Microsoft Intune で Linux および Windows デバイスのカスタム コンプライアンス ポリシーと設定を使用する

  • [アーティクル]

Intune の組み込みのデバイス コンプライアンス オプションを拡張するには、マネージド Linux デバイスと Windows デバイスのカスタム コンプライアンス設定のポリシーを使用できます。 カスタム設定を使用すると、Intune が組み込みのポリシー テンプレートにこれらの設定を追加するのを待たずに、デバイスで使用できる設定に柔軟に準拠できます。

この機能は、以下に適用されます。

  • Windows 10/11 (Windows 10/11 ホームを除く)
  • Linux
    • Ubuntu Desktop バージョン 20.04 LTS および 22.04 LTS
    • RedHat Enterprise Linux 8
    • RedHat Enterprise Linux 9

ポリシーにカスタム設定を追加する前に、サポートされている各プラットフォームで使用する JSON ファイルと検出スクリプトを準備する必要があります。 スクリプトと JSON の両方がコンプライアンス ポリシーの一部になります。 各コンプライアンス ポリシーは 1 つのスクリプトをサポートしており、各スクリプトは複数の設定を検出できます。

  • JSON ファイルは、カスタム設定と、準拠していると見なされた値を定義します。 また、各設定のコンプライアンスを復元する方法をユーザーに伝えるメッセージを構成することもできます。 そのポリシーの検出スクリプトを選択した直後に、コンプライアンス ポリシーを作成するときに JSON ファイルを追加します。

  • 検出スクリプトは、さまざまなプラットフォームに固有であり、コンプライアンス ポリシーの一部としてデバイスに配信されます。 デバイスがポリシーを評価すると、スクリプトは JSON ファイルから設定を検出 (検出) し、その結果を Intune に報告します。 Windows デバイスは PowerShell スクリプトを使用し、Linux デバイスでは POSIX 準拠のシェル スクリプトを使用します。

    コンプライアンス ポリシーを作成する前に、スクリプトを Microsoft Intune 管理センターにアップロードする必要があります。 カスタム設定をサポートするようにポリシーを構成する場合は、スクリプトを選択します。

カスタム コンプライアンス設定とデバイスレポートを展開した後、Microsoft Intune 管理センターの組み込みのコンプライアンス設定の詳細と共に結果を表示できます。 カスタム コンプライアンス設定は、組み込みのコンプライアンス設定と同じ方法で条件付きアクセスの決定に使用できます。 これらを組み合わせて複合ルール セットを形成し、デバイスのコンプライアンス状態に均等に影響します。

前提条件

  • Microsoft Entra に参加している デバイス (Microsoft Entra ハイブリッド参加済みデバイス を含む )。

    Microsoft Entra ハイブリッド参加済みデバイスは、Microsoft Entra ID に参加し、オンプレミスの Active Directory にも参加しているデバイスです。 詳細については、「 Microsoft Entra ハイブリッド参加の実装を計画する」を参照してください。

  • Microsoft Entra 登録済み/Workplace 参加済み (WPJ)

    Microsoft Entra ID に 登録されている デバイスの詳細については、「 シームレスな第 2 要素認証としての Workplace Join」を参照してください。 通常、これらのデバイスは、職場または学校アカウントが設定>Accounts>Access 職場または学校経由で追加された Bring Your Own Device (BYOD) デバイスです。

    WPJ デバイスでは、デバイス コンテキスト PowerShell スクリプトは機能しますが、ユーザー コンテキストの PowerShell スクリプトは無視されます。

  • 検出スクリプト - Windows 用の PowerShell、または作成した Linux 用の POSIX 準拠シェル スクリプト。 このスクリプトは、デバイス上で実行され、JSON ファイルで定義されているカスタム設定を検出します。 スクリプトは、これらの設定の構成値を Intune に返します。 コンプライアンス ポリシーを作成する前に、Microsoft Intune 管理センターにスクリプトをアップロードし、ポリシーの作成時に使用するスクリプトを選択する必要があります。

    カスタム コンプライアンス スクリプトを作成するには、「 Microsoft Intune 用のカスタム コンプライアンス検出スクリプト」を参照してください。

  • JSON ファイル - JSON ファイルは、カスタム設定と、準拠と見なされる値を定義し、設定のコンプライアンスにデバイスを復元する方法に関するユーザー向けのメッセージを含めることができます。 カスタム コンプライアンス用の JSON の作成に関するガイダンスについては、「 カスタム コンプライアンス JSON ファイル」を参照してください。

