Microsoft Intune でグループ ポリシー分析を使用してオンプレミスの GPO をインポートして分析する
ヒント
オンプレミスの GPO 分析をお探しですか? Microsoft セキュリティ コンプライアンス ツールキットには、使用可能なツールがあります。
Microsoft Intune には、オンプレミスの GPO と同じ設定が多数あります。 グループ ポリシー分析 は、Microsoft Intune の次のツールです。
- オンプレミスの GPO をインポートして分析します。
- Microsoft Intune など、クラウドベースの MDM プロバイダーがサポートする設定を示します。
- 非推奨の設定、または使用できない設定を表示します。
- インポートした GPO を、デバイスに展開できる設定カタログ ポリシーに移行できます。
組織がオンプレミスの GPO を使用して Windows 10/11 デバイスを管理する場合は、グループ ポリシー分析が役立ちます。 グループ ポリシー分析を使用すると、Intune でオンプレミスの GPO を置き換えることができます。 Windows 10/11 デバイスは、本質的にクラウド ネイティブです。 したがって、構成によっては、これらのデバイスはオンプレミスの Active Directory へのアクセスを必要としない場合があります。
オンプレミス AD への依存関係を削除する準備ができている場合は、グループ ポリシー分析を使用して GPO を分析することが最初の手順です。 一部の古い設定はサポートされていないか、クラウド ネイティブの Windows デバイスには適用されません。 GPO を分析すると、まだ有効な設定がわかります。
この機能は、以下に適用されます。
- Windows 11
- Windows 10
この記事では、オンプレミスの GPO をエクスポートし、GPO を Intune にインポートし、分析と結果を確認する方法について説明します。 インポートした GPO を Intune ポリシーに移行または転送するには、[ Microsoft Intune でインポートした GPO を使用して設定カタログ ポリシーを作成する] に移動します。
開始する前に
Microsoft Intune 管理センターで、Intune 管理者として、またはセキュリティ ベースラインとデバイス構成アクセス許可を持つロールでサインインします。 組み込みロールの詳細については、ロールベースのアクセス制御に関する記事を参照してください。
GPO を XML ファイルとしてエクスポートする
使用している GPMC のバージョンに応じて、サーバーで次の手順が異なる場合があります。 GPO をエクスポートするときは、必ず XML ファイルとしてエクスポートしてください。
オンプレミスのコンピューターで、
Group Policy Management
コンソール (GPMC.msc) を開きます。管理コンソールで、ドメイン名を展開します。
[グループ ポリシー オブジェクト] を展開して、使用可能なすべての GPO を表示します。
移行する GPO を右クリックし、[レポートの保存] を選択します。
エクスポート用に簡単にアクセスできるフォルダーを選択します。 [ファイルの種類] で、[XML ファイル]を選択します。 別の手順では、Intune のグループ ポリシー分析にこのファイルを追加します。
必ずファイルは 4 MB 未満とし、Unicode エンコードが正しいことを確認します。 エクスポートされたファイルが 4 MB を超える場合は、グループ ポリシー オブジェクトの設定の数を減らします。
GPO をインポートして分析を実行する
Microsoft Intune 管理センターで、[デバイス>管理デバイス>Group Policy analytics] を選択します。
[ インポート] を選択し、保存した XML ファイルを選択 >次へ。
複数のファイルを同時に選択できます。
個々の GPO XML ファイルのサイズを確認します。 1 つの GPO が 4 MB を超えることはできません。 1 つの GPO が 4 MB を超える場合、インポートは失敗します。 適切な Unicode が終了しない XML ファイルも失敗します。
[ スコープ タグ] で、インポートした GPO に適用する既存のスコープ タグを選択します。 既存のスコープ タグを選択しない場合は、 既定 のスコープ タグが自動的に使用されます。
選択したスコープ タグに含まれている管理者のみが、インポートされた GPO を表示できます。 インポートした GPO のスコープ タグの詳細については、「インポート 時にスコープ タグを選択 する」を参照してください (この記事で)。
[次へ]>[作成] を選択します。
[ 作成] を選択すると、Intune によって XML ファイル内の GPO が自動的に分析されます。
分析が実行された後、インポートした GPO の一覧に次の情報が表示されます:
グループ ポリシー名: 名前は GPO の情報を使用して自動的に生成されます。
