Intune デバイス コンプライアンス ポリシーの結果を監視する

コンプライアンス レポートは、デバイスが コンプライアンス ポリシー を満たしていないタイミングを理解するのに役立ち、組織内のコンプライアンス関連の問題を特定するのに役立ちます。 これらのレポートを使用し、次に関する情報を表示できます。

  • デバイスの総合的なコンプライアンス状態
  • 設定別のコンプライアンス状態
  • ポリシー別のコンプライアンス状態
  • 個々のデバイスにドリルダウンし、デバイスに影響を与えている特定の設定やポリシーを表示する

この記事は、次の項目に適用されます:

  • Android デバイス管理者
  • Android オープン ソース プラットフォーム (AOSP)
  • Android Enterprise
  • iOS/iPadOS
  • Linux - Ubuntu Desktop、バージョン 20.04 LTS、22.04 LTS
  • macOS
  • Windows 10 以降

重要

Microsoft Intune は、2024 年 12 月 31 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。

Intune には、デバイスのコンプライアンスの詳細を確認するための次のオプションが含まれています。

  • デバイス コンプライアンスの状態ダッシュボード
  • ポリシー ベースのデバイス コンプライアンス レポート
  • 組織と運用のコンプライアンス レポート

デバイス コンプライアンス ポリシーと状態結果の重要な概念

コンプライアンス状態の詳細とレポートを表示する場合は、デバイスのコンプライアンス状態の報告方法に影響する可能性がある次の重要な詳細に注意してください。

  • デバイスのコンプライアンス ポリシーを受け取るには、Intune にデバイスを登録する必要があります。

  • テナント全体のコンプライアンス ポリシー設定には、[コンプライアンス ポリシーが割り当てられていないデバイスをマークする] 設定が含まれます。 既定の構成では、コンプライアンス ポリシーが割り当てされていないデバイスが 準拠としてマークされます。 これらのデバイスが 非準拠としてマークされるように、この設定を構成することをお勧めします。 その後、 コンプライアンス ポリシー組織レポートのないデバイスで、準拠していないデバイスを特定できます。

  • コンプライアンス レポートには、デバイス上の最後のユーザーのコンプライアンス状態が表示されます。 デバイスを対象とするポリシーの場合、デバイスの最後のコンプライアンス チェック中にユーザーがサインインしていない場合は、レポートにユーザー プリンシパル名として システム アカウント が表示されます。

デバイス コンプライアンス ダッシュボード

Microsoft Intune 管理センターのデバイス コンプライアンス ダッシュボードにアクセスできます。

  1. [デバイス>コンプライアンス] に移動し、[モニター] タブを選択します。
  2. テナントでのデバイス コンプライアンスの状態の詳細については、次のレポート オプションから選択します。

デバイスの準拠の状態

[ デバイスのコンプライアンス状態] タイルには、Intune に登録されているすべてのデバイスのコンプライアンス状態が表示されます。 このタイルを選択すると、Intune には管理センターの [デバイス>Monitor] ノードにも表示される非準拠デバイス レポートが表示されます。

タイルには、次のカテゴリごとにデバイスの数が表示されます。

  • 準拠: デバイスにデバイス コンプライアンス ポリシーが 1 つ以上、正しく適用されています。

  • 猶予期間: デバイスは、1 つ以上のデバイス コンプライアンス ポリシー設定を対象としますが、それらのすべてにまだ準拠していません。 多くの場合、これは、ユーザーがパスワードの複雑さの要件を満たすなど、準拠した構成を適用していないためです。 この状態のデバイスは非準拠ですが、管理者によって定義された猶予期間にあります。

コンプライアンス非対応のデバイスに対する措置はこちらでご覧ください。

  • 評価されていません: 新しく登録されたデバイスの最初の状態です。 この状態になるその他の原因としては、次が考えられます。

    • コンプライアンス ポリシーが割り当てられず、コンプライアンスを確認するトリガーがないデバイス。
    • コンプライアンス ポリシーが最後に更新されてからチェックインされていないデバイス。
    • 次などのように、デバイスが特定のユーザーに関連付けられていない
      • ユーザー アフィニティがない Apple のデバイス登録プログラム (DEP) を通じて購入された iOS/iPadOS デバイス。
      • Android キオスクまたは Android Enterprise 専用デバイス。
    • デバイス登録マネージャー (DEM) アカウントで登録されているデバイス。
  • 準拠していない: デバイスが 1 つ以上のデバイス コンプライアンス ポリシー設定を適用できなかったか、ユーザーがポリシーに準拠していません。

