コンプライアンス ポリシーを使用して、Intune で管理するデバイスのルールを設定する

  • [アーティクル]

Intune のようなモバイル デバイス管理 (MDM) ソリューションでは、組織のデータを保護するために、ユーザーやデバイスがいくつかの要件を満たすことを要求します。 Intune では、この機能は "コンプライアンス ポリシー" と呼ばれています。

Intune のコンプライアンス ポリシーとは次のようなものです。

  • 準拠ユーザーおよびデバイスであるために満たす必要があるルールや設定を定義します。
  • 非準拠のデバイスに適用されるアクションが含まれます。 非準拠に対するアクションにより、ユーザーに非準拠の条件を通知し、非準拠のデバイスでデータを保護することができます。
  • 条件付きアクセスと組み合わせて、ルールを満たしていないユーザーとデバイスをブロックすることができます。
  • デバイス構成ポリシーを使用して管理する設定の構成をオーバーライドできます。 ポリシーの競合解決の詳細については、「 競合するコンプライアンスポリシーとデバイス構成ポリシー」を参照してください。

Intune のコンプライアンス ポリシーには、次の 2 つの部分があります。

  • コンプライアンス ポリシー設定 – すべてのデバイスが受信する組み込みのコンプライアンス ポリシーのような、テナント全体の設定です。 コンプライアンス ポリシー設定では、デバイス コンプライアンス ポリシーを受信していないデバイスが準拠しているかどうかなど、Intune 環境でのコンプライアンス ポリシーの動作のベースラインを設定します。

  • デバイス コンプライアンス ポリシー – 構成し、ユーザーまたはデバイスのグループに展開するプラットフォーム固有のルーです。 これらのルールは、最小オペレーティング システムやディスク暗号化の使用などの、デバイスの要件を定義します。 準拠したデバイスと見なされるには、これらの規則を満たす必要があります。

他の Intune ポリシーと同様に、デバイスのコンプライアンス ポリシーの評価は、デバイスが Intune にチェックインするタイミングと、ポリシーとプロファイルの更新サイクルによって異なります。

コンプライアンス ポリシー設定

コンプライアンス ポリシー設定 は、Intune のコンプライアンス サービスがデバイスとどのように対話するかを決定する、テナント全体の設定です。 これらの設定は、デバイス コンプライアンス ポリシーで構成する設定とは異なります。

コンプライアンス ポリシー設定を管理するには、管理センター Microsoft Intuneサインインし、[エンドポイント セキュリティ>] [デバイス コンプライアンス] [コンプライアンス>ポリシー設定] の順に移動します。

コンプライアンス ポリシー設定には、次の設定が含まれます。

  • [コンプライアンス ポリシーが割り当てられていないデバイスをマークする]

    この設定は、デバイス コンプライアンス ポリシーが割り当てられていないデバイスを Intune がどのように処理するかを決定します。 この設定には次の 2 つの値があります。

    • 準拠 (既定値): このセキュリティ機能は無効になっています。 デバイス コンプライアンス ポリシーが送信されていないデバイスは "準拠" と見なされます。
    • 非準拠: このセキュリティ機能は有効になっています。 デバイス コンプライアンス ポリシーを受信していないデバイスは、非準拠と見なされます。

    デバイス コンプライアンス ポリシーで条件付きアクセスを使用する場合は、この設定を [準拠していない ] に変更して、準拠として確認されたデバイスのみがリソースにアクセスできるようにします。

    ポリシーが割り当てられていないためにエンド ユーザーが準拠していない場合、ポータル サイト アプリには [コンプライアンス ポリシーが割り当てられていません] と表示されます。

  • [コンプライアンス状態の有効期間 (日)]

    受信したすべてのコンプライアンス ポリシーについて、デバイスが正常に報告する必要がある期間を指定します。 有効期限が切れる前にデバイスがポリシーのコンプライアンス状態を報告できなかった場合、デバイスは非準拠として扱われます。

    既定では、期間は 30 日に設定されます。 1 日から 120 日の期間を構成できます。

    有効期間の設定に対するデバイスのコンプライアンスに関する詳細を表示できます。 管理センター Microsoft Intuneサインインし、[デバイス>モニター>の設定] コンプライアンスに移動します。 この設定の名前は、[設定] 列の [アクティブ] の名前です。 この情報および関連するコンプライアンス状態ビューの詳細については、「デバイス コンプライアンスを監視する」を参照してください。