Active Directory ターゲット: ターゲットは、GPO の組織単位 (OU) ターゲット情報を使用して自動的に生成されます。
MDM サポート: Intune で同じ設定を持つ GPO のグループ ポリシー設定の割合を表示します。
注:
Microsoft Intune 製品チームでマッピングに変更を加えるたびに、MDM サポートの割合が自動的に更新され、変更が反映されます。
不明な設定: 分析できない CSP がいくつかあります。 不明な設定 分析できない GPO の一覧が表示されます。
AD で対象指定: [はい] は、GPO がオンプレミスのグループ ポリシーの OU にリンクされていることを意味します。 [いいえ] は、GPO がオンプレミスの OU にリンクされていないことを意味します。
最後のインポート: 最後にインポートした日付を表示します。
分析用にさらに多くの GPO を [インポート] したり、ページを [最新の情報に更新] したり、出力を [フィルター] 処理したりできます。 また、このビューを
.csv
ファイルに [エクスポート] することもできます。一覧表示されている GPO の [MDM サポート] のパーセンテージを選択します。 GPO に関するさらに詳細な情報が表示されます:
設定名: GPO 設定の情報を使用して、名前が自動的に生成されます。
グループ ポリシー 設定カテゴリ: Internet Explorer や Microsoft Edge などの ADMX 設定の設定カテゴリを表示します。 設定カテゴリのない設定もあります。
MDM サポート:
- [はい ] は、Intune で使用できる一致する設定があることを意味します。 この設定は、設定カタログで構成できます。
- [いいえ] は、Intune などの MDM プロバイダーに使用可能な一致する設定がないことを意味します。
- その他の値: サポートされなくなった古い設定をインポートする場合は、サポートされている新しいバージョンへの移行が提案されます。 移行シナリオの詳細については、「 Intune でインポートされた GPO - 知っておくべきこと」を参照してください。
値: GPO からインポートされた値を表示します。
true
、900
、Enabled
、false
など、異なる値が表示されます。範囲: インポートされた GPO がユーザーまたはターゲット デバイスを対象としているかどうかを示します。
最小 OS バージョン: GPO 設定が適用される Windows OS バージョンの最小ビルド番号を表示します。
18362
(1903)、17130
(1803)、およびその他の Windows クライアント バージョンを表示できます。たとえば、ポリシー設定で
18362
が示されている場合、その設定ではビルド18362
以降のビルドがサポートされます。CSP 名: 構成サービス プロバイダー (CSP) は、Windows クライアントでデバイス構成設定を公開します。 この列では、設定が含まれる CSP が示されます。 たとえば、ポリシー、BitLocker、PassportforWork などが表示されます。
CSP リファレンスには、使用可能な CSP の一覧、サポートされている OS エディションなどが表示されています。
CSP マッピング: オンプレミス ポリシーの OMA-URI パスを表示します。 OMA-URI は、カスタム デバイス構成プロファイルで使用できます。 たとえば、
./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption
が表示される場合があります。
MDM をサポートする設定については、これらの設定を使用して設定カタログ ポリシーを作成できます。 特定の手順については、「 Microsoft Intune でインポートした GPO を使用して設定カタログ ポリシーを作成する」を参照してください。
インポート時にスコープ タグを選択する
GPO をインポートするときに、既存のスコープ タグを選択できます。 スコープ タグを選択しない場合は、 既定 のスコープ タグが自動的に使用されます。 既定のスコープ タグにスコープを設定した管理者のみが、インポートされた GPO を表示できます。 既定のスコープ タグにスコープが設定されていない管理者には、インポートされた GPO は表示されません。
この動作は、GPO をインポートするときに選択したスコープ タグに適用されます。 管理者は、インポート中に同じスコープ タグのいずれかが選択されている場合にのみ、インポートされた GPO を表示します。 管理者がスコープ タグを持っていない場合、レポートまたは GPO の一覧にインポートされた GPO が表示されません。
たとえば、管理者には、ロールに Charlotte
、 London
、または Boston
スコープ タグが割り当てられています。
- "Charlotte" スコープ タグを持つ管理者が GPO をインポートします。
- インポート中に、"Charlotte" スコープ タグを選択します。 "Charlotte" スコープ タグは、インポートされた GPO に適用されます。
