Intune での Windows 10/11 のデバイス コンプライアンス設定
この記事では、Intune の Windows デバイスで構成できるさまざまなコンプライアンス設定の一覧と説明を示します。 モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用して BitLocker を要求し、最小および最大オペレーティング システムを設定し、Microsoft Defender for Endpoint を使用してリスク レベルを設定します。
この機能は、以下に適用されます。
- Windows 10 または 11
- Windows Holographic for Business
- Surface Hub
Intune 管理者は、これらのコンプライアンス設定を使用して、組織のリソースを保護します。 コンプライアンス ポリシーとその機能の詳細については、「 デバイス コンプライアンスの概要」を参照してください。
開始する前に
コンプライアンス ポリシーを作成します。 [プラットフォーム] には、[Windows 10 以降] を選択します。
デバイスの正常性
デバイスが信頼された状態で起動されるように、Intune は Microsoft デバイス構成証明サービスを利用します。 Windows 10 を実行している Intune 商用、米国政府 GCC High、DoD サービス全体のデバイスでは、Device Health Attestation (DHA) サービスが使用されます。
詳細については、以下を参照してください:
Windows 正常性構成証明サービスの評価規則
BitLocker が必要:
Windows BitLocker ドライブ暗号化は、Windows オペレーティング システム ボリュームに格納されているすべてのデータを暗号化します。 BitLocker では、トラステッド プラットフォーム モジュール (TPM) を使用して、Windows オペレーティング システムとユーザー データを保護します。 また、コンピューターが無人、紛失、または盗難にあった場合でも、コンピューターが改ざんされていないことを確認するのにも役立ちます。 コンピューターに互換性のある TPM が搭載されている場合、BitLocker は TPM を使用してデータを保護する暗号化キーをロックします。 その結果、TPM がコンピューターの状態を確認するまで、キーにアクセスできません。- [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
- [必須] - デバイスは、システムがオフになっている場合や休止状態のときに、ドライブに保存されているデータを不正アクセスから保護できます。
Device HealthAttestation CSP - BitLockerStatus
注:
Intune でデバイス コンプライアンス ポリシーを使用している場合は、この設定の状態は起動時にのみ測定されることに注意してください。 そのため、BitLocker 暗号化が完了している可能性がありますが、デバイスがこれを検出して準拠するためには再起動が必要です。 詳細については、 Device Health 構成証明に関する次の Microsoft サポート ブログを参照してください。
デバイスでセキュア ブートを有効にする必要があります。
- [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
- [必須] - システムは工場出荷時の信頼された状態に強制的に起動します。 マシンの起動に使用されるコア コンポーネントには、デバイスを製造した組織によって信頼されている正しい暗号化署名が必要です。 UEFI ファームウェアは、マシンを起動する前に署名を検証します。 ファイルが改ざんされ、署名が破損した場合、システムは起動しません。
注:
[デバイスでセキュア ブートを有効にする必要がある] 設定は、一部の TPM 1.2 および 2.0 デバイスでサポートされています。 TPM 2.0 以降をサポートしていないデバイスの場合、Intune のポリシーの状態は [準拠していません] と表示されます。 サポートされているバージョンの詳細については、「 Device Health 構成証明」を参照してください。
コードの整合性を要求する:
コードの整合性は、ドライバーまたはシステム ファイルがメモリに読み込まれるたびに整合性を検証する機能です。- [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
- 必須 - 署名されていないドライバーまたはシステム ファイルがカーネルに読み込まれているかどうかを検出するコード整合性が必要です。 また、システム ファイルが悪意のあるソフトウェアによって変更されたか、管理者特権を持つユーザー アカウントによって実行されているかどうかを検出します。
