Microsoft Intune でポリシーを割り当てる

  • [アーティクル]

Intune ポリシーを作成すると、ポリシー内で追加および構成したすべての設定が含まれます。 ポリシーを展開する準備ができたら、次の手順は、ユーザーまたはデバイス グループにポリシーを「割り当てる」ことです。 ポリシーが割り当てられると、ユーザーとデバイスでお客様のポリシーを受け取り、入力した設定が適用されます。

Intune では、次のポリシーを作成して割り当てることができます。

  • アプリ保護ポリシー
  • アプリ構成ポリシー
  • コンプライアンス ポリシー
  • 条件付きアクセス ポリシー
  • デバイスの構成プロファイル
  • 登録ポリシー

この記事では、ポリシーを割り当てる方法、スコープ タグの使用に関するいくつかの情報、ユーザー グループまたはデバイス グループにポリシーを割り当てるタイミングなどについて説明します。

開始する前に

  • ポリシーとプロファイルを割り当てることができる正しいロールがあることを確認します。 詳細については、「Microsoft Intune でのロールベースのアクセス制御 (RBAC)」を参照してください。

  • Intune での Microsoft Copilot の使用を検討してください。 次のような利点があります。

    • ポリシーを作成して設定を構成すると、Copilot は各設定に関する詳細情報を提供し、値を推奨し、競合の可能性を見つけることができます。
    • ポリシーを割り当てると、Copilot はポリシーが割り当てられているグループを通知し、ポリシーの効果を理解するのに役立ちます。

    詳細については、「Intune の Microsoft Copilot」を参照してください。

ユーザーまたはグループにポリシーを割り当てる

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス]>[デバイスの管理]>[構成] の順に選択します。 プロファイルがすべて一覧表示されます。

  3. 割り当てるプロファイルを選択して、>[プロパティ]>[割り当て]>[編集] を選択します。

    たとえば、デバイス構成プロファイルを割り当てるには、次のようにします。

    1. [デバイス]>[デバイスの管理]>[構成] の順に移動します。 プロファイルがすべて一覧表示されます。

    2. 割り当てるポリシーを選択して、>[プロパティ]>[割り当て]>[編集] を選択します。

      Microsoft Intune でユーザーとグループにプロファイルを展開するために、[割り当て] を選択する方法を示すスクリーンショット。

  4. [含まれるグループ] または [除外されたグループ] で、[グループの追加] を選択して、1 つ以上の Microsoft Entra グループを選択します。 適用可能なすべてのデバイスにポリシーを幅広く展開する場合は、[すべてのユーザーを追加] または [すべてのデバイスを追加] を選択します。

    注:

    [すべてのデバイス] と [すべてのユーザー] を選択した場合、追加の Microsoft Entra グループを追加するオプションは無効になります。

  5. [確認と保存] を選択します。 このステップでは、ポリシーは割り当てられません。

  6. [保存] を選択します。 保存した時点で、ポリシーが割り当てられます。 デバイスが Intune サービスにチェックインされると、グループはポリシー設定を受け取ります。

知っている必要がある割り当て機能と使用する必要がある割り当て機能

ユーザー グループとデバイス グループ

多くのユーザーの疑問は、どのような場合にユーザー グループを使用し、どのような場合にデバイス グループを使用するのかということです。 答えは、目標によって異なります。 開始するには、次のガイダンスを参照してください。

デバイス グループ

どのユーザーがサインインしているかに関係なく、デバイスに対して設定を適用する場合は、ポリシーをデバイス グループに割り当てます。 デバイス グループに適用した設定は、ユーザーではなく、常にデバイスに対して有効になります。

例:

  • デバイス グループは、専用ユーザーがいないデバイスを管理する場合に便利です。 たとえば、チケットの印刷とインベントリのスキャンを行う、交代制の勤務者によって共有されているデバイスや、特定の倉庫に割り当てられているデバイスなどがあります。 このようなデバイスをデバイス グループに配置し、ポリシーをこのデバイス グループに割り当てます。

  • BIOS の設定を更新するデバイス ファームウェア構成インターフェイス (DFCI) Intune プロファイルを作成します。 たとえば、デバイスのカメラを無効にするようにこのポリシーを構成したり、ユーザーが別の OS を起動しないようにブート オプションをロックダウンしたりすることができます。 このポリシーは、デバイス グループに割り当てることをお勧めします。