コンプライアンスのないデバイス

[ コンプライアンス ポリシーなしデバイス] タイルには、コンプライアンス ポリシーが割り当てられないデバイスの数が表示されます。 このタイルにはデバイスの数のみが表示されるため、管理センター ビューではタイル名が切り捨てられることがよくあります。

[コンプライアンス ポリシーなしデバイス] タイルの画像。

このタイルを選択すると、Intune には、コンプライアンス ポリシーを持たない各デバイスの一覧が表示される [デバイス の状態 ] ビューが表示されます。 このビューには、 デバイス 名、デバイスに関連付けられている ユーザー プリンシパル名 、デバイス コンプライアンス 状態デバイス モデルが含まれます。

ヒント

Intune には、コンプライアンス ポリシーが割り当てられていないテナント内のすべてのデバイスを識別する組織レポートが含まれています。 「コンプライアンス ポリシーのないデバイス (組織)」を参照してください。

ポリシー ベースのデバイス コンプライアンス レポート

直接作成する各コンプライアンス ポリシーは、コンプライアンス レポートをサポートします。 個々のポリシーのレポートを表示するには、管理センターで [デバイス>コンプライアンス] に移動します。 次に、レポートの詳細を表示するポリシーを選択します。

既定では、ポリシーを選択すると、Intune によってそのポリシーの [モニター] タブが開き、Intune に次の情報が表示されます。

  • デバイスの状態 - このポリシーを受け取るデバイスの基本的なコンプライアンス状態を識別する単純な棒グラフ。
  • レポートの表示 - 選択できるボタンを選択すると、デバイスの状態レポートが開き、このポリシーに対するデバイスのコンプライアンスに関する詳細を表示できます。
  • 設定ごとの状態 - このポリシーの設定ごとの状態レポートを開くタイルを選択できます。

コンプライアンス ポリシーを選択した後の Intune 管理センターの表示。

ヒント

[プロパティ] タブには、名前やプラットフォームの種類など、ポリシーに関する重要な情報が表示されます。 また、そのポリシー内の各設定の構成に関する情報も含まれます。 このタブでは、設定や割り当てなどのポリシーの詳細を編集できます。

デバイスの状態

[デバイスの状態の概要] は、コンプライアンス ポリシーを選択するときに使用できる既定のビューです。 この概要は、特定のデバイス コンプライアンス状態を報告するデバイスの数を示す単純なグラフです。 水平バーは、各カテゴリのデバイスの数に比例して、使用可能なカテゴリから色に分割されます。 前の画面キャプチャでは、すべてのデバイスが準拠しています。 その結果、表示バーは完全に緑色になります。

このグラフ ビューでデバイスを表す前に、デバイスが Intune にチェックインしてポリシーを受信し、処理し、状態を正常に報告する必要があります。 このプロセスは、デバイスがオンラインの場合、最大 24 時間かかる場合があります。

[デバイスの状態] グラフの詳細は次のとおりです。

  • [準拠] - デバイスが 1 つ以上のデバイス コンプライアンス ポリシー設定を正常に適用しました。
  • 非準拠 - デバイス構成が 1 つ以上のデバイス コンプライアンス ポリシー設定を満たしていません。
  • その他 - デバイスは、このポリシーの設定に準拠していない状態または非準拠の状態です ( [エラー][評価されていません] など)。
  • Total - このポリシーを受信して報告したデバイスの合計数。

詳細を表示するには、[ レポートの表示 ] ボタンを選択します。

レポートを表示する

ポリシーのデバイス状態ビューで [ レポートの表示 ] ボタンを選択すると、そのポリシーのデバイスの状態の詳細なビューが Intune に表示されます。

Intune 管理センターで [レポートの表示] ボタンを選択した後、詳細なデバイス状態レポートを表示します。

既定では、レポート ビューには次の詳細が表示されますが、詳細列をビューに追加できます。

  • デバイス名 - デバイス を表示してグループを作成するときに表示されるデバイスの名前。
  • ログインユーザー
  • ポリシー コンプライアンスの状態 - この状態は、デバイスがこのポリシーに準拠しているが、他のコンプライアンス ポリシーに対するデバイスのコンプライアンスを表していないかどうかを識別します。 デバイスは、別のポリシーに準拠していない場合でも、Intune によって非準拠と見なされる可能性があります。
  • デバイス ID - デバイスの Intune デバイス ID。
  • OS - WindowsAndroid などのデバイスのオペレーティング システム。
  • 最後に接続された - このデバイスが Intune サービスに接続した最後の日付と時刻。

