Intuneにはデフォルトで「組み込みのデバイスコンプライアンスポリシー」があります。
このポリシーには下記の3つの条件が設定されています。
- 登録済みのユーザーが存在します
- コンプライアンスポリシーが割り当て済み
- アクティブ
デフォルトでは他のコンプライアンスポリシーが存在しないため2つ目の条件を満たすことが出来ないため、Intuneに準拠していないとみなされます。
※デバイスを Intune に未登録の場合は表示されません
もし、準拠していると表示されている場合は下記の設定を「準拠していない」に変更することをお勧めします。
1.準拠させるメリット
そもそもなぜ Intune に準拠させる必要があるのでしょうか?
1つ目の理由としては組織内で使用されているデバイスがセキュリティ要件を満たしているかどうかを確認出来るためです。
ですが、このままだと Intune に準拠していないデバイスも Azure や Microsoft 365 を利用出来る状態です。
そこで2つ目の理由として、Intune に準拠しているデバイスのみを Azure や Microsoft 365 を利用させるためです。
Azure AD の条件付きアクセスを利用することで、Intune に準拠しているデバイスからのみアクセスを許可することが出来ます。
条件付きアクセスについてはまた別の機会に紹介したいと思います。
2.事前準備
コンプライアンスポリシーを作成する前に下記の作業を実施します。
2.1.Intuneへのデバイス登録
コンプライアンスポリシーをデバイスに割り当てるためには、デバイスを Intune に登録する必要があります。
Intuneへのデバイス登録方法は下記をご確認ください。
Microsoft Intune にデバイスを登録する
https://docs.microsoft.com/ja-jp/mem/intune/enrollment/
ハイブリッド Azure AD Join の Intune 登録については下記をご確認ください。
GPOによるハイブリッドAzure AD JoinデバイスのIntune登録
2.2.デバイスグループ作成
コンプライアンスポリシーの割り当て単位はグループ単位のため、デバイス用のグループを作成し、デバイスを追加します。
今回はWindows用のデバイスグループとして作成しました。
3.コンプライアンスポリシーの作成
事前準備が完了したらコンプライアンスポリシーを作成します。
1.Microsoft Endpoint Managerを開きます。
2.「デバイス」-「コンプライアンスポリシー」-「ポリシー」から「ポリシーの作成」をクリックします。
3.右ペインに「ポリシー作成」ウィンドウが表示されるので、任意のプラットフォームを選択し、「作成」をクリックします。
※今回はWindows 10を選択します
4.「基本」タブで任意の名前を指定し、「次へ」をクリックします。
5.「コンプライアンス設定」タブでは、大きく分けて5つの設定があります。
デバイスの正常性
BitLockerやセキュアブートを必須とすることが出来ます。
コードの整合性とはドライバーとシステムファイルの破損や悪意のあるソフトウェアを検知することです。
デバイスのプロパティ
OSのバージョンを下記のフォーマットで指定することが出来ます。
※今回は最小OSにbuildまでのバージョンを設定しました
major.minor.build.revision
ちなみにOSバージョンの確認方法は以下の通りです。
PowerShell:Get-WmiObject Win32_OperatingSystem
コマンドプロンプト:ver
Configuration Managerのコンプライアンス
IntuneとConfiguration Managerで共同管理をしている場合、Configuration Managerの評価を必須に設定出来ます。
システムセキュリティ
パスワードやファイアウォール、ウィルス対策ソフトなどのセキュリティに関連する項目を指定出来ます。
今回はファイアウォールとウィルス対策を有効にしました。
※サードパーティ製のウィルス対策ソフトには、「ウィルス対策」が有効とみなされないものがあるかもしれませんので確認が必要です
Microsoft Defender ATP
Microsoft Defender ATPのリスクスコアを指定出来ます。
全てのコンプライアンス設定を設定したら、「次へ」をクリックします。
6.「コンプライアンス非対応に対するアクション」タブはデフォルトのまま「次へ」をクリックします。
7.「割り当て」タブで「割り当て先」に「選択したグループ」を選択し、「含めるグループを選択」から事前準備で作成したデバイスグループを選択します。
8.デバイスグループが選択されていることを確認し、「次へ」をクリックします。
9.「確認および作成」タブで設定を確認し、「作成」をクリックします。
4.コンプライアンスポリシーの準拠確認
コンプライアンスポリシー作成時にデバイスグループを割り当てたので、該当のデバイスグループに存在するWindows 10デバイスには自動的にコンプライアンスポリシーが適用されます。
次回のデバイス同期時にコンプライアンスポリシーがチェックされますが、今回はすぐに確認するため手動同期を実施して確認します。
1.Windows 10の「設定」-「アカウント」-「職場または学校にアクセスする」-「情報」をクリックします。
2.「デバイスの同期状態」の「同期」をクリックします。
3.同期後、作成したコンプライアンスポリシーを確認すると対象デバイスが準拠されていることが確認出来ます。
※反映されるまで少し時間がかかるかもしれません
また、「組み込みのデバイスコンプライアンスポリシー」もコンプライアンスポリシーを割り当てたことで準拠していることが確認出来ます。
これでデバイスがIntuneに準拠することが出来ました。
コメント