Intune デバイス コンプライアンス ポリシーの結果を監視する

コンプライアンス レポートは、デバイスが コンプライアンス ポリシー を満たしていないタイミングを理解するのに役立ち、組織内のコンプライアンス関連の問題を特定するのに役立ちます。 これらのレポートを使用し、次に関する情報を表示できます。

  • デバイスの総合的なコンプライアンス状態
  • 設定別のコンプライアンス状態
  • ポリシー別のコンプライアンス状態
  • 個々のデバイスにドリルダウンし、デバイスに影響を与えている特定の設定やポリシーを表示する

この記事は、次の項目に適用されます:

  • Android デバイス管理者
  • Android (AOSP) (プレビュー)
  • Android Enterprise
  • iOS/iPadOS
  • Linux - Ubuntu Desktop、バージョン 20.04 LTS、22.04 LTS
  • macOS
  • Windows 10 以降

コンプライアンス ダッシュボードを開く

Intune デバイスのポリシー準拠ダッシュボードを開きます。

  1. Microsoft エンドポイント マネージャー管理センター

  2. [デバイス]>[概要]>[対応状態] タブを選択します。

重要

デバイスのコンプライアンス ポリシーを受け取るには、Intune にデバイスを登録する必要があります。

ダッシュボードの概要

ダッシュボードが開くと、すべてのコンプライアンス レポートを含む概要が表示されます。 これらのレポートで、以下を確認できます。

  • 全体的なデバイスのコンプライアンス
  • ポリシーごとのデバイスのコンプライアンス対応
  • 設定ごとのデバイスのコンプライアンス対応
  • 脅威エージェントの状態
  • デバイスの保護の状態

Microsoft エンドポイント マネージャー管理センターのコンプライアンスの概要とさまざまなレポートのスクリーンショット。

このレポートを表示すると、設定別のコンプライアンス状態など、特定のデバイスに適用される特定のコンプライアンス ポリシーとコンプライアンス設定も確認できます。

デバイスの準拠の状態

[デバイスのコンプライアンス状態] グラフには、Intune に登録されているすべてのデバイスのコンプライアンス状態が表示されます。 デバイスのコンプライアンス状態は、Intune と Azure Active Directory という 2 つの異なるデータベースで保持されます。

重要

Intune では、デバイス上のすべてのコンプライアンス評価をデバイスのチェックイン スケジュールに従って行います。 デバイスのチェックイン スケジュールの詳細については、こちらをご覧ください

デバイス コンプライアンス ポリシーのさまざまな状態に関する説明:

  • 準拠: デバイスにデバイス コンプライアンス ポリシーが 1 つ以上、正しく適用されています。

  • 猶予期間:(この状態は Linux ではサポートされていません) デバイスは、1 つ以上のデバイス コンプライアンス ポリシー設定を対象とします。 しかしながら、ユーザーはポリシーをまだ適用していません。 この状態は、デバイスはポリシーに準拠していないものの、管理者が定義した猶予期間内にあることを意味します。

    • コンプライアンス非対応のデバイスに対する措置はこちらでご覧ください。
  • 評価されていません: (この状態は Linux ではサポートされていません) 新しく登録されたデバイスの初期状態。 この状態になるその他の原因としては、次が考えられます。

    • デバイスにコンプライアンス ポリシーが割り当てられておらず、コンプライアンスを確認するトリガーが与えられていない
    • コンプライアンス ポリシーが最後に更新されてからデバイスがチェックインしていない
    • 次などのように、デバイスが特定のユーザーに関連付けられていない
      • ユーザー アフィニティがない Apple の Device Enrollment Program (DEP) で購入した iOS/iPadOS デバイス
      • Android キオスクまたは Android エンタープライズ専用デバイス
    • デバイスがデバイス登録マネージャー (DEM) アカウントを使って登録されている
  • 非準拠: 1 つ以上のデバイス コンプライアンス ポリシーがデバイスに適用されませんでした。 あるいは、ユーザーがポリシーに違反しています。

  • デバイスが同期されていません:(この状態は Linux ではサポートされていません) 次のいずれかの理由により、デバイスのコンプライアンス ポリシーの状態を報告できませんでした。