詳細については、以下を参照してください:
- 正常性構成証明サービスのしくみの詳細については、「 正常性構成証明 CSP」を参照してください。
- サポート ヒント: Intune コンプライアンス ポリシーの一部としてデバイス正常性構成証明設定を使用する。
デバイスのプロパティ
オペレーティング システムのバージョン
すべての Windows 10/11 機能更新プログラムと累積的な更新プログラム (以下の一部のフィールドで使用する) のビルド バージョンを検出するには、 Windows リリース情報を参照してください。 次の例に示すように、Windows 10 の場合は 10.0 のように、ビルド番号の前に適切なバージョン プレフィックスを必ず含めてください。
OS の最小バージョン:
major.minor.build.revision 番号形式で最小許容バージョンを入力します。 正しい値を取得するには、コマンド プロンプトを開き、「ver
」と入力します。ver
コマンドは、次の形式でバージョンを返します。Microsoft Windows [Version 10.0.17134.1]
入力した OS バージョンより前のバージョンのデバイスがある場合は、非準拠として報告されます。 アップグレード方法に関する情報を含むリンクが表示されます。 エンド ユーザーは、デバイスのアップグレードを選択できます。 アップグレード後、会社のリソースにアクセスできます。
最大 OS バージョン:
major.minor.build.revision 番号形式で、許可される最大バージョンを入力します。 正しい値を取得するには、コマンド プロンプトを開き、「ver
」と入力します。ver
コマンドは、次の形式でバージョンを返します。Microsoft Windows [Version 10.0.17134.1]
入力したバージョンより後の OS バージョンをデバイスが使用している場合、組織のリソースへのアクセスはブロックされます。 エンド ユーザーは、IT 管理者に問い合わせるよう求められます。 OS バージョンを許可するように規則が変更されるまで、デバイスは組織のリソースにアクセスできません。
モバイル デバイスに必要な最小 OS:
major.minor.build 番号形式で、許可される最小バージョンを入力します。入力した OS バージョンが以前のバージョンのデバイスがある場合、非準拠として報告されます。 アップグレード方法に関する情報を含むリンクが表示されます。 エンド ユーザーは、デバイスのアップグレードを選択できます。 アップグレード後、会社のリソースにアクセスできます。
モバイル デバイスに必要な最大 OS:
major.minor.build 番号に、許可される最大バージョンを入力します。入力したバージョンより後の OS バージョンをデバイスが使用している場合、組織のリソースへのアクセスはブロックされます。 エンド ユーザーは、IT 管理者に問い合わせるよう求められます。 OS バージョンを許可するように規則が変更されるまで、デバイスは組織のリソースにアクセスできません。
有効なオペレーティング システム ビルド:
オペレーティング システムの最小ビルドと最大ビルドの一覧を指定します。 有効なオペレーティング システム ビルドでは、OS の最小バージョンと最大バージョンと比較すると、柔軟性が向上します。 最小 OS バージョンが 10.0.18362.xxx (Windows 10 1903) に設定され、最大 OS バージョンが 10.0.18363.xxx (Windows 10 1909) に設定されているシナリオを考えてみましょう。 この構成により、最新の累積的な更新プログラムがインストールされていない Windows 10 1903 デバイスを準拠として識別できます。 単一の Windows 10 リリースで標準化されている場合は、OS の最小バージョンと最大バージョンが適している場合がありますが、複数のビルドを使用する必要がある場合は要件に対応できない場合があります。それぞれは特定のパッチ レベルです。 このような場合は、代わりに有効なオペレーティング システム ビルドを利用することを検討してください。これにより、次の例に従って複数のビルドを指定できます。バージョン、メジャー、マイナー、ビルドの各フィールドでサポートされる最大値は 65535 です。 たとえば、入力できる最大値は 65535.65535.65535.65535 です。
例:
次の表は、さまざまな Windows 10 リリースで許容されるオペレーティング システムのバージョンの範囲の例です。 この例では、3 つの異なる機能更新プログラムが許可されています (1809、1909、2004)。 具体的には、2020 年 6 月から 9 月までの累積的な更新プログラムを適用した Windows のバージョンのみが準拠していると見なされます。 これはサンプル データのみです。 テーブルには、エントリを記述するテキストを含む最初の列が含まれており、そのエントリの OS の最小バージョンと最大バージョンが続きます。 2 番目と 3 番目の列は 、major.minor.build.revision 番号 形式の有効な OS ビルド バージョンに準拠している必要があります。 1 つ以上のエントリを定義した後、コンマ区切り値 (CSV) ファイルとしてリストを エクスポート できます。説明 最小 OS バージョン 最大 OS バージョン Win 10 2004 (2020 年 6 月から 9 月) 10.0.19041.329 10.0.19041.508 Win 10 1909 (2020 年 6 月から 9 月) 10.0.18363.900 10.0.18363.1110 Win 10 1809 (2020 年 6 月から 9 月) 10.0.17763.1282 10.0.17763.1490 注:
ポリシーで複数の OS バージョン ビルドの範囲を指定し、デバイスが準拠範囲外のビルドを持っている場合、ポータル サイトはデバイスがこの設定に準拠していないことをデバイス ユーザーに通知します。 ただし、技術的な制限があるため、コンプライアンス修復メッセージには、ポリシーで指定された最初の OS バージョン範囲のみが表示されることに注意してください。 組織内のマネージド デバイスに対して許容される OS バージョンの範囲を文書化することをお勧めします。
Configuration Manager コンプライアンス
Windows 10/11 を実行している共同管理デバイスにのみ適用されます。 Intune 専用デバイスは、使用できない状態を返します。
-
Configuration Manager からデバイスコンプライアンスを要求する:
- [未構成 ] (既定値) - Intune では、コンプライアンスに関する Configuration Manager 設定がチェックされません。
- 必須 - Configuration Manager のすべての設定 (構成項目) が準拠している必要があります。
システム セキュリティ
Password
モバイル デバイスのロックを解除するには、パスワードが必要です。
- [未構成 ] (既定値) - この設定は、コンプライアンスまたはコンプライアンス違反に対して評価されません。
- 必須 - ユーザーは、デバイスにアクセスする前にパスワードを入力する必要があります。
単純なパスワード:
- 未構成 (既定値) - ユーザーは、1234 や 1111 などの単純なパスワードを作成できます。
- ブロック - ユーザーは、1234 や 1111 などの単純なパスワードを作成できません。
パスワードの種類:
必要なパスワードまたは PIN の種類を選択します。 次のようなオプションがあります。- デバイスの既定値 (既定値) - パスワード、数値 PIN、または英数字 PIN が必要
- 数値 - パスワードまたは数値 PIN が必要
- 英数字 - パスワードまたは英数字 PIN が必要です。
[英数字] に設定すると、次の設定を使用できます。
パスワードの複雑さ:
次のようなオプションがあります。- 数字と小文字を必須にする (既定)
- 数字、小文字、大文字が必要
- 数字、小文字、大文字、特殊文字が必要
ヒント
英数字パスワード ポリシーは複雑な場合があります。 詳細については、管理者が CSP を読むようお勧めします。
パスワードの最小長:
パスワードに必要な最小桁数または文字数を入力します。パスワードが必要になるまでの非アクティブ時間の最大時間 (分):
ユーザーがパスワードを再入力する前のアイドル時間を入力します。パスワードの有効期限 (日数):
パスワードの有効期限が切れるまでの日数を入力し、1 から 730 までの新しいパスワードを作成する必要があります。再利用を防ぐための以前のパスワードの数:
使用できない以前に使用したパスワードの数を入力します。デバイスがアイドル状態 (モバイルとホログラフィック) から戻るときにパスワードを要求します。
- 未構成 (既定値)
- [必須] - デバイスがアイドル状態から戻るたびに、デバイス ユーザーにパスワードの入力を要求します。
重要
Windows デスクトップでパスワード要件が変更されると、ユーザーは次回サインインしたときに影響を受けます。これは、デバイスがアイドル状態からアクティブになったときです。 要件を満たすパスワードを使用しているユーザーは、引き続きパスワードを変更するように求められます。
暗号化
デバイス上のデータ ストレージの暗号化:
この設定は、デバイス上のすべてのドライブに適用されます。- 未構成 (既定値)
- [必須] - デバイス上のデータ ストレージを暗号化するために [必須] を使用します。
DeviceStatus CSP - DeviceStatus/Compliance/EncryptionCompliance
