グループに基づくポリシー管理について学習する
ユーザーまたはデバイスのグループに基づいて、デバイス、アプリ、およびポリシーの割り当てを管理できます。
次の種類のグループを追加できます。
- 割り当てられたグループ: ユーザーまたはデバイスを静的なグループに手動で追加します。
- 動的グループ (Microsoft Entra ID P1 または P2 が必要):作成した式に基づいて、ユーザーまたはデバイスをユーザー グループまたはデバイス グループに自動的に追加します。
デバイス
デバイス管理を容易にするために、Microsoft Intune デバイス カテゴリを使用し、定義したカテゴリに基づいてデバイスをグループに自動的に追加することができます。
デバイス カテゴリでは、次のワークフローを使用します。
- ユーザーがデバイス登録時に選択できるカテゴリを作成します。
- iOS/iPadOS および Android デバイスのユーザーがデバイスを登録するときは、あなたが構成したカテゴリの一覧からカテゴリを選択する必要があります。 Windows デバイスにカテゴリを割り当てる場合、ユーザーはポータル Web サイトを使用する必要があります。
- 次に、ポリシーとアプリをグループに展開します。
任意のデバイス カテゴリを作成できます。 次に例を示します。
- POS デバイス
- デモンストレーション デバイス
- 売上
- 会計
- Manager
デバイスが登録されると、マネージドになります。 組織は、Intune などのモバイル デバイス管理 (MDM) プロバイダーを介してデバイスにポリシーとアプリを割り当てることができます。
アプリ
アプリを Microsoft Intune に追加した後は、そのアプリをユーザーとデバイスに割り当てることができます。 デバイスが Intune で管理されているかどうかにかかわらず、アプリをデバイスに割り当てることができることに注意することが重要です。
Intune では、含めるユーザー グループと除外するユーザー グループを割り当てることにより、アプリにアクセスできるユーザーを決定できます。 アプリにグループを割り当てる前に、アプリの割り当ての種類を設定する必要があります。 割り当ての種類で、アプリを使用できるようにしたり、必要となるようにしたり、アンインストールするように設定できます。
アプリを使用できるかどうかを設定するには、含めるグループと除外するグループの割り当てを組み合わせて使用することで、ユーザーまたはデバイスのグループにアプリ割り当てを含めたり、除外したりします。 この機能は、大規模なグループを含めてアプリを使用できるようにした後、小さなグループを除外することで選択対象のユーザーを絞り込むときに役立ちます。 小さいグループには、テスト グループやエグゼクティブ グループなどがあります。
ベスト プラクティスとして、ユーザー グループには専用のアプリ、デバイス グループには個別のアプリを作成して割り当てることをお勧めします。
たとえば、ユーザーを追加してマネージャーの肩書を設定すると、そのユーザーはすべてのマネージャー ユーザーグループに自動的に追加されます。 デバイスの OS の種類が iOS または iPadOS デバイスの場合、そのデバイスはすべての iOS または iPadOS デバイス グループに自動的に追加されます。
Intune でグループにアプリを割り当てると、そのアプリのポリシーをユーザーまたはデバイスに割り当てることができます。
ポリシー
Intune を使用してポリシーをグループに割り当てることができます。 ポリシーを割り当てるときは、含めるユーザーと除外するユーザーを選択できます。
ユーザー グループとデバイス グループ
多くのユーザーの疑問は、どのような場合にユーザー グループを使用し、どのような場合にデバイス グループを使用するのかということです。 答えは、目標によって異なります。 開始するには、次のガイダンスを参照してください。
デバイス グループ
だれがサインインしているかに関係なくデバイスに設定を適用したい場合は、デバイス グループにプロファイルを割り当てます。 デバイス グループに適用した設定は、ユーザーではなく、常にデバイスに対して有効になります。 デバイス グループは、共有および特殊デバイスに一般的に使用されます。
次に例を示します。
- デバイス グループは、専用ユーザーがいないデバイスを管理する場合に便利です。 たとえば、チケットの印刷とインベントリのスキャンを行う、交代制の勤務者によって共有されているデバイスや、特定の倉庫に割り当てられているデバイスなどがあります。 これらのデバイスをデバイス グループに入れ、プロファイルをこのデバイス グループに割り当てます。
- BIOS の設定を更新するデバイス ファームウェア構成インターフェイス (DFCI) Intune プロファイルを作成します。 たとえば、デバイスのカメラを無効にするように、ブート オプションをロック ダウンしてユーザーが別の OS を起動できないように、このプロファイルを構成できます。 このプロファイルは、デバイス グループに割り当てるのに適したシナリオです。
- 特定の Windows デバイスでは、デバイスを使用しているユーザーに関係なく、Microsoft Edge の一部の設定を常に制御する必要があります。 たとえば、すべてのダウンロードをブロックし、すべての Cookie を現在の閲覧セッションに限定し、閲覧の履歴を削除するとします。 このシナリオでは、これらの特定の Windows デバイスをデバイス グループに入れ、Intune で管理用テンプレートを作成し、これらのデバイス設定を追加して、このプロファイルをデバイス グループに割り当てます。
要約すると、デバイスにサインインしているユーザーがだれであるか、またはサインインしているユーザーがいるかどうかにかまわない場合は、デバイス グループを使用します。 設定を常にデバイスに適用します。
ユーザー グループ
ユーザー グループに適用されたプロファイル設定は、常にユーザーに対して有効になり、ユーザーがさまざまなデバイスにサインインしたときに使用されます。 ユーザーは、仕事用に Surface Pro、個人用に iOS や iPadOS デバイスなど、デバイスを多く持っていることが普通です。 また、これらのデバイスからユーザーが電子メールやその他の組織リソースにアクセスすることも普通です。 ユーザー グループは、通常、情報の作業やナレッジ ワーカーに使用されます。
次に例を示します。
すべてのユーザーに対して、ユーザーのすべてのデバイスにヘルプ デスク アイコンを配置したいとします。 このシナリオでは、これらのユーザーをユーザー グループに入れ、ヘルプ デスク アイコン プロファイルをこのユーザー グループに割り当てます。
ユーザーは、組織が所有する新しいデバイスを受け取ります。 ユーザーは、自身のドメイン アカウントを使用してデバイスにサインインします。 デバイスは自動的に Microsoft Entra ID に登録され、Intune によって自動的に管理されます。 このプロファイルは、ユーザー グループに割り当てるのに適したシナリオです。
デバイスにユーザーがサインインするたびに、OneDrive や Office などのアプリの機能を制御することが必要です。 このシナリオでは、ユーザー グループに OneDrive または Office プロファイルの設定を割り当てます。
たとえば、Office アプリで信頼されていない ActiveX コントロールをブロックするとします。 Intune で管理用テンプレートを作成し、この設定を構成して、このプロファイルをユーザー グループに割り当てることができます。
要約すると、ユーザーが使用するデバイスに関係なく、設定や規則を常にユーザーに対して有効にする場合は、ユーザー グループを使用します。