Microsoft Intuneで Linux および Windows デバイスのカスタム コンプライアンス ポリシーと設定を使用する

Intune の組み込みのデバイス コンプライアンス オプションを拡張し、マネージド Linux および Windows デバイスのカスタム コンプライアンス設定にポリシーを使用します。 カスタム設定を使用すると、Intune がこれらの設定を追加するのを待たずに、デバイスで使用できる設定に柔軟に準拠できます。

この機能は、以下に適用されます。

• Linux – Ubuntu Desktop、バージョン 20.04 LTS、22.04 LTS
• Windows 10 または 11

ポリシーにカスタム設定を追加する前に、サポートされている各プラットフォームで使用する JSON ファイルと検出スクリプトを準備する必要があります。 スクリプトと JSON の両方がコンプライアンス ポリシーの一部になります。 各コンプライアンス ポリシーは 1 つのスクリプトをサポートしており、各スクリプトは複数の設定を検出できます。

• JSON ファイルは、カスタム設定と、準拠と見なされる値を定義します。 また、各設定のコンプライアンスを復元する方法をユーザーに伝えるメッセージを構成することもできます。 そのポリシーの検出スクリプトを選択した直後に、コンプライアンス ポリシーの作成中に JSON ファイルを追加します。

• スクリプトはさまざまなプラットフォームに固有であり、コンプライアンス ポリシーを通じてデバイスに配信されます。 ポリシーが評価されると、スクリプトは JSON ファイルから設定を検出し、その結果を Intune に報告します。 Windows では PowerShell スクリプトを使用し、Linux では POSIX 準拠のシェル スクリプトを使用します。

  コンプライアンス ポリシーを作成する前に、スクリプトをMicrosoft Intune管理センターにアップロードする必要があります。 カスタム設定をサポートするようにポリシーを構成する場合は、スクリプトを選択します。

カスタム コンプライアンス設定を展開し、デバイスが報告されたら、Microsoft Intune管理センターの組み込みのコンプライアンス設定の詳細と共に結果を表示できます。 カスタム コンプライアンス設定は、組み込みのコンプライアンス設定と同じように、条件付きアクセスの決定に使用できます。 これらを組み合わせて複合ルール セットを形成し、デバイスのコンプライアンス状態に均等に影響します。

前提条件

• Microsoft Entraハイブリッド参加済みデバイスを含む、参加済みデバイスMicrosoft Entra。

  ハイブリッド参加済みデバイスMicrosoft Entraは、Microsoft Entra IDに参加し、オンプレミスの Active Directoryにも参加するデバイスです。 詳細については、「Microsoft Entraハイブリッド結合の実装を計画する」を参照してください。

• Microsoft Entra登録済み/Workplace 参加済み (WPJ)

  Microsoft Entra IDに登録されているデバイスの詳細については、「シームレスな第 2 要素認証としての Workplace Join」を参照してください。 通常、これらは、職場または学校のアカウントが [設定>>アカウント] [職場または学校にアクセス] を使用して追加された Bring Your Own Device (BYOD) デバイスです。

  WPJ デバイスでは、デバイス コンテキスト PowerShell スクリプトは機能しますが、ユーザー コンテキストの PowerShell スクリプトは無視されます。

• 検出スクリプト - Windows 用の PowerShell、または作成した Linux 用の POSIX 準拠シェル スクリプト。 このスクリプトは、デバイス上で実行され、JSON ファイルで定義されているカスタム設定を検出します。 スクリプトは、これらの設定の構成値を Intune に返します。 コンプライアンス ポリシーを作成し、ポリシーの作成時に使用するスクリプトを選択する前に、スクリプトをMicrosoft Intune管理センターにアップロードする必要があります。

  カスタム コンプライアンス スクリプトを作成するには、「Microsoft Intuneのカスタム コンプライアンス検出スクリプト」を参照してください。

• JSON ファイル - JSON ファイルは、カスタム設定と、準拠と見なされる値を定義し、設定のコンプライアンスにデバイスを復元する方法に関するユーザー向けのメッセージを含めることができます。 カスタム コンプライアンス用の JSON の作成に関するガイダンスについては、「 カスタム コンプライアンス JSON ファイル」を参照してください。

