ポリシー構成エージェントは、Intuneのジェネレーティブ AI 機能です。 IT 管理者は、複雑な要件と業界標準のドキュメントを実用的なIntune設定に変換するのに役立ちます。
エージェントを設定したら、次の手順としてドキュメントとベンチマークをナレッジ ソースとしてアップロードします。 または、ポリシードラフトに含める内容に関する自然言語の指示を入力します。 エージェントは、これらのナレッジ ソースを分析して関連するIntune設定を提案し、これらの設定を使用してデバイス構成ポリシーを作成できます。
この記事では、次のようなポリシー構成エージェントを使用する方法について説明します。
- ナレッジ ソースの追加、保存、表示
- ナレッジ ソースと自然言語プロンプトからポリシーを作成する
エージェントとその設定方法については、「 ポリシー構成エージェントを設定する」を参照してください。
この機能は、以下に適用されます。
- Windows
開始する前に
- この機能は パブリック プレビュー 段階です。
- 適切なアカウントでのサインインなど、 ポリシー構成エージェント の前提条件を満たしていることを確認します。
- 一度に 1 つのナレッジ ソース ファイルをアップロードできます。 複数のベースライン ドキュメントがある場合は、エージェントを介して個別に実行します。
- 適切に構造化された適切に記述された入力により、マッピングが向上します。 ドキュメントの形式が正しくない場合、または不明瞭な言語を使用している場合、エージェントは低信頼度の一致を生成できます。 ソース ドキュメントを確認してわかりやすくすることをお勧めします。
- 最大 25 KB のサイズのテキスト ファイルを追加できます。 数百ページの要件を持つ大規模または複雑なドキュメントは、エージェントが効果的に処理する能力に挑戦する可能性があります。
エージェントを使用する
エージェントを使用するには、Intune管理センターを開き、[エージェント>Policy 構成エージェント] を選択します。
次のタブを使用できます。
[ 概要 ] タブは、エージェントのランディング ページです。 エージェントのポリシーの提案と最近のアクティビティの概要が表示されます。
エージェントの実行が完了すると、このタブはエージェントの提案で更新されます。 新しいポリシー候補と進行中のポリシー候補のみが表示されます。
以下のことも実行できます。
- エージェントの可用性を表示します。
- アップロードまたは入力した情報に基づいて提案を表示します。 任意の提案を選択して詳細を表示し、後で使用できるように設定マッピングを保存できます。
- アクティビティ セクションを表示して、エージェントの現在および過去の実行アクティビティを確認します。
ナレッジ ソースを追加、保存、表示する
ナレッジ ソース は、アップロードするファイルです。 これらのファイルは、自然言語でのデバイス構成の要件について説明します。 セキュリティとコンプライアンスのポリシーとフレームワーク、設定を記述する業界標準、デバイス構成のリスク評価ガイドラインなど、内部ポリシー ドキュメントとベースラインを指定できます。
たとえば、次のようなコンプライアンス標準と一般的な業界ベンチマークをアップロードできます。
- セキュリティ技術実装ガイド (STIG)
- 国立標準技術研究所 (NIST) ガイドライン
エージェントの提案を保存して、準備ができたらデバイス構成ポリシーを作成できます。
ナレッジ ソースを追加するには、次の手順を使用します。
Intune管理センターで、[エージェント>Policy 構成エージェント] を選択します。
[ 新規作成>Knowledge ソース] を選択します。
以下の設定を構成します。
- ナレッジ ソース名 - ナレッジ ソース の名前を入力します。
- 説明 - 省略可能。 ナレッジ ソースの説明を入力します。
- ドキュメントのアップロード - ファイルを参照するか、ファイルをドラッグ アンド ドロップします。 エージェントは、既知のベースライン形式、カスタム ドキュメント、および要件の箇条書きをサポートしています。
[レビュー] を選択します。 エージェントはすぐに実行され、アップロードしたナレッジ ソースが分析されます。 リンクを選択して開きます。
推奨される設定が、アップロードしたナレッジ ソースにマップされていることがわかります。
