Intune で非準拠デバイスに対するアクションを構成する

  • [アーティクル]

セキュリティ要件を満たしていないデバイスから組織のリソースを保護するコンプライアンス ポリシーの一部として、非準拠のアクションもコンプライアンス ポリシーに含まれます。 非準拠のアクションは、デバイスと組織の保護に役立てるためにポリシーによって実行される 1 つ以上の時間順アクションです。 たとえば、非準拠のアクションでは、デバイスが確実に保護されるようにリモートでロックしたり、非準拠状態を解消してユーザーの理解に役立てるために通知をデバイスやユーザーに送信したりできます。

Important

Microsoft Intune は、Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを 2024 年 8 月 30 日に終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

概要

既定で、各コンプライアンス ポリシーには、0 日 (0) のスケジュールで [デバイスに非準拠のマークを付ける] の非準拠のアクションが含まれます。 この既定の結果、Intune で準拠していないデバイスが検出されると、Intune によってデバイスが直ちに非準拠とマークされます。 デバイスが非準拠としてマークされた後、条件付きアクセスMicrosoft Entraデバイスをブロックできます。

非準拠のアクションを構成することで、非準拠デバイスに対して何を行うか、および実行するタイミングを柔軟に決定できます。 たとえば、デバイスをすぐにブロックしないで、ユーザーに準拠するための猶予時間を与えることができます。

設定したアクションごとに、そのアクションが有効になるタイミングを指定するスケジュールを構成できます。 スケジュールは、デバイスが非準拠としてマークされた後の日数です。 アクションの複数のインスタンスを構成することもできます。 ポリシーでアクションの複数のインスタンスを設定すると、デバイスが非準拠のままになっている場合、その後のスケジュールされた時刻に、アクションが再び実行されます。

すべてのアクションをすべてのプラットフォームで使用できるわけではありません。

注:

Microsoft Intune管理センターには、スケジュール (準拠していない日数後) が日数で表示されます。 ただし、0.25 (6 時間)、0.5 (12 時間)、1.5 (36 時間) などの小数部を使用して、より詳細な間隔 (時間) を指定できます。 他の値を使用することもできますが、構成できるのは、管理センター経由ではなく、Microsoft Graph を使用する場合のみです。 管理センターで 0.33 (8 時間) などの他の値を使用しようとすると、ポリシーを保存しようとしたときにエラーが発生します。

非準拠に対して使用できるアクション

非準拠に対して使用可能なアクションを次に示します。

  • デバイスにコンプライアンス違反のマークを付ける: 既定で、このアクションは各コンプライアンス ポリシーに対して設定され、ゼロ (0) 日のスケジュールが設定されるため、デバイスは直ちに非準拠とマークされます。

    既定のスケジュールを変更すると、非準拠とマークされていなくても、ユーザーが問題を修復したり、準拠させたりできる猶予期間を与えられます。

    このアクションは、Intune によってサポートされているすべてのプラットフォームでサポートされています。

  • エンド ユーザーにメールを送信する: このアクションにより、ユーザーにメール通知が送信されます。 このアクションを有効にする場合:

    • このアクションで送信する通知メッセージ テンプレートを選択します。 このアクションに割り当てる前に、通知メッセージ テンプレートを作成する必要があります。 カスタム通知を作成する場合、メッセージのロケール、件名、メッセージ本文をカスタマイズして、会社のロゴ、会社名、およびその他の連絡先情報を含めることができます。
    • 1 つ以上のMicrosoft Entra グループを選択して、より多くの受信者にメッセージを送信することを選択します。

    Intune には、ユーザー プリンシパル名 (UPN) ではなく、エンド ユーザーのプロファイルに定義されたメール アドレスが使用されます。 ユーザーのプロファイルにメール アドレスが定義されていない場合、Intune からは通知メールが送信されません。 メールの送信時に、Intune によって、メール通知に非準拠デバイスに関する詳細が含まれます。

    このアクションは、Intune によってサポートされているすべてのプラットフォームでサポートされています。

    注:

    通知メールは、次の場所から送信されます。 microsoft-noreply@microsoft.com

    これらのアドレスからのメール配信を妨げるメールボックス ポリシーがないことを確認してください。そうしないとエンド ユーザーは通知メールを受け取れない場合があります。