    • 不明: デバイスが何らかの理由でオフラインか、Intune または Azure AD との通信に失敗しています。
    • エラー: デバイスが Intune および Azure AD との通信に失敗し、何らかの理由でエラー メッセージを受信しました。
  • 状態の確認: (Linux にのみ適用されます) Intuneは、現在、組織のポリシーに準拠しているデバイスを評価しています。

重要

Intune に登録されていないが、デバイス コンプライアンス ポリシーの適用対象となっているデバイスは、[準拠] バケットでこのレポートに含まれます。

コンプライアンス設定が [エラー] 状態のデバイスの動作

コンプライアンス ポリシーの設定で [エラー] の値が返された場合、デバイスのコンプライアンス状態は最大 7 日間変更されず、その設定に対してコンプライアンス計算が正しく完了するまでの時間を確保できます。 この 7 日以内に、コンプライアンス ポリシー設定が [準拠] または [非準拠] として評価されるまで、デバイスの既存のコンプライアンス状態は引き続き適用されます。 7 日が経過してもデバイスの状態が [エラー] のままの場合、デバイスはすぐに [非準拠] になります。 猶予期間は、設定が [エラー] 状態であるコンプライアンス ポリシーには適用されません。

例:
  • デバイスは最初は [準拠] とマークされますが、その後、デバイスを対象とするコンプライアンス ポリシーの 1 つの設定で [エラー] が報告されます。 3 日後、コンプライアンス評価は正常に完了し、設定で [非準拠] と報告されます。 ユーザーは、設定状態が [エラー] に変更された後、最初の 3 日以内にデバイスを使用して条件付きアクセスによって保護されたリソースにアクセスし続けることができますが、設定が [非準拠] に戻ると、デバイスは [非準拠] とマークされ、デバイスが再び [準拠] になるまでこのアクセスが削除されます。

  • デバイスは最初は [準拠] とマークされますが、その後、デバイスを対象とするコンプライアンス ポリシーの 1 つの設定で [エラー] が報告されます。 3 日後、コンプライアンスの評価が正常に完了すると、設定は [準拠] を返し、デバイスのコンプライアンス状態は [準拠] になります。 ユーザーは、中断することなく、条件付きアクセスで保護されたリソースに引き続きアクセスできます。

  • デバイスは最初は [準拠] とマークされますが、その後、デバイスを対象とするコンプライアンス ポリシーの 1 つの設定で [エラー] が報告されます。 ユーザーは条件付きアクセスによって保護されたリソースに 7 日間アクセスできますが、7 日後もコンプライアンスの状態では引き続き [エラー] を返します。 この時点で、該当するコンプライアンス ポリシーに猶予期間が設定されている場合でも、デバイスは [直ちに準拠していません] になり、デバイスが [準拠] になるまで、ユーザーは保護されたリソースへのアクセスを失います。

  • デバイスは最初は [非準拠] とマークされますが、デバイスを対象とするコンプライアンス ポリシーの 1 つの設定で [エラー] が報告されます。 3 日後、コンプライアンスの評価が正常に完了すると、設定は [準拠] を返し、デバイスのコンプライアンス状態は [準拠] になります。 ユーザーは、最初の 3 日間は、条件付きアクセスで保護されたリソースにアクセスできません (この設定では [エラー] が返されます)。 設定で [準拠] を返し、デバイスが [準拠] とマークされると、ユーザーはデバイス上の保護されたリソースにアクセスできるようになります。

ドリルダウンして詳細を表示する

[Device compliance status]\(デバイスのコンプライアンス状態\) グラフで状態を選択します。 たとえば、[非準拠] 状態を選択します。

[準拠していない状態の選択] を示すスクリーンショット。

この操作により、[デバイスのポリシー準拠] ウィンドウが開き、[デバイスの状態] グラフにデバイスが表示されます。 このグラフには、オペレーティング システム プラットフォームや前回のチェックイン日付など、その状態にあるデバイスに関する詳細が表示されます。

