設定カタログを使用して、Windows、iOS/iPadOS、macOS デバイスの設定を構成する

設定カタログには、すべてを 1 か所で構成できるすべての設定が一覧表示されます。 この機能により、ポリシーを作成する方法と、使用可能なすべての設定を表示する方法が簡略化されます。 たとえば、設定カタログを使用して、すべての BitLocker 設定を含む BitLocker ポリシーを作成できます。

Intune で Microsoft Copilot を使用することもできます。 設定カタログで Copilot 機能を使用する場合は、Copilot を使用して次のことができます。

• 各設定の詳細を確認し、what if analysis に 影響を与え、競合の可能性を見つけます。
• 既存のポリシーを要約し、ユーザーとセキュリティに対する影響分析を取得します。

オンプレミスのグループ ポリシー オブジェクト (GPO) の使用と同様に、詳細なレベルで設定を構成する場合、設定カタログはクラウドベースのポリシーへの自然な移行です。

ポリシーを作成するときは、ゼロから始めます。 制御および管理する設定のみを追加します。

組織内のデバイスを管理およびセキュリティで保護するには、モバイル デバイス管理 (MDM) ソリューションの一部として設定カタログを使用します。 設定カタログには、さらに多くの設定が継続的に追加されています。 設定の現在の一覧については、 IntunePMFiles/DeviceConfig GitHub リポジトリを参照してください。

この機能は、以下に適用されます。

• iOS/iPadOS

  Apple プロファイル固有のペイロード キーから直接生成されるデバイス設定が含まれます。 その他の設定とキーが継続的に追加されています。 詳細については、Apple の Web サイト のプロファイル固有のペイロード キー に関するページを参照してください。

  Apple の宣言型デバイス管理 (DDM) は、設定カタログに組み込まれています。 ユーザー登録を使用して登録された iOS/iPadOS 15 以降のデバイスの設定カタログから設定を構成すると、自動的に DDM が使用されます。 DDM が機能しない場合、これらのデバイスでは Apple の標準 MDM プロトコルが使用されます。 その他のすべての iOS/iPadOS デバイスでは、Apple の標準 MDM プロトコルが引き続き使用されます。

• macOS

  Apple プロファイル固有のペイロード キーから直接生成されるデバイス設定が含まれます。 その他の設定とキーが継続的に追加されています。 プロファイル固有のペイロード キーの詳細については、Apple の Web サイト のプロファイル固有のペイロード キー に関するページを参照してください。

  Apple の宣言型デバイス管理 (DDM) は、設定カタログで使用できます。 DDM を使用して、ソフトウェア更新プログラム、パスコード制限などを管理できます。

  設定カタログを使用して、プロパティ リスト (plist) ファイルではなく、新しいバージョンの Microsoft Edge やその他の機能を構成することもできます。 詳細については、以下を参照してください:

  • plist ファイルに代わる組み込みの macOS 機能
  • Microsoft Intune を使用して macOS デバイスにプロパティ リスト ファイルを追加します。

  基本設定ファイルを引き続き使用して、次のことができます。

  • 以前のバージョンの Microsoft Edge を構成します。
  • 設定カタログにない Microsoft Edge ブラウザー設定を構成します。

• Windows 10/11

  以前は使用していなかった設定など、何千もの設定があります。 これらの設定は、Windows 構成サービス プロバイダー (CSP) から直接生成されます。 また、管理用テンプレートを構成し、より多くの管理用テンプレート設定を使用することもできます。 Windows で MDM プロバイダーにより多くの設定が追加または公開されると、構成するためにこれらの設定が Microsoft Intune に追加されます。

ヒント

• 設定カタログの設定の一覧については、 IntunePMFiles/DeviceConfig GitHub リポジトリを参照してください。
• 構成した Microsoft Edge ポリシーを表示するには、Microsoft Edge を開き、[ edge://policy] に移動します。

この記事では、ポリシーを作成する手順、Intune で設定を検索およびフィルター処理する方法、Copilot の使用方法について説明します。

ポリシーを作成すると、デバイス構成プロファイルが作成されます。 その後、組織内のデバイスにこのプロファイルを割り当てるか展開できます。

設定カタログを使用して構成できる機能の詳細については、「 Intune の設定カタログを使用して完了できるタスク」を参照してください。

ポリシーの作成

ポリシーは、設定カタログ プロファイルの種類を使用して作成します。

1. Microsoft Intune 管理センターにサインインします。

2. [デバイス]>[デバイスの管理]>[構成]>[作成]>[新しいポリシー] の順に選択します。

3. 次のプロパティを入力します。

   • プラットフォーム: iOS/iPadOS、 macOS、または Windows 10 以降を選択します。
   • プロファイルの種類: [設定カタログ] を選択します。

