Microsoft Intune でデバイス構成プロファイルを作成する

デバイス構成プロファイルを使用すると、デバイス設定を追加して構成し、これらの設定をorganization内のデバイスにプッシュできます。 ポリシーを作成する場合、いくつかのオプションがあります。

• ベースライン: Windows デバイスでは、これらのベースラインには構成済みのセキュリティ設定が含まれます。 Microsoft セキュリティ チームによる推奨事項を使用してセキュリティ ポリシーを作成する場合は、セキュリティ ベースラインを使用します。

  詳細については、セキュリティ ベースラインに移動してください。

• 設定カタログ: Apple、Android、および Windows デバイスでは、設定カタログを使用してデバイスの機能と設定を構成できます。 設定カタログには、使用可能なすべての設定が 1 か所にまとめられています。 たとえば、BitLocker に適用されるすべての設定を確認し、BitLocker のみに焦点を当てたポリシーを作成することができます。 macOS デバイスでは、設定カタログを使用して Microsoft Edge バージョン 77 と設定を構成できます。

  設定カタログには、さらに多くの設定が継続的に追加されています。 詳細については、「設定カタログ」を参照してください。

• テンプレート: デバイスでは、組み込みのテンプレートを使用できます。 各テンプレートには、VPN、電子メール、キオスク デバイスなど、機能または概念を構成する設定の論理的なグループが含まれています。 Microsoft Intune でのデバイス構成ポリシーの作成に慣れている場合は、既にこれらのテンプレートを使用しています。

  使用可能なテンプレートを含む詳細については、「デバイス プロファイルを使用してデバイスに機能と設定を適用する」に移動してください。

この記事の内容:

• プロファイルを作成する手順を示します。
• ポリシーを "フィルター処理" するためにスコープのタグを追加する方法を示します。
• Windows クライアント デバイスの適用性ルールについて、およびルールを作成する方法を示します。
• デバイスがプロファイルとプロファイルの更新プログラムを受信するときのチェックイン更新サイクル時間に関する詳細情報があります。

この機能は、以下に適用されます。

• Android
• iOS/iPadOS
• macOS
• Windows

前提条件

• 少なくとも、ポリシーとプロファイル マネージャーの役割を使用して Microsoft Intune 管理センターにサインインします。 Intune の組み込みロールと、その機能の詳細については、「Microsoft Intune を使用した ロールベースのアクセス制御 (RBAC)」を参照してください。

• Intune にデバイスを登録します。 登録オプションの詳細については、「 Microsoft Intune 登録ガイド」を参照してください。

プロファイルを作成する

Intune 管理センターで、[デバイス] を選択します。 以下のオプションがあります。

• 概要: 一部のプロファイルの状態をListsし、ユーザーとデバイスに割り当てたプロファイルの詳細を提供します。

• 監視: すべてのデバイス監視レポートをListsします。 これらのレポートを使用して、構成ポリシーの割り当てエラー、不完全なユーザー登録、非準拠デバイス、更新プログラムのインストール エラーなどをチェックします。

• プラットフォーム別: このオプションを展開して、Android や Linux などのサポートされているプラットフォームの一覧を取得します。 プラットフォームを選択すると、選択したプラットフォームのポリシーとプロファイルを作成して表示できます。

  このビューでは、プラットフォーム固有の機能も表示できます。 たとえば、[Windows] を選択します。 スクリプトや修復、グループ ポリシー分析など、Windows 固有の機能が表示されます。

• デバイスの管理: このオプションを展開して、コンプライアンスポリシーや構成ポリシーなど、作成できるポリシーを表示します。

プロファイル (Devices>Manage devices>Configuration>Create>New policy) を作成するときは、プラットフォームを選択します。

• Android デバイス管理者
• Android (AOSP)
• Android エンタープライズ
• iOS/iPadOS
• macOS
• Windows 10 以降
• Windows 8.1 以降

次に、プロファイルの種類を選択します。 選択したプラットフォームに応じて、プロファイルの種類が異なります。 以下の記事では、さまざまなプロファイルについて説明されています。

たとえば、プラットフォームに Windows を選択した場合、オプションは次のプロファイルのようになります。

スコープ タグ

設定を追加したら、プロファイルにスコープ タグを追加することもできます。 スコープ タグを使うと、US-NC IT Team や JohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理することができます。 また、分散 IT で使用されます。

スコープ タグと可能な操作の詳細については、「分散 IT での RBAC とスコープのタグの使用」に移動してください。

適用性ルール

適用対象:

• Windows

管理者は、適用性ルールを使用して、グループの特定の条件を満たすデバイスを対象にすることができます。 たとえば、 すべての Windows デバイス グループに適用されるデバイス制限プロファイルを作成します。 また、Windows Enterprise を実行しているデバイスにのみプロファイルを割り当てる必要があります。

これを行うには、適用性ルールを作成します。 これらのルールは、次のシナリオに最適です。

• ベローズ カレッジでは、バージョン 24H2 Windows 11実行されているすべての Windows デバイスを対象にしたいと考えています。
• Contoso の人事部のすべてのユーザーを対象にしたいが、Windows Professional または Enterprise デバイスのみが必要です。

これらのシナリオに取り組むには:

• Bellows College のすべてのデバイスを含むデバイス グループを作成します。 プロファイルに、OS の最小バージョンが 10.0.26100 であり、最大バージョンが 10.0.26200 である場合に適用される適用性ルールを追加します。 このプロファイルを Bellows College デバイス グループに割り当てます。

  プロファイルが割り当てられると、入力した最小バージョンと最大バージョンの間のデバイスに適用されます。 入力した最小バージョンから最大バージョンまでに含まれないデバイスの場合、その状態は [適用なし] と表示されます。

