされています

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
  • [ブロック ] - ルート化された (脱獄された) デバイスを準拠していないとしてマークします。

• デバイスは、デバイス脅威レベル以下であることが必要
  iOS 8.0 以降でサポートされています

  この設定を使用して、コンプライアンスの条件としてリスク評価を行います。 許可される脅威レベルを選択します。

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
  • セキュリティ保護済み - このオプションは最も安全であり、デバイスに脅威を持つことができないことを意味します。 デバイスが任意のレベルの脅威で検出された場合、デバイスは非準拠として評価されます。
  • 低 - 低レベルの脅威のみが存在する場合、デバイスは準拠として評価されます。 それ以上の場合、デバイスは非準拠状態になります。
  • 中 - デバイスに存在する脅威が低レベルまたは中レベルの場合、デバイスは準拠として評価されます。 デバイスに高レベルの脅威が検出された場合は、非準拠と判断されます。
  • High - このオプションは、すべての脅威レベルを許可するため、最も安全性が低いオプションです。 レポート目的でのみこのソリューションを使用している場合に役立つ場合があります。

デバイスのプロパティ

オペレーティング システムのバージョン

• 最小 OS バージョン
  iOS 8.0 以降でサポートされています

  デバイスが OS の最小バージョン要件を満たしていない場合は、非準拠として報告されます。 アップグレード方法に関する情報を含むリンクが表示されます。 エンド ユーザーは、デバイスのアップグレードを選択できます。 その後、組織のリソースにアクセスできます。

• 最大 OS バージョン
  iOS 8.0 以降でサポートされています

  デバイスが規則のバージョンより後の OS バージョンを使用すると、組織のリソースへのアクセスがブロックされます。 エンド ユーザーは、IT 管理者に問い合わせるよう求められます。 OS バージョンを許可するようにルールが変更されるまで、デバイスは組織のリソースにアクセスできません。

• OS ビルドの最小バージョン
  iOS 8.0 以降でサポートされています

  Apple がセキュリティ更新プログラムを発行すると、通常、ビルド番号は OS バージョンではなく更新されます。 この機能を使用して、デバイスで許可される最小ビルド番号を入力します。

• OS ビルドの最大バージョン
  iOS 8.0 以降でサポートされています

  Apple がセキュリティ更新プログラムを発行すると、通常、ビルド番号は OS バージョンではなく更新されます。 この機能を使用して、デバイスで許可される最大ビルド番号を入力します。

Microsoft Defender for Endpoint

• デバイスは、次のマシン リスク スコア以下であることが必要

  Microsoft Defender for Endpointによって評価されたデバイスに対して許可される最大マシン リスク スコアを選択します。 このスコアを超えるデバイスは、非準拠としてマークされます。

  • 未構成 (既定値)
  • Clear
  • 低
  • [ Medium]
  • High

システム セキュリティ

Password

注:

コンプライアンスまたは構成ポリシーが iOS/iPadOS デバイスに適用されると、ユーザーは 15 分ごとにパスコードを設定するように求められます。 パスコードが設定されるまで、ユーザーに継続的にメッセージが表示されます。 iOS/iPadOS デバイスのパスコードが設定されると、暗号化プロセスが自動的に開始されます。 パスコードが無効になるまで、デバイスは暗号化されたままになります。

• モバイル デバイスのロックを解除するパスワードを要求する

  • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
  • 必須 - ユーザーは、デバイスにアクセスする前にパスワードを入力する必要があります。 パスワードを使用する iOS/iPadOS デバイスは暗号化されます。

• 単純なパスワード
  iOS 8.0 以降でサポートされています

  • 未構成 (既定値) - ユーザーは 1234 や 1111 などの単純なパスワードを作成できます。
  • ブロック - ユーザーは、1234 や 1111 などの単純なパスワードを作成できません。

• パスワードの最小文字数
  iOS 8.0 以降でサポートされています

  パスワードに必要な最小桁数または文字数を入力します。

• パスワードの入力が必要
  iOS 8.0 以降でサポートされています

  パスワードに数字のみを含めるか、 数字 とその他の文字 (英数字) を混在させる必要があるかどうかを選択します。

• パスワード内の英数字以外の文字数
  パスワードに必要な、、#%!、&、などの特殊文字の最小数を入力します。

  数値を大きく設定するには、より複雑なパスワードを作成する必要があります。

• 画面ロック後にパスワードが要求されるまでの最長時間 (分)
  iOS 8.0 以降でサポートされています

  ユーザーがデバイスにアクセスするためにパスワードを入力する必要がある前に、画面がロックされた後の時間を指定します。 オプションには、既定の [未構成]、[ 直ちに]、[ 1 分 ] から [4 時間] が含まれます。

• 画面がロックされるまでの非アクティブな最長時間 (分)
  デバイスが画面をロックするまでのアイドル時間を入力します。 オプションには、既定の [未構成]、[ 直ちに]、[ 1 分 ] から [15 分] が含まれます。

• パスワードの有効期限 (日)
  iOS 8.0 以降でサポートされています

  パスワードの有効期限が切れるまでの日数を選択し、新しいパスワードを作成する必要があります。

• 再使用を禁止するパスワード世代数
  iOS 8.0 以降でサポートされています

  使用できない以前に使用したパスワードの数を入力します。

デバイスのセキュリティ

• 制限されたアプリ
  アプリを制限するには、バンドル ID をポリシーに追加します。 デバイスにアプリがインストールされている場合、デバイスは非準拠としてマークされます。

  • [アプリ名 ] - バンドル ID を識別するのに役立つわかりやすい名前を入力します。
  • アプリ バンドル ID - アプリ プロバイダーによって割り当てられた一意のバンドル識別子を入力します。 バンドル ID を見つけるには、 Support.apple.com のネイティブ iOS アプリと iPadOS アプリのバンドル ID に関するページを参照するか、アプリのソフトウェア ベンダーにお問い合わせください。

  注:

  [制限付きアプリ] 設定は、管理コンテキストの外部にインストールされている管理されていないアプリケーションに適用されます。

次の手順

• 非準拠デバイスのアクションを追加 し、 スコープ タグを使用してポリシーをフィルター処理します。
• コンプライアンス ポリシーを監視します。
• macOS デバイスのコンプライアンス ポリシー設定を参照してください。