注:
[デバイス上のデータ ストレージの暗号化] 設定では、デバイス上の暗号化の有無 (具体的には OS ドライブ レベル) が一般的にチェックされます。 現時点では、Intune では BitLocker での暗号化チェックのみがサポートされています。 より堅牢な暗号化設定を行うには、Windows デバイス正常性構成証明を利用して TPM レベルで BitLocker の状態を検証する Require BitLocker の使用を検討してください。 ただし、この設定を利用する場合は、デバイスが準拠として反映される前に再起動が必要になる可能性があることに注意してください。
デバイスのセキュリティ
ファイアウォール:
- [未構成 ] (既定値) - Intune は Windows ファイアウォールを制御せず、既存の設定も変更しません。
- [必須 ] - Windows ファイアウォールを有効にし、ユーザーが無効にできないようにします。
注:
再起動後にデバイスが直ちに同期する場合、またはスリープから復帰した直後に同期する場合、この設定は エラーとして報告される可能性があります。 このシナリオは、デバイスのコンプライアンス状態全体に影響しない可能性があります。 コンプライアンスの状態を再評価するには、 デバイスを手動で同期します。
すべての受信トラフィックを許可するように Windows ファイアウォールを構成するデバイスに構成 (グループ ポリシーを使用するなど) が適用されている場合、またはファイアウォールをオフにした場合、[ ファイアウォール] を [必須] に設定すると、Intune デバイス構成ポリシーがファイアウォールをオンにした場合でも、[ 非準拠] が返されます。 これは、グループ ポリシー オブジェクトが Intune ポリシーをオーバーライドするためです。 この問題を解決するには、競合するグループ ポリシー設定を削除するか、ファイアウォール関連のグループ ポリシー設定を Intune デバイス構成ポリシーに移行することをお勧めします。 一般に、受信接続のブロックなど、 既定の設定を保持することをお勧めします。 詳細については、「 Windows ファイアウォールを構成するためのベスト プラクティス」を参照してください。
トラステッド プラットフォーム モジュール (TPM):
- [未構成 ] (既定値) - Intune では、デバイスで TPM チップのバージョンが確認されません。
- 必須 - Intune は TPM チップのバージョンでコンプライアンスを確認します。 TPM チップのバージョンが 0 (ゼロ) を超える場合、デバイスは準拠しています。 デバイスに TPM バージョンがない場合、デバイスは準拠していません。
ウイルス対策:
- [未構成 ] (既定値) - Intune は、デバイスにインストールされているウイルス対策ソリューションを確認しません。
- 必須 - Symantec や Microsoft Defender などの Windows Security Center に登録されているウイルス対策ソリューションを使用してコンプライアンスを確認します。 [必須] に設定すると、ウイルス対策ソフトウェアが無効になっているデバイスまたは古いデバイスは準拠していません。
スパイウェア対策:
- [未構成 ] (既定値) - Intune では、デバイスにインストールされているスパイウェア対策ソリューションがチェックされません。
- 必須 - Symantec や Microsoft Defender などの Windows Security Center に登録されているスパイウェア対策ソリューションを使用してコンプライアンスを確認します。 [必須] に設定されている場合、マルウェア対策ソフトウェアが無効になっているデバイスまたは古いデバイスは非準拠です。
Defender
Windows 10/11 Desktop では、次のコンプライアンス設定がサポートされています。
Microsoft Defender マルウェア対策:
- [未構成 ] (既定値) - Intune はサービスを制御せず、既存の設定も変更しません。
- [必須 ] - Microsoft Defender マルウェア対策サービスを有効にし、ユーザーが無効にできないようにします。
Microsoft Defender マルウェア対策の最小バージョン:
Microsoft Defender マルウェア対策サービスの最小許容バージョンを入力します。 たとえば、「4.11.0.0
」と入力します。 空白のままにすると、Microsoft Defender マルウェア対策サービスの任意のバージョンを使用できます。既定では、バージョンは構成されていません。
Microsoft Defender マルウェア対策セキュリティ インテリジェンスの最新の状態:
デバイス上の Windows セキュリティ ウイルスと脅威保護の更新プログラムを制御します。- [未構成 ] (既定値) - Intune では要件は適用されません。
- 必須 - Microsoft Defender セキュリティ インテリジェンスを強制的に最新の状態にします。
Defender CSP - Defender/Health/SignatureOutOfDate CSP
詳細については、「 Microsoft Defender ウイルス対策およびその他の Microsoft マルウェア対策のセキュリティ インテリジェンスの更新プログラム」を参照してください。
リアルタイム保護:
- [未構成 ] (既定値) - Intune では、この機能は制御されず、既存の設定も変更されません。
- [必須 ] - マルウェア、スパイウェア、およびその他の不要なソフトウェアをスキャンするリアルタイム保護を有効にします。
Microsoft Defender for Endpoint
Microsoft Defender for Endpoint ルール
条件付きアクセス シナリオでの Microsoft Defender for Endpoint 統合の詳細については、「 Microsoft Defender for Endpoint で条件付きアクセスを構成する」を参照してください。
デバイスがマシン リスク スコア以下である必要があります。
この設定を使用して、コンプライアンスの条件として、防御の脅威サービスからリスク評価を行います。 許可される最大脅威レベルを選択します。- 未構成 (既定値)
- Clear -このオプションは、デバイスに脅威を持つことができないため、最も安全です。 デバイスが任意のレベルの脅威を持っていることとして検出された場合、デバイスは非準拠として評価されます。
- 低 - 低レベルの脅威のみが存在する場合、デバイスは準拠として評価されます。 それ以上の場合、デバイスは非準拠状態になります。
- 中 - デバイス上の既存の脅威が低レベルまたは中レベルの場合、デバイスは準拠として評価されます。 デバイスに高レベルの脅威が検出された場合は、非準拠と判断されます。
- 高 - このオプションは最も安全性が低く、すべての脅威レベルを許可します。 レポート目的でのみこのソリューションを使用している場合に役立つ場合があります。
防御の脅威サービスとして Microsoft Defender for Endpoint を設定するには、「 条件付きアクセスで Microsoft Defender for Endpoint を有効にする」を参照してください。
Windows Holographic for Business
Windows Holographic for Business では、 Windows 10 以降のプラットフォームが 使用されます。 Windows Holographic for Business では、次の設定がサポートされています。
- システム セキュリティ>暗号化>デバイス上のデータ ストレージの暗号化。
Microsoft HoloLens でデバイスの暗号化を確認するには、「 デバイスの暗号化を確認する」を参照してください。
Surface Hub
Surface Hub では、 Windows 10 以降のプラットフォームが 使用されます。 Surface Hubs は、コンプライアンスと条件付きアクセスの両方でサポートされています。 Surface Hubs でこれらの機能を有効にするには、Intune で Windows の自動登録 (Microsoft Entra ID が必要) を有効にし、Surface Hub デバイスをデバイス グループとしてターゲットにすることをお勧めします。 準拠と条件付きアクセスを機能させるには、Surface Hubs が Microsoft Entra に参加している必要があります。
ガイダンスについては、「 Windows デバイスの登録を設定する」を参照してください。
Windows 10/11 Team OS を実行している Surface Hubs に関する特別な考慮事項:
Windows 10/11 Team OS を実行する Surface Hubs では、現時点では Microsoft Defender for Endpoint と Password コンプライアンス ポリシーはサポートされていません。 そのため、Windows 10/11 Team OS を実行する Surface Hubs では、次の 2 つの設定を既定値の [未構成] に設定します。
[ パスワード] カテゴリで、[ モバイル デバイスのロックを解除するにはパスワードを要求する ] を既定値の [未構成] に設定します。
カテゴリ Microsoft Defender for Endpoint で、[ デバイスがコンピューター リスク スコアの下にあるか、または存在することを要求 する] を既定の [未構成] に設定します。