Windows 10/11 テンプレートを使用して、Microsoft Intuneでグループ ポリシー設定を構成する

重要

2412 年 12 月のリリース以降、Intune管理センターのテンプレート>管理用テンプレート プロファイルの種類から新しい管理用テンプレート ポリシーを作成することはできません。 ADMX テンプレート プロファイルを作成するには、 設定カタログを使用します。 この変更の詳細については、「Intuneの統合設定プラットフォームに移行する Windows デバイス構成ポリシー」を参照してください。

Microsoft Intuneの 管理用テンプレート には、Microsoft Edge バージョン 77 以降、Internet Explorer、Google Chrome、Microsoft Office プログラム、リモート デスクトップ、OneDrive、パスワード、PIN などの機能を制御するための、数千の設定が含まれています。 これらの設定を使用すると、管理者はクラウドを使用してグループ ポリシーを作成できます。

この機能は、以下に適用されます。

  • Windows 11
  • Windows 10

Intune テンプレートは 100% クラウドベースで、Intuneに組み込まれており (ダウンロードなし)、OMA-URI の使用を含むカスタマイズは必要ありません。 必要な設定を簡単に見つけて構成できます。

  • Windows の設定 は、オンプレミスの Active Directory (AD) のグループ ポリシー (GPO) 設定に似ています。 これらの設定は Windows に組み込まれています。 これらは、XML を使用する ADMX によってサポートされる設定 です。

  • Office、Microsoft Edge、Visual Studio の設定は ADMX によって取り込まれており、オンプレミス環境でダウンロードするのと同じ管理用テンプレート ファイルを使用します。

  • カスタムおよびサードパーティの ADMX ファイルと ADML ファイルをインポートできます。 詳細については、「 カスタムまたはパートナーの ADMX ファイルをインポートする」を参照してください。

organizationでデバイスを管理する場合は、さまざまなデバイス グループに適用される設定のグループを作成する必要があります。 また、構成できる設定の単純なビューも必要です。 このタスクを完了するには、Microsoft Intuneの [管理用テンプレート] を使用します。

モバイル デバイス管理 (MDM) ソリューションの一部として、これらのテンプレート設定を使用して Windows クライアント デバイスを管理します。

この記事では、Windows クライアント デバイス用のテンプレートを作成する手順について説明し、Intuneのすべての設定をフィルター処理する方法について説明します。 テンプレートを作成すると、デバイス構成プロファイルが作成されます。 その後、組織のクライアント Windowsデバイスにこのプロファイルを割り当てまたは展開することができます。

はじめに

テンプレートを作成する

  1. Microsoft Intune 管理センターにサインインします。

  2. [デバイス]>[デバイスの管理]>[構成]>[作成]>[新しいポリシー] の順に選択します。

  3. 次のプロパティを入力します。

    • [プラットフォーム]: [Windows 10 以降] を選択します。
    • [プロファイルの種類]: 設定の論理グループを使用するには、[テンプレート]>[管理用テンプレート] の順に選択します。 すべての設定を表示するには、[設定カタログ] を選択します。
  4. [作成] を選択します。

  5. [Basics]\(基本\) で次のプロパティを入力します。

    • 名前: 後で簡単に識別できるように、プロファイルに名前を付けます。 たとえば、適切なプロファイル名は ADMX です。Microsoft Edgeで xyz 設定を構成する Windows 10/11 管理テンプレートです。
    • 説明: この設定は省略可能ですが、推奨されます。
  6. [次へ] を選択します。

  7. 設定を追加します。

    重要

    2412 年 12 月のリリース以降、Intune管理センターのテンプレート>管理用テンプレート プロファイルの種類から新しい管理用テンプレート ポリシーを作成することはできません。 ADMX テンプレート プロファイルを作成するには、 設定カタログを使用します。 この変更の詳細については、「Intuneの統合設定プラットフォームに移行する Windows デバイス構成ポリシー」を参照してください。

    すべての設定のアルファベット順の一覧を表示するには、[ 構成設定] に移動し、[ すべての設定 ] を選択します。 または、デバイスに適用される設定 (コンピューターの構成)、またはユーザーに適用される設定 (ユーザー構成) を構成します。

    Microsoft Intune で ADMX テンプレート ポリシーを使用して [すべての設定] を選択する方法を示すスクリーンショット。

  8. [すべての設定] を選択すると、すべての設定が一覧表示されます。 さらに設定を表示するには、下へスクロールして戻る矢印と次へ矢印を使用します。

    設定のサンプル 一覧を参照し、管理センターとMicrosoft Intuneで前のボタンと次のボタンIntune使用します。

  9. 任意の設定を選択します。 たとえば、 Office でフィルター処理し、[ 制限付き閲覧のアクティブ化] を選択します。 設定の詳細説明が表示されます。 [ 有効] または [無効] を選択するか、[ 未構成 ] (既定値) のままにします。 詳細な説明では、[有効][無効]、または [未構成] を選択したときの動作についても説明されています。

    ヒント

    Intune の Windows の設定は、ローカル グループ ポリシー エディター (gpedit) に表示されるオンプレミスのグループ ポリシー パスに関連付けられます。

