Microsoft Intune のポリシーとプロファイルに関する一般的な質問、回答、シナリオ。

重要

2022 年 10 月 22 日、Microsoft Intune は Windows 8.1 を実行しているデバイスのサポートを終了しました。 これらのデバイスでは技術サポートや自動更新は利用できません。

Intune でポリシーを操作するときの一般的な質問への回答を入手します。 この記事には、チェックイン時刻の間隔のリストもあり、競合などの詳細についても提供します。

この記事は以下のポリシーに適用されます:

• アプリ保護ポリシー
• アプリ構成ポリシー
• コンプライアンス ポリシー
• 条件付きアクセス ポリシー
• デバイスの構成プロファイル
• 登録ポリシー

ポリシー更新間隔

デバイスは、Intuneと同期すると、現在のユーザーまたはデバイス コンテキストの構成を確認し、割り当てられた保留中のアクション、ポリシー、アプリを受け取ります。

アプリ保護ポリシーの更新間隔については、「アプリ保護ポリシーの配信タイミング」を参照してください。

デバイス同期には、変更ベース、クライアント開始、および単一デバイスの 3 種類があります。

変更ベース

これらの同期は、デバイスが同期するための通知をトリガーする別のアクションが発生したときに発生します。たとえば、ポリシー、プロファイル、またはアプリが割り当てられている (割り当てられていない)、更新、または削除されると、同期がトリガーされます。 または、Microsoft Entra グループ メンバーシップの更新などの変更が行われた場合。 使用可能なアプリの追加などの変更は、デバイスに対する即時通知を引き起こしません。

Intuneは、Intune サービスと同期するようにオンライン デバイスに通知します。 通知時間は、すぐにから数時間まで異なる場合があります。 また、プラットフォームによっても異なる場合があります。 詳細については、次を参照してください。

• Android - Google Mobile Services (GMS) はポリシーの更新間隔に影響する可能性があります
• iOS/iPadOS - 特定の条件がポリシーの更新間隔に影響する可能性がある

電源がオフになっている場合や切断されたデバイスなどのオフライン デバイスは、通知を受け取らない可能性があります。 この場合、デバイスはIntuneとの次回の同期時にポリシーまたはプロファイルを取得します。

注:

• Intune レポートが、Intune ポータルのデバイスのポリシーの最新の状態を反映するには、さらに時間がかかる場合があります。

• プッシュ通知を受信するには、デバイスが特定のネットワーク エンドポイントに接続する必要があります。 ネットワーク エンドポイントの一覧については、「Microsoft Intuneのネットワーク エンドポイント」を参照してください。

  • Windows の依存関係
  • Apple の依存関係
  • Android の依存関係

クライアントが開始しました

次のクライアント同期は、ユーザーがデバイスにサインインしたときや、マルウェアの状態が変更された場合など、デバイスイベントや状態の変化に応答して発生します。

• メンテナンス同期 - これらの同期には、クライアントによって開始される多数の同期が含まれており、事前に設定された間隔で行われます。 クライアントまたはサービスは、プラットフォームに応じて同期を開始できます。 すべてのプラットフォームの推定チェックイン スケジュールは、約 8 時間ごとに行われます。

  クライアント スケジュールとは無関係に、デバイスは 6.5 時間ごとに 1 回のメンテナンス同期のみを許可されます。

• 新しく登録されたデバイス - デバイスが最初に登録されると、同期がより頻繁に実行され、構成、コンプライアンス、コンプライアンス以外のチェックが実行されます。 チェックインは、次のように推定されます。

  プラットフォーム	推定更新サイクル
  Android、AOSP	15 分まで 3 分ごと、その後の 2 時間は 15 分ごと、その後は約 8 時間ごと
  iOS/iPadOS	1 時間まで 15 分ごと、その後は約 8 時間ごと
  macOS	1 時間まで 15 分ごと、その後は約 8 時間ごと
  Windows	15 分まで 3 分ごと、その後の 2 時間は 15 分ごと、その後は約 8 時間ごと

単一デバイス

管理者またはエンド ユーザーは、1 つのデバイスで特定のアクションを実行するときに、次のチェックインを開始します。

• エンド ユーザーのアクション - コンプライアンスの状態の確認、ポリシーまたはプロファイルの更新プログラムの同期、アプリのインストールなど、ポータル サイト Web サイトまたはアプリ内のユーザーによって行われたアクションが含まれます。

• 管理アクション - デバイス同期、リモート ロック、パスコードのリセットなど、Intune管理センターで管理者が行ったアクションが含まれます。 ユーザーがリモートで支援するようなその他のアクションは、デバイスのチェックを引き起こしません。

ポータル サイト

ユーザーはいつでも、ポータル サイト アプリを開いて [デバイス] に移動し>状態を確認してデバイスの設定を評価し、職場または学校のリソースへのアクセスを確認したり、[設定]>Sync に移動して、organizationから最新の更新プログラム、要件、通信を取得したりできます。

