Intune で非準拠デバイスに対するアクションを構成する

セキュリティ要件を満たしていないデバイスから組織のリソースを保護するコンプライアンス ポリシーの一部として、非準拠のアクションもコンプライアンス ポリシーに含まれます。 非準拠のアクションは、デバイスと組織の保護に役立てるためにポリシーによって実行される 1 つ以上の時間順アクションです。 たとえば、非準拠のアクションでは、デバイスが確実に保護されるようにリモートでロックしたり、非準拠状態を解消してユーザーの理解に役立てるために通知をデバイスやユーザーに送信したりできます。

概要

既定で、各コンプライアンス ポリシーには、0 日 (0) のスケジュールで [デバイスに非準拠のマークを付ける] の非準拠のアクションが含まれます。 この既定の結果、Intune で準拠していないデバイスが検出されると、Intune によってデバイスが直ちに非準拠とマークされます。 デバイスが非準拠としてマークされた後、Azure Active Directory (AD) の条件付きアクセスによって、デバイスをブロックできます。

非準拠のアクションを構成することで、非準拠デバイスに対して何を行うか、および実行するタイミングを柔軟に決定できます。 たとえば、デバイスをすぐにブロックしないで、ユーザーに準拠するための猶予時間を与えることができます。

設定したアクションごとに、そのアクションが有効になるタイミングを指定するスケジュールを構成できます。 スケジュールは、デバイスが非準拠としてマークされた後の日数です。 アクションの複数のインスタンスを構成することもできます。 ポリシーでアクションの複数のインスタンスを設定すると、デバイスが非準拠のままになっている場合、その後のスケジュールされた時刻に、アクションが再び実行されます。

すべてのアクションをすべてのプラットフォームで使用できるわけではありません。

注:

Microsoft エンドポイント マネージャー管理センターは、スケジュール (違反後の日数) を日数で表示します。 ただし、0.25 (6 時間)、0.5 (12 時間)、1.5 (36 時間) などの小数部を使用して、より詳細な間隔 (時間) を指定できます。 他の値を使用することもできますが、構成できるのは、管理センター経由ではなく、Microsoft Graph を使用する場合のみです。 管理センターで 0.33 (8 時間) などの他の値を使用しようとすると、ポリシーを保存しようとしたときにエラーが発生します。

非準拠に対して使用できるアクション

非準拠に対して使用可能なアクションを次に示します。

  • デバイスにコンプライアンス違反のマークを付ける: 既定で、このアクションは各コンプライアンス ポリシーに対して設定され、ゼロ (0) 日のスケジュールが設定されるため、デバイスは直ちに非準拠とマークされます。

    既定のスケジュールを変更すると、非準拠とマークされていなくても、ユーザーが問題を修復したり、準拠させたりできる猶予期間を与えられます。

    このアクションは、Intune によってサポートされているすべてのプラットフォームでサポートされています。

  • エンド ユーザーにメールを送信する: このアクションにより、ユーザーにメール通知が送信されます。 このアクションを有効にする場合:

    • このアクションで送信する通知メッセージ テンプレートを選択します。 このアクションに割り当てる前に、通知メッセージ テンプレートを作成する必要があります。 カスタム通知を作成する場合、メッセージのロケール、件名、メッセージ本文をカスタマイズして、会社のロゴ、会社名、およびその他の連絡先情報を含めることができます。
    • 1 つ以上の Azure AD グループを選択して、メッセージをさらに多くの受信者に送信することを選択します。

    Intune には、ユーザー プリンシパル名 (UPN) ではなく、エンド ユーザーのプロファイルに定義されたメール アドレスが使用されます。 ユーザーのプロファイルにメール アドレスが定義されていない場合、Intune からは通知メールが送信されません。 メールの送信時に、Intune によって、メール通知に非準拠デバイスに関する詳細が含まれます。

    このアクションは、Intune によってサポートされているすべてのプラットフォームでサポートされています。

    注:

    商用クラウドでは、通知メールは次の場所から送信されます。 IntuneNotificationService@microsoft.com

    政府機関向けクラウドでは、通知メールは次の場所から送信されます。 microsoft-noreply@microsoft.com

    これらのアドレスからのメール配信を妨げるメールボックス ポリシーがないことを確認してください。そうしないとエンド ユーザーは通知メールを受け取れない場合があります。

  • 非準拠デバイスをリモートでロックする: このアクションを使用して、デバイスのリモート ロックを発行します。 その後、ユーザーにはデバイスのロックを解除するための PIN またはパスワードが求められます。 詳細については、リモート ロック機能に関するページを参照してください。