カスタム コンプライアンス設定を使用してポリシーを作成する

カスタム設定を含むポリシーの作成を開始する前に、前提条件を確認 してください。

まず、該当する検出スクリプトを Intune にアップロードし、ポリシーの作成時に追加する準備ができている JSON を用意する必要があります。

準備ができたら、通常の手順を使用して 、ポリシーにカスタム設定を追加するためのプラットフォーム固有の手順を含むコンプライアンス ポリシーを作成します。 カスタムコンプライアンスのオプションを構成することで、[構成設定] ページで カスタム設定が追加されます。

注:

Windows デバイスは、カスタム設定のコンプライアンス ポリシーを受け取ると、 Intune 管理拡張機能の有無を確認します。 見つからない場合、デバイスは拡張機能をインストールする MSI を実行し、クライアントがコンプライアンス ポリシーの一部である PowerShell スクリプトをダウンロードして実行し、コンプライアンスの結果をアップロードできるようにします。 サービスによって管理されるアクションは次のとおりです。

• 新しいまたは更新された PowerShell スクリプトを 8 時間ごとに確認します。
• 検出スクリプトを 8 時間ごとに実行する。
• ユーザーがデバイスで [コンプライアンスの確認] を選択したときにダウンロードするスクリプトを実行する。 ただし、コンプライアンスの確認が実行されている場合、新規または更新されたスクリプトのチェックはありません。

デバイスにプッシュ通知を送信して、カスタム コンプライアンスをオンデマンドで実行することはできません。

カスタム コンプライアンス ポリシーを監視する

デバイスのコンプライアンス状態の詳細を表示するには、次の方法を使用します。

• Linux デバイスと Windows デバイスの両方について、Microsoft Intune管理センターでカスタム コンプライアンス設定の設定ごとのデバイス コンプライアンスの詳細を表示できます。

  管理センターで [レポートデバイスコンプライアンス]> に移動し、[レポート] タブを選択します。非準拠デバイスと設定のタイルを選択し、ドロップダウン メニューを使用してレポートを構成します。 OS のプラットフォームを選択し、[レポートの 生成 ] を選択してください。

  詳細については、「 Intune デバイス コンプライアンス ポリシーの監視」を参照してください。

• Linux デバイスでは、Intune アプリを開いてデバイスの状態を表示できます。

  • 準拠 – デバイスはorganizationのポリシーに準拠しており、組織のリソースにアクセスできる必要があります。
  • 状態の確認 – Intune は現在、organizationのポリシーに対するデバイスのコンプライアンスを評価しています。
  • 準拠していない – デバイスがorganizationのデバイスとセキュリティの要件を満たしていないため、organizationのリソースにアクセスできない可能性があります。

  デバイスの状態が [準拠していない] の場合は、[ 問題の表示 ] を選択して、そのデバイスをコンプライアンスに移行するために対処する必要がある問題の詳細を表示します。 一般的な問題の解決については、「 Linux デバイスのその他のトラブルシューティング」を参照してください。

デバイスのカスタム コンプライアンスのトラブルシューティング

カスタム設定が評価されない

デバイス コンプライアンス レポートで、次のエラー コードと問題に関する分析情報を確認します。

• 65007: スクリプトがエラーを返しました
• 65008: スクリプトの結果に設定がありません
• 65009: 検出された設定の json が無効です
• 65010: 検出された設定のデータ型が無効です

Windows では、PowerShell スクリプトの末尾に次の行を追加して、PowerShell スクリプトに関連するエラーを返すことができます。次の行が PowerShell スクリプト ファイルの末尾にあることを確認します。 return $hash | ConvertTo-Json -Compress

PowerShell または POSIX に準拠したシェル スクリプトは、選択に表示されないか、削除された後も表示されたままです

現在のビューを更新します。 問題が解決しない場合は、ポリシー作成フローを取り消して、もう一度開始します。

デバイスの問題が修正された後、後続の同期では、問題が解決され、準拠しているものとして識別されません

デバイスの変更後、非準拠状態が準拠と表示されるまでに最大 8 時間かかることがあります。

ユーザーは、問題が解決され、準拠しているかどうかを特定するために、デバイス上の問題を修正した後、コンプライアンスを手動でチェックできますか?

• Windows では、ユーザーはポータル サイト Web サイトに移動し、非準拠のカスタム コンプライアンス設定を修正した後にデバイスの状態を更新する同期をトリガーできます。

• Linux では、ユーザーはMicrosoft Intune アプリを開き、デバイスの詳細ページまたはコンプライアンスの問題ページで [最新の情報に更新] を選択して、Intune で新しいチェックを開始できます。

演算子とオペランドがサポートされないのはなぜですか?

