Microsoft Intune でセキュリティのベースラインとプロファイルを監視する

Intune には、セキュリティ ベースラインを監視するためのオプションがいくつか用意されています。 次の操作を実行できます。

• セキュリティのベースライン、および推奨値と一致する (または一致しない) デバイスを監視します。
• ユーザーとデバイスに適用されるセキュリティのベースライン プロファイルを監視します。
• 選択したプロファイルが、選択したデバイスでどのように設定されているかを表示します。

[デバイス構成] レポートを表示し、どのデバイス構成ベースのポリシーがセキュリティ ベースラインを含む個々のデバイスに適用されているかを参照することもできます。

この機能の詳細については、Intune のセキュリティ ベースラインに関するページを参照してください。

ベースラインとデバイスを監視する

デプロイしたセキュリティ ベースライン プロファイルを選択すると、そのベースラインを受け取ったデバイスのセキュリティ状態に関する分析情報を得ることができます。 これらの分析情報を表示するには、 Microsoft Intune 管理センターにサインインし、[ エンドポイント セキュリティ>セキュリティ ベースライン ] に移動し、 Microsoft 365 Apps for Enterprise セキュリティ ベースラインのようなセキュリティ ベースラインの種類を選択します。 次に、[ プロファイル ] ウィンドウから、詳細を表示するプロファイル インスタンスを選択して、プロファイル ダッシュボード ビューを開きます。

このダッシュボード ビューには、次のものが含まれます。

• 既定のレポート 、 デバイスとユーザーのチェックイン状態の概要。
• 詳細については、[ レポートの表示 ] オプションを使用してドリルインします。
• 2 つの追加のレポート タイル:
  • デバイス割り当ての状態
  • 設定の状態ごと
• セキュリティ ベースラインの構成を確認および編集できる [プロパティ] リスト。

概要ビュー

この概要は、ベースラインの特定の状態結果を報告するデバイスの数を示す単純なグラフです。 水平バーは、各カテゴリのデバイスの数に比例して、使用可能なカテゴリから色に分割されます。 前の画面キャプチャでは、1 つのデバイスがポリシーを処理し、成功を報告しました。 その結果、表示バーは完全に緑色になります。

レポートを表示する

[ レポートの表示 ] ボタンを選択すると、Intune には、このベースライン インスタンスの デバイスとユーザーのチェックイン状態 のより詳細なビューが表示されます。 レポートを初めて開くと、[レポートの 生成] を選択するまで空になり、その後に情報が表示されます。

上の画像には、ダッシュボード ビューから同じベースラインの初期 ビュー レポート 結果が表示されます。 このビューは、 割り当て状態 が [保留中] の他の 2 つのデバイスがあることを示しています。これは、このベースラインの状態がまだ返されていないことを意味します。

特定の 割り当て状態 の値に対してこのレポート ビューをフィルター処理し、[生成] をもう 一度 選択して、表示される結果を更新できます。 使用可能な列を並べ替えることもできます。

[ デバイス 名] 列からデバイスの名前を選択した場合、Intune には [プロファイル設定] ビューが表示され、セキュリティ ベースラインの各設定のデバイスの状態結果を表示できます。 次に、[プロファイル設定] ページから設定を選択して詳細を表示できます。これは、デバイスが [成功] 以外の設定の結果を報告するときに役立ちます。

次の図では、ベースラインの成功を示す唯一のデバイスであるEAGLE003でドリル インし、アドオン 管理の設定を選択します。

[設定の詳細] ウィンドウには、このデバイスに割り当てられている各プロファイルが表示され、同じ設定も構成されます。

このデバイスの場合、アドオン管理設定を管理するソース プロファイルは 1 つだけです。 この設定を構成した他のプロファイルがある場合は、それらのプロファイルもソース プロファイルとして一覧表示されます。

この設定が競合している場合、このビューは他のプロファイルを特定するのに役立ちます。これにより、一貫性のある構成または後のベースライン プロファイルの割り当てを調整して競合を削除できます。

