Microsoft Intuneコンプライアンス ポリシーは、管理対象デバイスの構成を評価するために使用する規則と条件のセットです。 これらのポリシーは、これらの構成要件を満たしていないデバイスから組織のデータとリソースをセキュリティで保護するのに役立ちます。 マネージド デバイスは、ポリシーで設定した条件を満たし、Intuneによって準拠していると見なされる必要があります。
ポリシーのコンプライアンス結果をMicrosoft Entra条件付きアクセスと統合すると、セキュリティの追加レイヤーを利用できます。 条件付きアクセスでは、デバイスの現在のコンプライアンス状態に基づいてMicrosoft Entraアクセス制御が適用され、準拠しているデバイスのみが企業リソースにアクセスできるようにします。
Intuneコンプライアンス ポリシーは、次の 2 つの領域に分かれています。
コンプライアンス ポリシー設定 は、すべてのデバイスが受け取る組み込みのコンプライアンス ポリシーのように機能するテナント全体の構成です。 コンプライアンス ポリシー設定は、明示的なデバイス コンプライアンス ポリシーが割り当てられていないデバイスを扱う方法など、Intune環境でのコンプライアンス ポリシーのしくみを確立します。
デバイス コンプライアンス ポリシー は、ユーザーまたはデバイスのグループに展開するプラットフォーム固有の規則と設定の個別のセットです。 デバイスは、ポリシー内のルールを評価して、デバイスコンプライアンスの状態を報告します。 非準拠状態では、非準拠に対して 1 つ以上のアクションが発生する可能性があります。 Microsoft Entra条件付きアクセス ポリシーでは、その状態を使用して、そのデバイスからの組織リソースへのアクセスをブロックすることもできます。
コンプライアンス ポリシー設定
コンプライアンス ポリシー設定 は、Intune のコンプライアンス サービスがデバイスとどのように対話するかを決定する、テナント全体の設定です。 これらの設定は、デバイス コンプライアンス ポリシーで構成する設定とは異なります。
コンプライアンス ポリシー設定を管理するには、管理センター Microsoft Intuneにサインインし、[エンドポイント セキュリティ>Device compliance>Compliance ポリシー設定] に移動します。
コンプライアンス ポリシー設定には、次のものが含まれます。
[コンプライアンス ポリシーが割り当てられていないデバイスをマークする]
この設定は、デバイス コンプライアンス ポリシー Intune割り当てられていないデバイスを処理する方法を決定します。 この設定には次の 2 つの値があります。
- 準拠 (既定値): このセキュリティ機能は無効になっています。 デバイス コンプライアンス ポリシーが送信されていないデバイスは "準拠" と見なされます。
- 非準拠: このセキュリティ機能は有効になっています。 デバイス コンプライアンス ポリシーのないデバイスは、非準拠と見なされます。
デバイス コンプライアンス ポリシーで条件付きアクセスを使用する場合は、この設定を [準拠していない ] に変更して、準拠として確認されたデバイスのみがリソースにアクセスできるようにします。
ポリシーが割り当てられていないためにエンド ユーザーが準拠していない場合は、ポータル サイト アプリに [コンプライアンス ポリシーが割り当てられていない] と表示されます。
[コンプライアンス状態の有効期間 (日)]
受信したすべてのコンプライアンス ポリシーについて、デバイスが正常に報告する必要がある期間を指定します。 有効期限が切れる前にデバイスがポリシーのコンプライアンス状態を報告できなかった場合、デバイスは非準拠として扱われます。
既定では、期間は 30 日に設定されます。 1 日から 120 日の期間を構成できます。
有効期間の設定に対するデバイスのコンプライアンスに関する詳細を表示できます。 管理センター Microsoft Intuneサインインし、[デバイス>Monitor>コンプライアンスの設定] に移動します。 この設定の名前は、[設定] 列の [アクティブ] の名前です。 この設定と関連するコンプライアンス状態ビューの詳細については、「 デバイスコンプライアンスの監視」を参照してください。
デバイス コンプライアンス ポリシー
Intuneデバイス コンプライアンス ポリシーは、ユーザーまたはデバイスのグループに展開するプラットフォーム固有の規則と設定の個別のセットです。 コンプライアンス ポリシーを使用して、次の手順を実行します。
準拠ユーザーおよびマネージド デバイスであるために満たす必要があるルールや設定を定義します。 ルールの例としては、デバイスで最小 OS バージョンを実行する必要があり、脱獄や根付きではなく、Intuneと統合された脅威管理ソフトウェアによって指定された脅威レベルまたは脅威レベル以下である必要があります。
ポリシー の コンプライアンス規則を満たしていないデバイスに適用されるコンプライアンス違反のアクションをサポートします。 非準拠に対するアクションの例としては、デバイスを非準拠としてマークすること、リモートでロックされていること、デバイスの状態に関するデバイス ユーザーの電子メールを送信して、デバイスを修正できることなどがあります。
デバイス コンプライアンス ポリシーを使用する場合:
一部のコンプライアンス ポリシー構成では、デバイス構成ポリシーを使用して管理する設定の構成をオーバーライドできます。 ポリシーの競合解決の詳細については、「 競合するコンプライアンスポリシーとデバイス構成ポリシー」を参照してください。
