Microsoft Intuneでインポートした GPO を使用して設定カタログ ポリシーを作成する (パブリック プレビュー)

  • [アーティクル]

オンプレミス グループ ポリシー オブジェクト (GPO) をインポートし、これらのインポートされた設定を使用して Intune ポリシーを作成できます。 このポリシーは、組織で管理されているユーザーとデバイスに展開できます。

グループ ポリシー Analytics では、オンプレミス GPO をインポートします。 インポートした GPO が分析され、Microsoft Intune でも使用できる設定が表示されます。 使用可能な設定については、設定カタログ ポリシーを作成し、そのポリシーを管理対象デバイスに展開できます。

この機能は、以下に適用されます。

  • Windows 11
  • Windows 10

この記事では、インポートした GPO からポリシーを作成する方法について説明します。 グループ ポリシー Analytics の詳細と概要については、「Microsoft Intuneでグループ ポリシー分析を使用してオンプレミスのグループ ポリシー オブジェクト (GPO) を分析する」を参照してください。

開始する前に

  • Microsoft Intune管理センターで、次のようにサインインします。

    • Intune 管理者

      または

    • [セキュリティ ベースライン] アクセス許可と [デバイス構成]/[作成] アクセス許可を持つロール

    組み込みの Intune ロールに含まれるアクセス許可の詳細については、「 組み込みの管理者ロール」を参照してください。 カスタム ロールの詳細については、「カスタム ロールに アクセス許可を割り当てる」を参照してください。

  • オンプレミス GPO をインポートし、結果を確認します。

    具体的な手順については、「Intune でグループ ポリシー分析を使用してオンプレミス GPO をインポートして分析する」を参照してください。

  • GPO をスコープとする管理者のみが、そのインポートされた GPO から設定カタログ ポリシーを作成できます。 スコープ タグは、GPO のインポート中に最初に適用され、編集できます。 GPO のインポート中にスコープ タグが選択されていないか選択されていない場合は、 既定 のスコープ タグが自動的に使用されます。

  • この機能はパブリック プレビュー段階です。 その意味の詳細については、「Microsoft Intuneのパブリック プレビュー」を参照してください。

GPO を確認し、設定 カタログ ポリシーに移行する

GPO をインポートしたら、移行できる設定を確認します。 一部の設定は、Windows 10/11 デバイスなど、クラウド ネイティブ エンドポイントでは意味をなさない点に注意してください。 確認した後、設定を設定カタログ ポリシーに移行できます。

  1. Microsoft Intune管理センターで、[デバイス>グループ ポリシー分析] を選択します。

  2. 一覧に、インポートした GPO が表示されます。 設定 カタログ プロファイルで必要な GPO の横にある [移行] チェック ボックスをオンにします。 1 つの GPO または多くの GPO を選択できます。

    Microsoft Intuneでインポートした GPO の横にある [移行] チェック ボックスをオンにする方法を示すスクリーンショット。

  3. インポートした GPO のすべての設定を表示するには、[移行] を選択します。

    [移行] ボタンを選択して、インポートした GPO のすべての設定をMicrosoft Intuneに表示する方法を示すスクリーンショット。

  4. [移行する設定] タブで、設定 カタログ プロファイルに含める設定の [移行] 列を選択します。

    移行する設定と、Microsoft Intuneの [移行] チェック ボックスをオンにする方法を示すスクリーンショット。

    設定を選択するために、組み込みの機能を使用できます。

    • このページですべてを選択する: 既存のページのすべての設定を設定 カタログ プロファイルに含める場合は、このオプションを選択します。

      このページの [すべて選択] ボタンを使用して、Microsoft Intuneの グループ ポリシー Analytics 移行機能にすべてのページ設定を含める方法を示すスクリーンショット。

    • 設定名で検索: 設定名を入力して、目的の設定を検索します。

      Microsoft Intuneの グループ ポリシー Analytics 移行機能で設定名を検索する方法を示すスクリーンショット。

    • 並べ替え: 列名を使用して設定を並べ替えます。

      移行、設定名、グループ ポリシー設定カテゴリ、MDM サポート、値、スコープ、最小 OS バージョン、CSP 名を使用して設定を並べ替える方法を示すスクリーンショットグループ ポリシー Analytics は、Microsoft Intuneの機能を移行します。

    ヒント

    まだ確認していない場合は、グループ ポリシー設定を確認します。 一部の設定は、クラウド ベースのポリシー管理に適用されないか、Windows 10/11 デバイスなどのクラウド ネイティブ エンドポイントには適用されない可能性があります。 すべてのグループ ポリシー設定を確認せずに含めるのはお勧めしません。

    [次へ] を選択します。

  5. [構成] に、設定とその値が表示されます。 値は、オンプレミスのグループ ポリシーの値と同じです。 これらの設定とその値を確認します。

    設定 カタログ ポリシーを作成したら、任意の値を変更できます。

    [次へ] を選択します。

  6. [プロファイル情報] に、次の設定を入力します。

    • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるよう、プロファイルに名前を付けます。 たとえば、適切なプロファイル名は Windows 10/11: インポート済みの Microsoft Edge GPO です。
    • 説明: プロファイルの説明を入力します。 この設定は省略可能ですが、推奨されます。

    [次へ] を選択します。

  7. [ スコープ タグ] で、必要に応じてタグを割り当てて、プロファイルを特定の IT グループ (US-NC IT チームやJohnGlenn_ITDepartmentなど) にフィルター処理します。 スコープ タグの詳細については、「 分散 IT に RBAC ロールとスコープ タグを使用する」を参照してください。

  8. [割り当て] で、プロファイルを受け取るユーザーまたはグループを選択します。 アドバイスやガイダンスなど、プロファイルの割り当ての詳細については、「Intune のユーザーおよびデバイス プロファイルの割り当て」を参照してください。

    [次へ] を選択します。

  9. [確認と展開] で、設定を確認します。

    [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーが [デバイス>の構成] の一覧に表示されます。

次に、割り当てられたグループ内のデバイスが構成の更新をチェックするときに、構成した設定が適用されます。

競合する設定が早期に検出される

同じ設定を含む複数の GPO があり、設定が異なる値に設定されている可能性があります。 ポリシーを作成し、[移行する設定 ] タブで設定を選択すると、競合する設定に次のエラーが表示されます。

Conflicts are detected for the following settings: <setting name>. Select only one version with the value you prefer in order to continue.

Microsoft Intuneの グループ ポリシー Analytics 移行機能との競合が検出されたエラー メッセージを示すスクリーンショット。

競合を解決するには、競合する設定をオフにし、移行を続行します。

知っておく必要があること

移行機能は、インポートされたグループ ポリシー オブジェクト (GPO) から解析されたデータを取得し、設定が存在する場合は、設定カタログの関連する設定に変換します。

移行 はベスト エフォートです。

設定カタログ プロファイルを作成すると、プロファイルに含めることができるすべての設定が含まれます。 インポートされた設定と、設定カタログの設定にはいくつかの違いがあります。

  • 一部の設定はエンドポイント セキュリティでのほうが構成しやすい

    AppLocker 設定またはファイアウォール規則の設定をインポートした場合、[ 移行 ] オプションは無効になり、淡色表示されます。代わりに、Intune 管理センターのエンドポイント セキュリティ ワークロードを使用して、これらの設定を構成します。

    詳細については、以下をご覧ください。

    エンドポイント セキュリティに重点を置く GPO がある場合は、セキュリティ ベースラインやモバイル脅威防御など、 エンドポイント セキュリティで使用できる機能を確認する必要があります。

  • 一部の設定は正確には移行せず、別の設定を使用する場合があります

    一部のシナリオでは、一部の GPO 設定が設定カタログのまったく同じ設定に移行されません。 Intune には、同様の効果を持つ代替設定が表示されます。

    この動作は、以前の Office 管理用テンプレート設定または古い Google Chrome 設定を含む GPO をインポートする場合に表示されます。 次の図では、以前の Office 設定はサポートされていません。 そのため、Intune では、サポートされているバージョンへの移行が提案されています。

    サポートされていない古い Office 設定を示すスクリーンショット。Microsoft Intuneでサポートされているバージョンへの移行を提案しています。

  • 一部の設定の移行に失敗する

    設定の移行中にエラーが発生する可能性があります。 プロファイルの作成時に、以下のエラーを返す設定が 通知に表示されます。

    ポリシーがMicrosoft Intuneで作成されている場合の追加情報を含む通知を示すスクリーンショット。

    設定にエラーが表示される一般的な理由には、次のようなものがあります。

    • 設定値が予期しない形式です。
    • 子設定がインポートされた GPO に表示されないので、親設定を構成するために必要です。

次の手順