Windows 10/11 テンプレートを使用して、Microsoft Intuneでグループ ポリシー設定を構成する

Microsoft Intuneの 管理用テンプレート には、Microsoft Edge バージョン 77 以降、Internet Explorer、Google Chrome、Microsoft Office プログラム、リモート デスクトップ、OneDrive、パスワード、PIN などの機能を制御するための、数千の設定が含まれています。 これらの設定により、管理者はクラウドを使用してグループ ポリシーを作成できます。

この機能は、以下に適用されます。

• Windows 11
• Windows 10

Intune テンプレートは 100% クラウドベースで、Intune に組み込まれており (ダウンロードなし)、OMA-URI の使用を含むカスタマイズは必要ありません。 これらによって、設定を構成し、必要な設定を見つけるための、簡単で明快な方法が提供されます。

• Windows の設定 は、Active Directory (AD) のグループ ポリシー (GPO) 設定に似ています。 これらの設定は、Windows に組み込みの、XML を使用する ADMX ベースの設定 です。

• Office および Microsoft Edge の設定は ADMX に取り込まれ、オンプレミス環境でダウンロードするのと同じ Office 管理用テンプレート ファイルと Microsoft Edge 管理用テンプレート ファイルを使用します。

• カスタムおよびサード パーティの ADMX ファイルと ADML ファイルをインポートできます。 手順を含む詳細については、「 カスタムまたはパートナーの ADMX ファイルをインポートする」を参照してください。

組織でデバイスを管理するとき、さまざまなデバイス グループに適用される設定のグループを作成することが推奨されます。 また、構成できる設定の単純なビューも必要です。 このタスクを完了するには、Microsoft Intune で管理用テンプレートを使用します。

モバイル デバイス管理 (MDM) ソリューションの一部として、これらのテンプレート設定をワンストップショップとして使用して、Windowsクライアント デバイスを管理します。

この記事では、Windowsクライアント デバイス用のテンプレートを作成する手順と、Intune で使用可能なすべての設定をフィルター処理する方法を示します。 テンプレートを作成すると、デバイス構成プロファイルが作成されます。 その後、組織のクライアント Windowsデバイスにこのプロファイルを割り当てまたは展開することができます。

はじめに

• これらの設定の一部は、Windows 10 バージョン 1709 (RS2/ビルド 15063) 以降で使用可能です。 すべての Windows エディションに含まれているわけではない設定もあります。 最適なエクスペリエンスを得るには、Windows 10 Enterprise バージョン 1903 (19H1/ビルド 18362) 以降を使用することをお勧めします。

• Windows の設定では、Windows ポリシー CSP が使用されます。 CSP は、Home、Professional、Enterprise など、さまざまなエディションの Windows で動作します。 CSP が特定のエディションで動作するかどうかを確認するには、Windows ポリシー CSP に移動してください。

• 管理用テンプレートを作成するには、テンプレートを使用する方法と、設定カタログを使用する方法の 2 つがあります。 この記事では、管理用テンプレート テンプレートの使用について説明します。 設定カタログでは、さらに多くの管理用テンプレートを使用できます。

  設定カタログを使用する具体的な手順については、設定カタログを使用した設定の構成に関する記事を参照してください。

テンプレートを作成する

1. Microsoft Intune管理センターにサインインします。

2. [デバイス]>[構成プロファイル]>[プロファイルの作成] の順に選択します。

3. 次のプロパティを入力します。

   • [プラットフォーム]: [Windows 10 以降] を選択します。
   • [プロファイル]: 設定の論理グループを使用するには、[テンプレート]>[管理用テンプレート] の順に選択します。 すべての設定を表示するには、[設定カタログ] を選択します。

4. [作成] を選択します。

5. [Basics]\(基本\) で次のプロパティを入力します。

   • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、プロファイルに名前を付けます。 たとえば、適切なプロファイル名は ADMX です。Microsoft Edgeで xyz 設定を構成する Windows 10/11 管理テンプレートです。
   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、推奨されます。

6. [次へ] を選択します。

7. [構成設定] の [すべての設定] を選択して、すべての設定のアルファベット順の一覧を表示します。 または、次のようにデバイスに適用される設定 ([コンピューターの構成]) と、ユーザーに適用される設定 ([ユーザーの構成]) を構成します。

   

   注:

   [設定カタログ] を使用している場合は、[設定の追加] を選択し、[管理用テンプレート] を展開します。 設定を選択して、構成できる内容を確認します。

   

   設定カタログを使用したポリシーの作成の詳細については、設定カタログを使用した設定の構成に関する記事を参照してください。

8. [すべての設定] を選択すると、すべての設定が一覧表示されます。 さらに設定を表示するには、下へスクロールして戻る矢印と次へ矢印を使用します。

   

9. 任意の設定を選択します。 たとえば、[Office] でフィルター処理して、[参照の制限を有効にする] を選択します。 設定の詳細説明が表示されます。 [有効]、[無効] を選択するか、または設定を [未構成] (既定値) のままにします。 詳細な説明では、[有効]、[無効]、または [未構成] を選択したときの動作についても説明されています。

   ヒント

   Intune の Windows の設定は、ローカル グループ ポリシー エディター (gpedit) に表示されるオンプレミスのグループ ポリシー パスに関連付けられます。

