デバイス プロファイル
デバイス プロファイルは、デバイス構成オプションの階層の一部であると考えることができます。
| デバイス構成オプション | 説明 |
|---|---|
| ユーザーの構成 | 一番上には、ネットワークの詳細やアプリケーションなど、ユーザーの構成があります。 デバイスには任意の数の構成を含めることができ、これらの構成は Microsoft Managed Desktop によって管理またはブロックされません。 |
| カスタマイズ | 次に高いレベルは、より多くの カスタマイズです。 各デバイスには、1 つ以上のカスタマイズ (またはカスタマイズなし) を設定できます。 カスタマイズは次のいずれかになります。
|
| デバイス プロファイル | すべての Microsoft Managed Desktop デバイスには、プロファイルが 1 つのみ割り当てられている必要があります。 管理者は、デバイスに割り当てるプロファイルを選択できます。 デバイスには、さまざまな事前設定済みのプロファイルを割り当てることができます。 各プロファイルは、特定の種類のユーザーのニーズに合わせて最適化されています。 利用可能なデバイス プロファイルが 3 つあります。
|
| Foundation | 基本的に、すべての Microsoft Managed Desktop デバイスには、以下が含まれている基礎があります。
Microsoft Managed Desktop を操作するには、すべてのデバイスにこれらの要素のすべてが含まれている必要があります。 これらの要素は、管理者が変更することはできません。 Microsoft Managed Desktop にリクエストを送信する必要があります。 |
デバイス プロファイルの詳細
次の表は、デバイス プロファイルによって構成された各設定の設定とその既定値をまとめたものです。 バックグラウンドでは、これらの設定は 、Microsoft Intune 管理センターでカスタム構成プロファイルを使用して OMA-URIs で構成されます。
| 機能 | 機密データ | パワー ユーザー | 標準 | キオスク |
|---|---|---|---|---|
| 外部ストレージをブロックする | はい | はい | いいえ | はい |
| クラウド ブロックのレベル | 高い | 高い | 高い | 高い |
| Microsoft アカウントを無効にする | はい | はい | いいえ | はい |
| 個人用 OneDrive を無効にする | はい | はい | いいえ | はい |
| 昇格のためにセキュリティで保護されたデスクトップに切り替える | 不要 | はい | いいえ | 不要 |
| Microsoft Defender for Endpoint タグ | M365Managed-SensitiveData | M365Managed-PowerUser | M365Managed-Standard | M365Managed-Kiosk |
| デバイス上に管理者 | 不要 | はい | いいえ | 不要 |
| Autopilot プロファイル | 最新の Workplace Autopilot プロファイル | 最新の Workplace Autopilot プロファイル Power User | 最新の Workplace Autopilot プロファイル | 最新の Workplace Autopilot プロファイル キオスク |
| AppLocker | はい | いいえ | いいえ | 不要 |
| パブリック ストアをブロックする | はい | はい | いいえ | はい |
各デバイス プロファイルには、以下の項目も含まれます。
- 動的メンバーシップ Microsoft Entra デバイス グループ。
- 静的メンバーシップ Microsoft Entra デバイス グループ。
- Microsoft Intune 構成プロファイル。
重要
これらのグループのメンバーシップを直接変更しないでください。 「プロファイルの再割り当て」の説明に従ってインターフェイスを使用します。
注:
Windows 365 デバイスで Power User プロファイルを完全に有効にするには、Windows 365 ユーザー設定で [ローカル管理者を有効にする] を 設定し、割り当てられたグループにユーザーを追加する必要があります。 詳細については、「 ユーザーをローカル管理者にする」を参照してください。
制限事項
他のポリシーと同様に、デバイス プロファイルとその詳細に対する例外をリクエストできます。
Microsoft Entra 組織内の各デバイス プロファイルの 1 つだけを持つことができます ("テナント")。 たとえば、機密データ デバイス プロファイルが一部のユーザーに対してのみ AppLocker を無効にするように要求することはできません。 機密データ デバイス プロファイルを持つすべてのデバイスは、同じ構成である必要があります。
各デバイスが持つことのできるプロファイルは、1 つだけです。 特定のデバイスが複数のユーザーによって使用されている場合、そのデバイスのすべてのユーザーは同じ構成になります。
管理者 CSV のエクスポート
Power ユーザー デバイス プロファイルが割り当てられているデバイスには、管理者グループにユーザーも含まれます。 IT 管理者は、ローカル管理者グループに割り当てられているすべてのユーザーとグループをダウンロードして表示できます。
CSV ファイルをエクスポートするには:
- Microsoft Intune 管理センターで、左側のウィンドウで [デバイス] を選択します。
- [Microsoft マネージド デスクトップ] セクションで、[デバイス] を選択します。
- [ エクスポート ] メニュー オプションを選択し、[ 管理者のエクスポート] を選択します。 CSV ファイルがダウンロードされます。
CSV には次のものが含まれます。
- 過去 28 日間にアクティブになっているすべてのデバイスから取得された情報。
- 午前 0 時に 1 日に 1 回更新されるデータ。 コンテンツは 24 時間ごとに更新されます。
- デバイス プロファイル名と は、Power ユーザー デバイス プロファイルに対してフィルター処理できます。
- Microsoft Entra グループを含むローカル管理者グループのメンバーは、グループに (G) サフィックスが含まれます。 無効なアカウントには、(D) サフィックスが含まれます。
- GUID として表示される一部のデータ。 GUID として表示されるデータは、ユーザー名を特定できないためです。 ローカル デバイスに表示されるユーザー名のみを収集します。