Configuration Managerで構成基準を作成する
Configuration Manager (現在のブランチ) に適用
Configuration Managerの構成基準には、定義済みの構成項目と必要に応じて他の構成基準が含まれています。 構成基準が作成されたら、コレクションに展開して、そのコレクション内のデバイスが構成基準をダウンロードし、そのコンプライアンスを評価できるようにします。
ヒント
Configuration Manager クライアントがベースラインの構成項目を評価する順序を指定する方法はありません。 これは非決定的です。
構成基準
Configuration Managerの構成基準には、構成項目の特定のリビジョンを含めたり、常に最新バージョンの構成項目を使用するように構成したりできます。 構成項目のリビジョンの詳細については、「構成 データの管理タスク」を参照してください。
構成基準の作成に使用できる方法は 2 つあります。
ファイルから構成データをインポートします。 構成データのインポート ウィザードを開始するには、[資産とコンプライアンス] ワークスペースの [構成項目] ノードまたは [構成基準] ノードで、[構成データのインポート] をクリックします。 詳細については、「 構成データのインポート」を参照してください。
[構成基準の作成] ダイアログ ボックスを使用して、新しい構成基準を作成します。
構成基準を作成する
[構成基準の作成] ダイアログ ボックスを使用して 構成基準を作成 するには、次の手順に従います。
Configuration Manager コンソールで、[資産とコンプライアンスコンプライアンス>設定>の構成基準] をクリックします。
[ ホーム ] タブの [ 作成 ] グループで、[ 構成基準の作成] をクリックします。
[ 構成基準の作成 ] ダイアログ ボックスで、構成基準の一意の名前と説明を入力します。 名前には最大 255 文字、説明には 512 文字を使用できます。
[構成データ] の一覧には、この構成基準に含まれるすべての構成項目または構成基準が表示されます。 [ 追加] をクリックして、新しい構成項目または構成基準を一覧に追加します。 次の項目から選択できます。
構成項目
ソフトウェア 更新
構成基準
Important
各構成基準を 1,000 以下のソフトウェア更新プログラムに制限する必要があります。
[目的の変更] リストを使用して、[構成データ] リストで選択した構成項目の動作を指定します。 次の項目から選択できます。
必須: 構成項目がクライアント デバイスで検出されない場合、構成基準は非準拠として評価されます。 検出された場合は、コンプライアンスが評価されます
省略可能: 構成項目は、参照するアプリケーションがクライアント コンピューターで見つかった場合にのみコンプライアンスが評価されます。 アプリケーションが見つからない場合、構成基準は非準拠としてマークされません (アプリケーション構成項目にのみ適用されます)。
禁止: 構成基準は、クライアント コンピューターで構成項目が検出された場合に非準拠として評価されます (アプリケーション構成項目にのみ適用されます)。
注:
[目的の変更] ボックスの一覧は、[構成項目の作成ウィザード] の [全般] ページの [この構成項目にアプリケーション設定が含まれています] オプションをクリックした場合にのみ使用できます。
[リビジョンの変更] リストを使用して、クライアント デバイスのコンプライアンスを評価する構成項目の特定または最新のリビジョンを選択するか、[常に最新のリビジョンを使用する] を選択します。 構成項目のリビジョンの詳細については、「構成 データの管理タスク」を参照してください。
構成基準から構成項目を削除するには、構成項目を選択し、[ 削除] をクリックします。
バージョン 1806 以降で、 共同管理クライアントに対して常にこのベースラインを適用するかどうかを選択します。 オンにすると、このベースラインは Intune によって管理されているクライアントにも適用されます。 この例外は、organizationに必要な設定を構成するために使用される場合がありますが、Intune ではまだ使用できません。
必要に応じて、[ カテゴリ ] をクリックして、検索とフィルター処理の基準にカテゴリを割り当てます。
[ OK] を クリックして [ 構成基準の作成 ] ダイアログ ボックスを閉じ、構成基準を作成します。
注:
[ 常にこのベースラインを共同管理クライアントに適用する] の設定など、既存のベースラインを変更すると、ベースライン コンテンツ のバージョンがインクリメントされます。 クライアントは、ベースライン レポートを更新するために新しいバージョンを評価する必要があります。
コンプライアンス ポリシー評価の一部としてカスタム構成基準を含める
コンプライアンス ポリシー評価ルールとして、カスタム構成基準の評価を追加できます。 構成基準を作成または編集する場合は、 コンプライアンス ポリシー評価の一環としてこのベースラインを評価するオプションがあります。 コンプライアンス ポリシールールを追加または編集する場合、コンプライアンス ポリシー 評価に構成されたベースラインを含めるという条件があります。 共同管理デバイスの場合、および全体的なコンプライアンス状態の一部としてConfiguration Managerコンプライアンス評価の結果を取得するように Intune を構成すると、この情報はMicrosoft Entra ID に送信されます。 その後、Microsoft 365 Apps リソースへの条件付きアクセスに使用できます。 詳細については、「 共同管理による条件付きアクセス」を参照してください。
コンプライアンス ポリシー評価の一部としてカスタム構成基準を含めるには、次の手順を実行します。
- コンプライアンス ポリシー評価に構成されたベースラインを含めるルールを使用して、コンプライアンス ポリシーを作成してユーザー コレクションに展開します。
- デバイス コレクションに展開された構成基準のコンプライアンス ポリシー評価の一部として、[このベースラインを評価する] を選択します。
Important