ダッシュボードイメージは、その特定の状態のデバイスの詳細を示しています。

特定のユーザーが所有しているすべてのデバイスを表示する場合、ユーザーの電子メールを入力してグラフ レポートをフィルタリングできます。

ヒント

デバイスにサインインしているユーザーがいない場合は、対象のデバイス コンプライアンス ポリシーが適用されているデバイスにより、ユーザー プリンシパル名としてシステム アカウントを示すコンプライアンス レポートが Intune に送信されます。 これは、デバイス コンプライアンス ポリシーがユーザーまたはデバイスのグループを対象としており、コンプライアンス ポリシーの評価時にデバイスにサインインしているユーザーがいないことが原因で発生します。

また、同じデバイスにサインインしているユーザーが複数いる場合に、現在サインインしているすべてのユーザーを対象としたコンプライアンス ポリシーがデバイスに適用されていると、デバイスにサインインしているすべてのユーザーがデバイス コンプライアンス ポリシーを評価して Intune に報告する必要があるため、デバイス コンプライアンス レポートに同じデバイスが複数回表示される可能性があります。

注:

コンプライアンス ポリシーをデバイス グループに割り当てる場合、ユーザーがサインインしていると、コンプライアンスの評価が 2 回発生することに注意してください。1 つはユーザーに対して、もう 1 つはシステム アカウントに対してです。 このシナリオでは、システム アカウントの評価が失敗し、デバイスが "非準拠" になる可能性があります。 この動作を防ぐには:

  • ユーザーがサインインしているデバイスの場合 - コンプライアンス ポリシーをユーザー グループに割り当てます。
  • ユーザーがサインインしていないデバイスの場合 - コンプライアンス ポリシーをデバイス グループに割り当てます。

フィルターと列

[フィルター] と [列] を選択して、グラフの結果を変更します。

[フィルター] ボタンを選択すると、フィルター メニューが開き、コンプライアンス状態や脱獄されたデバイスなど、さまざまなオプションが提示されます。 フィルターを適用し、結果を更新します。

[列] プロパティを使用し、グラフ出力に列を追加したり、グラフ出力から列を削除したりします。 たとえば、[ユーザー プリンシパル名] には、デバイスに登録されているメール アドレスが表示されます。 列を適用し、結果を更新します。

デバイスの詳細

[デバイスの詳細] グラフで、特定のデバイスを選択し、[デバイスのポリシー準拠] を選択します。

特定のデバイスを選択し、[デバイス コンプライアンス] を選択して、適用されているコンプライアンス ポリシーを確認します。

Intune には、そのデバイスに適用されているデバイス コンプライアンス ポリシー設定の詳細が表示されます。 特定のポリシーを選択すると、ポリシーに含まれるすべての設定が表示されます。

コンプライアンスのないデバイス

[対応状態] ページにある [ポリシーへの準拠] グラフの隣で [コンプライアンス ポリシーのないデバイス] タイルを選択すると、コンプライアンス ポリシーが割り当てられていないデバイスに関する情報を表示できます。

コンプライアンス ポリシーのないデバイスを参照してください。

タイルを選択すると、コンプライアンス ポリシーのないデバイスが残らず表示されます。 また、デバイスの利用者、ポリシーのデプロイ状態、デバイスの型も表示されます。

知っておく必要がある情報

  • [コンプライアンス ポリシーが割り当てられていないデバイスをマークする] というセキュリティ設定では、コンプライアンス ポリシーのないデバイスを特定することが重要です。 特定できたら、少なくとも 1 つのコンプライアンス ポリシーをデバイスに割り当てることができます。

    セキュリティ設定は Microsoft エンドポイント マネージャー 管理センターで構成できます。 [デバイス]>[コンプライアンス ポリシー]>[コンプライアンス ポリシーの設定] の順に進みます。 次に、[コンプライアンス ポリシーが割り当てられていないデバイスをマークする][準拠] または [非準拠] に設定します。