    2022 年 12 月より前に、商用クラウドの通知メールは次から送信されました。 IntuneNotificationService@microsoft.com

  • 非準拠デバイスをリモートでロックする: このアクションを使用して、デバイスのリモート ロックを発行します。 その後、ユーザーにはデバイスのロックを解除するための PIN またはパスワードが求められます。 詳細については、リモート ロック機能に関するページを参照してください。

    この操作は、次のプラットフォームでサポートされています。

    • Android デバイス管理者
    • Android (AOSP)
    • Android Enterprise:
      • フル マネージド
      • 専用
      • 会社所有の仕事用プロファイル
      • 個人所有の仕事用プロファイル
      • Android エンタープライズ キオスク デバイス
    • iOS/iPadOS
    • macOS

  • 覧を廃止するデバイスの追加: このアクションがデバイスで実行されると、デバイスは、Intune管理センターの廃止された非準拠デバイスの一覧に追加されます。 [ デバイス>のコンプライアンス ] に移動し、[ 非準拠デバイスの廃止 ] タブを選択して一覧を表示できます。 ただし、管理者が提供終了プロセスを明示的に開始するまで、デバイスは廃止されません。 管理者がその一覧からデバイスを削除すると、デバイスからすべての会社データが削除され、そのデバイスがIntune管理から削除されます。

    この操作は、次のプラットフォームでサポートされています。

    • Android デバイス管理者
    • Android (AOSP)
    • Android Enterprise:
      • フル マネージド
      • 専用
      • 会社所有の仕事用プロファイル
      • 個人所有の仕事用プロファイル
    • iOS/iPadOS
    • macOS
    • Windows 10 または 11

    注:

    [リストを削除するデバイスの追加] アクションがトリガーされたデバイスのみが、[選択したデバイスの廃止] タブに表示されます。準拠していないすべてのデバイスの一覧を表示するには、「デバイスコンプライアンスポリシーの監視」で説明されている非準拠デバイスレポートを参照してください。

    一覧から 1 つ以上のデバイスを廃止するには、廃止するデバイスを選択し、[ 選択したデバイスの廃止] を選択します。 デバイスを廃止するアクションを選択すると、アクションを確認するためのダイアログ ボックスが表示されます。 デバイスを廃止する意図を確認した後にのみ、会社のデータが消去され、Intune 管理から削除されます。

    その他のオプションには、 すべてのデバイスの廃止すべてのデバイスの廃止状態のクリア選択したデバイスの削除状態のクリアなどがあります。 デバイスのリタイア状態をクリアすると、デバイスが削除され、削除可能なデバイスの一覧から削除されます。このデバイスは、[デバイス をリタイアリストに追加 する] アクションが再度そのデバイスに適用されるまで削除されます。

    詳細については、デバイスのインベントリからの削除に関するページを参照してください。

  • エンド ユーザーにプッシュ通知を送信する: デバイスのポータル サイト アプリまたは Intune アプリを使用して、デバイスへの非準拠に関するプッシュ通知を送信するように、このアクションを構成します。

    この操作は、次のプラットフォームでサポートされています。

    • Android デバイス管理者
    • Android Enterprise:
      • フル マネージド
      • 専用
      • 会社所有の仕事用プロファイル
      • 個人所有の仕事用プロファイル
    • iOS/iPadOS

    プッシュ通知は、デバイスが初めて Intune にチェックインし、コンプライアンス ポリシーに準拠していないことが判明したときに送信されます。 ユーザーが通知を選択すると、ポータル サイト アプリまたは Intune アプリが開き、それらが準拠していない理由に関する情報が表示されます。 それにより、ユーザーは問題を解決するためのアクションを実行できます。 非準拠に関するメッセージの詳細は、Intune によって生成され、カスタマイズできません。

    重要

    Intune、ポータル サイト アプリ、Microsoft Intune アプリでは、プッシュ通知の配信は保証できません。 通知は (あったとしても) 数時間の遅延の後に表示される場合があります。 これには、ユーザーがプッシュ通知を無効にした場合も含まれます。

    緊急メッセージとして、この通知方法に依存しないでしてください。

    アクションの各インスタンスは、1 回に 1 つの通知を送信します。 ポリシーから同じ通知をもう一度送信するには、そのポリシーで、さらに多くのアクションのインスタンスをそれぞれ異なるスケジュールで構成します。