4. [作成] を選択します。

5. [Basics]\(基本\) で次のプロパティを入力します。

   • 名前: 後で簡単に識別できるように、プロファイルに名前を付けます。 たとえば、適切なプロファイル名は 、macOS: Microsoft Edge 設定 または Win10: すべての Win10 デバイスの BitLocker 設定です。
   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。

6. [次へ] を選択します。

7. [構成設定] で、[追加の追加] を選択します。 設定ピッカーで、カテゴリを選択して、使用可能なすべての設定を表示します。

   たとえば、 Windows 10 以降を選択し、[ 認証 ] を選択して、このカテゴリのすべての設定を表示します。

   

   たとえば、[macOS] を選択します。 Microsoft Edge - すべてのカテゴリには、構成できるすべての設定が一覧表示されます。 その他のカテゴリには、古いバージョンまたは古いバージョンに適用される設定が含まれます。

   

   ヒント

   • macOS では、カテゴリは一時的に削除されています。 特定の設定を検索するには、[Microsoft Edge - すべて] カテゴリを使用するか、設定名を検索します。 設定名の一覧については、「 Microsoft Edge - ポリシー」を参照してください。

   • ヒントの [詳細情報 ] リンクを使用して、設定が廃止されているかどうかを確認し、サポートされているバージョンを確認します。

8. 構成する設定を選択します。 または、[Select all these settings]\(これらの設定をすべて選択\) を選択します。

   

   設定を追加したら、設定ピッカーを閉じます。 すべての設定が表示され、 ブロック や 許可などの既定値で構成されます。 これらの既定値は、OS の既定値と同じです。 設定を構成しない場合は、マイナス記号 (-) を選択します。

   

   マイナスを選択した場合:

   • Intune では、この設定は変更または更新されません。 マイナスは、未構成と同じです。 [未構成] に設定した場合、その設定は管理されなくなります。
   • ポリシーから設定が削除されます。 次にポリシーを開いたときに、設定は表示されません。 ただし、再度追加することもできます。
   • 次回デバイスがチェックインしたときに、設定はロックされなくなります。 別のポリシーまたはデバイス ユーザーがポリシーを変更できます。

   ヒント

   • Windows の設定ヒントで、[詳細] は CSP にリンクしています。

   • 設定で複数の値を許可する場合は、各値を個別に追加することをお勧めします。 たとえば、 Bluetooth>Services Allowed List 設定に複数の値を入力できます。 各値を個別の行に入力します。

     1 つのフィールドに複数の値を追加できますが、文字制限が発生する可能性があります。

9. [次へ] を選択します。

10. スコープ タグ (オプション) で、US-NC IT Team や JohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「分散 IT に RBAC ロールとスコープのタグを使用する」を参照してください。

    [次へ] を選択します。

11. [割り当て] で、プロファイルを受け取るユーザーまたはグループを選択します。 詳細については、「 ユーザープロファイルとデバイスプロファイルを割り当てる」を参照してください。

    [次へ] を選択します。

12. [確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

デバイスによって次に構成の更新が確認されるときに、構成した設定が適用されます。

いくつかの設定を見つけて、各設定の詳細を確認する

設定カタログには、何千もの設定が用意されています。 目的の設定を見つけるには、検索機能とフィルター機能を使用します。

Copilot を使用すると、各設定に関する AI によって生成された情報を取得できます。

検索とフィルター

新しいポリシーを作成したり、既存のポリシーを更新したりすると、設定を見つけるのに役立つ検索機能とフィルター機能が組み込まれています。

• ポリシー内の特定の設定を見つけるには、[設定の追加>検索] を使用します。 browserなどのカテゴリで検索したり、officeやgoogleなどのキーワードを検索したり、特定の設定を検索したりできます。

  たとえば、「internet explorer」というメッセージを探してみてください。 internet explorer に関するべての設定が表示されています。 カテゴリを選択して、使用可能な設定を表示します。

  

• ポリシーで、[設定の追加]>[フィルターの追加] を使用します。 キー、演算子、値を選択します。

  OS Edition でフィルター処理する場合は、特定の Windows エディションに適用される設定をフィルター処理できます。

  

  注:

  Edge、Office、OneDrive の設定の場合、OS のバージョンまたはエディションでその設定が適用されるかどうかは判断されません。 そのため、Windows Professional などの特定のエディションにフィルターを適用した場合、Edge、Office、OneDrive の設定は表示されません。