  • 特定の Windows デバイスでは、デバイスを使用しているユーザーに関係なく、Microsoft Edge の一部の設定を常に制御する必要があります。 たとえば、すべてのダウンロードをブロックし、すべての Cookie を現在の閲覧セッションに限定し、閲覧の履歴を削除するとします。 このシナリオでは、これらの特定の Windows デバイスをデバイス グループに配置します。 次に、Intune で管理用テンプレートを作成し、これらのデバイス設定を追加したうえで、このポリシーをデバイス グループに割り当てます。

要約すると、デバイスにサインインしているユーザーが誰であるか、または誰かがサインインしているかどうかを気にしない場合は、デバイス グループを使用します。 設定を常にデバイスに適用します。

ユーザー グループ

ユーザー グループに適用されたポリシー設定は、常にユーザーに対して有効になり、ユーザーがさまざまなデバイスにサインインしたときに使用されます。 ユーザーは、職場用の Surface Pro と個人用の iOS または iPadOS デバイスなど、複数のデバイスを使用することが普通です。 そして、ユーザーはそれらのデバイスから電子メールやその他の組織リソースにアクセスします。

ユーザーが同じプラットフォーム上に複数のデバイスを持つ場合は、グループ割り当てでフィルターを使用できます。 たとえば、ユーザーが個人用の iOS/iPadOS デバイスと、組織所有の iOS/iPadOS を持っています。 そのユーザーにポリシーを割り当てると、 フィルター を使用して、組織所有のデバイスのみを対象にすることができます。

この一般規則に従います。電子メールやユーザー証明書など、ある機能があるユーザーに属する場合、ユーザー グループに割り当てます。

例:

  • すべてのユーザーに対して、ユーザーのすべてのデバイスにヘルプ デスク アイコンを配置したいとします。 このシナリオでは、これらのユーザーをユーザー グループに配置し、ヘルプ デスク アイコンのポリシーをこのユーザー グループに割り当てます。

  • ユーザーは、組織が所有する新しいデバイスを受け取ります。 ユーザーは、自身のドメイン アカウントを使用してデバイスにサインインします。 デバイスは Microsoft Entra ID に自動的に登録され、Intune によって自動的に管理されます。 このポリシーは、ユーザー グループに割り当てることをお勧めします。

  • デバイスにユーザーがサインインするたびに、OneDrive や Office などのアプリの機能を制御することが必要です。 このシナリオでは、OneDrive または Office ポリシーの設定をユーザー グループに割り当てます。

    たとえば、Office アプリで信頼されていない ActiveX コントロールをブロックするとします。 Intune で管理用テンプレートを作成し、この設定を構成したうえで、このポリシーをユーザー グループに割り当てることができます。

要約すると、ユーザーが使用するデバイスに関係なく、設定や規則を常にユーザーに対して有効にする場合は、ユーザー グループを使用します。

Azure Virtual Desktop マルチ セッション

Intune を使用すると、他の共有 Windows クライアント デバイスを管理するのと同じように、Azure Virtual Desktop で作成された Windows マルチセッション リモート デスクトップを管理できます。 ユーザー グループまたはデバイスにポリシーを割り当てる場合、Azure Virtual Desktop マルチセッションは特別なシナリオです。 仮想マシンでは、デバイス CSP はデバイス グループをターゲットにする必要があります。 ユーザー CSP は、ユーザー グループをターゲットにする必要があります。

詳細については、「Microsoft Intune とともに Azure Virtual Desktop マルチセッションを使用する」をご覧ください。

Windows CSP とその動作

Windows デバイスのポリシー設定は、構成サービス プロバイダー (CSP) に基づいています。 これらの設定は、デバイス上のレジストリ キーまたはファイルにマップされます。

Windows CSP についてはこちらをご確認ください。

  • Intune ではこれらの CSP が公開されるため、これらの設定を構成して Windows デバイスに割り当てることができます。 これらの設定は、組み込みのテンプレートを使用し、設定カタログ を使用して構成できます。 設定カタログでは、一部の設定がユーザー スコープに適用され、一部の設定がデバイス スコープに適用されます。

    ユーザー スコープ設定とデバイス スコープ設定を Windows デバイスに適用する方法については、「設定カタログ: デバイス スコープとユーザー スコープの設定」 を参照してください。

  • ポリシーが削除されるか、デバイスに割り当てられなくなった場合の影響は、ポリシーの設定によって異なります。 各 CSP は、ポリシーの削除を異なる方法で処理できます。

