Microsoft Intuneのポリシーとプロファイルに関する一般的な質問、回答、シナリオ

重要

2022 年 10 月 22 日、Microsoft IntuneはWindows 8.1を実行しているデバイスのサポートを終了しました。 これらのデバイスのテクニカル アシスタンスと自動更新は利用できません。

現在Windows 8.1を使用している場合は、Windows 10/11 デバイスに移行することをお勧めします。 Microsoft Intuneには、Windows 10/11 クライアント デバイスを管理する組み込みのセキュリティ機能とデバイス機能があります。

Intune でポリシーを使用する場合の一般的な質問に対する回答を取得します。 この記事には、チェックイン時刻の間隔のリストもあり、競合などの詳細についても提供します。

この記事は、次のポリシーに適用されます。

  • アプリ保護ポリシー
  • アプリ構成ポリシー
  • コンプライアンス ポリシー
  • 条件付きアクセス ポリシー
  • デバイスの構成プロファイル
  • 登録ポリシー

ポリシー更新間隔

Intune では、Intune サービスにチェックインするようデバイスに通知されます。 通知の時間は即時から数時間後までさまざまです。 これらの通知時間は、プラットフォームによっても異なります。 Android デバイスでは、 Googe Mobile Services (GMS) がポリシーの更新間隔に影響する可能性があります

最初の通知後、デバイスがチェックインしてポリシーまたはプロファイルを取得しなかった場合、Intune ではさらに 3 回試行されます。 オフライン デバイス (オフになっている、ネットワークに接続されていないなど) が通知を受け取らない可能性があります。 この場合、デバイスでは次回のスケジュールされた Intune サービスへのチェックインでポリシーまたはプロファイルを取得します。 準拠状態から非準拠状態に移行するデバイスを含め、非準拠のチェックにも同じことが当てはまります。

"推定" 頻度:

プラットフォーム 更新サイクル
Android、AOSP 約 8 時間ごと
iOS/iPadOS 約 8 時間ごと
macOS 約 8 時間ごと
Windows 10/11 の PC をデバイスとして登録 約 8 時間ごと
Windows 8.1 約 8 時間ごと

デバイスが最近登録された場合、コンプライアンス、非準拠、および構成のチェックが頻繁に実行されます。 チェックインは、次のように推定されます。

プラットフォーム 頻度
Android、AOSP 15 分まで 3 分ごと、その後の 2 時間は 15 分ごと、その後は約 8 時間ごと
iOS/iPadOS 1 時間まで 15 分ごと、その後は約 8 時間ごと
macOS 1 時間まで 15 分ごと、その後は約 8 時間ごと
Windows 10/11 の PC をデバイスとして登録 15 分まで 3 分ごと、その後の 2 時間は 15 分ごと、その後は約 8 時間ごと
Windows 8.1 15 分まで 5 分ごと、その後の 2 時間は 15 分ごと、その後は約 8 時間ごと

アプリ保護ポリシーの更新間隔については、 App Protection Policy の配信タイミングに関するページを参照してください。

ユーザーはいつでも、ポータル サイト アプリ、デバイス>の状態の確認、または設定>の同期を開いて、ポリシーまたはプロファイルの更新をすぐにチェックできます。 Intune 管理拡張機能エージェントまたは Win32 アプリの関連情報については、「Microsoft Intuneでの Win32 アプリ管理」を参照してください。

デバイスに通知をすぐに送信する Intune アクション

通知がトリガーされるさまざまな操作があります。 たとえば、ポリシー、プロファイル、またはアプリの割り当て (または割り当て解除)、更新、削除などが行われたときです。 これらのアクションの時間はプラットフォームによって異なります。

デバイスは、チェックインを指示する通知を受け取ったとき、またはスケジュールされたチェックイン時に Intune にチェックインします。 操作でデバイスまたはユーザーを対象とする場合、チェックインしてこれらの更新プログラムを受信するように Intune からデバイスにすぐに通知されます。 たとえば、ロック、パスコードリセット、アプリ、またはポリシー割り当てアクションが実行されたときに通知が発生します。

その他の変更では、ポータル サイト アプリの連絡先情報の変更やファイルの更新など、デバイスへの即時通知は.ipa発生しません。

ポリシーまたはプロファイルの設定は、チェックインのたびに適用されます。 Windows 10 MDM ポリシー更新の顧客ブログ投稿が適切なリソースである可能性があります。

競合

競合は、異なるポリシーが同じ設定を異なる値に更新するときに発生する可能性があります。 たとえば、コピー/貼り付け設定を異なる値に更新する 2 つのポリシーがあります。 競合は、ポリシーの種類に応じて異なる方法で処理されます。

競合するポリシーをアプリ保護する

競合値は、アプリ保護ポリシーで使用できる最も制限の厳しい設定です。 例外は、リセット前の PIN の試行など、数値入力フィールドです。 数値入力フィールドは、推奨設定オプションを使用して MAM ポリシーを作成した場合と同様に、値と同じように設定されます。

競合は、2 つのプロファイル設定が同じ場合に発生します。 たとえば、コピー/貼り付けの設定以外は同じ MAM ポリシーを 2 つ構成したとします。 このシナリオでは、コピー/貼り付けの設定が最も制限の厳しい値に設定されます。 残りの設定は、構成済みとして適用されます。

ポリシーがアプリに展開され、有効になります。 2 番目のポリシーが展開されます。 このシナリオでは、最初のポリシーが優先され、適用されたままになります。 2 つ目のポリシーは競合を示しています。 両方を同時に適用する (つまり、優先されるポリシーがない) 場合、両方が競合の状態になります。 競合する設定は、最も制限の厳しい値に設定されます。