デバイス割り当て状態レポート

[ デバイス割り当ての状態 ] タイルを選択して、このレポートを表示します。 このレポートでは、次の操作を行います。

• 結果は、デバイス とユーザーのチェックイン状態レポートと 同様に、デバイスの一覧です。
• このページでデバイスを選択すると、デバイスの [プロファイル設定] ビューが開きます。これは、[レポートの表示] ボタンからアクセスするメイン レポートのドリルインから確認できるビューと同じです。 ただし、割り当て状態が [保留中] のデバイスには、表示する結果はありません。
• このビューから設定を選択すると、[設定の詳細] ウィンドウが開きます。これは、メインのレポートドリルインと同じです。

設定ごとの状態レポート

[ 設定ごとの状態 ] タイルを選択して、このレポートを表示します。 このレポートには、プロファイル内の設定の一覧が表示され、各デバイスの状態 (成功、エラー、競合を報告するデバイスの数など) の結果の数が表示されます。

このビューでは、ドリルインはサポートされません。 代わりに、エラーまたは競合している設定を追求するために、他のレポートとビューを使用できます。 たとえば、エラーまたは競合を報告した可能性のあるデバイスの詳細を確認するには、[ デバイスの割り当て状態 ] タイルを開き、そのレポートのレポートの状態の範囲を指定して、調査中の状態のみを表示します。 その後、そのレポートを使用して引き続きドリルインして、関連する詳細を実行できます。

プロパティ

ダッシュボードのレポート セクションの下には、プロファイルの [プロパティ ] ビューがあります。 [プロパティ] から、次のことができます。

• プロファイルの各ページの構成を表示します。
• プロファイルに指定したフレンドリ名、その割り当て、プロファイル設定など、プロファイルの構成を編集します。

2023 年 5 月より前にリリースされたベースライン バージョンのプロファイルを監視する

ベースラインを監視すると、Microsoft の推奨事項に基づいて、デバイスのセキュリティ状態に関する分析情報が得られます。 これらの分析情報を表示するには、 Microsoft Intune 管理センターにサインインし、[ エンドポイント セキュリティ>セキュリティ ベースライン ] に移動し、セキュリティ ベースラインの種類 ( Windows 10 以降のセキュリティ ベースラインなど) を選択します。 次に、[バージョン] ウィンドウで、詳細を表示するプロファイル インスタンスを選択して、その [概要] ウィンドウを開きます。

[概要] ウィンドウには、選択したベースラインの 2 つの状態ビューが表示されます。

• セキュリティ ベースラインのポスチャ グラフ - このグラフには、ベースライン バージョンのデバイスの状態に関する概要が表示されます。 利用可能な詳細は次のとおりです。

  • Matches default baseline\(既定のベースラインと一致\) – この状態は、デバイスの構成が既定 (未変更) のベースライン構成と一致するときに示されます。
  • Matches custom settings\(カスタム設定と一致\) – この状態は、デバイスの構成が展開したベースラインのカスタマイズしたバージョンと一致するときに示されます。
  • 間違った構成 – この状態は、デバイスの次の 3 つの状態条件を表すロール アップです: エラー、保留中、または 競合。 これらの個別の状態は、このグラフの下に表示されるリスト ビュー、"カテゴリ別のセキュリティ ベースライン ポスチャ" などの他のビューから使用できます。
  • 適用できません - この状態は、ポリシーを受信できないデバイスを表します。 たとえば、最新バージョンの Windows に固有の設定はポリシーによって更新されますが、デバイスでは、その設定がサポートされていない古い (以前の) バージョンが実行されます。

• カテゴリ別のセキュリティ ベースライン ポスチャ - カテゴリ別にデバイスの状態を表示するリスト ビューです。 このリスト ビューでは、"セキュリティ ベースラインのポスチャ" グラフと同じ詳細を使用できます。 ただし、 誤って構成された の代わりに、誤って構成された状態を構成する状態の列は 3 つあります。