  デバイスまたはユーザー スコープで設定をフィルター処理することもできます。 詳細については、「 デバイス スコープとユーザー スコープの設定 (この記事の)」を参照してください。

  

Copilot

設定カタログ ポリシーを使用する場合は、Copilot を使用して、特定の設定に関する詳細情報を取得できます。

1. ポリシーで、[設定の 追加] を選択します。 設定 Ppicker で、いくつかの設定を選択します。 たとえば、macOS ポリシーで、[ 宣言型デバイス管理>ソフトウェア更新プログラム>これらすべての設定を選択します。 設定ピッカーを閉じます。

2. 設定については、Copilot ヒントに注目してください。

   

3. Copilot ヒントを選択すると、設定に関する詳細情報が自動的に表示されます。

   

4. プロンプト ガイドを選択し、既存のオプションの一覧から選択することもできます。

   

プロファイルをコピーする

[複製] を選択して、既存のプロファイルのコピーを作成します。 複製は、元のプロファイルに似たプロファイルが必要な場合に便利です。 コピーには、元のプロファイルと同じ設定構成とスコープ タグが含まれていますが、割り当てはアタッチされていません。

新しいプロファイルに名前を付けたら、そのプロファイルを編集して設定を調整したり、割り当てを追加したりできます。

1. [デバイス]>[デバイスの管理]>[構成] の順に移動します。
2. コピーするプロファイルを見つけます。 プロファイルを右クリックするか、省略記号のコンテキスト メニューを選択します (…)。
3. [複製する] を選択します。
4. ポリシーの新しい名前と説明を入力します。
5. 変更内容を保存します。

プロファイルのインポートとエクスポート

この機能は、以下に適用されます。

• Windows 10 以降

設定カタログ ポリシーを作成するときに、ポリシーを .json ファイルにエクスポートできます。 その後、このファイルをインポートして、新しいポリシーを作成できます。 この機能は、既存のポリシーに似たポリシーを作成する場合に便利です。 たとえば、ポリシーをエクスポートし、インポートして新しいポリシーを作成し、新しいポリシーに変更を加えます。

1. [デバイス]>[デバイスの管理]>[構成] の順に移動します。

2. 既存のポリシーをエクスポートするには、Windows 設定カタログ ポリシーを選択し、省略記号/コンテキスト メニュー (…) >[JSON のエクスポート] を選択します。

   

3. 以前にエクスポートした設定カタログ ポリシーをインポートするには、[ 作成>インポート ポリシー] を選択します。

   

   エクスポートした JSON ファイルを選択し、新しいポリシーに名前を付けます。 変更内容を保存します。

競合とレポート

競合は、設定カタログを使用して構成されたポリシーなど、同じ設定が異なる値に更新されたときに発生します。 Intune 管理センターでは、既存のポリシーの状態を確認できます。 データはほぼリアルタイムで自動的に更新されます。

設定ごとの状態レポートなど、競合のトラブルシューティングに役立つ組み込みの機能があります。

Copilot を使用する場合は、組み込みのプロンプトを使用して、影響を含む既存のポリシーに関する詳細情報を取得できます。

レポートとトラブルシューティング

Intune 管理センターでは、組み込みのレポート機能を使用して、競合の検出と解決に役立ちます。

1. Intune 管理センターで、[デバイス>管理デバイス>Configuration] を選択します。 一覧で、設定カタログを使用して作成したポリシーを選択します。 [プロファイルの種類] 列には、[設定カタログ] が表示されます。

   

2. ポリシーを選択すると、デバイスの状態が表示されます。 ポリシーの状態とポリシーのプロパティの概要が表示されます。 [構成設定] セクションでポリシーを変更または更新することもできます。

   

3. [レポートを表示] を選びます。 このレポートには、デバイス名やポリシーの状態などの詳細情報が表示されます。 展開の状態をフィルター処理し、レポートを.csv ファイルにエクスポートすることもできます。

   

4. また、ポリシーの各設定によって影響を受けるデバイスの数である 設定ごとの状態を使用して、各設定の状態を確認することもできます。

   次の操作を実行できます。

   • 設定が正常に適用されている、競合が発生している、またはエラーが発生しているデバイスの数を確認する。
   • 準拠、競合、またはエラー状態のデバイスの数を選択する。 その状態のユーザーまたはデバイスの一覧を表示します。
   • 検索、並べ替え、フィルター処理、エクスポート、前後のページへの移動を行う。

