Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルター を使用する
ポリシーを作成するときは、フィルターを使用して、作成したルールに基づいてポリシーを割り当てることができます。 フィルターを使用すると、ポリシーの割り当てスコープを絞り込むことができます。 たとえば、フィルターを使用して、特定の OS バージョンまたは特定の製造元のデバイスを対象にしたり、個人用デバイスのみを対象にしたり、組織所有のデバイスのみを対象にしたりすることができます。
フィルターは、次の目的で使用できます。
管理対象デバイスであるIntuneに登録されているデバイス。
マネージド アプリであるIntuneによって管理されるアプリ。
マネージド アプリは、モバイル アプリケーション管理 (MAM) シナリオで使用されます。 MAM には、個人所有のデバイスと一般的なIntuneに登録されていないデバイスでアプリを管理する必要があります。 Intuneの MAM の詳細については、「アプリ管理とは」Microsoft Intune参照してください。
フィルターは、次のシナリオで使用できます。
- Windows デバイス制限ポリシーをマーケティング部門の企業デバイスのみに展開し、個人用デバイスを除外します。
- iOS または iPadOS アプリを経理ユーザー グループの iPad デバイスのみに展開します。
- Android 携帯電話のコンプライアンス ポリシーを社内のすべてのユーザーに対して展開し、携帯電話のコンプライアンス ポリシーの設定をサポートしていない Android の会議室デバイスを除外します。
- 個人所有のデバイスでは、特定のアプリの製造元のアプリ構成ポリシーまたは特定の OS バージョンを実行するアプリ保護ポリシーを展開します。
フィルターには、次の機能とベネフィットがあります。
- Intune のポリシーとアプリをより柔軟に、よりきめ細かく割り当てることができます。
- アプリ、ポリシー、プロファイルを割り当てるときに使用されます。 デバイスプロパティに基づいて管理対象デバイスを動的にターゲットし、入力したアプリプロパティに基づいて管理対象アプリをターゲットにします。
- 入力した条件に基づいて、特定のグループにデバイスまたはアプリを含めたり除外したりできます。
- デバイス プラットフォームやアプリケーションのバージョンなど、さまざまなプロパティに基づいて、デバイスまたはアプリのプロパティのクエリを作成できます。
- "含める" モードまたは "除外" モードで複数のシナリオで使用および再利用できます。
この機能は、以下に適用されます。
次のプラットフォーム上のマネージド デバイス:
- Android デバイス管理者
- Android Enterprise
- Android (AOSP)
- iOS/iPadOS
- macOS
- Windows 10 または 11
次のプラットフォーム上のマネージド アプリ:
- Android
- iOS/iPadOS
- Windows
この記事では、フィルターのしくみについて説明し、フィルターを作成、更新、削除する方法を示します。
重要
Microsoft Intuneは、2024 年 12 月 31 日に Google Mobile Services (GMS) にアクセスできるデバイスでの Android デバイス管理者管理のサポートを終了します。 その日以降、デバイスの登録、テクニカル サポート、バグ修正、セキュリティ修正は利用できなくなります。 現在デバイス管理者管理を使用している場合は、サポートが終了する前に、Intune で別の Android 管理オプションに切り替えることを推奨します。 詳細については、「 GMS デバイスでの Android デバイス管理者のサポートの終了」を参照してください。
フィルターのしくみ
ポリシーがアプリまたはデバイスに適用される前に、フィルターによって適用可能性が動的に評価されます。 画像の概要を次に示します。
アプリまたはデバイス プロパティに基づいて再利用可能なフィルターを作成します。 この例では、デバイス フィルターは iPhone XR デバイス用です。
グループにポリシーを割り当てます。 その割り当てにおいて、含めるか除外するかのいずれかのモードにてフィルターを追加します。 たとえば、iPhone XR デバイスを "含める" か、ポリシーから iPhone XR デバイスを "除外" します。
フィルターは、デバイスの登録時、Intune サービスへのチェックイン時のほか、ポリシーが評価されるあらゆるときに評価されます。
評価に基づいてフィルターの結果が表示されます。 たとえば、アプリまたはポリシーが適用されるか、適用されません。
制限
フィルターの作成時には、いくつかの一般的な制限があります。
- テナントごとに、最大 200 個のフィルターを使用できます。
- 各フィルターは 3,072 文字に制限されています。
- マネージド デバイスの場合、デバイスはIntuneに登録する必要があります。