Intune 管理拡張機能エージェントまたは Win32 アプリの関連情報については、「Microsoft Intuneでの Win32 アプリ管理」を参照してください。

関連情報については、「Windows 用に登録済みデバイスを同期する」と「windows 用のデバイス アクセスを確認する」ポータル サイト参照してください。

競合

異なるポリシーによって同じ設定が異なる値に更新されると、競合が発生する可能性があります。 たとえば、コピー/貼り付け設定を異なる値に更新する 2 つのポリシーがあるとします。 競合の処理方法は、ポリシーの種類によって異なります。

Intune で Microsoft Copilot を使用する場合、Copilot は競合の解決に役立ちます。 詳細については、「Intune の Copilot でのポリシーと設定の管理」を参照してください。

Intune の Microsoft Copilot を使用して、ポリシーとポリシーで構成されている設定に関する詳細情報を取得することもできます。

競合するアプリ保護ポリシー

競合値は、アプリ保護ポリシーで使用できる最も制限の厳しい設定です。 例外は、リセット前の PIN の試行など、数値入力フィールドです。 数値入力フィールドは、推奨設定オプションを使用して MAM ポリシーを作成した場合と同様に、値と同じように設定されます。

競合は、2 つのプロファイル設定が同じ場合に発生します。 たとえば、コピー/貼り付けの設定以外は同じ MAM ポリシーを 2 つ構成したとします。 このシナリオでは、コピー/貼り付けの設定が最も制限の厳しい値に設定されます。 残りの設定は、構成済みとして適用されます。

ポリシーがアプリに展開され、有効になります。 2 番目のポリシーが展開されます。 このシナリオでは、最初のポリシーが優先され、適用されたままになります。 2 つ目のポリシーは競合を示しています。 両方を同時に適用する (つまり、優先されるポリシーがない) 場合、両方が競合の状態になります。 競合する設定は、最も制限の厳しい値に設定されます。

競合するコンプライアンス ポリシーとデバイス構成ポリシー

2 つ以上のポリシーが同じユーザーまたはデバイスに割り当てられる場合、適用される設定は個々の設定レベルで行われます:

• コンプライアンス ポリシーを使用してデバイス設定を評価する場合、コンプライアンス ポリシー内の設定は、デバイス構成ポリシー内の同じ設定よりも優先されます。 コンプライアンス ポリシーの設定は、常に構成プロファイルの設定よりも優先されます。

• 別のコンプライアンス ポリシーの同じ設定についてコンプライアンス ポリシーを評価する場合、最も制限の厳しいコンプライアンス ポリシーの設定が適用されます。

• 構成ポリシーの設定が別の構成ポリシーの設定と競合する場合、Intune にこの競合が表示されます。 これらの競合は手動で解決します。

Intune 管理センターには、グループ ポリシー分析、エンドポイント セキュリティ、セキュリティ ベースラインなど、構成ポリシーを作成できる場所がいくつかあります。 競合があり、複数のポリシーがある場合は、ポリシーを構成したすべての場所を確認します。 また、組み込みのレポート機能は競合に役立ちます。 使用可能なレポートの詳細については、「Intune レポート」を参照してください。

競合するカスタム iOS/iPadOS または macOS ポリシー

Intune は Apple 構成ファイルのペイロードまたはカスタム Open Mobile Alliance Uniform Resource Identifier (OMA-URI) ポリシーを評価しません。 配信メカニズムとしてのみ機能します。

カスタム ポリシーを割り当てるときは、構成した設定がコンプライアンス、構成、または他のカスタム ポリシーと競合していないことを確認してください。 カスタム ポリシーとその設定が競合する場合、Apple は設定をランダムに適用します。

組み込みのレポート機能は、競合に役立ちます。 使用可能なレポートの詳細については、「Intune レポート」を参照してください。

プロファイルが削除されたか、適用できなくなりました

プロファイルを削除するか、プロファイルが割り当てられているグループからデバイスを削除すると、プロファイルと設定がデバイスから削除されます。 具体的には、次のリストの説明に従って削除されます。

• Wi-Fi、VPN、証明書、電子メールのプロファイル: これらのプロファイルは、すべてのサポートされる登録デバイスから削除されます。

• 他のすべてのプロファイルの種類:

  • Android デバイス: 設定はデバイスから削除されません。

  • iOS/iPadOS: 次を除き、すべての設定が削除されます。

    • 音声通話ローミングを許可する
    • データ ローミングを許可する
    • ローミング中の自動同期を許可する

  • Windows デバイス: プロファイルを削除または割り当て解除した後、Microsoft Entra ユーザーにデバイスにサインインしてもらい、Intune サービスと同期します。

    Intune の設定は、Windows 構成サービスプロバイダー (CSP) に基づいています。 動作は CSP によって異なります。 一部の CSP では設定が削除され、他の CSP では設定が保持されます (これは、タトゥーとも呼ばれます)。