ユーザー グループ内のユーザーまたはデバイス グループ内のデバイスにポリシーを展開できます。 コンプライアンス ポリシーをユーザーに展開すると、Intuneは、すべてのユーザーのデバイスでコンプライアンスがチェックされます。 このシナリオでのデバイス グループの使用は、コンプライアンス レポートに役立ちます。
条件付きアクセスMicrosoft Entra使用する場合、条件付きアクセス ポリシーはデバイス コンプライアンスの結果を使用して、準拠していないデバイスからのリソースへのアクセスをブロックできます。
他のIntune ポリシーと同様に、デバイスのコンプライアンス ポリシーの評価は、デバイスがIntuneでチェックインするタイミングと、ポリシーとプロファイルの更新サイクルによって異なります。
デバイス コンプライアンス ポリシーで指定できる設定は、ポリシーの作成時に選択したプラットフォームの種類によって異なります。 デバイス プラットフォームごとに異なる設定がサポートされており、プラットフォームの種類ごとに個別のポリシーが必要です。
次のトピックは、デバイス コンプライアンス ポリシーのさまざまな側面に関する専用記事にリンクしています。
非準拠のアクション - 既定では、各デバイス コンプライアンス ポリシーには、ポリシー規則を満たしていない場合にデバイスを非準拠としてマークするアクションが含まれます。 各ポリシーでは、デバイス プラットフォームに基づいてより多くのアクションをサポートできます。 追加アクションの例を次に示します。
- 非準拠デバイスに関する詳細情報が含まれているユーザーおよびグループに電子メール アラートを送信します。 非準拠とマークされた直後に電子メールを送信し、デバイスが準拠状態になるまで定期的に電子メールを送信するポリシーを構成することができます。
- しばらくの間、非準拠のデバイスをリモートでロックします。
- しばらくの間、非対応のデバイスを廃止します。 このアクションは、条件を満たすデバイスを廃止する準備ができていることをマークします。 その後、管理者は廃止のマークが付けられたデバイスのリストを表示でき、1 つ以上のデバイスを廃止するには、明示的なアクションを実行する必要があります。 デバイスを廃止すると、そのデバイスは Intune 管理から削除され、デバイスからすべての企業データが削除されます。 このアクションの詳細については、「非準拠に対して使用できるアクション」を参照してください。
コンプライアンス ポリシーの作成 - リンクされた記事の情報を使用して、前提条件を確認し、オプションを使用してルールを構成し、準拠していないアクションを指定し、ポリシーをグループに割り当てることができます。 この記事には、ポリシーの更新時間に関する情報も含まれています。
さまざまなデバイス プラットフォームでのデバイスのコンプライアンス設定を参照してください。
- Android デバイス管理者
- Android エンタープライズ
- Android Open Source Project (AOSP)
- iOS
- Linux
- macOS
- Windows Holographic for Business
- Windows
-
Windows 8.1 以降
重要
2022 年 10 月 22 日、Microsoft Intune は Windows 8.1 を実行しているデバイスのサポートを終了しました。 これらのデバイスでは技術サポートや自動更新は利用できません。
カスタム コンプライアンス設定 - カスタム コンプライアンス設定を使用して、Intuneの組み込みのデバイス コンプライアンス オプションを拡張できます。 カスタム設定を使用すると、デバイスで使用できる設定に対するコンプライアンスを柔軟に行うことができます。これらの設定を追加するためにIntuneを待機する必要はありません。
カスタム コンプライアンス設定は、次のプラットフォームで使用できます。
- Linux – Ubuntu Desktop、バージョン 24.04 LTS または 26.04 LTS;RedHat Enterprise Linux 9 または 10
- Windows
コンプライアンス状態を監視する
Intuneには、デバイスのコンプライアンス状態を監視したり、ポリシーやデバイスにドリルダウンして詳細を確認したりするために使用するデバイス コンプライアンス ダッシュボードが含まれています。 このダッシュボードの詳細については、デバイス コンプライアンスの監視に関する記事を参照してください。
条件付きアクセスと統合する
条件付きアクセスを使用する場合は、デバイス コンプライアンス ポリシーの結果を使用するための条件付きアクセス ポリシーを構成して、組織のリソースにアクセスできるデバイスを決定できます。 このアクセスの制御は、デバイス コンプライアンス ポリシーに含める非準拠に対するアクションとは別のものとして追加されます。
デバイスは、Intuneに登録すると、Microsoft Entra IDに登録されます。 デバイスのコンプライアンス状態は、Microsoft Entra IDに報告されます。 条件付きアクセス ポリシーで [アクセス制御] が [デバイスを準拠としてマークする必要がある] に設定されている場合、条件付きアクセスでは、そのコンプライアンス状態を使用して、メールやその他のorganization リソースへのアクセスを許可またはブロックするかどうかを決定します。