- マネージド アプリの場合、フィルターはアプリ保護ポリシーとアプリ構成ポリシーに適用されます。 コンプライアンスプロファイルやデバイス構成プロファイルなど、他のポリシーには適用されません。
前提条件
- Intune 管理者としてサインインします。 Intuneロールの詳細については、「ロールベースのアクセス制御 (RBAC) with Microsoft Intune」を参照してください。
フィルターを作成する
Intune 管理センターにサインインします。
[テナント管理]>[フィルター]>[作成] の順に選択します。
以下でフィルターを作成することもできます。
- デバイス>デバイスを整理します>フィルター
- [アプリ]>[フィルター]
[ 管理対象デバイス] または [ 管理対象アプリ] を選択します。
マネージド デバイスは、Intuneに登録されたデバイスであり、通常は組織によって所有されます。 マネージド アプリは、Intuneに登録されていないデバイス用であり、通常はエンド ユーザーが所有しています。
[Basics]\(基本\) で次のプロパティを入力します。
フィルター名: フィルターのわかりやすい名前を入力します。 後で簡単に識別できるよう、フィルターに名前を付けます。 たとえば、Windows OS バージョン フィルターは適切なフィルター名です。
説明: フィルターの説明を入力します。 この設定は省略可能ですが、おすすめされています。
プラットフォーム: プラットフォームを選択します。 次のようなオプションがあります。
マネージド デバイス:
- Android デバイス管理者
- Android Enterprise
- Android (AOSP)
- iOS/iPadOS
- macOS
- Windows 10 以降
マネージド アプリ:
- Android
- iOS/iPadOS
- Windows
[次へ] を選択します。
[ルール] でルールを作成するには 2 つの方法があり、ルール ビルダーを使用するか、ルール構文を使用します。
ルール ビルダー:
および/または: 式を追加した後、
and
またはor
オプションを使用して式に追加を行うことができます。プロパティ: デバイスやオペレーティング システム SKU など、ルールのプロパティを選択します。
演算子:
equals
やcontains
など、一覧から演算子を選択します。値: 式に値を入力します。 たとえば、OS バージョンとして
10.0.18362
を、または製造元としてMicrosoft
を入力します。式の追加: プロパティ、演算子、および値を追加した後、[式の追加] を選択します。
作成した式は、ルール構文エディターに自動的に追加されます。
ルール構文:
ルール構文エディターでルール式を手動で入力し、独自のルールを記述することもできます。 [規則の構文] で、[編集] を選択します。
式ビルダーが開きます。
(device.osVersion -eq "10.0.18362") and (device.manufacturer -eq "Microsoft")
のように、式を手動で入力します。独自の式を記述する方法の詳細については、「 フィルターの作成時にデバイスとアプリのプロパティ、演算子、ルールの編集」を参照してください。
[OK] を選択して式を保存します。
ヒント
- ルールを作成すると、構文が正しいか検証され、エラーがあれば表示されます。
- 基本的なルール ビルダーでサポートされていない構文を入力すると、ルール ビルダーは無効になります。 たとえば、入れ子になったかっこを使用すると、基本的なルール ビルダーは無効になります。
[デバイスのプレビュー] を選択します。 フィルター条件に一致する登録済みデバイスの一覧が表示されます。
この一覧では、デバイス名、OS バージョン、デバイス モデル、デバイスの製造元などによってデバイスを検索することもできます。
注:
プレビュー中のプロパティの [デバイスのプレビュー ] を選択すると、
You cannot use Filter preview with experimental properties
メッセージが表示されます。 プロパティをプレビューすることはできませんが、フィルターでプロパティを引き続き使用できます。[次へ] を選択します。
スコープ タグ (オプション) で、
US-NC IT Team
やJohnGlenn_ITDepartment
など、特定の IT グループにプロファイルをフィルター処理するためのタグを割り当てます。 スコープ タグの詳細については、「 分散 IT に RBAC とスコープ タグを使用する」を参照してください。[次へ] を選択します。
[確認と作成] で、設定を確認します。 [作成] を選択すると、変更内容が保存されます。 フィルターが作成され、使用できるようになりました。 フィルターはフィルターの一覧にも表示されます。
フィルターを使用する
フィルター作成後、アプリまたはポリシーを割り当てるときにそれを使用できます。