デバイス コンプライアンス ポリシー

Intune のデバイス コンプライアンス ポリシーは次を行います。

  • 準拠ユーザーおよびマネージド デバイスであるために満たす必要があるルールや設定を定義します。 ルールの例として、デバイスで最小 OS バージョンを実行している必要があります。また、脱獄されたりルート化されたりしておらず、Intune と統合されている脅威管理ソフトウェアで指定された "脅威レベル" を超えていない必要があります。
  • コンプライアンス ルールを満たしていないデバイスに適用されるアクションをサポートします。 アクションの例として、リモートでのロックや、デバイスの状態に関する電子メールをデバイスのユーザーに送信して修正できるようにする、などがあります。
  • ユーザー グループ内のユーザー、またはデバイス グループ内のデバイスに展開します。 コンプライアンス ポリシーがユーザーに展開されると、すべてのユーザーのデバイスのコンプライアンスがチェックされます。 このシナリオでのデバイス グループの使用は、コンプライアンス レポートに役立ちます。

条件付きアクセスを使用する場合、条件付きアクセス ポリシーはデバイスのコンプライアンス結果を使用して、準拠していないデバイスからのリソースへのアクセスをブロックできます。

デバイス コンプライアンス ポリシーで指定できる設定は、ポリシーの作成時に選択したプラットフォームの種類によって異なります。 デバイス プラットフォームごとに異なる設定がサポートされており、プラットフォームの種類ごとに個別のポリシーが必要です。

次の項目は、デバイスの構成ポリシーのさまざまな側面に特化した記事にリンクしています。

  • 非準拠に対するアクション - 各デバイス コンプライアンス ポリシーには、非準拠に対するアクションが 1 つ以上含まれています。 これらのアクションは、ポリシーで設定した条件を満たしていないデバイスに適用されるルールです。

    既定では、各デバイス コンプライアンス ポリシーには、ポリシー ルールに適合しない場合にデバイスを非準拠としてマークするアクションが含まれます。 その後、ポリシーは、そのアクションに対して設定したスケジュールに基づいて、構成済みの非準拠に対する追加アクションをデバイスに適用します。

    非準拠に対するアクションは、デバイスが準拠していない場合にユーザーに警告したり、デバイス上のデータを保護したりするのに役立ちます。 アクションの例を次に示します。

    • 非準拠デバイスに関する詳細情報が含まれているユーザーおよびグループに電子メール アラートを送信します。 非準拠とマークされた直後に電子メールを送信し、デバイスが準拠状態になるまで定期的に電子メールを送信するポリシーを構成することができます。
    • しばらくの間準拠していないデバイスをリモートでロックします
    • しばらくの間準拠していないデバイスを廃止します。 このアクションは、条件を満たすデバイスを廃止する準備ができていることをマークします。 その後、管理者は廃止のマークが付けられたデバイスのリストを表示でき、1 つ以上のデバイスを廃止するには、明示的なアクションを実行する必要があります。 デバイスを廃止すると、そのデバイスは Intune 管理から削除され、デバイスからすべての企業データが削除されます。 このアクションの詳細については、「非準拠に対して使用できるアクション」を参照してください。

  • ポリシーの作成 – この記事の情報を参考にして前提条件を確認し、オプションを設定してルールを構成し、非準拠に対するアクションを指定して、ポリシーをグループに割り当てることができます。 この記事には、ポリシーの更新時間に関する情報も含まれています。

    さまざまなデバイス プラットフォームでのデバイスのコンプライアンス設定を参照してください。

  • カスタム コンプライアンス設定 – カスタム コンプライアンス設定を使用すると、Intune の組み込みのデバイス コンプライアンス オプションを拡張できます。 カスタム設定を使用すると、Intune がこれらの設定を追加するのを待たずに、デバイスで使用できる設定に基づいてコンプライアンスを柔軟に行うことができます。

    カスタム コンプライアンス設定は、次のプラットフォームで使用できます。

    • Linux – Ubuntu Desktop、バージョン 20.04 LTS、22.04 LTS
    • Windows 10 または 11

コンプライアンス状態を監視する

Intune には、デバイスのコンプライアンス状態を監視し、ポリシーとデバイスの詳細を確認できるデバイス コンプライアンス ダッシュボードが含まれています。 このダッシュボードの詳細については、デバイス コンプライアンスの監視に関する記事を参照してください。

条件付きアクセスと統合する

条件付きアクセスを使用する場合は、デバイス コンプライアンス ポリシーの結果を使用するための条件付きアクセス ポリシーを構成して、組織のリソースにアクセスできるデバイスを決定できます。 このアクセスの制御は、デバイス コンプライアンス ポリシーに含める非準拠に対するアクションとは別のものとして追加されます。

デバイスが Intune に登録されると、Microsoft Entra ID に登録されます。 デバイスのコンプライアンス状態は、Microsoft Entra ID に報告されます。 条件付きアクセス ポリシーのアクセスの制御が "Require device to be marked as compliant\(デバイスは準拠としてマーク済みである必要があります\)" に設定されている場合、条件付きアクセスでは、そのコンプライアンス状態を使用して、電子メールやその他の組織のリソースへのアクセスを許可するかブロックするかを決定します。