5. 管理センターで、[デバイス]>[監視]>[割り当て失敗] を選択します。 エラーまたは競合のために設定カタログ ポリシーの展開に失敗した場合は、この一覧に表示されます。 また .csv ファイルに [エクスポート] することもできます。

6. デバイスを表示するポリシーを選択します。 次に、特定のデバイスを選択して、失敗した設定とエラー コードを確認します。

ヒント

Intune レポート は優れたリソースです。 表示できるすべてのレポート データの詳細については、 Intune レポートに関するページを参照してください。

競合の解決の詳細については、次を参照してください。

• デバイス プロファイルを監視する
• デバイス ポリシーに関する一般的な質問と回答

Copilot

Copilot は、既存のポリシーの状態を見つけ、ポリシー内の特定の設定の状態を見つけ、競合の可能性を示すのに役立ちます。

1. Intune 管理センターで、[デバイス>管理デバイス>Configuration] を選択します。 ポリシーの一覧で、Copilot を使用して評価するポリシーを選択します。

2. ポリシーを選択すると、デバイスの状態が表示されます。 [Copilot で要約] を選択します。

   

   ポリシーの設定を含むサマリーが自動的に表示され、その値 & されます。

3. プロンプト ガイドを選択し、既存のオプションの一覧から選択することもできます。

   

設定カタログとテンプレート

ポリシーを作成するときは、 設定カタログ と テンプレートの 2 種類から選択できます。

テンプレートには、キオスク、VPN、Wi-Fi などの設定の論理グループが含まれます。 これらのグループ化を使用して設定を構成する場合は、このオプションを使用します。

[Settings catalog]\(設定カタログ\) には、使用可能なすべての設定が一覧表示されます。 使用可能なすべてのファイアウォール設定または使用可能なすべての BitLocker 設定を表示する場合は、このオプションを使用します。 また、特定の設定を探している場合も、このオプションを使用します。

デバイス スコープとユーザー スコープの設定の違い

設定を選択すると、一部の設定には、Allow EAP Cert SSO (User)やGrouping (Device)など、設定名に(User)または(Device)タグがあります。 これらのタグが表示されている場合、そのポリシーはユーザー スコープまたはデバイス スコープにのみ影響します。

ユーザー スコープとデバイス スコープの詳細については、 ポリシー CSP に関するページを参照してください。

ポリシーを割り当てるときは、デバイスとユーザーのグループを使います。 デバイスとユーザーのスコープには、ポリシーの適用方法が記述されています。

スコープの割り当て動作

Intune からポリシーを展開するときに、任意の種類のターゲット グループにユーザー スコープまたはデバイス スコープを割り当てることができます。 ユーザーごとのポリシーの動作は、設定のスコープによって異なります。

• ユーザー スコープ ポリシーは、HKEY_CURRENT_USER (HKCU) に書き込まれます。
• デバイス スコープ ポリシーは、HKEY_LOCAL_MACHINE (HKLM) に書き込まれます。

デバイスが Intune にチェック インすると、デバイスは常に deviceID を提示します。 チェックインのタイミングとユーザーがサインインしているかどうかに応じて、デバイスに userIDが表示される場合と表示されない場合があります。

次のリストには、スコープ、割り当て、および予想される動作のいくつかの可能な組み合わせが含まれています。

• デバイス スコープ ポリシーがデバイスに割り当てられている場合、そのデバイス上のすべてのユーザーにその設定が適用されます。
• デバイス スコープ ポリシーがユーザーに割り当てられている場合、そのユーザーがサインインして Intune 同期が行われると、デバイス スコープ設定がデバイス上のすべてのユーザーに適用されます。
• ユーザー スコープ ポリシーがデバイスに割り当てられている場合、そのデバイス上のすべてのユーザーにその設定が適用されます。 この動作は、[結合] に設定されたループバックと似ています。
• ユーザー スコープ ポリシーがユーザーに割り当てられている場合、その設定が適用されるのは、そのユーザーだけです。
• ユーザー スコープとデバイス スコープで使用できる設定がいくつかあります。 これらの設定のいずれかがユーザースコープとデバイススコープの両方に割り当てられている場合、ユーザースコープはデバイススコープよりも優先されます。

初回チェックイン中に ユーザー ハイブ がない場合は、一部のユーザー スコープ設定が 該当なしとしてマークされているのを確認できます。 この動作は、ユーザーが存在する前のデバイス アクティビティの初期の瞬間に発生します。

次の手順

• Intune の設定カタログを使用して完了できるタスク
• Microsoft Intune でユニバーサル印刷ポリシーを作成する
• プロファイルを割り当て、その状態を監視する。
• Intune 用 Microsoft Copilot の概要