  • エラー: ポリシーを適用できませんでした。 メッセージは通常、説明のリンクを含むエラー コードと共に表示されます。
  • 競合: 2 つの設定が同じデバイスに適用されます。Intune では競合に対処できません。 管理者が確認する必要があります。
  • 保留中: デバイスはまだ、ポリシーを受信するために Intune でチェックインしていません。

上記の 2 つのビューにドリルインすると、設定の状態とデバイスの状態のリスト ビューについて、次の詳細情報を確認できます。

• 成功: ポリシーが適用されます。
• エラー: ポリシーを適用できませんでした。 メッセージは通常、説明のリンクを含むエラー コードと共に表示されます。
• 競合: 2 つの設定が同じデバイスに適用されます。Intune では競合に対処できません。 管理者が確認する必要があります。
• 保留中: デバイスはまだ、ポリシーを受信するために Intune でチェックインしていません。
• 適用できない: デバイスがポリシーを受信できません。 たとえば、最新バージョンの Windows に固有の設定はポリシーによって更新されますが、デバイスでは、その設定がサポートされていない古い (以前の) バージョンが実行されます。

[バージョン] ビューで、[デバイスの状態] を選択できます。 [デバイスの状態] ビューには、このベースラインを受信するデバイスのリストが表示されます。リストには次の詳細が含まれています。

• [ユーザー プリンシパル名] - デバイスのベースラインに関連付けられているユーザー プロファイル。
• [セキュリティ ベースラインのポスチャ] - この列には、デバイスの状態が表示されます。
  • 成功: ポリシーが適用されます。
  • エラー: ポリシーを適用できませんでした。 メッセージは通常、説明のリンクを含むエラー コードと共に表示されます。
  • 競合: 2 つの設定が同じデバイスに適用されます。Intune では競合に対処できません。 管理者が確認する必要があります。
  • 保留中: デバイスはまだ、ポリシーを受信するために Intune でチェックインしていません。
  • 適用できない: デバイスがポリシーを受信できません。 たとえば、最新バージョンの Windows に固有の設定はポリシーによって更新されますが、デバイスでは、その設定がサポートされていない古い (以前の) バージョンが実行されます。
• [最後のチェックイン] - デバイスから状態を最後に受信した日時。

プロファイルを監視する

プロファイルを監視すると、デバイスの展開状態に関する分析情報を得られますが、ベースラインの推奨事項に基づくセキュリティ状態に関する分析情報は得られません。

1. Intune で、[エンドポイント セキュリティ>セキュリティ ベースライン] を選択し、セキュリティ ベースラインの種類 (Windows 10 以降のセキュリティ ベースラインなど) を選択>そのベースライン>プロパティのインスタンスを選択します。

2. ベースラインの [プロパティ ] で、[ 設定] を展開してドリルインし、ベースラインのこのインスタンスの構成を含め、ベースライン内のすべての設定カテゴリと個々の設定を表示します。

   

3. 個々のデバイスのプロファイルの展開状態、各ユーザーの状態、およびベースラインのインスタンスからの設定の状態を表示するには、[監視] のオプションを使用します。

   

セキュリティ ベースラインの競合を解決する

セキュリティ ベースライン プロファイルまたはエンドポイントのセキュリティ ポリシーの設定の競合またはエラーを解決するには、デバイスの [デバイス構成] レポートを表示します。 このレポートのビューは、プロファイルとポリシーに、状態が競合またはエラーになる設定が含まれている場所を特定するのに役立ちます。

Microsoft Intune 管理センター内から 2 つのパスを通じて、競合またはエラーの設定に関する情報にアクセスすることもできます。

• エンドポイント セキュリティ>セキュリティ ベースライン>基準計画の種類を選択します>プロファイル>ベースライン インスタンスを選択します>デバイスの状態。
• [デバイス]>[すべてのデバイス]>デバイスを選択>[デバイスの構成]>ポリシーを選択>設定のリストから [競合] または [エラー] が示されている設定を選択。