    この操作は、次のプラットフォームでサポートされています。

    • Android デバイス管理者
    • Android (AOSP)
    • Android Enterprise:
      • フル マネージド
      • 専用
      • 会社所有の仕事用プロファイル
      • 個人所有の仕事用プロファイル
      • Android エンタープライズ キオスク デバイス
    • iOS/iPadOS
    • macOS
  • 非準拠デバイスを廃止する: この操作により、デバイスからすべての会社データが削除され、デバイスが Intune 管理から削除されます。

    この操作は、次のプラットフォームでサポートされています。

    • Android デバイス管理者
    • Android (AOSP)
    • Android Enterprise:
      • フル マネージド
      • 専用
      • 会社所有の仕事用プロファイル
      • 個人所有の仕事用プロファイル
    • iOS/iPadOS
    • macOS
    • Windows 10 または 11

    このアクションがデバイスに適用されると、そのデバイスは、デバイスコンプライアンス ポリシー>のMicrosoft エンドポイント マネージャー管理センター>のデバイスの一覧に追加されます。非準拠デバイスは廃止されます。 管理者が実際にデバイスを削除するまでデバイスは削除されません。

    注:

    [選択したデバイスの削除] ビューには、[非準拠デバイスの削除] アクションがトリガーされたデバイスのみが表示されます。 準拠していないすべてのデバイスの一覧を表示するには、「デバイス コンプライアンス ポリシーの監視」で説明されている非準拠デバイス レポートを参照してください。

    一覧から 1 つまたは複数のデバイスを削除するには、廃止するデバイスを選択し、[選択したデバイスを削除する] を選択します。 デバイスを廃止するアクションを選択すると、アクションを確認するためのダイアログ ボックスが表示されます。 デバイスを廃止する意図を確認した後にのみ、会社のデータが消去され、Intune 管理から削除されます。

    その他のオプションには、[すべてのデバイスを削除する][すべてのデバイスの削除状態をクリアする][選択したデバイスの削除状態をクリアする] があります。 デバイスの削除状態をクリアすると、[準拠していないデバイスを削除します] アクションが再び適用されるまでインベントリから削除できるデバイスの一覧からデバイスが削除されます。

    詳細については、デバイスのインベントリからの削除に関するページを参照してください。

  • エンド ユーザーにプッシュ通知を送信する: デバイスのポータル サイト アプリまたは Intune アプリを使用して、デバイスへの非準拠に関するプッシュ通知を送信するように、このアクションを構成します。

    この操作は、次のプラットフォームでサポートされています。

    • Android デバイス管理者
    • Android Enterprise:
      • フル マネージド
      • 専用
      • 会社所有の仕事用プロファイル
      • 個人所有の仕事用プロファイル
    • iOS/iPadOS

    プッシュ通知は、デバイスが初めて Intune にチェックインし、コンプライアンス ポリシーに準拠していないことが判明したときに送信されます。 ユーザーが通知を選択すると、ポータル サイト アプリまたは Intune アプリが開き、それらが準拠していない理由に関する情報が表示されます。 それにより、ユーザーは問題を解決するためのアクションを実行できます。 非準拠に関するメッセージの詳細は、Intune によって生成され、カスタマイズできません。

    重要

    Intune、ポータル サイト アプリ、Microsoft Intune アプリでは、プッシュ通知の配信は保証できません。 通知は (あったとしても) 数時間の遅延の後に表示される場合があります。 これには、ユーザーがプッシュ通知を無効にした場合も含まれます。

    緊急メッセージとして、この通知方法に依存しないでしてください。

    アクションの各インスタンスは、1 回に 1 つの通知を送信します。 ポリシーから同じ通知をもう一度送信するには、そのポリシーで、さらに多くのアクションのインスタンスをそれぞれ異なるスケジュールで構成します。

    たとえば、最初のアクションを 0 日でスケジュールし、その後 2 番目のアクション セットのインスタンスを 3 日間に設定して追加したとします。 2 番目の通知の前のこの遅延によって、ユーザーは問題を解決するために、2、3 日与えられるため、2 番目の通知が避けられます。

    大量の重複メッセージによるスパム ユーザーを回避するには、どのコンプライアンス ポリシーに非準拠についてのプッシュ通知を含めるかを確認して整理し、同じことに対する繰り返しの頻繁な通知を回避するために、スケジュールを確認します。

    考慮対象:

    • 同じ日に設定されたプッシュ通知セットの複数のインスタンスを含む単一のポリシーの場合、その日に 1 つの通知のみが送信されます。

    • 複数のコンプライアンス ポリシーに、同じコンプライアンス条件が含まれており、同じスケジュールのプッシュ通知アクションが含まれる場合、Intune によって同じ日に同じデバイスに複数の通知が送信されます。

注:

コンプライアンス違反に対する次のアクションは、デバイス コンプライアンス管理パートナーによって管理されているデバイスではサポートされていません。

  • エンド ユーザーにプッシュ通知を送信する
  • 非準拠デバイスをリモートでロックする
  • 非準拠デバイスを廃止する
  • エンド ユーザーにプッシュ通知を送信する

はじめに

デバイス コンプライアンス ポリシーを構成するとき、または後でポリシーを編集することによって、非準拠のアクションを追加できます。 必要に応じて、各ポリシーに追加のアクションを追加できます。 各コンプライアンス ポリシーには、デバイスを非準拠としてマークする非準拠に対する既定のアクションが自動的に含まれます。スケジュールは 0 日に設定されています。

デバイス コンプライアンス ポリシーを使ってデバイスを企業リソースからブロックするには、Azure AD の条件付きアクセスを設定する必要があります。 ガイダンスについては、Azure Active Directory の条件付きアクセスに関するページ、または Intune で条件付きアクセスを使用する一般的な方法に関するページを参照してください。

デバイス コンプライアンス ポリシーの作成については、以下のプラットフォーム固有のガイダンスをご覧ください。

通知メッセージ テンプレートを作成する

ユーザーにメールを送信するには、通知メッセージ テンプレートを作成し、それをコンプライアンス違反のアクションとしてコンプライアンス ポリシーに関連付けます。 その結果、デバイスがコンプライアンスに違反している場合、テンプレートに入力した詳細が、ユーザーに送信されたメールに表示されるようになります。

"通知メッセージ テンプレート" には、それぞれ異なるロケールに指定された複数のメッセージを含めることができます。 既定として 1 つのロケールを指定する必要があります。

複数のメッセージとロケールを指定すると、準拠していないエンドユーザーは、O365 の優先言語に基づいて適切なローカライズされたメッセージを受信します。 ユーザーが優先言語を設定していないか、テンプレートにロケール固有のメッセージが含まれていない場合、Intune から既定のメッセージが送信されます。

テンプレートを作成するには

  1. Microsoft エンドポイント マネージャー管理センター

  2. [エンドポイント セキュリティ]>[デバイスのポリシー準拠]>[通知]>[通知の作成] を選択します。

  3. [基本] ページで、次の設定を構成します。

    • [名前] - テンプレートを識別しやすいようにわかりやすい名前を付けます。
    • [電子メール ヘッダー - 会社のロゴを含める] (既定 = [有効]) - ポータル サイトのブランド化の一環でアップロードしたロゴは、メール テンプレートに使用されます。 ポータル サイトのブランド化の詳細については、会社 ID のブランドのカスタマイズに関するセクションを参照してください。
    • [電子メール フッター - 会社の名前を含める] (既定 = [有効])
    • [電子メール フッター - 連絡先情報を含める] (既定 = [有効])
    • [ポータル サイト Web サイトのリンク] (既定 = [無効]) - [有効] に設定すると、電子メールにポータル サイト Web サイトへのリンクが含まれます。

    Intuneの通知メッセージの基本ページの例

    [次へ] を選んで続行します。

  4. [通知メッセージ テンプレート] ページで、1 つ以上のメッセージを構成します。 各メッセージについて、次の詳細を指定します。

    • Locale
    • 件名
    • メッセージの本文

    注:

    件名の最大文字数は 78 文字で、メッセージ本文の最大文字数は 2000 文字です。

    続行する前に、いずれかのメッセージについて [既定値] のチェックボックスをオンにする必要があります。 既定値として設定できるメッセージは 1 つだけです。 メッセージを削除するには、省略記号 (...) を選択し、[削除] を選択します。

    Intuneの [通知メッセージのテンプレート] ページの例

    [次へ] を選んで続行します。

  5. [確認および作成] で構成を確認し、通知メッセージ テンプレートが使えることを確認します。 [作成] を選択し、通知の作成を完了します。

通知の表示と編集

作成した通知は、[コンプライアンス ポリシー]>[通知] ページで利用できます。 このページから、通知を選択してその構成を表示し、次の操作を実行できます。

  • [プレビュー メールの送信] を選択して、Intune へのサインインに使用したアカウントに通知メールのプレビューを送信します。

    プレビューメールを正常に送信するには、アカウントに、Azure AD グローバル管理者、Intune管理者 (Intune Azure AD Intune サービス管理者)、またはポリシーとプロファイル マネージャーのIntuneの Azure AD グループまたはIntuneロールのアクセス許可が必要です。