競合するコンプライアンスポリシーとデバイス構成ポリシー

同じユーザーまたはデバイスに 2 つ以上のポリシーが割り当てられている場合、適用される設定は個々の設定レベルで行われます。

  • カスタム コンプライアンス ポリシーを使用してデバイス設定を設定する場合、カスタム コンプライアンス ポリシー内の設定は、デバイス構成ポリシー内の同じ設定よりも優先されます。 コンプライアンス ポリシーの設定は、常に構成プロファイルの設定よりも優先されます。

  • 別のコンプライアンス ポリシーの同じ設定についてコンプライアンス ポリシーを評価する場合、最も制限の厳しいコンプライアンス ポリシーの設定が適用されます。

  • 構成ポリシーの設定が別の構成ポリシーの設定と競合する場合、Intune にこの競合が表示されます。 これらの競合は手動で解決します。

Intune 管理センターには、グループ ポリシー分析、エンドポイント セキュリティ、セキュリティ ベースラインなど、構成ポリシーを作成できる場所がいくつかあります。 競合があり、複数のポリシーがある場合は、ポリシーを構成したすべての場所をチェックします。 また、組み込みのレポート機能は競合に役立ちます。 使用可能なレポートの詳細については、「Intune レポート」を参照してください。

競合するカスタム iOS/iPadOS または macOS ポリシー

Intune は Apple 構成ファイルのペイロードまたはカスタム Open Mobile Alliance Uniform Resource Identifier (OMA-URI) ポリシーを評価しません。 配信メカニズムとしてのみ機能します。

カスタム ポリシーを割り当てるときは、構成した設定がコンプライアンス、構成、または他のカスタム ポリシーと競合していないことを確認してください。 カスタム ポリシーとその設定が競合する場合は、Apple によって設定がランダムに適用されます。

組み込みのレポート機能は、競合に役立ちます。 使用可能なレポートの詳細については、「Intune レポート」を参照してください。

プロファイルが削除されたか、適用されなくなった

プロファイルを削除するか、プロファイルが割り当てられているグループからデバイスを削除すると、プロファイルと設定がデバイスから削除されます。 具体的には、次のリストの説明に従って削除されます。

  • Wi-Fi、VPN、証明書、電子メールのプロファイル: これらのプロファイルは、すべてのサポートされる登録デバイスから削除されます。

  • 他のすべてのプロファイルの種類:

    • Android デバイス: 設定はデバイスから削除されません。

    • iOS/iPadOS: 次を除き、すべての設定が削除されます。

      • 音声通話ローミングを許可する
      • データ ローミングを許可する
      • ローミング中の自動同期を許可する
    • Windows デバイス: プロファイルを削除または割り当て解除した後、Microsoft Entraユーザーがデバイスにサインインし、Intune サービスと同期します

      Intune の設定は、Windows 構成サービスプロバイダー (CSP) に基づいています。 動作は CSP によって異なります。 一部の CSP では設定が削除され、他の CSP では設定が保持されます (これは、タトゥーとも呼ばれます)。

  • プロファイルは、ユーザー グループに適用されます。 その後、ユーザーはグループから削除されます。 次の場合には、そのユーザーから設定が削除されるまで最大 7 時間以上かかる場合があります。

デバイス制限プロファイルを変更しましたが、変更内容が適用されていません

制限の厳しいプロファイルを適用するには、一部のデバイスを廃止して Intune に再登録する必要がある場合があります。 たとえば、Android、iOS/iPadOS、Windows クライアント デバイスを廃止して再登録しなければならない場合があります。

Windows 10/11 プロファイルの一部の設定では、"該当なし" が返されます

Windows クライアント デバイスの一部の設定は、[ 適用不可] と表示される場合があります。 このような状況が発生する場合、その特定の設定が、デバイスで実行されている Windows のバージョンまたはエディションでサポートされていません。 このメッセージは、次の理由で表示される可能性があります。

  • 設定が、デバイス上の現在のオペレーティング システム (OS) のバージョンではなく、新しいバージョンの Windows でのみ使用可能である。
  • 設定が、特定の Windows エディションまたは特定の SKU (Home、Professional、Enterprise、Education など) でのみに使用可能である。

さまざまな設定のバージョンとエディションの要件の詳細については、 構成サービス プロバイダー (CSP) リファレンスを参照してください

デバイスが登録されると、動的デバイス グループに割り当てられたアプリとポリシーの適用に遅延が生じる

登録中に、動的デバイス グループMicrosoft Entra使用できます。 たとえば、デバイスの名前または登録プロファイルに基づいて動的デバイス グループを作成できます。

登録プロファイルは、デバイスの初期セットアップ中にデバイス レコードに適用されます。 動的グループ化Microsoft Entraすぐには実行されません。 しばらくの間、デバイスが動的グループに存在しない場合があります。テナントで行われているその他の変更によっては、数分から数時間かかる場合があります。

デバイスがグループに追加されていない場合、最初の Intune チェックイン中にアプリとポリシーがデバイスに割り当てられません。 ポリシーは、次回のスケジュールされたチェックインまで適用されない場合があります。

セットアップ/登録シナリオでアプリとポリシーの迅速な配信が重要な場合は、動的デバイス グループではなく、アプリとポリシーをユーザー グループに割り当てます。 ユーザー グループには、デバイスのセットアップ前にメンバーが事前に設定されており、この遅延はありません。

動的グループの詳細については、次のページを参照してください。

次の手順