条件付きアクセス ポリシーが設定されたデバイスのコンプライアンス状態を使用する場合は、テナントで "コンプライアンス ポリシーが割り当てられていないデバイスをマークする" がどのように構成されているかを確認します。これは [コンプライアンス ポリシー設定] で管理します。

デバイス コンプライアンス ポリシーが設定された条件付きアクセスを使用する方法の詳細については、「デバイスベースの条件付きアクセス」を参照してください

条件付きアクセスの詳細については、Microsoft Entraドキュメントを参照してください。

さまざまなプラットフォームでの非準拠と条件付きアクセスに関するリファレンス

次の表では、条件付きアクセス ポリシーとコンプライアンス ポリシーを使用する場合に非準拠設定をどのように管理するかについて説明しています。

  • 修復: デバイス オペレーティング システムによって準拠が強制されます たとえば、ユーザーは PIN を設定するように強制されます。

  • 検疫済み: デバイス オペレーティング システムによって準拠が強制されません。 たとえば、Android デバイスと Android エンタープライズ デバイスでは、ユーザーはデバイスの暗号化を強制されません。 デバイスが準拠していない場合、次のアクションが行われます。

    • ユーザーに条件付きアクセス ポリシーを適用すると、デバイスがブロックされます。
    • ポータル サイト アプリでは、コンプライアンスの問題についてユーザーに通知します。
ポリシーの設定 プラットフォーム
Allowed Distros Linux(only) - 検疫済み
デバイスの暗号化 - Android 4.0 以降: 検疫済み
- Samsung KNOX Standard 4.0 以降: 検疫済み
- Android Enterprise: 検疫済み

- iOS 8.0 以降: 修復済み (PINの設定による)
- macOS 10.11 以降: 検疫済み

- Linux: 検疫済み

- Windows 10/11: 検疫済み
電子メールのプロファイル - Android 4.0 以降: 適用なし
- Samsung KNOX Standard 4.0 以降: 該当なし
- Android Enterprise: 適用なし

- iOS 8.0 以降: 検疫済み
- macOS 10.11 以降: 検疫済み

- Linux: 適用されません

- Windows 10/11: 該当なし
脱獄またはルート化されたデバイス - Android 4.0 以降: 検疫済み (設定ではありません)
- Samsung KNOX Standard 4.0 以降: 検疫済み (設定ではありません)
- Android Enterprise: 検疫済み (設定ではありません)

- iOS 8.0 以降: 検疫済み (設定ではありません)
- macOS 10.11 以降: 適用なし

- Linux: 適用されません

- Windows 10/11: 該当なし
最大 OS バージョン - Android 4.0 以降: 検疫済み
- Samsung KNOX Standard 4.0 以降: 検疫済み
- Android Enterprise: 検疫済み

- iOS 8.0 以降: 検疫済み
- macOS 10.11 以降: 検疫済み

- Linux: 許可されたディストリビューションに関するページを参照してください

- Windows 10/11: 検疫済み
最小 OS バージョン - Android 4.0 以降: 検疫済み
- Samsung KNOX Standard 4.0 以降: 検疫済み
- Android Enterprise: 検疫済み

- iOS 8.0 以降: 検疫済み
- macOS 10.11 以降: 検疫済み

- Linux: 許可されたディストリビューションに関するページを参照してください

- Windows 10/11: 検疫済み
PIN またはパスワードの構成 - Android 4.0 以降: 検疫済み
- Samsung KNOX Standard 4.0 以降: 検疫済み
- Android Enterprise: 検疫済み

- iOS 8.0 以降: 修復済み
- macOS 10.11 以降: 修復済み

- Linux: 検疫済み

- Windows 10/11: 修復済み
Windows 正常性構成証明書 - Android 4.0 以降: 適用なし
- Samsung KNOX Standard 4.0 以降: 該当なし
- Android Enterprise: 適用なし

- iOS 8.0 以降: 適用なし
- macOS 10.11 以降: 適用なし

- Linux: 適用されません

- Windows 10/11: 検疫済み

注:

ポータル サイト アプリは、ユーザーがアプリにサインインし、デバイスが Intune で 30 日以上正常にチェックインされていない (または、連絡先のコンプライアンス違反の理由によりデバイスが非準拠である) 場合に、登録修復フローに入ります。 このフローでは、もう 1 回チェックインを開始しようとします。 それでも成功しない場合は、ユーザーがデバイスを手動で再登録できるように、廃止コマンドを発行します。

次の手順