Windows端末 intune コンプライアンスポリシーの定義

2022.03.20
スポンサーリンク

Microsoft Intuneのコンプライアンスポリシーの定義方法を説明します。コンプライアンスポリシーを定義すれば、準拠してしていない端末に対して警告を発したりAzure ADから離脱させたりする事もできます。また、後述の「条件付きアクセス」を併用すれば、ポリシーを準拠している端末からのみにアクセスを限定する事もできます。

関連記事 : Azure 内部統制 : 無償枠
関連記事 : Azure 内部統制 : 検証ライセンス発行
  • Azure Active Directory プレミアムライセンスの試用
  • Azure EMS(Enterprise Mobility + Security)ライセンスの試用
  • Azure MS365ライセンスの試用
    • 関連記事 : Azure 内部統制 : 要有償ライセンス
  • Azure AD Connect Health
  • 企業用ログインページのカスタマイズ
  • Azure AD パスワードリセット セルフサービス
  • Azure AD 動的グループ
  • Azure PIM (Privileged Identity Management) – Azure AD ロールの適用
  • Azure PIM (Privileged Identity Management) – Azure リソースの適用
  • Azure AD Identiry Protection
  • Windows端末 intuneデバイス登録
  • Windows端末 intune構成プロファイル
  • Windows端末 intune 更新リング
  • Windows端末 intune アプリの更新
  • Windows端末 intune コンプライアンスポリシーの定義 (いまここ)
  • 条件付きアクセス (1/3) 日本国内のみに限定する設定例
  • 条件付きアクセス (2/3) 管理者に対する多要素認証
  • 条件付きアクセス (3/3) コンプライアンスポリシーの併用

    • コンプライアンスポリシー(最小限設定)

    事前準備 – 端末の設定

    このページではコンプライアンスポリシーの動作確認をします。1台の端末はポリシー準拠状態にし、もう1台の端末はポリシー非準拠状態にします。準拠と非準拠が簡単に切り替えられるよう、このページでは「ファイアウォール設定」を例に挙げてポリシーの準拠状況を観察します。

    「コントロールパネル」「システムとセキュリティ」「Windows Defender ファイアウォール」の順に押下し、1台の端末はファイアウォールを有効にします。

    Windows ファイアウォールの有効化

    もう1台の端末はファイアウォール無効の状態にしておきます。

    Windows ファイアウォールの無効化

    事前準備 – デバイスグループの作成

    コンプライアンスポリシーを適用する端末を指し示すグループを定義します。

    Microsoft Endpoint Manager admin center」をブラウザで開きます。「デバイス」「Windows」「Windows10以降向け更新リング」の順に画面遷移し、「プロファイルの作成」を押下します。

    デバイスグループの作成 01

    「プロパティ」「セキュリティの規定値群の管理」の順に押下し、「セキュリティの規定値群の有効化」を「いいえ」に変更します。「品質向上のために…」のアンケートに回答し「保存」を押下します。

    デバイスグループの作成 02

    コンプライアンスポリシーの作成

    Microsoft Endpoint Manager admin center」をブラウザで開きます。「デバイス」「Windows」「コンプライアンスポリシー」「ポリシーの作成」の順に押下します。

    コンプライアンスポリシーの作成 01

    「プラットフォーム」を選択し、「作成」を押下します。

    コンプライアンスポリシーの作成 02

    「名前」を入力し、「次へ」を押下します。

    コンプライアンスポリシーの作成 03

    「コンプライアンス設定」の画面が現れます。画面を下の方へスクロールさせます。

    コンプライアンスポリシーの作成 04

    「ファイアウォール」欄を「必要」に切り替えます。その後、「次へ」を押下します。

    コンプライアンスポリシーの作成 05

    「コンプライアンス非対応のアクション」の使い方は後述します。今はデフォルトのまま「次へ」を押下します。

    コンプライアンスポリシーの作成 06

    「割り当て」タブでは、コンプライアンスポリシーを適用するデバイスを定義したグループを設定します。設定後、「次へ」を押下します。

    コンプライアンスポリシーの作成 07

    「作成」を押下します。

    コンプライアンスポリシーの作成 08

    動作確認

    「デバイス」「Windows」「コンプライアンスポリシー」の順に押下し、1台の端末が「準拠している」と、もう1台の端末が「準拠していない」と表示される事を確認します。

    コンプライアンスポリシーの準拠状況 01

    設定が反映されていない事が疑われる場合は、デバイスのコンプライアンスポリシー準拠状況を手動で同期する事もできます。「左下メニュー」「設定」「アカウント」「職場または学校にアクセス」の画面に切り替え、参加しているAzure ADの「情報」を押下します。

    ローカルアカウントでログインしている場合は「情報」ボタンが表示されない事もあります。Azure ADのアカウントでログインしてください。

    手動同期 01

    「同期」を押下します。

    手動同期 02

    コンプライアンスポリシー 非準拠アクション

    事前準備 – メールアドレスの設定

    ポリシー非準拠の端末に対して、「管理者に警告メールを送付する」「Azure Active Directoryから離脱させる」などのアクションを定義する事ができます。動作確認の前準備として、ユーザに対してメールアドレスを定義します。

    Azure ポータル」をブラウザで開きます。「ID」「Azure Active Directory」の順に押下し、「Azure Active Directory」の画面を開きます。

    メールアドレス設定 01

    「ユーザー」「すべてのユーザー」の順に画面遷移し、メールアドレスを定義するユーザ名を押下します。

    メールアドレス設定 02

    「プロファイル」「編集」を押下します。

    メールアドレス設定 03

    「電子メール」を入力し、「保存」を押下します。

    メールアドレス設定 04

    事前準備 – メッセージテンプレート

    デバイスポリシー非準拠時にメール送付するメッセージのテンプレートを作成します。

    Microsoft Endpoint Manager admin center」をブラウザで開きます。「エンドポイントセキュリティ」「デバイスのポリシー準拠」「通知」の順に画面遷移し、「通知の作成」を押下します。

    メッセージテンプレート 01

    「名前」を入力し、「次へ」を押下します。

    メッセージテンプレート 02

    「ロケール」「件名」「メッセージ」を入力し、「次へ」を押下します。

    メッセージテンプレート 03

    「作成」を押下します。

    メッセージテンプレート 04

    コンプライアンスポリシーの更新

    「デバイス」「Windows」「コンプライアンスポリシー」の順に画面遷移し、「ポリシー名」を押下します。

    非準拠のアクション 01

    「プロパティ」の画面を開き、「コンプラアンス非対応に対するアクション」欄の「編集」を押下します。

    非準拠のアクション 02

    「アクション」欄は「メールをエンドユーザーに送信する」を選びます。スケジュールは何らかの日数を入力します。「メッセージテンプレート」欄の「1つも選択されていません」を押下すると、テンプレート選択画面が現れます。

    非準拠のアクション 03

    テンプレート名を選択した状態にし、「選択」を押下します。

    非準拠のアクション 04

    「レビューと保存」を押下します。

    非準拠のアクション 05

    「保存」を押下します。

    非準拠のアクション 06

    動作確認

    デバイスポリシーの違反の1日後、違反を知らせる旨のメールを受信した事を確認します。

    デバイスポリシーの違反

    タイトルとURLをコピーしました