条件付きアクセス ポリシーでデバイス コンプライアンスの状態を使用する場合は、[コンプライアンス ポリシー設定] で管理する [ コンプライアンス ポリシーが割り当てられていないデバイス をマークする] オプションをテナントで構成する方法 を確認します。
デバイス コンプライアンス ポリシーでの条件付きアクセスの使用の詳細については、「 デバイス ベースの条件付きアクセス」を参照してください。
条件付きアクセスの詳細については、Microsoft Entraドキュメントを参照してください。
さまざまなプラットフォームでの非準拠と条件付きアクセスに関するリファレンス
次の表では、条件付きアクセス ポリシーでコンプライアンス ポリシーを使用する場合の非準拠設定の管理方法について説明します。
修復: デバイス オペレーティング システムによって準拠が強制されます たとえば、ユーザーは PIN を設定するように強制されます。
検疫済み: デバイス オペレーティング システムによって準拠が強制されません。 たとえば、Android デバイスと Android エンタープライズ デバイスでは、ユーザーはデバイスの暗号化を強制されません。 デバイスが準拠していない場合、次のアクションが行われます。
- ユーザーに条件付きアクセス ポリシーを適用すると、デバイスがブロックされます。
- ポータル サイト アプリでは、コンプライアンスの問題についてユーザーに通知します。
| ポリシーの設定 | プラットフォーム |
|---|---|
| Allowed Distros | Linux(のみ) - 検疫済み |
| デバイスの暗号化 |
-
Android 4.0 以降: 検疫済み - Samsung KNOX Standard 4.0 以降: 検疫済み - Android Enterprise: 検疫済み - iOS 8.0 以降: 修復済み (PINの設定による) - macOS 10.11 以降: 検疫済み - Linux: 検疫済み - Windows: 検疫済み |
| 電子メールのプロファイル |
-
Android 4.0 以降: 適用なし - Samsung KNOX Standard 4.0 以降: 該当なし - Android Enterprise: 適用なし - iOS 8.0 以降: 検疫済み - macOS 10.11 以降: 検疫済み - Linux: 適用されません - Windows: 適用されません |
| 脱獄またはルート化されたデバイス |
-
Android 4.0 以降: 検疫済み (設定ではありません) - Samsung KNOX Standard 4.0 以降: 検疫済み (設定ではありません) - Android Enterprise: 検疫済み (設定ではありません) - iOS 8.0 以降: 検疫済み (設定ではありません) - macOS 10.11 以降: 適用なし - Linux: 適用されません - Windows: 適用されません |
| 最大 OS バージョン |
-
Android 4.0 以降: 検疫済み - Samsung KNOX Standard 4.0 以降: 検疫済み - Android Enterprise: 検疫済み - iOS 8.0 以降: 検疫済み - macOS 10.11 以降: 検疫済み - Linux: 許可されたディストリビューションに関するページを参照してください - Windows: 検疫済み |
| 最小 OS バージョン |
-
Android 4.0 以降: 検疫済み - Samsung KNOX Standard 4.0 以降: 検疫済み - Android Enterprise: 検疫済み - iOS 8.0 以降: 検疫済み - macOS 10.11 以降: 検疫済み - Linux: 許可されたディストリビューションに関するページを参照してください - Windows: 検疫済み |
| PIN またはパスワードの構成 |
-
Android 4.0 以降: 検疫済み - Samsung KNOX Standard 4.0 以降: 検疫済み - Android Enterprise: 検疫済み - iOS 8.0 以降: 修復済み - macOS 10.11 以降: 修復済み - Linux: 検疫済み - Windows: 修復済み |
| Windows 正常性構成証明書 |
-
Android 4.0 以降: 適用なし - Samsung KNOX Standard 4.0 以降: 該当なし - Android Enterprise: 適用なし - iOS 8.0 以降: 適用なし - macOS 10.11 以降: 適用なし - Linux: 適用されません - Windows: 検疫済み |
注:
ポータル サイト アプリは、ユーザーがアプリにサインインしたときに登録修復フローに入り、デバイスが 30 日以上Intuneで正常にチェックされない (または、連絡先のコンプライアンス上の理由が失われたためにデバイスが準拠していない) 場合です。 このフローでは、Intuneはもう 1 回チェックインを開始しようとします。 そのチェックが成功しない場合、Intuneは、ユーザーがデバイスを手動で再登録できるように、retire コマンドを発行します。
次の手順
- ポリシーを作成して展開し、前提条件を確認する
- デバイスのコンプライアンスの監視
- サード パーティのデバイス コンプライアンス パートナー
- Microsoft Intune でのデバイス ポリシーとプロファイルの一般的な質問、イシューと解決策
- 「ポリシー エンティティのリファレンス」には、Intune データ ウェアハウス ポリシー エンティティに関する情報が含まれます