Intune ポリシーで再利用可能な設定グループを使用する
この機能はパブリック プレビュー段階です。
Intuneでは、一般的な設定の管理を簡略化するために構成ポリシーとプロファイルに追加できる再利用可能な設定グループがサポートされています。 再利用可能なグループを使用する良い時期は、同じ構成の設定を 1 つ以上のプロファイルで使用する必要がある場合です。
再利用可能なグループの設定を編集すると、行った変更は、グループを含む各プロファイルに自動的に適用されます。 再利用可能な設定グループに変更を保存すると、Intuneこれらの新しい構成でプロファイルが更新され、プロファイルの割り当てに基づいて更新されたプロファイルがデバイスに展開されます。
次のプロファイルは、再利用可能なグループをサポートしています。
- エンドポイント セキュリティ攻撃 Surface の縮小ポリシーを使用して使用できるデバイス制御。
- Windows ファイアウォール規則。エンドポイント セキュリティ ファイアウォール ポリシーを使用して使用できます。
再利用可能な設定グループの概要
再利用可能な各設定グループは、複数の設定を含めることができる 1 つのオブジェクトです。 特定のプロファイルの種類で使用するために 1 つ以上の再利用可能なグループを構成した後、プロファイルを作成または編集してグループを追加します。 プロファイルでは、複数のグループをサポートできます。
再利用可能な設定のグループを管理するには、Microsoft Intune管理センターで、グループを使用するポリシーとプロファイルに関連付けられている [再利用可能な設定] タブを使用します。 タブでは、グループを作成し、グループ内の設定を編集し、各グループから設定を継承するポリシーの数を表示できます。 再利用可能な各設定グループは、関連するプロファイルの種類でのみ使用されます。
たとえば、次の図は、Windows ファイアウォール ファイアウォール規則プロファイルの再利用可能なグループを管理するために使用する [再利用可能な設定] タブを示しています。
再利用可能なグループを作成した後、プロファイル の [構成設定] ページのオプションを使用して、そのプロファイルにグループを追加します。 1 つ以上の再利用可能なグループを含むプロファイルでは、プロファイルで設定が直接構成されているかのように、含まれる各グループの各設定が使用されます。
前提条件
次のプロファイルでは、再利用可能な設定グループの使用がサポートされています。
エンドポイント セキュリティ ポリシー
ファイアウォール>Windows ファイアウォール規則:
- プラットフォーム: Windows
- Windows バージョン: デバイスは 20H2 以降Windows 10実行する必要があります。または、Windows 11
攻撃面の縮小>デバイスコントロール:
- プラットフォーム: Windows
エンドポイント特権管理
- Windows 昇格ルール ポリシー
注:
再利用可能な設定グループは、現在、Microsoft Defender for Endpointの Security Management で使用するためにサポートされていません。
再利用可能なグループを作成する
再利用可能な各設定グループには、グループを作成する完全なプロファイルの設定のサブセットが含まれています。 各プロファイルの設定グループで構成できる設定を表示するには、次のリンクを使用します。
再利用可能な設定グループを作成するには:
Microsoft Intune管理センターを開き、再利用可能なグループを作成するポリシーに移動し、[再利用可能な設定 (プレビュー)] タブを選択します。
[ 追加] を 選択して、 再利用可能な設定の構成 (プレビュー) ワークフローを開きます。
[ 基本 ] ページで、名前を構成します。 説明は省略することができます。
[ 構成設定 ] ページで、[ 追加 ] を選択し、サポートされているプロファイルで設定を直接構成するかのように、このグループの設定を構成します。
[デバイス制御] で [ 追加 ] を選択すると、構成するグループ設定の種類を選択し、[ インスタンスの編集 ] を選択して続行する必要があります。 複数のインスタンスを追加する場合は、グループの 一致の種類 の構成を確認します。
グループごとに 100 インスタンスの制限があります。 管理センターの情報テキストは、再利用可能な設定グループの各設定に関するガイダンスとして使用します。 設定の [詳細情報 ] リンクに従って、その設定コンテンツ ソースの設定に関する詳細を表示します。
ヒント
後で識別できるように、作成する再利用可能な各グループに注意深く 名前 を付けます。 これは重要です。ポリシーの種類に対して作成する再利用可能なグループは、構成するポリシーに通常は適用されない設定がグループに含まれている場合でも、ポリシーに再利用可能なグループを追加するときに表示されます。 たとえば、Windows ファイアウォール規則用に再利用可能なグループが作成されている場合、そのグループは表示され、デバイス制御ポリシーに再利用可能なグループを追加するときに選択できます。
[ 確認と追加] ページで、[ 追加 ] を選択して再利用可能な設定グループを保存します。
再利用可能なグループを変更する
再利用可能なグループの構成を編集すると、そのグループを使用する各プロファイルが自動的に更新され、新しい構成がデバイスに適用されます。
Microsoft Intune管理センターを開き、再利用可能なグループを作成するポリシーに移動し、[再利用可能な設定 (プレビュー)] タブを選択します。
編集する再利用可能な設定グループを選択します。 これにより、新しい再利用可能なグループを作成するためのワークフローに似た構成ワークフローが開きます。
[ 基本 ] ページでグループの名前を変更でき、[ 構成設定 ] ページで設定を再構成できます。 最後のページで、[ 保存] を選択して構成を保存し、設定グループを使用するプロファイルを更新します。
Windows ファイアウォール規則プロファイルに再利用可能なグループを追加する
プロファイルの編集または作成中に、再利用可能な設定グループをプロファイルに追加します。 [プロファイルの構成設定] ページで、以前に作成した 1 つ以上のグループの追加をサポートするオプションを使用します。
注:
受信 FQDN 規則はネイティブにサポートされていません。 ただし、 事前ハイドレート スクリプトを使用して、ルールの受信 IP エントリを生成できます。 詳細については、 Windows ファイアウォールのドキュメントの「Windows ファイアウォール動的キーワード 」を参照してください。