• Contoso の人事部 (HR) のすべてのユーザーを含むユーザー グループを作成します。 プロファイルに適用規則を追加して、Windows Professional または Enterprise を実行しているデバイスに適用されるようにします。 このプロファイルを HR ユーザー グループに割り当てます。

  プロファイルが割り当てられると、Windows Professional または Enterprise を実行しているデバイスに適用されます。 これらのエディションを実行していないデバイスの場合、その状態は [適用なし] と表示されます。

• まったく同じ設定のプロファイルが 2 つある場合は、適用性ルールが含まれていないプロファイルが適用されます。

  たとえば、ProfileA は Windows デバイス グループをターゲットにし、BitLocker を有効にし、適用規則を持ちません。 ProfileB は、同じ Windows デバイス グループをターゲットにし、BitLocker を有効にし、プロファイルを Windows Enterprise エディションにのみ適用する適用規則を持ちます。

  両方のプロファイルが割り当てられた場合、適用性ルールがないため、ProfileA が適用されます。

プロファイルをグループに割り当てると、適用性ルールはフィルターとして機能し、条件を満たすデバイスのみが対象になります。

ルールを追加する

適用規則を作成するには、次の手順に従います。

1. ポリシーで、[適用性ルール] を選択します。 次のように [ルール] と [プロパティ] を選択できます。

   

2. [ルール] で、ユーザーまたはグループを含めるか除外するかを選択します。 次のようなオプションがあります。

   • プロファイルを割り当てる条件: 入力した条件を満たすユーザーまたはグループを含めます。
   • プロファイルを割り当てない条件: 入力した条件を満たすユーザーまたはグループを除外します。

3. [プロパティ] で、フィルターを選択します。 次のようなオプションがあります。

   • OS のエディション: 一覧で、ルールに含む (または除外する) Windows クライアント エディションを確認します。

   • OS のバージョン: ルールに含む (または除外する) Windows クライアント バージョンの最小値および最大値を入力します。 両方の値が必要です。

     たとえば、最小バージョンには 10.0.16299.0 (RS3 または 1709) を、最大バージョンには 10.0.17134.0 (RS4 または 1803) を入力できます。 または、さらに細かい設定が可能であり、最小バージョンとして 10.0.16299.001 を、最大バージョンとして 10.0.17134.319 を入力できます。

     バージョンの値の詳細については、「Windows クライアント リリース情報」に移動してください。

4. [追加] を選択して変更を保存します。

ポリシーの更新サイクル時間

Intune では、複数の更新サイクルを使用して、構成プロファイルへの更新が確認されます。 登録してすぐのデバイスでは、チェックインの実行頻度が高くなります。 「ポリシーとプロファイルの更新サイクルに、おおよその更新間隔が一覧表示されています。

ユーザーはいつでもポータル サイト アプリを起動し、デバイスを同期して、プロファイルの更新をすぐに確認できます。

推奨事項

プロファイルを作成するとき、次の推奨設定を考慮してください。

• それが何であり、何をするものなのかわかるようにポリシーに名前を付けます。 コンプライアンス ポリシーと構成プロファイルにはすべて、省略可能な [説明] プロパティがあります。 [説明] には、ポリシーの内容を他のユーザーが理解できるよう、具体的な情報を入力します。

  いくつかの構成プロファイルの例を次に示します。

  プロファイル名: すべての Windows ユーザーの OneDrive 構成プロファイル
  プロファイルの説明: すべての Windows ユーザーの最小設定と基本設定を含む OneDrive プロファイル。 ユーザーが組織データを個人 OneDrive アカウントと共有することを禁止する目的で user@contoso.com により作成されます。

  プロファイル名: iOS/iPadOS の全ユーザー用の VPN プロファイル
  プロファイルの説明: すべての iOS/iPadOS ユーザーが Contoso VPN に接続するための最小設定と基本設定が含まれる VPN プロファイル。 ユーザー名とパスワードをユーザーに求めず、ユーザーが VPN で自動的に認証されるよう、user@contoso.com によって作成されます。

• Microsoft Edge 設定を構成する、Microsoft Defender のウイルス対策設定を有効にする、iOS/iPadOS 脱獄デバイスをブロックするなど、そのタスク別にプロファイルを作成します。

• マーケティング、販売、IT 管理者などの特定のグループに適用されるプロファイルや、場所や学校のシステム別に適用されるプロファイルを作成します。 次のような組み込み機能を使用します:

  • Intune で分散 IT にロールベースのアクセス制御 (RBAC) とスコープ タグを使用する
  • 同じ Intune テナントに多数の管理者がいる分散 IT
  • Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する

• ユーザー ポリシーとデバイス ポリシーを分離します。

  たとえば、 Intune 設定カタログ には何千もの設定があります。 これらの設定は、設定がユーザーまたはデバイスに適用されるかどうかを示します。 ポリシーを作成するときは、ユーザー設定をユーザー グループに割り当て、デバイス設定をデバイス グループに割り当てます。

  次の図は、ユーザーに適用したり、デバイスに適用したり、両方に適用したりできるいくつかの設定の例を示しています。

  

• Intune のMicrosoft Copilotを使用してポリシーを評価し、セキュリティ & ユーザーに与える影響 & ポリシー設定の詳細を確認し、2 つのデバイス間でポリシーを比較します。

  詳細については、「Intune の Microsoft Copilot」を参照してください。

• 制限の厳しいポリシーを作成するたびに、この変更についてユーザーに伝えます。 たとえば、パスコードの要件を 4 文字から 6 文字に変更する場合、ポリシーを割り当てる前にユーザーに通知できます。

関連コンテンツ

• プロファイルを割り当てます。
• その状態を監視します。