  10. [コンピューターの構成] または [ユーザーの構成] を選択すると、設定のカテゴリが表示されます。 任意のカテゴリを選択して、使用可能な設定を確認できます。

    たとえば、Internet explorer に適用されるすべてのデバイス設定を表示するには、[コンピューターの構成]>[Windows コンポーネント]>[Internet Explorer] を選択します。

    Microsoft Intune と Intune 管理センターで、Internet Explorer に適用されるすべてのデバイス設定を表示する

  11. [OK] を選択して変更を保存します。

    引き続き設定の一覧を確認し、環境内で必要な設定を構成します。 次に、いくつかの例を示します:

    • [VBA マクロ通知設定] を使用して、Word や Excel などのさまざまな Microsoft Office プログラムで VBA マクロを処理します。
    • [ファイルのダウンロードの許可] 設定を使用して、Internet Explorer からのダウンロードを許可または禁止します。
    • [コンピューターのスリープ状態の解除時にパスワードを要求する (電源接続時)] を使用し、デバイスがスリープ モードから回復したときにユーザーにパスワードを求めるように設定します。
    • [未署名の ActiveX コントロールのダウンロード] 設定を使用して、Internet Explorer からユーザーが未署名の ActiveX コントロールをダウンロードできないようブロックします。
    • [ システムの復元を無効にする ] 設定を使用して、ユーザーがデバイスでシステム復元を実行することを許可または禁止します。
    • [Allow importing of favorites]\(お気に入りのインポートを許可する\) 設定を使用し、別のブラウザーから Microsoft Edge にお気に入りをインポートする行為をユーザーに許可または禁止します。
    • その他の ...
  12. [次へ] を選択します。

  13. スコープ タグ (オプション) で、US-NC IT TeamJohnGlenn_ITDepartment など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 詳細については、「分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する」を参照してください。

    [次へ] を選択します。

  14. [ 割り当て] で、プロファイルを受け取るユーザーまたはグループを選択します。 詳細については、「Intuneでユーザー プロファイルとデバイス プロファイルを割り当てる」を参照してください。

    プロファイルがユーザー グループに割り当てられている場合、構成された ADMX 設定は、ユーザーが登録してサインインするすべてのデバイスに適用されます。 プロファイルがデバイス グループに割り当てられている場合、構成された ADMX 設定は、そのデバイスにサインインするすべてのユーザーに適用されます。 この割り当ては、ADMX 設定がコンピューター構成 (HKEY_LOCAL_MACHINE) またはユーザー構成 (HKEY_CURRENT_USER) である場合に発生します。 一部の設定では、ユーザーに割り当てられたコンピューター設定が、そのデバイスの他のユーザーのエクスペリエンスに影響することもあります。

    詳細については、「ポリシーの割り当て時のユーザー グループとデバイス グループ」 を参照してください。

    [次へ] を選択します。

  15. [確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 また、ポリシーがプロファイル リストに表示されます。

デバイスによって次に構成の更新が確認されるときに、構成した設定が適用されます。

一部の設定を見つける

これらのテンプレートで使用できる設定は数千に及びます。 特定の設定を見つけやすくするには、組み込みの機能を使用します。

  • 使用するテンプレートで [設定][状態][設定の種類]、または [パス] 列を選択し、一覧を並べ替えます。 たとえば、[パス] 列を選択し、隣の矢印を使用して、Microsoft Excel パス内の設定を表示します。

  • テンプレートで検索ボックスを使用して、特定の設定を見つけます。 または パスを設定して検索できます。 たとえば、[ すべての設定 ] を選択し、 copyを検索します。 「copy」を含むすべての設定が表示されます。

    Microsoft Intune とエンドポイント マネージャー管理センターで、「copy」と検索して管理用テンプレートのすべてのデバイス設定を表示します。

    もう 1 つの例として、「microsoft word」を検索します。 Microsoft Word プログラムに対して設定できる各設定が表示されます。 「explorer」を検索して、テンプレートに追加できる Internet Explorer の設定を確認します。

  • [コンピューターの構成] または [ユーザーの構成] を選択して、検索を絞り込むこともできます。

    たとえば、使用可能なすべてのインターネット エクスプローラーユーザー設定を表示するには、[ユーザーの構成] を選択し、Internet Explorerを検索します。 ユーザーに適用されるインターネット エクスプローラー設定のみが表示されます。

    ADMX テンプレートで、ユーザー構成を選択し、Microsoft Intuneでインターネット エクスプローラーを検索またはフィルター処理します。

既知の問題のロールバック ポリシーを作成する

登録済みデバイスでは、管理テンプレートを使用して既知の問題ロールバック (KIR) ポリシーを作成し、このポリシーを Windows デバイスに展開できます。 「MICROSOFT INTUNE ADMX ポリシー インジェストを使用してマネージド デバイスに KIR ライセンス認証をデプロイする」を参照してください。

KIR の詳細については、次を参照してください。

次の手順

テンプレートは作成されますが、まだ何も行っていない可能性があります。 テンプレート (プロファイルとも呼ばれる) の割り当てポリシーの状態の監視 を必ず行ってください。

関連項目: