Microsoft Intune でデバイス構成ポリシーを監視する
Intune には、デバイス構成ポリシーの監視と管理に役立つ機能がいくつかあります。 たとえば、ポリシーの状態を確認したり、ポリシーに割り当てられているデバイスを表示したり、既存のポリシーのプロパティを更新したりできます。 これらの機能は、macOS および Windows デバイスの エンドポイント セキュリティ ポリシーの プロファイルに拡張されます。
Microsoft Copilot in Intune を使用して、ポリシーとポリシーで構成された設定に関する詳細情報を取得することもできます。
この記事では、既存のデバイス構成ポリシーの割り当て状態を確認し、変更を加え、競合のトラブルシューティングを行い、これらの機能の一部に Copilot を使用する方法について説明します。
この機能は、以下に適用されます。
- Android
- iOS/iPadOS
- macOS
- Windows
既存のポリシーを表示する
- Microsoft Intune 管理センターにサインインします。
- [デバイス]>[デバイスの管理]>[構成]>[ポリシー] タブの順に選択します。
すべてのポリシーが表示されます。 また、プラットフォーム、ポリシーの種類、ポリシーが割り当てられているかどうかも表示されます。
注:
デバイス構成ポリシーに関する詳細なレポート情報については、「Intune レポート」を参照してください。
ポリシーの詳細を表示する
デバイス構成ポリシーを作成すると、Intune によってレポート データが提供されます。 これらのレポートには、ポリシーがデバイスに正常に割り当てられているかどうか、ポリシーに競合があるかどうかなどのポリシーの状態が表示されます。
[デバイス]>[デバイスの管理]>[構成]>[ポリシー] タブで、既存のポリシーを選択します。
デバイスとユーザーのチェックイン状態には、ポリシーに従ってチェックインしたすべてのユーザーまたはデバイスの数が表示されます。 1 つのデバイスに複数のユーザーがある場合、このレポートには各ユーザーの状態が表示されます。 ユーザーまたはデバイスが Intune にチェックインすると、ユーザーはポリシーの設定を受け取ります。
次の状態が表示されます。
- 成功: ポリシーが正常に適用されました。
- エラー: ポリシーを適用できませんでした。 メッセージは通常、説明のリンクを含むエラー コードと共に表示されます。
- 競合: 2 つの設定が同じデバイスに適用されます。Intune では競合に対処できません。 管理者が確認する必要があります。
- 保留中: デバイスはまだ、ポリシーを受信するために Intune でチェックインしていません。
- 適用できない: デバイスがポリシーを受信できません。 たとえば、ポリシーで iOS 11.1 に特有の設定が更新されるが、デバイスが iOS 10 を使用している場合です。
[デバイス割り当て状態] を選択します。
このレポートには、最後にチェックインしたユーザーに関する情報が表示されます。 [レポートの生成] を選択して、ポリシーを受信したデバイスの最新のポリシー割り当て状態を確認します。 割り当て状態をフィルター処理して、エラーや競合などのみを表示することもできます。
通常、デバイスとユーザーのチェックイン状態レポートとデバイスの割り当て状態レポートの番号が異なります。
[デバイスとユーザーのチェックイン状態] に戻り、[設定ごとの状態] を選択します。
このレポートには、ポリシーの個々の設定とその状態が表示されます。
[デバイスとユーザーのチェックイン状態] に戻り、[レポートの表示] を選択します。
レポートを表示すると、その特定のデバイス構成ポリシーに割り当てられているデバイスに関する詳細情報が表示されます。次に例を示します。
- ポリシーを受信したデバイス
- ポリシーを受信したデバイスのユーザー名
- チェックイン状態と、ユーザー/デバイスがポリシーを使用して最後にチェックインした時刻
特定のデバイスを選択して詳細を取得し、フィルター列を使用して割り当てフィルター オプションを表示することもできます。
デバイスとユーザーのチェックイン状態に戻り、特定のポリシーに関する次のプロパティ情報を表示および編集できます。
すべてのデバイス構成ポリシーの詳細を表示する
[デバイス]>[デバイスの管理]>[構成]>[監視] タブの順に移動します。
この領域では、構成ポリシー割り当てエラー レポートにアクセスできます。 このレポートは、割り当てられている構成ポリシーのエラーと競合のトラブルシューティングに役立ちます。
この領域では、次のレポートにすばやくアクセスすることもできます。
- 制限付きアプリがインストールされたデバイス
- デバイスの暗号化の状態
- 証明書
ヒント
[デバイス] で、[監視] を選択 します。 この領域には、デバイス構成、コンプライアンス、登録、ソフトウェア更新プログラムのレポートなど、使用できるすべてのレポートが一覧表示されます。 すべての Intune レポートの詳細については、「Intune レポート」を参照してください。
競合を表示する
競合を解決するために、Intune には、ポリシーとの不一致のトラブルシューティングに役立つ機能があります。 競合がある場合、この設定が含まれるすべての構成ポリシーも表示されます。
[デバイス]>[すべてのデバイス] で、競合の原因となっている設定を表示できます。
Intune で、[デバイス]>[すべてのデバイス]> の順に選択し、リストにある既存のデバイスを選択します。 エンド ユーザーは、ポータル サイト アプリからデバイス名を取得できます。
[デバイス構成] を選択します。 デバイスに適用する構成ポリシーがすべて一覧表示されます。
ポリシーを選択します。 デバイスに適用するポリシーにすべての設定が表示されます。
デバイスに [競合] 状態がある場合、その行を選択します。 新しいウィンドウに、すべてのポリシー、および競合の原因となっている設定があるプロファイル名が表示されます。
競合している設定、およびその設定を含むポリシーを把握できるので、競合を解決しやすくなります。
デバイス ファームウェア構成インターフェイス (DFCI) のプロファイル レポート
DFCI ポリシーは、他のデバイス構成ポリシーと同様に、設定単位で報告されます。 製造元による DFCI のサポートによっては、一部の設定が適用されない場合があります。
DFCI プロファイルの設定を使用すると、次の状態が表示される場合があります。
準拠: この状態は、プロファイルの設定値がデバイスでの設定と一致していることを示します。 この状態は、次のシナリオで発生する可能性があります。
- DFCI プロファイルでプロファイルの設定が正常に構成されました。
- デバイスには設定によって制御されるハードウェア機能がなく、プロファイルの設定は無効になっています。
- 統合拡張ファームウェア インターフェイス (UEFI) では DFCI で機能を無効にすることが許可されておらず、プロファイルの設定は有効になっています。
- デバイスには機能を無効にするハードウェアがなく、プロファイルの設定は有効になっています。
該当なし: この状態は、プロファイルの設定値が有効または許可になっており、デバイスで一致する設定が見つからないことを示します。 この状態は、デバイスのハードウェアに機能がない場合に発生する可能性があります。
非対応: この状態は、プロファイルの設定値がデバイスでの設定と一致していないことを示します。 この状態は、次のシナリオで発生する可能性があります。
- UEFI では DFCI で設定を無効にすることが許可されておらず、プロファイルの設定は無効になっています。
- デバイスには機能を無効にするハードウェアがなく、プロファイルの設定は無効になっています。
- デバイスには、最新バージョンの DFCI ファームウェアがありません。
- DFCI は、UEFI メニューのローカルの "オプトアウト" コントロールを使用して Intune に登録される前に無効にされました。
- デバイスは、オートパイロットの登録の外部で Intune に登録されました。
- デバイスは、Microsoft CSP によって Windows Autopilot に登録されなかったか、OEM によって直接登録されませんでした。