Microsoft Intuneでポリシーを割り当てる

Intune ポリシーを作成すると、ポリシー内で追加および構成したすべての設定が含まれます。 ポリシーを展開する準備ができたら、次の手順は、ユーザーまたはデバイス グループにポリシーを "割り当てる" 方法です。 割り当てられると、ユーザーとデバイスがポリシーを受け取り、入力した設定が適用されます。

Intuneでは、次のポリシーを作成して割り当てることができます。

• アプリ保護ポリシー
• アプリ構成ポリシー
• コンプライアンス ポリシー
• 条件付きアクセス ポリシー
• デバイスの構成プロファイル
• 登録ポリシー

この記事では、ポリシーを割り当てる方法、スコープ タグの使用に関するいくつかの情報、ユーザー グループまたはデバイス グループにポリシーを割り当てるタイミングなどについて説明します。

開始する前に

ポリシーとプロファイルを割り当てる適切なロールがあることを確認します。 詳細については、「ロールベースのアクセス制御 (RBAC) with Microsoft Intune」を参照してください。

ユーザーまたはグループにポリシーを割り当てる

1. Microsoft Intune 管理センターにサインインします。

2. [デバイスの構成] を選択します>。 プロファイルがすべて一覧表示されます。

3. プロパティ>割り当て編集を割り当てる>プロファイルを>選択します。

   たとえば、デバイス構成プロファイルを割り当てるには、

   1. [デバイスの構成]> に移動します。 プロファイルがすべて一覧表示されます。

   2. [プロパティ>の割り当て] 編集を割り当てる>ポリシーを>選択します。

      

4. [含まれるグループ] または [除外されたグループ] で、[グループの追加] を選択して、1 つ以上のMicrosoft Entra グループを選択します。 該当するすべてのデバイスにポリシーを広範に展開する場合は、[ すべてのユーザーの追加] または [ すべてのデバイスの追加] を選択します。

   注:

   [すべてのデバイス] と [すべてのユーザー] を選択すると、追加のMicrosoft Entraグループを追加するオプションが無効になります。

5. [確認と保存] を選択します。 この手順では、ポリシーは割り当てられません。

6. [保存] を選択します。 保存すると、ポリシーが割り当てられます。 Intune サービスでデバイスがチェックされると、グループにポリシー設定が表示されます。

知っている必要がある割り当て機能と使用する必要がある割り当て機能

• [フィルター] を使用して、作成したルールに基づいてポリシーを割り当てます。 次のフィルターを作成できます。

  • アプリ構成ポリシー
  • アプリ保護ポリシー
  • アプリの割り当て
  • コンプライアンス ポリシー
  • デバイスの構成プロファイル

  詳細については、次を参照してください:

  • Microsoft Intuneでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する
  • Microsoft Intuneのフィルターでサポートされるプラットフォーム、ポリシー、アプリの種類

• ポリシー セット は、既存のアプリとポリシーのグループまたはコレクションを作成します。 ポリシー セットが作成されたら、Microsoft Intune管理センターの 1 つの場所からポリシー セットを割り当てることができます。

  詳細については、「ポリシー セットを使用して、Microsoft Intuneの管理オブジェクトのコレクションをグループ化する」を参照してください。

• スコープ タグは、 や JohnGlenn_ITDepartmentなどのUS-NC IT Team特定のグループにポリシーをフィルター処理するための優れた方法です。 詳細については、「 分散 IT に RBAC とスコープ タグを使用する」を参照してください。

• Windows 10/11 デバイスでは、ポリシーが特定の OS バージョンまたは特定の Windows エディションにのみ適用されるように、適用規則を追加できます。 詳細については、 適用規則に関するページを参照してください。

ユーザー グループとデバイス グループ

多くのユーザーの疑問は、どのような場合にユーザー グループを使用し、どのような場合にデバイス グループを使用するのかということです。 答えは、目標によって異なります。 開始するには、次のガイダンスを参照してください。

デバイス グループ

サインインしているユーザーに関係なく、デバイスに設定を適用する場合は、デバイス グループにポリシーを割り当てます。 デバイス グループに適用した設定は、ユーザーではなく、常にデバイスに対して有効になります。

例:

• デバイス グループは、専用ユーザーがいないデバイスを管理する場合に便利です。 たとえば、チケットの印刷とインベントリのスキャンを行う、交代制の勤務者によって共有されているデバイスや、特定の倉庫に割り当てられているデバイスなどがあります。 これらのデバイスをデバイス グループに配置し、ポリシーをこのデバイス グループに割り当てます。