    たとえば、設定に既存の値が保持され、既定値には戻らない場合があります。 各 CSP によって動作が制御されます。 Windows CSP の一覧については、構成サービス プロバイダー (CSP) のリファレンスを参照してください。

    設定を別の値に変更するには、新しいポリシーを作成し、その設定を [未構成] に構成して、ポリシーを割り当てます。 ポリシーがデバイスに適用されたら、ユーザーが設定を適切な値に変更する必要があります。

  • これらの設定を構成するときは、パイロット グループに展開することをお勧めします。 Intune のロールアウトの詳細なアドバイスについては、ロールアウト計画の作成に関する記事を参照してください。

ポリシー割り当てからグループを除外する

Intune のデバイス構成ポリシーを使うと、ポリシーの割り当てに対してグループを含めたり、除外したりすることができます。

ベスト プラクティスには、以下のような内容があります。

  • お使いのユーザー グループ専用のポリシーを作成して割り当ててください。 そのようなユーザーのデバイスを含めるか除外するには、フィルターを使用します。
  • お使いのデバイス グループ専用に異なるポリシーを作成し、割り当ててください。

グループについて詳しくは、「ユーザーとデバイスを整理するためのグループを追加する」をご覧ください。

グループの含め方と除外の原則

ポリシーとポリシーを割り当てるときに、次の一般的な原則を適用します。

  • [Included groups]\(含まれるグループ\) または [Excluded groups]\(除外されるグループ\) を、ポリシーを受け取るユーザーとデバイスの開始点と考えてください。 Microsoft Entra グループは制限付きグループなので、可能な限り最小のグループ スコープを使用します。 ポリシーの割り当てを制限または調整するには、フィルターを使用します。

  • 割り当て済みの Microsoft Entra グループ (静的グループとも呼ばれる) を [Included groups]\(含まれるグループ\) または [Excluded groups]\(除外されるグループ\) に追加できます。

    通常、デバイスが Windows Autopilot などを使用して Microsoft Entra ID に事前登録されている場合は、Microsoft Entra グループに静的に割り当てます。 または、デバイスを 1 回限りで組み合わせる場合は、アドホック デプロイを行います。 そうしないと、デバイスを Microsoft Entra グループに静的に割り当てることが現実的でない場合があります。

  • 動的な Microsoft Entra グループは、[Included groups]\(含まれるグループ\) または [Excluded groups]\(除外されるグループ\) に追加できます。

  • 除外されるグループには、ユーザーを含むグループ、またはデバイスを含むグループを指定できます。

  • 動的な Microsoft Entra デバイス グループは [Included groups]\(含まれるグループ\) に追加できます。 ただし、動的グループ メンバーシップを設定するときに待機時間が発生する可能性があります。 待機時間が重要なシナリオでは、フィルターを使用して特定のデバイスを対象にし、ポリシーをユーザー グループに割り当てます。

    たとえば、デバイスの登録後すぐに、ポリシーを割り当てたい場合があります。 このような待機時間が重要な状況では、目的のデバイスを対象とするフィルターを作成し、このフィルターを適用したポリシーをユーザー グループに割り当てます。 デバイス グループには割り当てないでください。

    ユーザーレスのシナリオでは、目的のデバイスを対象とするフィルターを作成し、このフィルターを適用したポリシーを "すべてのデバイス" グループに割り当てます。

  • [Excluded groups]\(除外されるグループ\) に動的な Microsoft Entra デバイス グループを追加することは避けてください。 登録時の動的なデバイス グループの計算で待機時間が発生すると、望ましくない結果が生じる可能性があります。 たとえば、除外されるグループのメンバーシップが設定される前に、不要なアプリやポリシーがデプロイされる場合があります。

サポート マトリックス

グループを除外するためのサポートを理解するには、次のマトリックスを使用します。

  • ✔️ サポートされている
  • ❌: サポート対象外
  • ❕ : 部分的にサポートされている

ポリシー割り当てにグループを含めたり除外したりするためのサポートされているオプションを示すスクリーンショット。

シナリオ サポート
1 ❕一部サポート対象

別の動的なデバイス グループを除外している間に、動的なデバイス グループにポリシーを割り当てることができます。 ただし、待機時間が重要なシナリオでは推奨されません。 グループ メンバーシップを除外する計算で待機時間が発生すると、ポリシーがデバイスに提供される可能性があります。 このシナリオでは、デバイスを除外するために、動的なデバイス グループではなくフィルターを使用することをお勧めします。

たとえば、[すべてのデバイス] に割り当てられているデバイス ポリシーがあるとします。 後ほど、新しいマーケティング デバイスではこのポリシーを受信しないという要件が発生します。 そのため、enrollmentProfilename プロパティ (device.enrollmentProfileName -eq "Marketing_devices") に基づいて、Marketing devices という動的なデバイス グループを作成します。 このポリシーに、Marketing devices 動的グループを除外グループとして追加します。

新しいマーケティング デバイスが Intune に初めて登録され、新しい Microsoft Entra デバイス オブジェクトが作成されます。 動的なグループ化のプロセスでは、デバイスを Marketing device グループに含める際に計算が遅延する可能性があります。 同時に、デバイスは Intune に登録され、該当するすべてのポリシーの受信を開始します。 デバイスが除外グループに含められる前に、Intune ポリシーが展開される可能性があります。 この動作により、不要なポリシー (またはアプリ) が Marketing devices グループに展開されます。

そのため、待機時間の影響を受けやすいシナリオでは、動的なデバイス グループを使用しないことをお勧めします。 代わりに、フィルターを使用します。
2 ✔️サポート対象

静的なデバイス グループを除外している間に、動的なデバイス グループにポリシーを割り当てることができます。
3 ❌サポート対象外

ユーザー グループ (動的と静的の両方) を除外している間に、動的なデバイス グループにポリシーを割り当てることはできません。 Intune はユーザーとデバイスのグループ関係を評価せず、含まれているユーザーのデバイスは除外されません。
4 ❌サポート対象外

動的なデバイス グループにポリシーを割り当て、ユーザー グループ (動的と静的の両方) を除外することはできません。 Intune はユーザーとデバイスのグループ関係を評価せず、含まれているユーザーのデバイスは除外されません。
5 ❕一部サポート対象

動的なデバイス グループを除外している間に、静的なデバイス グループにポリシーを割り当てることができます。 ただし、待機時間が重要なシナリオでは推奨されません。 グループ メンバーシップを除外する計算で待機時間が発生すると、ポリシーがデバイスに提供される可能性があります。 このシナリオでは、デバイスを除外するために、動的なデバイス グループではなくフィルターを使用することをお勧めします。
6 ✔️サポート対象

静的なデバイス グループへのポリシーの割り当てと異なる静的なデバイス グループの除外がサポートされています。
7 ❌サポート対象外

静的なデバイス グループにポリシーを割り当て、ユーザー グループ (動的と静的の両方) を除外することはできません。 Intune はユーザーとデバイスのグループ関係を評価せず、含まれているユーザーのデバイスは除外されません。
8 ❌サポート対象外

静的なデバイス グループにポリシーを割り当て、ユーザー グループ (動的と静的の両方) を除外することはできません。 Intune はユーザーとデバイスのグループ関係を評価せず、含まれているユーザーのデバイスは除外されません。
9 ❌サポート対象外

動的なユーザー グループにポリシーを割り当て、デバイス グループ (動的と静的の両方) を除外することはできません。
10 ❌サポート対象外

動的なユーザー グループにポリシーを割り当て、デバイス グループ (動的と静的の両方) を除外することはできません。
11 ✔️サポート対象

他のユーザー グループ (動的と静的の両方) を除外している間に、動的なユーザー グループにポリシーを割り当てることができます。
12 ✔️サポート対象

他のユーザー グループ (動的と静的の両方) を除外している間に、動的なユーザー グループにポリシーを割り当てることができます。
13 ❌サポート対象外

デバイス グループ (動的と静的の両方) を除外している間に、静的なユーザー グループにポリシーを割り当てることはできません。
14 ❌サポート対象外

デバイス グループ (動的と静的の両方) を除外している間に、静的なユーザー グループにポリシーを割り当てることはできません。
15 ✔️サポート対象

他のユーザー グループ (動的と静的の両方) を除外している間に、静的なユーザー グループにポリシーを割り当てることができます。
16 ✔️サポート対象

他のユーザー グループ (動的と静的の両方) を除外している間に、静的なユーザー グループにポリシーを割り当てることができます。

次の手順

ポリシーを監視するガイダンス、およびポリシーを実行するデバイスについては、デバイス プロファイルの監視に関するページを参照してください。