Intune での iOS/iPadOS のデバイス コンプライアンス設定

  • [アーティクル]

この記事では、Intune の iOS/iPadOS デバイスで構成できるさまざまなコンプライアンス設定の一覧と説明を示します。 モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用してメールを要求し、ルート化 (脱獄) デバイスを準拠していないとマークし、許可された脅威レベルを設定し、パスワードを期限切れに設定します。

この機能は、以下に適用されます。

  • iOS
  • iPadOS

Intune 管理者は、これらのコンプライアンス設定を使用して、組織のリソースを保護します。 コンプライアンス ポリシーとその機能の詳細については、「 デバイス コンプライアンスの概要」を参照してください。

はじめに

iOS/iPadOS デバイス コンプライアンス ポリシーを作成 して、使用可能な設定にアクセスします。

電子メール

  • デバイスでメールを設定できない

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
    • 必須 - マネージド メール アカウントが必要です。 ユーザーが既にデバイスにメール アカウントを持っている場合は、Intune が正しく設定できるようにメール アカウントを削除する必要があります。 デバイスに電子メール アカウントが存在しない場合、ユーザーは IT 管理者に連絡してマネージド メール アカウントを構成する必要があります。

    デバイスは、次の状況では非準拠と見なされます。

    • 電子メール プロファイルは、コンプライアンス ポリシーの対象となるユーザー グループとは異なるユーザー グループに割り当てられます。
    • ユーザーは、デバイスに展開された Intune 電子メール プロファイルと一致する電子メール アカウントをデバイスに既に設定しています。 Intune では、ユーザーが構成したプロファイルを上書きすることはできません。また、Intune でプロファイルを管理することもできません。 準拠するには、エンド ユーザーが既存のメール設定を削除する必要があります。 その後、Intune はマネージド メール プロファイルをインストールできます。

電子メール プロファイルの詳細については、「Intune で電子メール プロファイルを使用してorganization電子メールへのアクセスを構成する」を参照してください。

デバイスの正常性

  • 脱獄されたデバイス
    iOS 8.0 以降でサポートされています

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
    • [ブロック ] - ルート化された (脱獄された) デバイスを準拠していないとしてマークします。

  • デバイスは、デバイス脅威レベル以下であることが必要
    iOS 8.0 以降でサポートされています

    この設定を使用して、コンプライアンスの条件としてリスク評価を行います。 許可される脅威レベルを選択します。

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
    • セキュリティ保護済み - このオプションは最も安全であり、デバイスに脅威を持つことができないことを意味します。 デバイスが任意のレベルの脅威で検出された場合、デバイスは非準拠として評価されます。
    • 低 - 低レベルの脅威のみが存在する場合、デバイスは準拠として評価されます。 それ以上の場合、デバイスは非準拠状態になります。
    • - デバイスに存在する脅威が低レベルまたは中レベルの場合、デバイスは準拠として評価されます。 デバイスに高レベルの脅威が検出された場合は、非準拠と判断されます。
    • High - このオプションは、すべての脅威レベルを許可するため、最も安全性が低いオプションです。 レポート目的でのみこのソリューションを使用している場合に役立つ場合があります。

デバイスのプロパティ

オペレーティング システムのバージョン

  • 最小 OS バージョン
    iOS 8.0 以降でサポートされています

    デバイスが OS の最小バージョン要件を満たしていない場合は、非準拠として報告されます。 アップグレード方法に関する情報を含むリンクが表示されます。 エンド ユーザーは、デバイスのアップグレードを選択できます。 その後、organizationリソースにアクセスできます。

  • 最大 OS バージョン
    iOS 8.0 以降でサポートされています

    デバイスが規則のバージョンより後の OS バージョンを使用すると、organization リソースへのアクセスがブロックされます。 エンド ユーザーは、IT 管理者に問い合わせるよう求められます。 OS バージョンを許可するようにルールが変更されるまで、デバイスはorganizationリソースにアクセスできません。

  • OS ビルドの最小バージョン
    iOS 8.0 以降でサポートされています

    Apple がセキュリティ更新プログラムを発行すると、通常、ビルド番号は OS バージョンではなく更新されます。 この機能を使用して、デバイスで許可される最小ビルド番号を指定します。 Apple Rapid Security Response 更新プログラムの場合は、補助ビルド バージョン (など 20E772520a) を入力します。