[ポリシーの詳細>識別された設定] タブで、データがIntune設定にマップされます。 各設定について、エージェントには次の情報が表示されます。
- Intune ポリシー設定の名前
- 設定の提案値
- マップ先の元の要件テキスト
- マッピングの信頼度スコア
エージェントは、各マッピング ルールを次のカテゴリに分類します。
サポート対象 – 使用できる直接のIntune設定があります。 エージェントはルールをその設定にマップし、構成を提案します。
サポート対象外 – この要件に組み込みのIntune設定はありません。 エージェントは、ルールがサポートされていないことを示しています。つまり、Intuneだけでは適用できません。 たとえば、Intune管理できない非常にニッチな OS 設定に関するルールにはフラグが設定されます。
サポートされていない設定がある場合は、その設定が一覧表示されます。
すべてのマッピング(特に低信頼度マッピング)を確認して確認することをお勧めします。
このマッピングを保存して、推奨されるマッピングを保存し、後で他のポリシーで使用することもできます。
マッピングを保存したら、デバイス構成プロファイルの作成を選択できます。
提案を確認したら、[提案の 管理] を選択します。 提案の状態を更新するには、このオプションを使用します。
これらの状態は、追跡のみを目的としています。 レビューした候補と対処する必要がある提案を追跡するのに役立ちます。 [非表示] 状態は、[提案] タブから提案を削除します。
既存のナレッジ ソースを表示する
ナレッジ ソースをアップロードすると、[ ナレッジ ] タブで使用できます。既存のナレッジ ソースを表示するには、次の手順に従います。
- Intune管理センターで、[エージェント>Policy 構成エージェント] を選択します。
- [ ナレッジ ] タブには、既存のナレッジ ソースの一覧があります。 ナレッジ ソースを選択して、その設定と構成された値を表示します。
- ナレッジ ソースを 削除 し、その設定を エクスポート できます。
ポリシードラフトを作成して表示する
エージェントは、アップロードしたナレッジ ソースまたは自然言語プロンプトを使用して、設定カタログデバイス構成ポリシーを作成できます。
エージェントを使用してポリシーを作成するには、次の手順に従います。
Intune管理センターで、[エージェント>Policy 構成エージェント] を選択します。
[ 新規作成>ポリシードラフト] を選択します。
以下の設定を構成します。
[ポリシー名 ] - ポリシードラフトの名前を入力します。
説明 - 省略可能。 ポリシーの説明を入力します。
ナレッジ ソース - このポリシードラフトに使用するナレッジ ソースを選択します。
空白の場合、ナレッジ ソースはアップロードされません。 [ ドキュメントの追加] を 選択して、手順を含むファイルをアップロードします。
手順 - 自然言語で、ポリシーに含めるデバイス構成設定について説明します。 たとえば、「
Create a device configuration policy that enforces strong password requirements and enables BitLocker encryption on Windows devices」と入力します。
[作成] を選択します。 エージェントが実行され、選択したソースに基づいてポリシードラフトが作成されます。
[ 概要 ] タブと [ 提案] タブに、ポリシーの下書きが推奨される次の手順として表示されます。 下書きリンクを選択します。
AI の概要では、ポリシーの下書きについて説明し、より役立つ分析情報を提供します。 ポリシーの詳細には、エージェントによって提案された設定とその構成された値が表示されます。 設定を
.csvファイルとしてエクスポートすることもできます。この手順では、各設定とその値を確認して、要件を満たしていることを確認します。 まず、信頼度スコアが低い設定から始めることができます。
提案を確認したら、[提案の 管理] を選択します。 提案の状態を更新するには、このオプションを使用します。
これらの状態は、追跡のみを目的としています。 レビューした候補と対処する必要がある提案を追跡するのに役立ちます。 [非表示] 状態は、[提案] タブから提案を削除します。