ドリルインして競合を特定し解決する

1. デバイスの [デバイス構成] レポートを表示しているときに、ドリルインするプロファイルを選択して、競合またはエラー状態の原因となる問題の詳細を確認します。

   ドリルインすると、Intune によって、未構成として設定されなかった各設定と、その設定の状態を含む、そのポリシーの設定のリストが表示されます。

2. 特定の設定の詳細を表示するには、その設定を選択して [設定の詳細] ウィンドウを開きます。 このウィンドウでは、次の情報を表示できます。

   • [設定] – 取得する設定の名前。
   • [状態] – デバイスの設定の状態。
   • [ソース プロファイル] – 同じ設定を構成するが値が異なる各競合プロファイルのリスト。

3. 競合するプロファイルを再構成するには、[ソース プロファイル] のリストからレコードを選択して、そのプロファイルに関する [概要] を開きます。 プロファイルの [プロパティ] を選択すると、そのプロファイルの設定を確認して編集し、競合を解消することができます。

デバイスに適用されるプロファイルの設定を表示する

セキュリティ ベースラインのプロファイルを選択し、ドリルインすると、個々のデバイスに適用されるそのプロファイルの設定の一覧を表示できます。 ドリルインするには:

• エンドポイント セキュリティ>すべてのデバイス>デバイスを選択します> デバイス構成 >ベースライン ポリシー インスタンスを選択します。

ドリルインすると、管理センターに、そのプロファイルの設定と設定の状態のリストが表示されます。 次の状態が含まれます。

• 成功 – デバイスの設定は、プロファイルで構成されている値と一致します。 これは、ベースラインの既定値と推奨値、またはプロファイルの構成時に管理者によって指定されたカスタム値のいずれかです。
• 競合 – 設定が別のポリシーと競合しているか、エラーが発生しているか、更新が保留されています。
• エラー - 設定を適用できませんでした。

設定ごとの状態を使用したトラブルシューティング

セキュリティのベースラインを展開しましたが、展開状態にエラーが表示されます。 次の手順では、エラーのトラブルシューティングに関するガイダンスをいくつか紹介します。

1. Intune で、[エンドポイント セキュリティ>セキュリティ ベースライン] を選択>ベースライン >Profiles を選択します。

2. [監視>Per-setting status]\(監視Per-setting 状態\) でプロファイル >を選択します。

3. この表には、すべての設定と、各設定の状態が表示されます。 [エラー] 列または [競合] 列を選択して、エラーの原因となっている設定を確認します。

MDM の診断情報

これで問題のある設定がわかりました。 次の手順は、この設定がエラーまたは競合を引き起こしている理由を見つけることです。

Windows 10/11 デバイスには、組み込みの MDM 診断情報レポートがあります。 このレポートには、既定値、現在の値、ポリシーの一覧、デバイスとユーザーのどちらに展開されているかなどが表示されます。 このレポートを使用すると、設定によって競合やエラーが発生している理由を特定できます。

1. デバイス上で、[設定]>[アカウント]>[職場または学校にアクセスする] の順に移動します。

2. アカウント >Info>Advanced Diagnostic Report>Create レポートを選択します。

3. [エクスポート] を選択し、生成されたファイルを開きます。

4. レポートでは、レポートのさまざまなセクションに含まれるエラーまたは競合の設定を探します。

たとえば、[Enrolled configuration sources and target resources]\(登録済みの構成ソースとターゲット リソース\) セクションや [Unmanaged policies]\(管理されていないポリシー\) セクションを調べます。 エラーや競合を引き起こしている理由が分かることがあります。

[Diagnose MDM failures in Windows 10]\(Windows 10 の MDM エラーを診断する\) を使用すると、この組み込みレポートに関する詳細情報が表示されます。

次の手順

• セキュリティ ベースラインに関する詳細
• 競合を回避する
• デバイス プロファイルを監視する
• よくある問題と解決策。
• Intune でのポリシーとプロファイルのトラブルシューティング