  • [基本] または [スコープ タグ][編集] を選択して、変更を加えます。

コンプライアンス違反に対するアクションを追加する

デバイス コンプライアンス ポリシーを作成するときに、Intune によって、コンプライアンス違反に対するアクションが自動的に作成されます。 デバイスがコンプライアンス ポリシーを満たしていない場合、このアクションがデバイスをコンプライアンス違反としてマークします。 デバイスがコンプライアンス違反としてマークされるまでの期間をカスタマイズできます。 このアクションを削除することはできません。

コンプライアンス ポリシーを作成するとき、または既存のポリシーを更新するときにオプションのアクションを追加できます。

  1. Microsoft エンドポイント マネージャー管理センター

  2. [デバイス]>[コンプライアンス ポリシー]>[ポリシー] の順に選択し、いずれかのポリシーを選択し、[プロパティ] を選択します。

    ポリシーがまだない場合は、 AndroidiOSWindows、または他のプラットフォーム用のポリシーを作成します。

    注:

    デバイス グループで対象になっているサードパーティのデバイス コンプライアンス パートナーによって管理されているデバイスで、コンプライアンス アクションを受け取ることは、現時点ではできません。

  3. [コンプライアンス非対応に対するアクション]>[追加] の順に選択します。

  4. アクションを選択します。

    • メールをエンド ユーザーに送信する: デバイスがコンプライアンスに違反している場合は、ユーザーにメールを送信することを選択します。 また、

      • 先ほど作成したメッセージ テンプレートを選択します
      • グループを選んで、追加の受信者を入力します
    • コンプライアンス違反のデバイスをリモートでロック: デバイスがコンプライアンスに違反している場合は、デバイスをロックします。 このアクションにより、ユーザーはデバイスのロックを解除するために PIN またはパスコードを入力するよう強制されます。

    • コンプライアンス違反デバイスをインベントリから削除する: デバイスがコンプライアンスに違反しているとき、デバイスから会社のデータをすべて削除し、Intune 管理からデバイスを削除します。

    • エンド ユーザーにプッシュ通知を送信する: デバイスのポータル サイト アプリまたは Intune アプリを使用して、デバイスへの非準拠に関するプッシュ通知を送信するように、このアクションを構成します。

  5. スケジュール の構成: コンプライアンス違反が発生してからユーザーのデバイスに対するアクションをトリガーするまでの日数 (0 から 365) を入力します。 この猶予期間の後、条件付きアクセス ポリシーを適用できます。 日数として 0 を入力した場合、条件付きアクセスはすぐに有効になります。 たとえば、デバイスがコンプライアンスに違反していた場合、条件付きアクセスを使ってメール、SharePoint、およびその他の組織のリソースへのアクセスを直ちにブロックします。

    コンプライアンス ポリシーを作成すると、[デバイスに非準拠のマークを付ける] アクションが自動的に作成され、自動的に 0 日 (直ちに) に設定されます。 このアクションでは、デバイスが Intune にチェックインしてポリシーを評価したとき、そのポリシーに準拠していなかった場合は Intune によって直ちにそのデバイスが非準拠としてマークされます。 コンプライアンス違反の原因となった問題を修復した後にクライアントがチェックインすると、その状態は新しいコンプライアンス状態に更新されます。 条件付きアクセスを使用する場合は、それらのポリシーもデバイスが非準拠としてマークされるとすぐに適用されます。 デバイスが非準拠としてマークされる前に非準拠の状態を修復するための猶予期間を設定するには、[デバイスに非準拠のマークを付ける] アクションで [スケジュール] を変更します。

    コンプライアンス ポリシーでは、たとえば、ユーザーに通知することもできます。 [メールをエンド ユーザーに送信する] アクションを追加することができます。 この [電子メールを送信する] アクションで、[スケジュール] を 2 日間に設定します。 デバイスまたはエンド ユーザーが 2 日目にまだコンプライアンス違反として評価されている場合は、2 日目にメールが送信されます。 コンプライアンス違反の 5 日目にもう一度そのユーザーにメールを送信したい場合は、別のアクションを追加し、その [スケジュール] を 5 日間に設定します。

    コンプライアンスと組み込みアクションについて詳しくは、コンプライアンスの概要に関するページをご覧ください。

  6. 完了したら、[追加]>[OK] の順に選択して変更を保存します。

次の手順

ポリシーを監視します