- 構成基準を デバイス コレクションに展開する必要があります。 これらの設定を使用する場合、 ユーザー コレクションにデプロイされたベースラインは適用されません。
- 共同管理されているデバイスをターゲットにする場合は、 共同管理の前提条件を満たしていることを確認します。 共同管理クライアントは、コンプライアンス ポリシーワークロードが Intune によって管理されている場合、修復のためにサービス ウィンドウを無視します。
- Configuration Managerによって管理されるデバイスの場合、クライアントはコンプライアンス ポリシーの修復のためにサービス ウィンドウを優先します。 サービス ウィンドウを無視してすぐに修復するには、ソフトウェア センターで [コンプライアンスの確認] を選択します。
評価シナリオの例
ユーザーがコンプライアンス ポリシーを対象とするコレクションの一部であり、ルール条件 [構成されたベースラインをコンプライアンス ポリシー評価に含める] を含む場合、ユーザーまたはユーザーのデバイスに展開されている [コンプライアンス ポリシー評価の一部としてこのベースラインを評価 する] オプションが選択されているベースラインは、コンプライアンスが評価されます。 次に例を示します。
-
User1
は のUser Collection 1
一部です。 -
User1
Device1
では、 と が使用Device Collection 1
されますDevice Collection 2
。 -
Compliance Policy 1
には、 コンプライアンス ポリシー評価ルールの条件に構成済みのベースラインを含める が、 にUser Collection 1
デプロイされます。 -
Configuration Baseline 1
は 、[コンプライアンス ポリシー評価の一部としてこのベースラインを評価 する] が選択され、 にDevice Collection 1
デプロイされます。 -
Configuration Baseline 2
は 、[コンプライアンス ポリシー評価の一部としてこのベースラインを評価 する] が選択され、 にDevice Collection 2
デプロイされます。
このシナリオでは、 を使用Device1
してUser1
評価されるとCompliance Policy 1
、 と Configuration Baseline 2
の両方Configuration Baseline 1
も評価されます。
-
User1
場合によっては を使用Device2
します。 -
Device2
は およびDevice Collection 3
のDevice Collection 2
メンバーです。 -
Device Collection 3
がConfiguration Baseline 3
展開されていますが、 コンプライアンス ポリシー評価の一部としてこのベースラインを評価 することは選択されていません。
を使用Device2
する場合User1
は、評価時Compliance Policy 1
にのみConfiguration Baseline 2
評価されます。
注:
コンプライアンス ポリシーで、以前にクライアントで評価されたことのない新しいベースラインが評価された場合、コンプライアンス違反が報告される可能性があります。 これは、コンプライアンスの評価時にベースライン評価がまだ実行されている場合に発生します。 この問題を回避するには、ソフトウェア センターで [コンプライアンスの確認] をクリックします。
ベースライン コンプライアンス ポリシー評価の規則を使用してコンプライアンス ポリシーを作成して展開する
[ 資産とコンプライアンス ] ワークスペースで、[ コンプライアンス設定] を展開し、[ コンプライアンス ポリシー ] ノードを選択します。
リボンの [ コンプライアンス ポリシーの作成 ] をクリックして、 コンプライアンス ポリシーの作成ウィザードを表示します。
[全般] ページで、[Configuration Manager クライアントで管理されているデバイスのコンプライアンス規則] を選択します。
- コンプライアンス ポリシー評価の一部としてカスタム構成基準を含めるためには、デバイスを Configuration Manager クライアントで管理する必要があります。
[サポートされているプラットフォーム] ページで プラットフォームを 選択します。
[ ルール ] ページで、[ 新規] を選択し、[ 構成済みのベースラインをコンプライアンス ポリシー評価条件に含める ] を選択します。
[ OK] をクリックし、[ 次へ ] をクリックして [概要 ] ページに移動します。
選択内容を確認し、[ 次へ ]、[ 閉じる] の順にクリックします。
[ コンプライアンス ポリシー ] ノードで、作成したポリシーを右クリックし、[展開] を選択 します。
コレクション、アラート生成の設定、ポリシーのコンプライアンス評価スケジュールを選択します。
[ OK] を クリックしてコンプライアンス ポリシーを展開します。
構成基準を選択し、「コンプライアンス ポリシー評価の一環としてこのベースラインを評価する」をチェックします。
[ 資産とコンプライアンス ] ワークスペースで、[ コンプライアンス設定] を展開し、[ 構成基準 ] ノードを選択します。
デバイス コレクションに展開されている既存のベースラインを右クリックし、[プロパティ] を選択 します。 必要に応じて、新しいベースラインを作成できます。
- ベースラインは、ユーザー コレクションではなくデバイス コレクションに展開する必要があります。
[コンプライアンス ポリシー評価の一部としてこのベースラインを評価する] 設定を有効にします。
- Intune を デバイス構成 機関として持つ共同管理デバイスの場合は、[ 共同管理されたクライアントに対してもこのベースラインを常に適用 する] も選択されていることを確認します。
[ OK] を クリックして、構成基準への変更を保存します。
コンプライアンス ポリシー評価の一環としてのカスタム構成基準のログ ファイル
- ComplianceHandler.log
- SettingsAgent.log
- DCMAgent.log
- CIAgent.log