• プロファイルは、ユーザー グループに適用されます。 その後、ユーザーはグループから削除されます。 次の場合には、そのユーザーから設定が削除されるまで最大 7 時間以上かかる場合があります。

  • Intune 管理センターのポリシー割り当てから削除するプロファイル
  • プラットフォーム固有のポリシー更新サイクルを使用して Intune オブジェクトと同期するデバイス (この記事の内容)

デバイス制限プロファイルを変更しましたが、変更内容が適用されていません

制限の緩いプロファイルを適用するには、一部のデバイスを廃止し、Intune に再登録する必要がある場合があります。 たとえば、Android、iOS/iPadOS、Windows クライアント デバイスを廃止して再登録する必要がある場合があります。

Windows プロファイルの一部の設定では、"適用不可" が返されます

Windows クライアント デバイスの一部の設定は、[該当なし] と表示される場合があります。 このような状況が発生する場合、その特定の設定が、デバイスで実行されている Windows のバージョンまたはエディションでサポートされていません。 このメッセージは、次の理由で表示される可能性があります。

• 設定が、デバイス上の現在のオペレーティング システム (OS) のバージョンではなく、新しいバージョンの Windows でのみ使用可能である。
• 設定が、特定の Windows エディションまたは特定の SKU (Home、Professional、Enterprise、Education など) でのみに使用可能である。

さまざまな設定に対するバージョンとエディション要件の詳細については、「構成サービス プロバイダー (CSP) のリファレンス」を参照してください。

デバイスを登録すると、動的デバイス グループに割り当てられたアプリとポリシーの適用に遅延が発生します

登録中に、動的デバイス グループMicrosoft Entra使用して、アプリとポリシーをターゲットにすることができます。 たとえば、デバイスの名前または登録プロファイルに基づいて動的デバイス グループを作成できます。

動的グループ メンバーシップでは、デバイスの登録後に追加の処理が必要です。 デバイスがグループに追加されるまで、そのグループに割り当てられたアプリとポリシーは配信されません。 ポリシーは次のスケジュールされたチェックインまで適用されない可能性があります。

登録シナリオでアプリとポリシーの迅速な配信が重要な場合は、次の代替手段を検討してください。

• ユーザー グループ - 動的デバイス グループではなく、ユーザー グループにアプリとポリシーを割り当てます。 ユーザー グループには、デバイスのセットアップ前にメンバーが事前に設定されており、登録後のグループ メンバーシップ処理には依存しません。

• 割り当てフィルター - 割り当てフィルター を使用して、OS の種類、製造元、登録プロファイルなどのプロパティに基づいてデバイスをターゲットにします。 フィルターは、グループ メンバーシップの処理に応じて、デバイス チェックインで直接評価されます。 すべての デバイス などの広範なグループにフィルターを適用して、登録中の迅速で予測可能なポリシー配信を実現します。

• 登録時間のグループ化 — 登録ターゲットにデバイス グループを引き続き使用する必要がある場合、登録時間のグループ化では、登録中ではなくセキュリティ グループにデバイスが追加されるため、そのグループに割り当てられたアプリとポリシーは、最初のチェックで配信されます。

動的グループの詳細については、次を参照してください:

• Intune でユーザーとデバイスを整理するためのグループを追加する
• Intune を使用してグループ化、ターゲット設定、フィルター処理する場合のパフォーマンスに関する推奨事項
• Microsoft Entra ID のグループの動的メンバーシップ ルール

割り当てられていないデバイス コンプライアンス ポリシーは引き続き割り当てられ、適用されます

デバイスとそれに関連付けられているユーザーからコンプライアンス ポリシーの割り当てを解除しても、ポリシーはIntune管理センターの [デバイス] >コンプライアンス>割り当てられていると表示される場合があります。

ポリシーは引き続き割り当てられ、デバイスがIntune サービスと同期されるまで有効になります。 この動作は仕様です。

デバイスを手動で同期することもできます。

詳細については、次を参照してください。

• ポリシー更新間隔 (この記事)
• リモート デバイス アクション: 同期

"同期を開始できませんでした (0x80072f9a)" エラー

Windows デバイスで 、設定 アプリ >Accounts>Access 職場または学校で同期しようとすると、 The sync could not be initiated (0x80072f9a) エラーが表示される場合があります。

トラステッド プラットフォーム モジュール (TPM) が出荷時の設定にリセットされた場合、デバイスは再登録して同期を再開する必要があります。 デバイスのMicrosoft Entra ID は TPM に格納されます。 そのため、ID が削除された場合は、再登録がMicrosoft Entra ID を再確立する唯一の方法です。

関連記事

• ポリシーとプロファイルのトラブルシューティング。
• さらに支援が必要ですか? 「Microsoft Intune でサポートを受ける方法」を参照してください。