    たとえば、最初のアクションを 0 日でスケジュールし、その後 2 番目のアクション セットのインスタンスを 3 日間に設定して追加したとします。 2 番目の通知の前のこの遅延によって、ユーザーは問題を解決するために、2、3 日与えられるため、2 番目の通知が避けられます。

    大量の重複メッセージによるスパム ユーザーを回避するには、どのコンプライアンス ポリシーに非準拠についてのプッシュ通知を含めるかを確認して整理し、同じことに対する繰り返しの頻繁な通知を回避するために、スケジュールを確認します。

    考慮対象:

    • 同じ日に設定されたプッシュ通知セットの複数のインスタンスを含む単一のポリシーの場合、その日に 1 つの通知のみが送信されます。

    • 複数のコンプライアンス ポリシーに、同じコンプライアンス条件が含まれており、同じスケジュールのプッシュ通知アクションが含まれる場合、Intune によって同じ日に同じデバイスに複数の通知が送信されます。

注:

コンプライアンス違反に対する次のアクションは、デバイス コンプライアンス管理パートナーによって管理されているデバイスではサポートされていません。

  • エンド ユーザーにメールを送信する
  • 非準拠デバイスをリモートでロックする
  • 一覧を廃止するデバイスを追加する
  • エンド ユーザーにプッシュ通知を送信する

はじめに

デバイス コンプライアンス ポリシーを構成するとき、または後でポリシーを編集することによって、非準拠のアクションを追加できます。 必要に応じて、各ポリシーに追加のアクションを追加できます。 各コンプライアンス ポリシーには、デバイスを非準拠としてマークする非準拠に対する既定のアクションが自動的に含まれます。スケジュールは 0 日に設定されています。

デバイス コンプライアンス ポリシーを使用して企業リソースからデバイスをブロックするには、条件付きアクセスMicrosoft Entra設定する必要があります。 ガイダンスについては、「Microsoft Entra IDの条件付きアクセス」または「Intuneで条件付きアクセスを使用する一般的な方法」を参照してください。

デバイス コンプライアンス ポリシーの作成については、以下のプラットフォーム固有のガイダンスをご覧ください。

通知メッセージ テンプレートを作成する

ユーザーにメールを送信するには、通知メッセージ テンプレートを作成し、それをコンプライアンス違反のアクションとしてコンプライアンス ポリシーに関連付けます。 その結果、デバイスがコンプライアンスに違反している場合、テンプレートに入力した詳細が、ユーザーに送信されたメールに表示されるようになります。

通知メッセージ テンプレートには、それぞれ異なるロケールに対応する複数のメッセージを含めることができます。 複数のメッセージとロケールを指定すると、準拠していないエンドユーザーは、O365 の優先言語に基づいて適切なローカライズされたメッセージを受信します。

メッセージに変数を追加して、動的コンテンツを含むパーソナライズされたメールを作成します。 次の表では、メッセージの件名行と本文で使用できる変数について説明します。

変数名 使用するトークン 説明
ユーザー名 {{UserName}} 非準拠デバイスのプライマリ ユーザーの名前を追加します。
例: John Doe
デバイス名 {{DeviceName}} Microsoft Intuneに記録されている非準拠デバイスの名前を追加します。
例: John's iPad
デバイス ID {{DeviceId}} 非準拠デバイスに属するIntuneデバイス ID を追加します。
例: 12ab345c-6789-def0-1234-000000000000
デバイスの OS バージョン {{OSAndVersion}} オペレーティング システムと非準拠デバイスのバージョンを追加します。
例: Android 12

テンプレートを作成するには

  1. Microsoft Intune 管理センターにサインインします。

  2. [エンドポイント セキュリティ]>[デバイスのポリシー準拠]>[通知]>[通知の作成] を選択します。

  3. [ 基本 ] ページで、テンプレートを識別するのに役立つわかりやすい名前をテンプレートに付けます。 [次へ] を選択します。

  4. [ ヘッダーとフッターの設定] ページで、会社の詳細とロゴを追加します。

    Intuneの通知メッセージの [ヘッダーとフッターの設定] ページの例を示すスクリーンショット。

    次のようなオプションがあります:

    • Email ヘッダー – 会社のロゴを表示する (既定値 = 有効) - organizationのブランド化をメール テンプレートに追加するロゴをアップロードします。 ポータル サイトのブランド化の詳細については、会社 ID のブランドのカスタマイズに関するセクションを参照してください。
    • Email フッター – 会社名を表示する (既定値 = 有効) - メールに会社名を表示するには、この設定を有効にします。 レコードの会社名を確認するには、「 テナント値 」を参照してください。
    • Email フッター – 連絡先情報を表示する (既定値 = 有効) - この設定を有効にすると、organizationの連絡先情報 (名前、電話番号、メール アドレスなど) がメールに表示されます。 レコードの連絡先情報を確認するには、「 テナント値 」を参照してください。
    • Email フッター - ポータル サイトの Web サイト リンクを表示する (既定値 = 無効) - この設定を有効にすると、ポータル サイト Web サイトへのリンクがメールに含まれます。 ユーザーに表示される Web サイトのリンクを確認するには、「 テナント値 」を参照してください。

    [次へ] を選んで続行します。

  5. [通知メッセージ テンプレート] ページで、1 つ以上のメッセージを構成します。 各メッセージについて、次の詳細を指定します。

    • ロケール: デバイス ユーザーのロケールに関連付ける言語を選択します。
    • 件名: メールの件名を追加します。 最大 78 文字まで入力できます。
    • 未加工の HTML エディター: HTML エディターをオンにして、HTML 形式とメッセージへのリンクを追加しながら提案を取得します。 属性を href 使用してリンクを追加できます (HTTPS URL である必要があります)。 サポートされている HTML タグには、、<strong>、、<b>、、<u>、、<ul><ol><br><p><li><tr><thead><code><table><tbody><td><th>含まれます。 <a> HTML エディターを使用する必要はありません。また、エディターをオンにせずに、サポートされている HTML を追加できます。
    • メッセージ: 非準拠の理由を説明するメッセージを作成します。 最大 2,000 文字まで入力できます。

    動的コンテンツを含むテンプレートを作成するには、サポートされている変数のトークンを件名行またはメッセージに挿入します。 サポートされている変数の一覧については、この記事の「 通知メッセージ テンプレートを作成する 」の表を参照してください。

    重要

    メッセージ本文では、Intuneサポートされている HTML タグと属性のみを使用してください。 Intuneは、HTML 形式ではなく、他の種類のタグ、要素、またはスタイルをプレーンテキストとして含むメッセージを送信します。 これには、次を含むメッセージが含まれます。

    • CSS
    • この記事に記載されていないタグと属性

    注:

    Intuneは、Windows スタイルの改行文字を に<br>変換します。HTML タグですが、macOS や Linux 用の文字を含め、他のすべての種類の改行文字は無視されます。 テンプレートで改行が正しくレンダリングされるようにするには、タグを <br> 使用して行の終わりを示すようにすることをお勧めします。

  6. いずれかのメッセージの [ 既定値] チェック ボックスをオンにします。 Intuneは、優先言語を設定していないユーザー、またはテンプレートにロケールの特定のメッセージが含まれていない場合に、既定のメッセージを送信します。 既定値として設定できるメッセージは 1 つだけです。 メッセージを削除するには、省略記号 (...) を選択し、[削除] を選択します。

    [次へ] を選んで続行します。

  7. [スコープ タグ] ページで、タグを選択して、このメッセージの可視性と管理を、または などの特定のIntune管理グループにUS-NC IT Team制限しますJohnGlenn_ITDepartment。 スコープ タグの詳細については、分散 IT に RBAC とスコープのタグを使用するに関するページを参照してください。

    [次へ] を選んで続行します。

  8. [ 確認と作成 ] ページで、構成を確認して、通知メッセージ テンプレートを使用する準備ができていることを確認します。 [作成] を選択し、通知の作成を完了します。

通知の表示と編集

作成した通知は、[コンプライアンス ポリシー]>[通知] ページで利用できます。 このページから、通知を選択してその構成を表示し、次の操作を実行できます。

  • [プレビュー メールの送信] を選択して、Intune へのサインインに使用したアカウントに通知メールのプレビューを送信します。

    プレビューメールを正常に送信するには、アカウントに、次のMicrosoft EntraグループまたはIntuneロールのアクセス許可が必要です:Microsoft Entraグローバル管理者、Intune管理者 (Intune Microsoft EntraIntuneサービス管理者)、またはポリシーとプロファイル マネージャー Intune。