Intune管理センターで、アプリ、コンプライアンス ポリシー、または構成プロファイルに移動します。 サポートされている内容の一覧については、「 フィルターの作成時にサポートされるワークロード」を参照してください。 既存のポリシーを選択するか、新しいポリシーを作成します。
たとえば、[ デバイス>コンプライアンス] を選択し、既存のポリシーを選択します。 [プロパティ]>[割り当て]>[編集] を選択します。
ユーザー グループまたはデバイス グループにポリシーを割り当てます。
[フィルターの編集] を選択します。 次のようなオプションがあります。
[フィルターを適用しない]: フィルターを適用せず、すべての対象ユーザーまたはデバイスがアプリまたはポリシーを受け取ります。
[フィルターされたデバイスを割り当てに含める]: フィルター条件に一致するデバイスがアプリまたはポリシーを受け取ります。 フィルター条件に一致しないデバイスはアプリまたはポリシーを受け取りません。
ポリシー プラットフォームに合致するフィルターの一覧が表示されます。
[フィルターされたデバイスを割り当てから除外する]: フィルター条件に一致するデバイスはアプリまたはポリシーを受け取りません。 フィルター条件に一致しないデバイスがアプリまたはポリシーを受け取ります。
ポリシー プラットフォームに合致するフィルターの一覧が表示されます。
既存のフィルターを選択 >選択します。
たとえば、[フィルターされたデバイスを割り当てに含める] を選択し、フィルターを選択します。
変更内容を保存するには、[確認と保存]>[保存] を選択します。
デバイスが Intune サービスにチェックインされると、フィルターに定義されているプロパティが評価され、アプリまたはポリシーを適用する必要があるかどうかが判断されます。
既存のフィルターをフィルター処理する
フィルターを作成した後、プラットフォームとプロファイルの種類 (管理対象デバイス または マネージド アプリ) によってフィルターの既存の一覧をフィルター処理できます。
Intune管理センターで、テナント管理>Filters を選択します。 すべてのフィルターの一覧が表示されます。
[デバイス]、[デバイス][フィルター]、[>アプリ>フィルター] の順>移動することもできます。
[ フィルターの追加] を選択します。
[フィルターの種類] または [プラットフォーム] で一覧をフィルター処理できます。
[ フィルターの種類>Apply] を選択します。 次に、[ マネージド デバイス ] または [ マネージド アプリ>Apply] を選択します。 フィルターの一覧は、選択内容に基づいてフィルター処理されます。
別のフィルターを追加し、[ Platform>Apply] を選択します。 Windows 10以降など、一覧からプラットフォーム>Apply を選択します。 フィルターの一覧は、選択内容に基づいてフィルター処理されます。
課題を確認する
フィルターがポリシーに割り当てられると、フィルターを使用するすべてのポリシーを確認できます。
Intune管理センターで、テナント管理>Filters を選択します。 すべてのフィルターの一覧が表示されます。
[デバイス]、[デバイス][フィルター]、[>アプリ>フィルター] の順>移動することもできます。
[関連付けられている割り当て] タブ>確認するフィルターを選択します。
このページには、フィルターを使用するすべてのアプリとポリシー、フィルター割り当てを受け取るグループ、およびフィルター モード ([含める ] または [除外]) が表示されます。
既存のフィルターを変更する
フィルターを作成した後、フィルターを変更または更新することもできます。
Intune管理センターで、テナント管理>Filters を選択します。 すべてのフィルターの一覧が表示されます。
デバイス>Organize devices>Filters、または Apps>Filters でフィルターを更新することもできます。
既存のフィルターを更新するには、変更するフィルターを選択します。 [規則]>[編集] を選択し、変更を行います。
変更内容を保存するには、[確認と保存]>[保存] を選択します。
フィルターを削除する
Intune管理センターで、テナント管理>Filters を選択します。 すべてのフィルターの一覧が表示されます。
デバイス>Organize デバイス、>Filters、または Apps>Filters でフィルターを削除することもできます。
フィルターの隣にある省略記号 (...) を選択し、[削除] を選択します。
フィルターを削除するには、ポリシーの割り当てからフィルターを削除する必要があります。 それ以外の場合、フィルターを削除しようとすると、次のエラーが表示されます。
Unable to delete assignment filter – An assignment filter is associated with existing assignments. Delete all the assignments for the filter and try again.