• BIOS の設定を更新するデバイス ファームウェア構成インターフェイス (DFCI) Intune プロファイルを作成します。 たとえば、デバイス カメラを無効にするようにこのポリシーを構成するか、ブート オプションをロックダウンして、ユーザーが別の OS を起動できないようにします。 このポリシーは、デバイス グループに割り当てるのに適したシナリオです。

• 特定の Windows デバイスでは、デバイスを使用しているユーザーに関係なく、Microsoft Edge の一部の設定を常に制御する必要があります。 たとえば、すべてのダウンロードをブロックし、すべての Cookie を現在の閲覧セッションに限定し、閲覧の履歴を削除するとします。 このシナリオでは、これらの特定の Windows デバイスをデバイス グループに配置します。 次に、Intuneで管理用テンプレートを作成し、これらのデバイス設定を追加して、このポリシーをデバイス グループに割り当てます。

要約すると、デバイスにサインインしているユーザーが誰であるか、または誰かがサインインしているかどうかを気にしない場合は、デバイス グループを使用します。 設定を常にデバイスに適用します。

ユーザー グループ

ユーザー グループに適用されるポリシー設定は、常にユーザーと共に実行され、多くのデバイスにサインインしたときにユーザーと一緒に移動します。 ユーザーは、職場用の Surface Pro と個人用の iOS または iPadOS デバイスなど、複数のデバイスを使用することが普通です。 そして、ユーザーはそれらのデバイスから電子メールやその他の組織リソースにアクセスします。

ユーザーが同じプラットフォーム上に複数のデバイスを持つ場合は、グループ割り当てでフィルターを使用できます。 たとえば、ユーザーが個人用の iOS/iPadOS デバイスと、組織所有の iOS/iPadOS を持っています。 そのユーザーにポリシーを割り当てると、 フィルター を使用して、組織所有のデバイスのみを対象にすることができます。

この一般規則に従います。電子メールやユーザー証明書など、ある機能があるユーザーに属する場合、ユーザー グループに割り当てます。

例:

• すべてのユーザーに対して、ユーザーのすべてのデバイスにヘルプ デスク アイコンを配置したいとします。 このシナリオでは、これらのユーザーをユーザー グループに配置し、ヘルプ デスク アイコン ポリシーをこのユーザー グループに割り当てます。

• ユーザーは、組織が所有する新しいデバイスを受け取ります。 ユーザーは、自身のドメイン アカウントを使用してデバイスにサインインします。 デバイスはMicrosoft Entra IDに自動的に登録され、Intuneによって自動的に管理されます。 このポリシーは、ユーザー グループに割り当てるのに適したシナリオです。

• デバイスにユーザーがサインインするたびに、OneDrive や Office などのアプリの機能を制御することが必要です。 このシナリオでは、OneDrive または Office のポリシー設定をユーザー グループに割り当てます。

  たとえば、Office アプリで信頼されていない ActiveX コントロールをブロックするとします。 Intuneで管理用テンプレートを作成し、この設定を構成してから、このポリシーをユーザー グループに割り当てることができます。

要約すると、ユーザーが使用するデバイスに関係なく、設定や規則を常にユーザーに対して有効にする場合は、ユーザー グループを使用します。

Azure Virtual Desktop マルチセッション

Intuneを使用すると、他の共有 Windows クライアント デバイスを管理するのと同じように、Azure Virtual Desktop で作成された Windows マルチセッション リモート デスクトップを管理できます。 ユーザー グループまたはデバイスにポリシーを割り当てる場合、Azure Virtual Desktop マルチセッションは特別なシナリオです。 これらの仮想マシンを使用する場合、デバイス CSP はデバイス グループをターゲットにする必要があります。 ユーザー CSP は、ユーザー グループをターゲットにする必要があります。

詳細については、「Microsoft Intuneで Azure Virtual Desktop マルチセッションを使用する」を参照してください。

Windows CSP とその動作

Windows デバイスのポリシー設定は、構成サービス プロバイダー (CSP) に基づいています。 これらの設定は、デバイス上のレジストリ キーまたはファイルにマップされます。

Windows CSP について知る必要がある内容を次に示します。

• Intuneはこれらの CSP を公開するため、これらの設定を構成して Windows デバイスに割り当てることができます。 これらの設定は、組み込みのテンプレートを使用し、設定カタログ を使用して構成できます。 設定カタログでは、一部の設定がユーザー スコープに適用され、一部の設定がデバイス スコープに適用されます。