カスタム コンプライアンス設定を使用してポリシーを作成する

カスタム設定を含むポリシーの作成を開始する前に、 前提条件を確認してください。

まず、該当する検出スクリプトを Intune にアップロードし、ポリシーの作成時に追加する準備ができている JSON を用意する必要があります。

準備ができたら、通常の手順を使用して 、ポリシーにカスタム設定を追加するためのプラットフォーム固有の手順を含むコンプライアンス ポリシーを作成します。 カスタムコンプライアンスのオプションを構成することで、[構成設定] ページで カスタム設定が追加されます。

注:

Windows デバイスは、カスタム設定のコンプライアンス ポリシーを受け取ると、 Intune 管理拡張機能の有無を確認します。 見つからない場合、デバイスは拡張機能をインストールする MSI を実行し、クライアントがコンプライアンス ポリシーの一部である PowerShell スクリプトをダウンロードして実行し、コンプライアンスの結果をアップロードできるようにします。 サービスによって管理されるアクションは次のとおりです。

  • 新しいまたは更新された PowerShell スクリプトを 8 時間ごとに確認します。
  • 検出スクリプトを 8 時間ごとに実行する。
  • ユーザーがデバイスで [コンプライアンスの確認] を選択したときにダウンロードするスクリプトを実行する。 ただし、コンプライアンスの確認が実行されている場合、新規または更新されたスクリプトのチェックはありません。

デバイスにプッシュ通知を送信して、カスタム コンプライアンスをオンデマンドで実行することはできません。

カスタム コンプライアンス ポリシーを監視する

デバイスのコンプライアンス状態の詳細を表示するには、次の方法を使用します。

  • Linux デバイスと Windows デバイスの両方について、Microsoft Intune 管理センターでカスタム コンプライアンス設定の設定ごとのデバイス コンプライアンスの詳細を表示できます。

    管理センターで、[ レポート>デバイスコンプライアンス] に移動し、[ レポート ] タブを選択します。 非準拠のデバイスと設定のタイルを選択し、ドロップダウン メニューを使用してレポートを構成します。 OS のプラットフォームを選択し、[レポートの 生成 ] を選択してください。

    詳細については、「 Intune デバイス コンプライアンス ポリシーの監視」を参照してください。

  • Linux デバイスでは、Intune アプリを開いてデバイスの状態を表示できます。

    • 準拠 – デバイスは組織のポリシーに準拠しており、組織のリソースにアクセスできる必要があります。
    • 状態の確認 – Intune は現在、組織のポリシーに対するデバイスのコンプライアンスを評価しています。
    • [準拠していない ] – デバイスが組織のデバイスとセキュリティの要件を満たしていないため、組織のリソースにアクセスできない可能性があります。

    デバイスの状態が [準拠していない] の場合は、[ 問題の表示 ] を選択して、そのデバイスをコンプライアンスに移行するために対処する必要がある問題の詳細を表示します。 一般的な問題の解決については、この記事の 「Linux デバイスのその他のトラブルシューティング 」を参照してください。

デバイスのカスタム コンプライアンスのトラブルシューティング

カスタム設定が評価されない

デバイス コンプライアンス レポートで、次のエラー コードと問題に関する分析情報を確認します。

  • 65007: スクリプトがエラーを返しました
  • 65008: スクリプトの結果に設定がありません
  • 65009: 検出された設定の json が無効です
  • 65010: 検出された設定のデータ型が無効です

Windows では、PowerShell スクリプトの末尾に次の行を追加して、PowerShell スクリプトに関連するエラーを返すことができます。次の行が PowerShell スクリプト ファイルの末尾にあることを確認します。 return $hash | ConvertTo-Json -Compress

PowerShell または POSIX に準拠したシェル スクリプトは、選択に表示されないか、削除された後も表示されたままです

現在のビューを更新します。 問題が解決しない場合は、ポリシー作成フローを取り消して、もう一度開始します。

デバイスの問題が修正された後、後続の同期では、問題が解決され、準拠しているものとして識別されません

デバイスの変更後、非準拠状態が準拠と表示されるまでに最大 8 時間かかることがあります。

問題が解決され、準拠しているかどうかを特定するために、デバイスの問題を修正した後、ユーザーが手動でコンプライアンスを確認できますか?