  • OS ビルドの最大バージョン
    iOS 8.0 以降でサポートされています

    Apple がセキュリティ更新プログラムを発行すると、通常、ビルド番号は OS バージョンではなく更新されます。 この機能を使用して、デバイスで許可される最大ビルド番号を入力します。 Apple Rapid Security Response 更新プログラムの場合は、補助ビルド バージョン (など 20E772520a) を入力します。

Microsoft Defender for Endpoint

  • デバイスは、次のマシン リスク スコア以下であることが必要

    Microsoft Defender for Endpointによって評価されたデバイスに対して許可される最大マシン リスク スコアを選択します。 このスコアを超えるデバイスは、非準拠としてマークされます。

    • 未構成 (既定値)
    • Clear
    • [ Medium]
    • High

システム セキュリティ

Password

注:

コンプライアンスまたは構成ポリシーが iOS/iPadOS デバイスに適用されると、ユーザーは 15 分ごとにパスコードを設定するように求められます。 パスコードが設定されるまで、ユーザーに継続的にメッセージが表示されます。 iOS/iPadOS デバイスのパスコードが設定されると、暗号化プロセスが自動的に開始されます。 パスコードが無効になるまで、デバイスは暗号化されたままになります。

  • モバイル デバイスのロックを解除するパスワードを要求する

    • [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
    • 必須 - ユーザーは、デバイスにアクセスする前にパスワードを入力する必要があります。 パスワードを使用する iOS/iPadOS デバイスは暗号化されます。

  • 単純なパスワード
    iOS 8.0 以降でサポートされています

    • 未構成 (既定値) - ユーザーは 12341111 などの単純なパスワードを作成できます。
    • ブロック - ユーザーは、1234 や 1111 などの単純なパスワードを作成できません。

  • パスワードの最小文字数
    iOS 8.0 以降でサポートされています

    パスワードに必要な最小桁数または文字数を入力します。

  • パスワードの入力が必要
    iOS 8.0 以降でサポートされています

    パスワードに数字のみを含めるか、 数字 とその他の文字 (英数字) を混在させる必要があるかどうかを選択します。

  • パスワード内の英数字以外の文字数
    パスワードに必要な、、#%!&、などの特殊文字の最小数を入力します。

    数値を大きく設定するには、より複雑なパスワードを作成する必要があります。

  • 画面ロック後にパスワードが要求されるまでの最長時間 (分)
    iOS 8.0 以降でサポートされています

    ユーザーがデバイスにアクセスするためにパスワードを入力する必要がある前に、画面がロックされた後の時間を指定します。 オプションには、既定の [未構成]、[ 直ちに]、[ 1 分 ] から [4 時間] が含まれます。

  • 画面がロックされるまでの非アクティブな最長時間 (分)
    デバイスが画面をロックするまでのアイドル時間を入力します。 オプションには、既定の [未構成]、[ 直ちに]、[ 1 分 ] から [15 分] が含まれます。

  • パスワードの有効期限 (日)
    iOS 8.0 以降でサポートされています

    パスワードの有効期限が切れるまでの日数を選択し、新しいパスワードを作成する必要があります。

  • 再使用を禁止するパスワード世代数
    iOS 8.0 以降でサポートされています

    使用できない以前に使用したパスワードの数を入力します。

デバイスのセキュリティ

  • 制限されたアプリ
    アプリを制限するには、バンドル ID をポリシーに追加します。 デバイスにアプリがインストールされている場合、デバイスは非準拠としてマークされます。

    • [アプリ名 ] - バンドル ID を識別するのに役立つわかりやすい名前を入力します。
    • アプリ バンドル ID - アプリ プロバイダーによって割り当てられた一意のバンドル識別子を入力します。 バンドル ID を見つけるには、 Support.apple.com のネイティブ iOS アプリと iPadOS アプリのバンドル ID に関するページを参照するか、アプリのソフトウェア ベンダーにお問い合わせください。

    注:

    [制限付きアプリ] 設定は、管理コンテキストの外部にインストールされている管理されていないアプリケーションに適用されます。

次の手順