デバイス コンプライアンス ポリシーについて

  • 3 分

コンプライアンス ポリシーは、デバイスが準拠していると見なされるために、そのデバイスに構成が必要なルールと設定を定義します。 コンプライアンス ポリシーを構成して展開すると、デバイスのコンプライアンス状態と、定義通りに構成された個々のデバイスを監視できます。

コンプライアンス ポリシーをデバイスに適用するには、まず Intune に登録する必要があります。 登録後、デバイスをデバイス グループに自動的に追加できます。 そのグループにコンプライアンス ポリシーを割り当てると、ポリシーがデバイス上で評価され、コンプライアンス状態が Intune に自動的に報告され、ポータルに表示されます。

デバイス コンプライアンス ポリシーでは、次の設定の要件を示します:

  • パスワード
  • 暗号化
  • デバイスの脱獄またはルート化
  • オペレーティング システム バージョンの最小要件
  • オペレーティング システム バージョンの最大要件
  • モバイル脅威防御の最低レベル

デバイスがIntuneに登録されると、デバイスに関する情報 (コンプライアンス状態など) がMicrosoft Entra IDに追加されます。 コンプライアンス ポリシーはデバイスではなく、ユーザーに基づいて展開されます。 条件付きアクセス ポリシーでは、Microsoft Entra情報を使用して、メールやその他の組織データへのアクセスをブロックまたは許可します。 コンプライアンス ポリシーに条件付きアクセスを使用する必要はありません。 コンプライアンス ポリシーは、レポート目的のみでも使用できます。

Intune コンプライアンス ポリシーは、エンドポイント マネージャー管理センターの [デバイス] セクションに作成されます。 監視用のデバイス コンプライアンス ダッシュボードは、[レポート] にあります。

既定では、Intune で準拠していないデバイスが検出されると、デバイスは直ちに非準拠とマークされます。 コンプライアンス ポリシーごとに非準拠デバイスに対するアクションを構成でき、より柔軟に対処方法を決定できます。 たとえば、組織は通常、非準拠デバイスからの会社のリソースへのアクセスをブロックします。 ただし、指定された猶予期間内にデバイスが準拠することを条件に、非準拠デバイスが会社のリソースにアクセスできるようコンプライアンス ポリシーを構成することもできます。 その時点までにコンプライアンスが達成されなかった場合、そのデバイスは会社のリソースにアクセスできなくなります。

非準拠アクションには、次の 2 種類があります。

  • エンド ユーザーにメールで通知する。 エンド ユーザーに送信する前にメールによる通知をカスタマイズできます。 カスタマイズできるのは、受信者、件名、メッセージ本文 (会社のロゴなど)、連絡先情報です。 Intune には、非準拠デバイスに関する詳細が電子メール通知に含まれています。
  • デバイスを非準拠とマークする。 デバイスを非準拠としてマークするまでの日数を指定できます。 デバイスの非準拠が検出された直後にマークすることも、準拠するようにデバイスを更新できる猶予期間をユーザーに与えることもできます。 指定された日数が経過してもデバイスが準拠していない場合は、非準拠としてマークされます。

デバイス コンプライアンス ポリシーは、次の方法で使用できます。

  • 条件付きアクセスを使用する。 デバイスがポリシーのルールに従っている場合、これらのデバイスがメールやその他の会社のリソースにアクセスすることを許可できます。 デバイスがポリシーのルールに従っていない場合、会社のリソースにアクセスすることはできません。
  • 条件付きアクセスを使用しない。 条件付きアクセスなしでデバイス コンプライアンス ポリシーを使用することもできます。 条件付きアクセスなしでコンプライアンス ポリシーを使用する場合、会社のリソースへのアクセス制限はありません。

ポリシー Microsoft Entraデバイス グループを使用する

ユーザーとデバイスのMicrosoft Entra グループを使用して、Intuneで実装されている任意の種類のポリシーを適用することをお勧めします。 動的メンバーシップを使用してMicrosoft Entra IDにグループを作成するには、ユーザーまたはデバイスのプロパティに基づいてメンバーシップを決定するルールを指定します。 ユーザーまたはデバイスの属性が変更されると、Microsoft Entra IDはディレクトリ内のすべての動的グループを評価して、変更によってグループの追加または削除がトリガーされるかどうかを確認します。 ユーザーまたはデバイスがグループのルールを満たしている場合、そのグループのメンバーとして追加されます。 ルールを満たさなくなった場合は、グループから削除されます。

グループ メンバーシップ ルールは、グループにユーザーまたはデバイスを自動的に追加するために使用されます。 これは、True または False の結果を返すバイナリ式です。 単純なグループ メンバーシップ ルールの 3 つの部分は次のとおりです。

  • プロパティ。 オブジェクト属性を指定します。たとえば、user.department を使用してユーザー オブジェクトの Department 属性を参照したり、device.displayName でデバイス オブジェクトの displayName 属性を参照したりできます。
  • 演算子。 Equals (-eq)、Starts With (-startsWith)、Contains (-contains)、Match (-match) など、サポートされている多くの演算子のいずれかを指定できます。
  • 。 演算子を使用してプロパティを評価する対象の値。

たとえば、Microsoft が製造したすべてのデバイスを含めるには、次のグループ メンバーシップ ルールを使用します:

device.deviceManufacturer -eq "Microsoft