  ユーザー スコープ設定とデバイス スコープ設定を Windows デバイスに適用する方法については、「設定カタログ: デバイス スコープとユーザー スコープの設定」 を参照してください。

• ポリシーが削除されたり、デバイスに割り当てられなくなったりすると、ポリシーの設定に応じて、さまざまなことが発生する可能性があります。 各 CSP は、ポリシーの削除を異なる方法で処理できます。

  たとえば、設定に既存の値が保持され、既定値には戻らない場合があります。 動作は、オペレーティング システムの各 CSP によって制御されます。 Windows CSP の一覧については、構成サービス プロバイダー (CSP) のリファレンスを参照してください。

  設定を別の値に変更するには、新しいポリシーを作成し、設定を [未構成] に構成し、ポリシーを割り当てます。 ポリシーがデバイスに適用される場合、ユーザーは設定を優先値に変更する制御権を持つ必要があります。

• これらの設定を構成するときは、パイロット グループに展開することをお勧めします。 Intune のロールアウトの詳細なアドバイスについては、ロールアウト計画の作成に関する記事を参照してください。

ポリシー割り当てからグループを除外する

Intuneデバイス構成ポリシーを使用すると、ポリシーの割り当てにグループを含め、除外できます。

ベスト プラクティスには、以下のような内容があります。

• ユーザー グループ専用のポリシーを作成して割り当てます。 そのようなユーザーのデバイスを含めるか除外するには、フィルターを使用します。
• デバイス グループ専用にさまざまなポリシーを作成して割り当てます。

グループについて詳しくは、「ユーザーとデバイスを整理するためのグループを追加する」をご覧ください。

グループの含めと除外の原則

ポリシーとポリシーを割り当てるときは、次の一般的な原則を適用します。

• [Included groups]\(含まれるグループ\) または [Excluded groups]\(除外されるグループ\) を、ポリシーを受け取るユーザーとデバイスの開始点と考えてください。 Microsoft Entra グループは制限グループであるため、可能な限り最小のグループ スコープを使用します。 ポリシーの割り当てを制限または調整するには、フィルターを使用します。

• 割り当てられたMicrosoft Entraグループ (静的グループとも呼ばれます) は、[含まれるグループ] または [除外されたグループ] に追加できます。

  通常、Windows Autopilot など、デバイスがMicrosoft Entra IDに事前登録されている場合は、デバイスをMicrosoft Entra グループに静的に割り当てます。 または、デバイスを 1 回限りで組み合わせる場合は、アドホック デプロイを行います。 そうしないと、デバイスをMicrosoft Entra グループに静的に割り当てることは実用的でない可能性があります。

• 動的Microsoft Entraユーザー グループは、[含まれるグループ] または [除外されたグループ] に追加できます。

• 除外されるグループには、ユーザーを含むグループ、またはデバイスを含むグループを指定できます。

• 動的Microsoft Entraデバイス グループは、[含まれるグループ] に追加できます。 ただし、動的グループ メンバーシップを設定するときに待機時間が発生する可能性があります。 待機時間が重要なシナリオでは、フィルターを使用して特定のデバイスを対象にし、ポリシーをユーザー グループに割り当てます。

  たとえば、デバイスの登録後すぐに、ポリシーを割り当てたい場合があります。 このような待機時間が重要な状況では、目的のデバイスを対象とするフィルターを作成し、このフィルターを適用したポリシーをユーザー グループに割り当てます。 デバイス グループには割り当てないでください。

  ユーザーレスシナリオでは、目的のデバイスを対象とする フィルター を作成し、フィルターを含むポリシーを "すべてのデバイス" グループに割り当てます。

• 動的Microsoft Entraデバイス グループを除外されたグループに追加しないでください。 登録時の動的なデバイス グループの計算で待機時間が発生すると、望ましくない結果が生じる可能性があります。 たとえば、除外されるグループのメンバーシップが設定される前に、不要なアプリやポリシーがデプロイされる場合があります。