- "Charlotte" スコープ タグを持つすべての管理者は、インポートされたオブジェクトを表示できます。
- "London" または "Boston" スコープ タグのみを持つ管理者は、"Charlotte" 管理者からインポートされたオブジェクトを表示できません。
管理者が分析を確認したり、インポートした GPO を Intune ポリシーに移行したりするには、インポート中に同じスコープ タグのいずれかが選択されている必要があります。
スコープ タグの詳細については、「 分散 IT の RBAC とスコープ タグ」を参照してください。
サポートされている CSP とグループ ポリシー
グループ ポリシー分析では、MDM サポートのために次の CSP を解析できます。
インポートした GPO に、サポートされている CSP とグループ ポリシーに含まれていない設定がある場合は、[ 不明な設定] 列に設定が一覧表示される可能性があります。 この動作は、GPO で設定が識別されたという意味です。
グループ ポリシー分析では CSP を解析できますが、インポートした GPO を移行するときに知っておくべきことがあります。 詳細については、「 インポートした GPO を設定カタログ ポリシーに移行する - 知っておくべきこと」を参照してください。
グループ ポリシー移行準備レポート
Microsoft Intune 管理センターで、[レポート>デバイス管理>Group ポリシー分析] を選択します。
[概要] タブには、GPO とそのポリシーの概要が表示されます。 この情報を使用して、GPO でのポリシーの状態を確認します:
移行準備完了: ポリシーには Intune に一致する設定があり、Intune に移行する準備ができました。
サポートされていない: ポリシーに一致する設定がありません。 通常、この状態を示すポリシー設定は、Intune などの MDM プロバイダーに公開されません。
非推奨: ポリシーは、古い Windows バージョン、古い Microsoft Edge バージョン、および使用されなくなったその他のポリシーに適用できます。
注:
Microsoft Intune 製品チームがマッピング ロジックを更新すると、インポートされた GPO が自動的に更新されます。 GPO を再報告する必要はありません。
[レポート] タブ>[グループ ポリシーの移行準備] を選択します。 このレポートでは、次のことができます。
- デバイス構成プロファイルで構成できる GPO の設定の数を確認します。 また、設定をカスタム プロファイルに含めることができるか、サポートされていないか、非推奨とされているかも示されます。
- [移行の準備]、[プロファイルの種類]、[CSP 名] の各フィルターを使用して、レポート出力をフィルター処理します。
- [レポートの生成] または [再生成] を選択して、最新のデータを取得します。
- GPO に含まれる設定の一覧を確認します。
- 検索バーを使用して特定の設定を探します。
- レポートが最後に生成されたときのタイムスタンプを取得します。
注:
インポートした GPO を追加または削除した後、移行準備レポートのデータが更新されるまでに約 20 分かかることがあります。
既知の問題
現在、グループ ポリシー分析ツールでは、英語の ADMX 以外の設定のみがサポートされています。 英語以外の言語の設定を含む GPO をインポートする場合、 MDM サポート の割合は不正確です。
製品に関するフィードバックを送信する
グループ ポリシー分析に関するフィードバックを提供できます。 Microsoft Intune 管理センターで、[デバイス>管理デバイス>Group Policy analytics>Got フィードバック] を選択します。
フィードバック領域の例:
- GPO のインポートまたは分析でエラーを受け取りましたが、さらに具体的な情報が必要です。
- Microsoft Intune でグループ ポリシー分析を使用し、サポートされているグループ ポリシーを見つけることの難易度はどれほどですか?
- このツールは、一部のワークロードを Intune に移行するのに役立ちますか? はいの場合、どのワークロードを検討していますか。
カスタマー エクスペリエンスに関する情報を取得するために、フィードバックが集計され、Microsoft に送信されます。 電子メールの入力は省略可能であり、詳細情報を取得するために使用できます。
プライバシーとセキュリティ
組織が使用する GPO など、顧客データの使用はすべて集計されます。 サードパーティに販売されることはありません。 このデータは、Microsoft 内でのビジネス上の意思決定に使用される場合があります。 顧客データは安全に保存されます。
インポートされた GPO はいつでも削除できます。
[デバイス>管理デバイス>グループ ポリシー分析] に移動します。
コンテキスト メニュー >Delete を選択します。
次の手順
関連項目
構成サービス プロバイダー (CSP) の詳細を確認する。