  • Windows では、ユーザーは ポータル サイト Web サイト にアクセスし、非準拠のカスタム コンプライアンス設定を修正した後に同期をトリガーしてデバイスの状態を更新できます。

  • Linux では、ユーザーは Microsoft Intune アプリ を開き、デバイスの詳細ページまたはコンプライアンスの問題ページで [最新の情報に更新 ] を選択して、Intune で新しいチェックインを開始できます。

演算子とオペランドがサポートされないのはなぜですか?

特定の演算子とオペランドの追加を要求するには、アカウント マネージャーに問い合わせてください。 その後、将来の更新プログラムについて検討できます。

1 つのカスタム コンプライアンス ポリシーに複数の検出スクリプトを適用できないのはなぜですか?

ポリシーでは、1 つのスクリプトの使用がサポートされます。 ただし、各スクリプトでは、複数のコンプライアンス値のチェックがサポートされています。

Linux デバイスのその他のトラブルシューティング

デバイスに準拠していない設定を識別するには:

  • Microsoft Intune 管理センターでは、ポリシーに準拠していないデバイスを特定できます。 [レポート>デバイスコンプライアンス] に移動し、[レポート] タブを選択し、[非準拠デバイスと設定] のタイルを選択します。 ドロップダウンを使用して目的のレポートを構成し、[レポートの 生成 ] を選択します。

管理センターには、デバイスで準拠していない設定ごとに個別の行が表示されます。

  • Linux デバイスで、Microsoft Intune アプリを開き、[ デバイス設定の更新 ] ページを表示します。

次のセクションでは、Linux デバイスのユーザーが発生する可能性がある問題に関する一般的な問題と解決策について説明します。

オペレーティング システムのディストリビューションとバージョン

Linux ディストリビューションまたはオペレーティング システムバージョンのコンプライアンス要件を満たしていないデバイスのユーザーは、そのデバイスのオペレーティング システムをアップグレードまたはダウングレードする必要があることを示すメッセージを受け取る可能性があります。

[許可されたディストリビューション] 設定に準拠するには、Linux ディストリビューションとバージョンが最小、最大、および種類の要件を満たす必要があります。 必要に応じて、別のバージョンまたは Linux のディストリビューションをインストールして、デバイスをコンプライアンスに取り込みます。

パスワードの複雑さ

パスワードの複雑さの要件のコンプライアンス要件を満たしていないデバイスのユーザーは、強力なパスワードを使用する必要があることを示すメッセージを受け取る可能性があります。

パスワード ポリシー設定に準拠するには、これらの要件を満たすパスワードを使用するように Linux システムを構成します。 一般的な組織の要件は次のとおりです。

  • 最小文字数、数字、または特殊文字を含むパスワード
  • 最小長のパスワード

デバイスの暗号化

ディスクとパーティションの暗号化のコンプライアンス要件を満たしていないデバイスのユーザーは、デバイス ドライブを暗号化する必要があることを示すメッセージを受け取る場合があります。

[ デバイス暗号化が必要] 設定に準拠するには、Linux デバイス上の書き込み可能な固定ディスクにデバイス レベルの暗号化が必要です。

Linux オペレーティング システムのディスクとパーティションの暗号化には、いくつかのオプションがあります。 Intune は、基になる dm-crypt サブシステムを使用する暗号化システムを認識します。 このサブシステムは、Linux システム上の長時間の標準です。 dm-crypt を設定する推奨される方法は、 cryptsetup ツールで LUKS 形式を使用することです。

次の一覧では、ディスクとパーティションを暗号化するときの一般的なガイダンスを示します。

  • インストール後の Linux システム ボリュームの暗号化は可能ですが、時間がかかる可能性があります。 オペレーティング システムのインストール中にディスク暗号化を設定することをお勧めします。
  • デバイスが組織の標準を満たすために、すべてのファイルシステム パーティションを暗号化する必要はありません。 以下は、組み込みのデバイス暗号化設定では評価されません。
    • 読み取り専用パーティション
    • /proc や などの擬似ファイルシステムtmpfs
    • /boot または /boot/efi パーティション

Linux デバイスでコンプライアンスの状態を更新する

デバイスに変更を加えてコンプライアンスに準拠した後、Intune でデバイスの状態を更新します。

  • Microsoft Intune アプリがまだ実行されている場合は、デバイスの詳細ページまたはコンプライアンスの問題ページで [更新 ] を選択して、Intune で新しいチェックインを開始します。
  • Microsoft Intune アプリが実行されていない場合は、アプリにサインインして新しいチェックインを開始します。
  • インストール後、Microsoft Intune アプリは、デバイスがオンで、ユーザーが Intune にサインインしている限り、Intune で定期的に自分でチェックインします。

次の手順