Microsoft Intune管理センターで、新しいプロファイルを作成するか、既存のプロファイルを選択して編集します。
[ 構成設定 ] ページで、[ 追加 ] を選択して新しいルールを追加するか、ルールを 編集 して以前に作成したルールを管理します。
ルールの [ インスタンスの構成 ] ウィンドウで、[ アクション] を 構成して、この規則が IP アドレスや FQDN などの設定を管理する方法を決定します。 たとえば、[アクション] を [許可 ] または [ ブロック] に設定できます。 この構成は、このルールに直接追加する設定と、このルールに追加される各再利用可能なグループ内の設定の両方に適用されます。
ルール構成を保存します。
保存したルールで、[ 再利用可能な設定の設定 ] を選択して、[ 再利用可能な設定の選択 ] ウィンドウを開きます。
使用可能なグループを 1 つ以上選択してこのルールに追加し、選択内容を保存します。
再利用可能なグループをプロファイルに追加した後、構成を保存します。 保存すると、Intuneには再利用可能なグループの設定が含まれており、プロファイルの割り当てに基づいてプロファイルがデバイスに展開されます。
デバイス制御プロファイルに再利用可能なグループを追加する
プロファイルの編集または作成中に、再利用可能な設定グループをプロファイルに追加します。 デバイス制御プロファイルの再利用可能なグループでは、次の種類の設定がサポートされています。
- プリンター デバイス
- リムーバブル記憶域
[プロファイルの構成設定] ページで、以前に作成した 1 つ以上のグループの追加をサポートするオプションを使用します。
Microsoft Intune管理センターで、新しいプロファイルを作成するか、既存のプロファイルを選択して編集します。
[ 構成設定 ] ページで、[デバイス制御] カテゴリを展開し、[ 追加 ] を選択して新しいルールを追加するか、 エントリを編集 して以前に作成したルールを管理します。
- [追加] を選択して、さらにルールを追加します。
- [ エントリの編集] を選択して [ エントリの構成 ] ウィンドウを開き、グループの使用をさらに構成します。
[ エントリの構成 ] ウィンドウで、エントリに [名前] を指定し、次を構成し、[ OK] を 選択してルールを保存します。
- 型: リムーバブル 記憶域グループのアクションを定義します。 同じメディアに対して Type に競合がある場合、ポリシーで定義されている最初の型が適用されます。
- オプション: デバイス ユーザーに通知を表示するかどうかを定義します。 使用可能なオプションは、選択されている種類によって異なります。
- アクセス マスク: 読み取り、書き込み、実行から 1 つ以上を選択します。
- Sid: ローカル ユーザー Sid またはユーザー Sid グループ、または AD オブジェクトの Sid は、特定のユーザーまたはユーザー グループに対してこのポリシーを適用するかどうかを定義します。1 つのエントリは、最大 1 つの Sid を持ち、Sid を持たないエントリは、マシンにポリシーを適用します。
- コンピューター Sid: ローカル コンピューター Sid またはコンピューター Sid グループ、または AD オブジェクトの Sid は、特定のコンピューターまたはコンピューター グループに対してこのポリシーを適用するかどうかを定義します。1 つのエントリに含めることができる ComputerSid は最大 1 つで、ComputerSid のないエントリは、コンピューターにポリシーを適用します。 特定のユーザーと特定のコンピューターにエントリを適用する場合は、Sid と ComputerSid の両方を同じエントリに追加します。
これらのオプションの詳細については、Microsoft Defender for Endpointドキュメントの次の記事を参照してください。
- Microsoft Defender for Endpoint ドキュメントのデバイス コントロールリムーバブル 記憶域Access ControlをMicrosoft Defender for Endpointします。
- プリンター保護の概要
保存したルールで、ニーズに合わせて [含まれる ID] と [除外 ID] の再利用可能な設定を設定する] を選択します。 どちらの選択でも、[ 再利用可能な設定の選択] ウィンドウが開きます。
使用可能なグループを 1 つ以上選択してこのルールに追加し、選択内容を保存します。 除外 ID に対してグループが 1 つだけ選択されている構成を次に示します。
再利用可能なグループをプロファイルに追加した後、ポリシー構成を完了します。 保存すると、Intuneには再利用可能なグループの設定が含まれており、プロファイルの割り当てに基づいてプロファイルがデバイスに展開されます。 プロファイルごとに最大 100 個の再利用可能なグループを追加できます。
E5 ライセンスをお持ちの場合は、Microsoft Defender for Endpointを使用して、デバイス制御レポートと高度なハンティングでデバイス コントロール イベントを表示できます。 デバイス制御を使用してorganizationのデータを保護する |Defender for Endpoint のドキュメントでMicrosoft Docsします。
Endpoint Privilege Manager に再利用可能なグループを使用する
Endpoint Privilege Manager で再利用可能なグループを使用するためのサポートについては、「Endpoint Privilege Manager のポリシー」を参照してください。
ポリシーの競合について
再利用可能な設定グループで管理できるデバイス設定は、プロファイルで直接構成された設定と同じIntuneによって適用されます。 再利用可能なグループの設定によって競合または重複が発生した場合は、同じトラブルシューティング プロセスを使用して、それらの競合を特定して解決できます。
詳細については、使用するプロファイルの種類に固有のガイダンスを確認してください。 一般的なガイダンスについては、「Microsoft Intuneのポリシーとプロファイルのトラブルシューティング」および「Microsoft Intuneのデバイス ポリシーとプロファイルに関する一般的な質問と回答」を参照してください。