[ 構成ポリシーの作成 ] を選択して、ポリシードラフトをデバイス構成ポリシーとして保存します。 この手順では、設定カタログに移動し、エージェントによって生成された構成が事前に設定されます。 保存されたポリシーは、 デバイス>管理デバイス>Configuration に表示されます。
また、エージェントは、親と子の設定を含め、必要な設定を自動的にポリシーに追加します。 そのため、設定数は、エージェント ポリシーの下書きとデバイス構成ポリシーの間で異なる場合があります。
この段階では、ポリシーは通常のIntuneポリシーです。 準備ができたら、ポリシー名の変更、ポリシー設定の更新、ポリシーの割り当てを行うことができます。
この手順では、各設定とその値を確認して、要件を満たしていることを確認します。
既存のポリシーの下書きを表示する
既存のポリシーの下書きを表示できます。 次の手順を実行します。
- Intune管理センターで、[エージェント>Policy 構成エージェント] を選択します。
- [ 概要 ] タブと [ 提案 ] タブには、ポリシーの下書きが推奨される次の手順として表示されます。 ポリシードラフトを選択して、その設定と構成された値を表示します。
ポリシードラフトの設定とその値を更新するには、下書きからデバイス構成ポリシーを作成する必要があります。 ポリシーを作成したら、他のIntuneデバイス構成ポリシーと同様に編集できます。
一般的なエラー
SCU が不足しているためにエージェントの実行が失敗する可能性がありますが、発生する可能性のあるその他のエラーがあります。 このセクションでは、エージェントの使用中に発生する可能性がある一般的なエラー メッセージと、説明と推奨されるアクションの一覧を示します。
エージェントが正確な提案を提供しない
この場合、エージェントに正確な提案を生成するのに十分なデータがない場合や、その設定がorganizationの環境と完全に一致しない可能性があります。
今後の提案の改善に役立てるには、各提案 
利用可能な [いいね/嫌い] ボタンを使用してフィードバックを共有します。
このエージェントにアクセスできない - ライセンス
細部: このエージェントにアクセスするために必要なライセンスがありません。
このエージェントのライセンスとプラグインの要件を確認し、必要なライセンスと構成がテナントに割り当てられていることを確認します。
このエージェントにアクセスできない - ワークスペース
細部: このエージェントにアクセスするために必要なワークスペースの一部ではありません。
このメッセージは、Security Copilotがテナントに追加されるときに構成されているSecurity Copilot ワークスペースを表示または使用するアクセス許可がアカウントにないことを示します。 Security Copilot サブスクリプションをインストールまたは管理している管理者に問い合わせて、アクセス権を取得する方法については、「Microsoft Security Copilotでの認証について」を参照してください。
このエージェントにアクセスできない - アクセス許可
細部: このエージェントにアクセスするために必要なアクセス許可がありません。
エージェントを使用するためのロール要件を確認します。 Intune管理者と連携して、アカウントに必要なアクセス許可を割り当てます。
エージェントでエラーが発生し、実行が完了しませんでした。 エージェントをもう一度実行してみてください。
細部: エージェント インスタンスの実行を開始できなかったか、正常に完了できませんでした。 エラーの詳細を特定できません。 実行または完了に失敗した場合でも、管理者は、過去の実行からのエージェントの提案を引き続き表示および管理できます。
エージェントが失敗し続ける場合、ID アカウントに対する承認が失われ、再認証されるまで実行できない可能性があります。 承認が失われる原因として考えられるのは、次のとおりですが、これらに限定されません。
- エージェントの承認期間が 90 日に達しました。
- エージェントがインストールされたユーザー アカウントは、定期的な再認証を必要とするポリシーの対象となります。
- アクセス トークンが取り消されました。
エージェントの再認証では、エージェントを削除してから、もう一度設定する必要があります。
警告
エージェントが削除されると、既存のすべてのエージェント候補が削除されます。 これには、 適用済みとしてマークされた提案の詳細が含まれます。