このレポート ビューでは、次の操作を行います。

  • 各列はアルファベット順に並べ替えることができます。
  • フィルターを構成し、検索文字列を指定してレポートの結果を絞り込むことができます。 検索では、表示されているすべての列が検索されます。

たとえば、前のポリシー レポート ビューで st1 の検索文字列を入力すると、[ デバイス名 ] 列と [ログインユーザー ] 列の両方に表示されます。 結果のビューには、 st1 を含む両方のデバイスと、ユーザー名に st1 を持つユーザーに関連付けられている各デバイスが表示されます。

デバイス状態レポート ビューのフィルター処理された検索結果を示す画面キャプチャ。

設定ごとの状態

コンプライアンス ポリシーを選択した後、[ 設定ごとの状態 ] タイルを選択して、ポリシー設定のデバイス コンプライアンスの状態を確認できます。 このビューには、レポートできるさまざまな状態条件の列を使用してポリシーによって構成される設定が表示されます。 各設定について、各状態列には、その状態を報告するデバイスの数が表示されます。

次の図は、Android デバイスのポリシーの設定ごとのビューを表示します。 このポリシーには 1 つの設定が含まれており、4 つのデバイスに展開されました。そのすべてがその設定に準拠しています。 このビューでは、列を選択するか、検索を使用して並べ替えることができます。

Intune 管理センターで [レポートの表示] ボタンを選択した後の、詳細な設定ごとの状態レポートを示すスクリーン ショット。

設定ごとのビューから、任意の状態列からデバイス数を選択して、その特定の設定と状態の詳細を含むビューを開くことができます。 次の図は、[準拠しているデバイス] 列から数値 4 を選択した結果を示しています。

設定ごとの状態の結果にドリルインした結果を表示し、その状態を報告したデバイスの詳細を表示するスクリーン ショット。

スクリーンショットには、選択した設定に対して 4 つのエントリがあり、各エントリは個別のデバイスを表しています。 このデバイス数は、初期状態ごとのビューの初期カウントと一致します。

st1 で始まる名前を持つ 1 つのデバイスが、[ デバイス コンプライアンス ] 列に [ 準拠していない] としてフラグが設定されていることがわかります。 この結果は、より詳しく調べる価値があります。

  • [デバイスコンプライアンス] 列の詳細は、デバイスの全体的なコンプライアンス状態を表し、必ずしもこのポリシーまたはこのポリシーのこの設定に対するデバイスのコンプライアンスではありません。
  • このデバイスは、このポリシーの設定に準拠していると報告されたデバイスの一覧を表示するため、このポリシーでこの設定を構成する方法に準拠していることを確認できます。
  • この結果は、デバイスが他のポリシーに対するコンプライアンスに失敗していることを示します。

このドリルイン ビューではより詳細なドリル スルーがサポートされていないため、使用できる他のコンプライアンス レポートを使用して、どのポリシーを決定し、デバイスが非準拠としてレポートするかを設定する必要があります。

コンプライアンス設定が [エラー] 状態のデバイスの動作

コンプライアンス ポリシーの設定で [エラー] の値が返された場合、デバイスのコンプライアンス状態は最大 7 日間変更されず、その設定に対してコンプライアンス計算が正しく完了するまでの時間を確保できます。 この 7 日以内に、コンプライアンス ポリシー設定が [準拠] または [非準拠] として評価されるまで、デバイスの既存のコンプライアンス状態は引き続き適用されます。 7 日後も設定の状態が [エラー ] である場合、デバイスは [準拠していません] になります。または、コンプライアンス ポリシーに猶予期間が設定されている場合、デバイスは [猶予期間] とマークされます。

:

  • デバイスは最初は [準拠] とマークされますが、その後、デバイスを対象とするコンプライアンス ポリシーの 1 つの設定で [エラー] が報告されます。 3 日後、コンプライアンス評価は正常に完了し、設定で [非準拠] と報告されます。 ユーザーは、設定状態が [エラー] に変更された後、最初の 3 日以内にデバイスを使用して条件付きアクセスによって保護されたリソースにアクセスし続けることができますが、設定が [非準拠] に戻ると、デバイスは [非準拠] とマークされ、デバイスが再び [準拠] になるまでこのアクセスが削除されます。