  • [基本] または [スコープ タグ][編集] を選択して、変更を加えます。

注:

プレビュー電子メールには、通知メッセージ テンプレートで指定されているデバイス変数は含まれません。

コンプライアンス違反に対するアクションを追加する

デバイス コンプライアンス ポリシーを作成するときに、Intune によって、コンプライアンス違反に対するアクションが自動的に作成されます。 デバイスがコンプライアンス ポリシーを満たしていない場合、このアクションによってデバイスは準拠していないとマークされます。 デバイスがコンプライアンス違反としてマークされるまでの期間をカスタマイズできます。 このアクションを削除することはできません。

コンプライアンス ポリシーを作成するとき、または既存のポリシーを更新するときにオプションのアクションを追加できます。

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイスのコンプライアンス]> に移動します。

  3. ポリシーを選択し、[プロパティ] を選択 します

    ポリシーがまだない場合は、 AndroidiOSWindows、または他のプラットフォーム用のポリシーを作成します。

    注:

    デバイス グループで対象になっているサードパーティのデバイス コンプライアンス パートナーによって管理されているデバイスで、コンプライアンス アクションを受け取ることは、現時点ではできません。

  4. [非準拠>のアクション] [編集] を選択します

  5. アクションを選択します。

    • メールをエンド ユーザーに送信する: デバイスがコンプライアンスに違反している場合は、ユーザーにメールを送信することを選択します。 また、

      • 先ほど作成したメッセージ テンプレートを選択します
      • グループを選んで、追加の受信者を入力します

    • コンプライアンス違反のデバイスをリモートでロック: デバイスがコンプライアンスに違反している場合は、デバイスをロックします。 このアクションにより、ユーザーはデバイスのロックを解除するために PIN またはパスコードを入力するよう強制されます。

    • 削除リストにデバイスを追加する: デバイスが非準拠の場合は、デバイスからすべての会社データを削除し、デバイスを管理から削除Intune。

    • エンド ユーザーにプッシュ通知を送信する: デバイスのポータル サイト アプリまたは Intune アプリを使用して、デバイスへの非準拠に関するプッシュ通知を送信するように、このアクションを構成します。

  6. スケジュール の構成: コンプライアンス違反が発生してからユーザーのデバイスに対するアクションをトリガーするまでの日数 (0 から 365) を入力します。 この猶予期間の後、条件付きアクセス ポリシーを適用できます。 日数として 0 を入力した場合、条件付きアクセスはすぐに有効になります。 たとえば、デバイスがコンプライアンスに違反していた場合、条件付きアクセスを使ってメール、SharePoint、およびその他の組織のリソースへのアクセスを直ちにブロックします。

    コンプライアンス ポリシーを作成すると、[デバイスに非準拠のマークを付ける] アクションが自動的に作成され、自動的に 0 日 (直ちに) に設定されます。 このアクションでは、デバイスが Intune にチェックインしてポリシーを評価したとき、そのポリシーに準拠していなかった場合は Intune によって直ちにそのデバイスが非準拠としてマークされます。 コンプライアンス違反の原因となった問題を修復した後にクライアントがチェックインすると、その状態は新しいコンプライアンス状態に更新されます。 条件付きアクセスを使用する場合は、それらのポリシーもデバイスが非準拠としてマークされるとすぐに適用されます。 デバイスが非準拠としてマークされる前に非準拠の状態を修復するための猶予期間を設定するには、[デバイスに非準拠のマークを付ける] アクションで [スケジュール] を変更します。

    コンプライアンス ポリシーでは、たとえば、ユーザーに通知することもできます。 [メールをエンド ユーザーに送信する] アクションを追加することができます。 この [電子メールを送信する] アクションで、[スケジュール] を 2 日間に設定します。 デバイスまたはエンド ユーザーが 2 日目にまだコンプライアンス違反として評価されている場合は、2 日目にメールが送信されます。 コンプライアンス違反の 5 日目にもう一度そのユーザーにメールを送信したい場合は、別のアクションを追加し、その [スケジュール] を 5 日間に設定します。

    コンプライアンスと組み込みアクションについて詳しくは、コンプライアンスの概要に関するページをご覧ください。

  7. 完了したら、[追加]>[OK] の順に選択して変更を保存します。

次の手順

ポリシーを監視します