特定の演算子とオペランドの追加を要求するには、アカウント マネージャーに問い合わせてください。 その後、将来の更新プログラムについて検討できます。

1 つのカスタム コンプライアンス ポリシーに複数の検出スクリプトを適用できないのはなぜですか?

ポリシーでは、1 つのスクリプトの使用がサポートされます。 ただし、各スクリプトでは、複数のコンプライアンス値のチェックがサポートされています。

Linux デバイスのその他のトラブルシューティング

デバイスに準拠していない設定を識別するには:

• Microsoft Intune管理センターでは、ポリシーに準拠していないデバイスを特定できます。 [レポート>] [デバイス コンプライアンス] の順に移動し、[レポート] タブを選択し、[非準拠デバイスと設定] のタイルを選択します。 ドロップダウンを使用して目的のレポートを構成し、[レポートの 生成 ] を選択します。

管理センターには、デバイスで準拠していない設定ごとに個別の行が表示されます。

• Linux デバイスで、Microsoft Intune アプリを開き、[デバイス設定の更新] ページを表示します。

次のセクションでは、Linux デバイスのユーザーが発生する可能性がある問題に関する一般的な問題と解決策について説明します。

オペレーティング システムのディストリビューションとバージョン

Linux ディストリビューションまたはオペレーティング システムのバージョンのデバイス コンプライアンス構成を満たしていないデバイスのユーザーは、デバイス オペレーティング システムをアップグレードまたはダウングレードする必要があることを示すメッセージを受け取る可能性があります。

[許可されたディストリビューション] 設定に準拠するには、Linux ディストリビューションとバージョンが最小、最大、および種類の要件を満たす必要があります。 必要に応じて、別のバージョンまたは Linux のディストリビューションをインストールして、デバイスをコンプライアンスに取り込みます。

パスワードの複雑さ

パスワードの複雑さの要件に関するデバイス コンプライアンス構成を満たしていないデバイスのユーザーは、強力なパスワードを使用する必要があることを示すメッセージを受け取る場合があります。

パスワード ポリシー設定に準拠するには、これらの要件を満たすパスワードを使用するように Linux システムを構成します。 一般的なorganization要件は次のとおりです。

• 最小文字数、数字、または特殊文字を含むパスワード
• 最小長のパスワード

デバイスの暗号化

ディスクとパーティションの暗号化のコンプライアンス設定を満たしていないデバイスのユーザーは、デバイス ドライブを暗号化する必要があることを示すメッセージを受け取る場合があります。

[ デバイス暗号化が必要] 設定に準拠するには、Linux デバイス上の書き込み可能な固定ディスクにデバイス レベルの暗号化が必要です。

Linux オペレーティング システムのディスクとパーティションの暗号化には、いくつかのオプションがあります。 Intune は、基になる dm-crypt サブシステムを使用する暗号化システムを認識します。 このサブシステムは、しばらくの間、Linux システムで標準でした。 dm-crypt を設定する推奨される方法は、cryptsetup ツールで LUKS 形式を使用することです。

ディスクとパーティションを暗号化するときの一般的なガイダンスを次に示します。

• インストール後の Linux システム ボリュームの暗号化は可能ですが、時間がかかる可能性があります。 オペレーティング システムのインストール中にディスク暗号化を設定することをお勧めします。
• デバイスが組織の標準を満たすために、すべてのファイルシステム パーティションを暗号化する必要はありません。 以下は、組み込みのデバイス暗号化設定では評価されません。
  • 読み取り専用パーティション
  • 擬似ファイルシステム (または など)/proctmpfs
  • /bootまたは /boot/efi パーティション

Linux デバイスでコンプライアンスの状態を更新する

デバイスに変更を加えてコンプライアンスに準拠した後、Intune でデバイスの状態を更新します。

• Microsoft Intune アプリがまだ実行されている場合は、デバイスの詳細ページまたはコンプライアンスの問題ページで [更新] を選択して、Intune で新しいチェックインを開始します。
• Microsoft Intune アプリが実行されていない場合は、アプリにサインインすると、新しいチェックが開始されます。
• インストール後、Microsoft Intune アプリは、デバイスがオンで、ユーザーが Intune にサインインしている限り、Intune で定期的にチェックインします。

次の手順

• コンプライアンス ポリシーの作成