  • デバイスは最初は [準拠] とマークされますが、その後、デバイスを対象とするコンプライアンス ポリシーの 1 つの設定で [エラー] が報告されます。 3 日後、コンプライアンスの評価が正常に完了すると、設定は [準拠] を返し、デバイスのコンプライアンス状態は [準拠] になります。 ユーザーは、中断することなく、条件付きアクセスで保護されたリソースに引き続きアクセスできます。

  • デバイスは最初は [準拠] とマークされますが、その後、デバイスを対象とするコンプライアンス ポリシーの 1 つの設定で [エラー] が報告されます。 ユーザーは条件付きアクセスによって保護されたリソースに 7 日間アクセスできますが、7 日後もコンプライアンスの状態では引き続き [エラー] を返します。 この時点で、デバイスはすぐに 準拠しなくなり 、デバイスが準拠するまで、ユーザーは保護されたリソースへのアクセスを失 います

  • デバイスは最初は [準拠] とマークされますが、その後、デバイスを対象とするコンプライアンス ポリシーの 1 つの設定で [エラー] が報告されます。 [エラー] 状態の設定を含むコンプライアンス ポリシーには猶予期間が設定されています。 ユーザーは条件付きアクセスによって保護されたリソースに 7 日間アクセスできますが、7 日後もコンプライアンスの状態では引き続き [エラー] を返します。 この時点で、デバイスは 猶予期間に マークされ、ユーザーは保護されたリソースに引き続きアクセスできます。 管理者が指定した猶予期間に設定が準拠していない場合、デバイスは [非準拠] になり、デバイスが準拠状態になるまで、ユーザーは保護されたリソースへのアクセスを失います

  • デバイスは最初は [非準拠] とマークされますが、デバイスを対象とするコンプライアンス ポリシーの 1 つの設定で [エラー] が報告されます。 3 日後、コンプライアンスの評価が正常に完了すると、設定は [準拠] を返し、デバイスのコンプライアンス状態は [準拠] になります。 ユーザーは、最初の 3 日間は、条件付きアクセスで保護されたリソースにアクセスできません (この設定では [エラー] が返されます)。 設定で [準拠] を返し、デバイスが [準拠] とマークされると、ユーザーはデバイス上の保護されたリソースにアクセスできるようになります。

組織と運用のコンプライアンス レポート

個々のコンプライアンス ポリシーを通じて利用できるレポートに加えて、コンプライアンス ポリシーの設定に焦点を当てたデバイス コンプライアンスのレポートを表示できます。これは、準拠していないすべてのデバイスを一覧表示し、コンプライアンスの傾向に関する分析情報を提供します。

これらのレポートを表示するには、Intune 管理センターを開き、[レポート>デバイスコンプライアンス] に移動し、[レポート] タブを選択します。

これらのレポートの詳細については、Intune レポートに関する記事の「デバイス コンプライアンス レポート」を参照してください。

その他のコンプライアンス レポート

[コンプライアンスの状態] タブと管理センターの [レポート] ノードからのレポートに加えて、次の古いコンプライアンス レポートを使用できます。

  • 非準拠デバイス
  • ポリシーに準拠していない

[デバイス>監視] に移動して、これらのレポートにアクセスします。 表示を高速化するために、[ カテゴリ ] 列を並べ替え、[ コンプライアンス ] タグを含むレポートを探します。

Intune のポリシー競合の解決方法

複数の Intune ポリシーを 1 つのデバイスに適用すると、ポリシーの競合が発生する可能性があります。 ポリシーの設定が重複した場合、Intune では次のルールを使用して競合を解決します。

  • Intune 構成ポリシーの設定とコンプライアンス ポリシーの設定が競合している場合、コンプライアンス ポリシーの設定が構成ポリシーの設定よりも優先されます。 この結果は、構成ポリシーの設定の安全性が高い場合でも発生します。

  • 複数の準拠ポリシーを展開した場合、Intune ではその中で最も安全なポリシーが使用されます。

ポリシーの競合解決の詳細については、「 競合するコンプライアンスポリシーとデバイス構成ポリシー」を参照してください。

次の手順

コンプライアンス ポリシーの概要