サポート マトリックス

グループを除外するためのサポートを理解するには、次のマトリックスを使用します。

• ✔️ サポートされている
• ❌: サポート対象外
• ❕ : 部分的にサポートされている

シナリオ	サポート
1	❕ 部分的にサポートされている 動的デバイス グループへのポリシーの割り当てと、別の動的デバイス グループの除外がサポートされています。 ただし、待機時間が重要なシナリオでは推奨されません。 グループ メンバーシップを除外する計算で待機時間が発生すると、ポリシーがデバイスに提供される可能性があります。 このシナリオでは、デバイスを除外するために、動的なデバイス グループではなくフィルターを使用することをお勧めします。 たとえば、すべてのデバイスに割り当てられているデバイス ポリシーがあると します。 後ほど、新しいマーケティング デバイスではこのポリシーを受信しないという要件が発生します。 そのため、enrollmentProfilename プロパティ (device.enrollmentProfileName -eq "Marketing_devices") に基づいて、Marketing devices という動的なデバイス グループを作成します。 このポリシーに、Marketing devices 動的グループを除外グループとして追加します。 新しいマーケティング デバイスが初めてIntuneに登録され、新しいMicrosoft Entra デバイス オブジェクトが作成されます。 動的なグループ化のプロセスでは、デバイスを Marketing device グループに含める際に計算が遅延する可能性があります。 同時に、デバイスは Intune に登録され、該当するすべてのポリシーの受信を開始します。 デバイスが除外グループに含められる前に、Intune ポリシーが展開される可能性があります。 この動作により、不要なポリシー (またはアプリ) が Marketing devices グループに展開されます。 そのため、待機時間の影響を受けやすいシナリオでは、除外に動的デバイス グループを使用することはお勧めしません。 代わりに、フィルターを使用します。
2	✔️ 静的デバイス グループの除外中に動的デバイス グループにポリシーを割り当てることがサポートされています。
3	❌ ユーザー グループ (動的と静的の両方) を除外している間に動的デバイス グループにポリシーを割り当てることはサポートされていません。 Intune はユーザーとデバイスのグループ関係を評価せず、含まれているユーザーのデバイスは除外されません。
4	❌ サポートされていません 動的デバイス グループへのポリシーの割り当てとユーザー グループの除外 (動的と静的の両方) はサポートされていません。 Intune はユーザーとデバイスのグループ関係を評価せず、含まれているユーザーのデバイスは除外されません。
5	❕ 動的デバイス グループを除外するときに、静的デバイス グループへのポリシーの割り当てが部分的にサポート されています。 ただし、待機時間が重要なシナリオでは推奨されません。 グループ メンバーシップを除外する計算で待機時間が発生すると、ポリシーがデバイスに提供される可能性があります。 このシナリオでは、デバイスを除外するために、動的なデバイス グループではなくフィルターを使用することをお勧めします。
6	✔️ 静的デバイス グループへのポリシーの割り当てと、別の静的デバイス グループの除外がサポートされています。
7	❌ サポートされていません 静的デバイス グループへのポリシーの割り当てとユーザー グループの除外 (動的と静的の両方) はサポートされていません。 Intune はユーザーとデバイスのグループ関係を評価せず、含まれているユーザーのデバイスは除外されません。
8	❌ サポートされていません 静的デバイス グループへのポリシーの割り当てとユーザー グループの除外 (動的と静的の両方) はサポートされていません。 Intune はユーザーとデバイスのグループ関係を評価せず、含まれているユーザーのデバイスは除外されません。
9	❌ 動的ユーザー グループへのポリシーの割り当てと、デバイス グループ (動的と静的の両方) の除外はサポートされていません。
10	❌ 動的ユーザー グループへのポリシーの割り当てと、デバイス グループ (動的と静的の両方) の除外はサポートされていません。
11	✔️ 他の ユーザー グループ (動的と静的の両方) を除外しながら、動的ユーザー グループにポリシーを割り当てることがサポートされています。
12	✔️ 他の ユーザー グループ (動的と静的の両方) を除外しながら、動的ユーザー グループにポリシーを割り当てることがサポートされています。
13	❌ デバイス グループ (動的と静的の両方) を除外している間に静的ユーザー グループにポリシーを割り当てることはサポートされていません。
14	❌ デバイス グループ (動的と静的の両方) を除外している間に静的ユーザー グループにポリシーを割り当てることはサポートされていません。
15	✔️ 他の ユーザー グループ (動的と静的の両方) を除外しながら、静的ユーザー グループにポリシーを割り当てることがサポートされています。
16	✔️ 他の ユーザー グループ (動的と静的の両方) を除外しながら、静的ユーザー グループにポリシーを割り当てることがサポートされています。

次の手順

ポリシーとポリシーを実行しているデバイスの監視に関するガイダンスについては、「 デバイス プロファイルの監視 」を参照してください。