  • 何らかの種類のコンプライアンス ポリシーが割り当てられているユーザーは、デバイスのプラットフォームに関係なく、このレポートに表示されません。 たとえば、Android デバイスの利用者に Windows コンプライアンス ポリシーを割り当てた場合、そのデバイスはこのレポートに表示されません。 ただし、Intune ではその Android デバイスは準拠と見なされません。 問題を回避するために、デバイス プラットフォームごとにポリシーを作成し、それをすべてのユーザーにデプロイすることをお勧めします。

ポリシーごとのデバイスのコンプライアンス対応

[ポリシーへの準拠] グラフには、ポリシーと、準拠しているデバイスの数、準拠していないデバイスの数が表示されます。

ポリシーの一覧と、そのポリシーの準拠デバイスと非準拠デバイスの数を確認します。

コンプライアンスの設定

[コンプライアンスの設定] グラフには、すべてのコンプライアンス ポリシーからのすべてのデバイス コンプライアンス ポリシー設定、ポリシー設定が適用されているプラットフォーム、非準拠デバイスの数が表示されます。

さまざまなポリシーのすべての設定の一覧を参照してください。

コンプライアンス レポートを表示する

[対応状態] のグラフを使用するだけでなく、[レポート]>[デバイスのポリシー準拠] を使用できます。

  1. Microsoft エンドポイント マネージャー管理センター

  2. [デバイス]>[モニター] を選択し、次に [コンプライアンス] から表示するレポートを選択します。 次のようなコンプライアンス レポートを使用できます。

    • デバイスのコンプライアンス
    • 非準拠デバイス
    • コンプライアンス ポリシーのないデバイス
    • コンプライアンスの設定
    • ポリシーへの準拠
    • 非準拠ポリシー (プレビュー)
    • Windows 正常性構成レポート
    • 脅威エージェントの状態

レポートについて詳しくは、「Intune のレポート」をご覧ください

デバイス ポリシーの状態を表示する

プラットフォームごとに、ご使用のポリシーのさまざまな状態を確認することができます。 たとえば、macOS コンプライアンス ポリシーがあるとします。 このポリシーによって影響を受けるデバイスを確認し、競合やエラーが発生していないか把握する必要があります。

この機能はデバイス状態レポートに含まれています。

  1. [デバイス]>[コンプライアンス ポリシー]>[ポリシー] の順に選択します。 ポリシーの一覧が表示されます。これにはプラットフォーム、ポリシーが割り当てられているかどうか、およびその他の詳細が含まれます。

  2. ポリシーの [概要] を選択します>。 このビューでは、ポリシー割り当てに次の状態が含まれています。

    • 成功: ポリシーが適用されます
    • エラー: ポリシーを適用できませんでした。 メッセージは通常、説明のリンクを含むエラー コードと共に表示されます。
    • 競合: 2 つの設定が同じデバイスに適用されます。Intune では競合に対処できません。 管理者が確認する必要があります。
    • 保留中: デバイスはまだ、ポリシーを受信するために Intune でチェックインしていません。
    • 適用できない: デバイスがポリシーを受信できません。 たとえば、ポリシーで iOS 11.1 に特有の設定が更新されるが、デバイスが iOS 10 を使用している場合です。
  3. このポリシーを使用してデバイスの詳細を表示するには、状態のいずれかを選択します。 たとえば、[成功] を選択します。 次のウィンドウでは、デバイス名や展開状態など、特定のデバイスの詳細が一覧表示されます。

Intune のポリシー競合の解決方法

複数の Intune ポリシーを 1 つのデバイスに適用すると、ポリシーの競合が発生する可能性があります。 ポリシーの設定が重複した場合、Intune では次のルールを使用して競合を解決します。

  • Intune構成ポリシーの設定とコンプライアンス ポリシーの間で競合が発生した場合、コンプライアンス ポリシーの設定が構成ポリシーの設定よりも優先されます。 この結果は、構成ポリシーの設定の安全性が高い場合でも発生します。

  • 複数の準拠ポリシーを展開した場合、Intune ではその中で最も安全なポリシーが使用されます。

ポリシーの競合解決の詳細については、「 複数のポリシーが同じユーザーまたはデバイスに割り当てられている場合、適用される設定を知る方法」を参照してください。

次の手順

コンプライアンス ポリシーの概要