10. [コンピューターの構成] または [ユーザーの構成] を選択すると、設定のカテゴリが表示されます。 任意のカテゴリを選択して、使用可能な設定を確認できます。

    たとえば、Internet explorer に適用されるすべてのデバイス設定を表示するには、[コンピューターの構成]>[Windows コンポーネント]>[Internet Explorer] を選択します。

    

11. [OK] を選択して変更を保存します。

    設定の一覧を移動し、環境内で必要な設定の構成に進みます。 次に、いくつかの例を示します:

    • [VBA マクロ通知設定] を使用して、Word や Excel などのさまざまな Microsoft Office プログラムで VBA マクロを処理します。
    • [ファイルのダウンロードの許可] 設定を使用して、Internet Explorer からのダウンロードを許可または禁止します。
    • [コンピューターのスリープ状態の解除時にパスワードを要求する (電源接続時)] を使用し、デバイスがスリープ モードから回復したときにユーザーにパスワードを求めるように設定します。
    • [未署名の ActiveX コントロールのダウンロード] 設定を使用して、Internet Explorer からユーザーが未署名の ActiveX コントロールをダウンロードできないようブロックします。
    • [システムの復元をオフにする] 設定を使用して、デバイスでユーザーがシステムの復元を実行するのを許可または禁止します。
    • [Allow importing of favorites]\(お気に入りのインポートを許可する\) 設定を使用し、別のブラウザーから Microsoft Edge にお気に入りをインポートする行為をユーザーに許可または禁止します。
    • ほかにも多数の設定があります。

12. [次へ] を選択します。

13. スコープ タグ (オプション) で、US-NC IT Team や JohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。

    [次へ] を選択します。

14. [割り当て] で、プロファイルを受け取るユーザーまたはグループを選択します。 プロファイルの割り当ての詳細については、「ユーザーおよびデバイス プロファイルの割り当てに関するページ」 を参照してください。

    プロファイルがユーザー グループに割り当てられている場合、ユーザーが登録し、サインインしたすべてのデバイスに、構成済みの ADMX 設定が適用されます。 プロファイルがデバイス グループに割り当てられている場合は、そのデバイスにサインインするすべてのユーザーに、構成済みの ADMX 設定が適用されます。 この割り当ては、ADMX 設定がコンピューター構成 (HKEY_LOCAL_MACHINE)、またはユーザー構成 (HKEY_CURRENT_USER) の場合に行われます。 一部の設定では、ユーザーに割り当てられたコンピューター設定が、そのデバイスの他のユーザーのエクスペリエンスに影響することもあります。

    詳細については、「ポリシーの割り当て時のユーザー グループとデバイス グループ」 を参照してください。

    [次へ] を選択します。

15. [確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

デバイスによって次に構成の更新が確認されるときに、構成した設定が適用されます。

一部の設定を見つける

これらのテンプレートで使用できる設定は数千に及びます。 特定の設定を見つけやすくするには、組み込みの機能を使用します。

• 使用するテンプレートで [設定]、[状態]、[設定の種類]、または [パス] 列を選択し、一覧を並べ替えます。 たとえば、[パス] 列を選択し、隣の矢印を使用して、Microsoft Excel パス内の設定を表示します。

• テンプレートで検索ボックスを使用して、特定の設定を見つけます。 設定またはパスで検索できます。 たとえば、[すべての設定] を選択し、copy を検索します。 「copy」を含むすべての設定が表示されます。

  

  もう 1 つの例として、「microsoft word」を検索します。 Microsoft Word プログラムに対して設定できる各設定が表示されます。 「explorer」を検索して、テンプレートに追加できる Internet Explorer の設定を確認します。

• [コンピューターの構成] または [ユーザーの構成] を選択して、検索を絞り込むこともできます。

  たとえば、使用可能なすべての Internet Explorer ユーザー設定を表示するには、[ ユーザー構成] を選択して を検索します Internet Explorer。 ユーザーに適用される IE 設定のみが表示されます。

  

Known Issue Rollback (KIR) ポリシーを作成する

登録済みデバイスでは、管理用テンプレートを使用して Known Issue Rollback (KIR) ポリシーを作成し、このポリシーを Windows デバイスに展開できます。 具体的な手順については、「Microsoft Intune の ADMX ポリシー インジェストの使用により KIR のアクティブ化をマネージド デバイスに展開する」を参照してください。

KIR の概要と詳細については、次の情報を参照してください。

• Known Issue Rollback: Windows デバイスの保護と生産性の維持に役立つ
• オンプレミスのグループ ポリシーまたは Intune を使用して Known Issue Rollback を展開する方法

次の手順

• テンプレートは作成されましたが、まだ何も実行できません。 テンプレート （プロファイルとも呼ばれる） の割り当て と ポリシーの状態の監視 を必ず行ってください。

• 管理用テンプレートを使用して Office を更新します。

• 管理用テンプレートを使用して USB デバイスを制限します。

• ADMX を使用して Microsoft Edge ポリシーを作成します。

• カスタムまたはパートナーの ADMX ファイルをインポートします。

• チュートリアル: クラウドを使用して、ADMX テンプレートを使用してクライアント デバイスWindowsグループ ポリシーを構成Microsoft Intune