IT Hands-on Lab

小規模組織向けIT環境の構築・運用に役立つ情報を、ハンズオン形式で紹介しています。

2024-08-29 2025-07-23

【Microsoft Intune】デバイス管理 | WindowsPC2

MSIntune インフラ

Microsoft Intune デバイス管理(WindowsPC)２

前の記事の続きになります。
Microsoft社が提供するクラウドベースのデバイス管理サービス「Microsoft Intune」における、WindowsPCデバイスの管理方法の例を紹介します。
これにより、セキュリティルールに準拠しないPCに組織のアプリを使用させないといった制約や、組織のPCの各種設定やアプリの導入を制御することができます。

操作環境：

OS：Windows 11
Webブラウザー：Edge

使用プラン：Microsoft 365 Business Premium(試用版)
管理デバイス環境：Windows 11,10

Intune管理C 条件付きアクセスポリシー作成
コンプライアンスポリシー非準拠PCの挙動・許可設定(参考)
Intune管理C WindowsPC更新プログラム制御設定

Intune管理C 条件付きアクセスポリシー作成

WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[デバイス]を選択し、サブメニューの[デバイスの管理>条件付きアクセス]を選択します。

図表5-1 Intune管理センターの条件付きアクセスポリシー作成へ

[新しいポリシーを作成する]を選択します。

図表5-2 Intune管理センターの条件付きアクセスポリシー作成へ(続き)

ポリシーの[名前]を適宜入力し、[割り当て>ユーザー]は以下の通りとします。

対象：ユーザーとグループの選択>ユーザーとグループ>internal_members(組織内メンバグループ)
対象外：(未選択)

図表5-3 条件付きアクセスポリシー作成(名前,ユーザー)

同じ画面の[割り当て>ターゲットリソース]は以下の通りとします。

このポリシーが適用される対象を選択する：クラウドアプリ
対象：アプリを選択>Office365、Google(以前の記事でSSOの設定をした2点)
対象外：(未選択)

図表5-4 条件付きアクセスポリシー作成(ターゲットリソース)

同じ画面の[割り当て>条件>デバイスプラットフォーム]は以下の通りとします。

構成：はい
対象：任意のデバイス
対象外：Android、iOS

*スマホの条件付きアクセスポリシーは別の記事で紹介します

図表5-5 条件付きアクセスポリシー作成(デバイスプラットフォーム)

同じ画面の[割り当て>条件>クライアントアプリ]は以下の通りとします。

構成：はい
先進認証クライアント：ブラウザー、モバイルアプリとデスクトップクライアント

図表5-6 条件付きアクセスポリシー作成(クライアントアプリ)

同じ画面の[アクセス制御>許可]は以下を選択します。

アクセス権の付与
デバイスは準拠しているとしてマーク済みである必要があります。

最後に、画面左下の[ポリシーの有効化]を[オン]にして、[作成]を選択します。

図表5-7 条件付きアクセスポリシー作成(アクセス制御,有効化)

コンプライアンスポリシー非準拠PCの挙動・許可設定(参考)

前の工程の設定により、準拠済PCでないとOffice365やGoogleアプリにアクセスできなくなったはずです。
非準拠PCにサインインして、実際にこれらのアプリにアクセスできなくなっているか確認します。

*準拠済/非準拠の基準は前の記事の工程4のコンプライアンスポリシーで設定しています

図表6-1 Intune管理センターでの非準拠PCの状態確認

非準拠PCにサインインした直後、暗号化に関するメッセージが表示されました。前の記事の工程3で設定したデバイス構成ポリシーによるものです。一旦ここでは[いいえ]を選択して暗号化の対応をスキップします。

図表6-2 非準拠PCサインイン後の暗号化に関するメッセージ表示

Webブラウザーよりマイアプリ画面にアクセスし、[Outlook]を選択します。
コンプライアンスに関するメッセージが表示されたら、[コンプライアンスの確認]を選択します。

図表6-3 非準拠PCでのアプリアクセス時の警告表示

アプリへのアクセスが拒否され、その理由が表示されました。

図表6-4 非準拠PCでのアプリアクセス時の拒否状況

アプリへのアクセスの拒否理由を解消するのが本来ですが、対応できない事情があるかもしれません。
参考として、このデバイスをコンプライアンスポリシーの割り当てから除外する方法を紹介します。

Microsoft Intune管理センターに戻り、左メニューの[デバイス]を選択し、サブメニューの[デバイスの整理>フィルター]を選択し、[作成>マネージドデバイス]を選択します。

図表6-5 Intune管理センターのデバイスフィルター作成へ

フィルター名を適宜入力し、プラットフォームは[Windows10以降]を選択し、[次へ]を選択します。
規則については以下の通りとし、[プレビュー]を選択して非準拠PCが表示されたら、元の画面の[次へ]を選択します。

プロパティ：deviceName
演算子：Equals
値：(非準拠PCのデバイス名)

図表6-6 デバイスフィルター作成(非準拠PCを対象とする)

設定内容を確認し、問題なければ[作成]を選択します。
同じサブメニューの[デバイスの管理>コンプライアンスポリシー]を選択し、前の記事の工程4で作成したコンプライアンスポリシーを選択します。

図表6-7 デバイスフィルター作成の続き,結果確認

[割り当て]の[編集]を選択します。
既存の割り当てグループの右側の[フィルターの編集]を選択します。

図表6-8 フィルターをかけたいポリシーの割り当て編集へ

[フィルターされたデバイスを割り当てから除外する]を選択し、図表6-6で作成したフィルターを選択し、[選択]を押します。
元の画面の[レビューと保存]を選択します。

図表6-9 ポリシーの割り当てにおける除外フィルター設定

設定内容を確認し、問題なければ[保存]を選択します。

図表6-10 ポリシーの割り当て設定の変更確認

15分位経ってから、Microsoft Intune管理センター上の非準拠PCの状態を確認すると、[Default Device Compliance Policy]が[エラー]から[準拠]に変わっていました。

図表6-11 非準拠PCのポリシー適用状況確認

非準拠PCに再度サインインし、組織アプリにアクセスしてみます。

図表6-12 非準拠PCでのアプリアクセス時の警告表示(フィルターによる除外後)

[会社のリソースにアクセスできます]と表示されます。
再度マイアプリ画面から[Outlook]を選択すると、Outlookの画面が表示されました。

図表6-13 非準拠PCでのアプリアクセス(フィルターによる除外後)

Intune管理C WindowsPC更新プログラム制御設定

WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[デバイス]を選択し、サブメニューの[更新プログラムの管理>Windowsの更新プログラム]を選択し、[プロファイルの作成]を選択します。

図表7-1 Intune管理センターのWindows更新リング設定へ

[基本]画面で更新リングの名前を適宜入力し、[次へ]を選択します。
前の記事の冒頭の要件に従い、[更新リングの設定]画面で必要な項目を設定します。

図表7-2 Windows更新リング設定(基本,更新リングの設定)

[更新リングの設定]画面の設定が一通り済んだら、[次へ]を選択します。
[割り当て]画面で[グループを追加]を選択し、前の記事の工程2で作成したデバイスグループを選択し、[次へ]を選択します。

図表7-3 Windows更新リング設定(更新リングの設定の続き,割り当て)

[確認および作成]画面で設定内容を確認し、問題なければ[作成]を選択します。

図表7-4 Windows更新リング設定(確認と作成)

15分位経ってから、ユーザーPCでWindows Updateの設定状態を確認したところ、図表7-2の内容に関連する設定が変更できないよう制御されていました。

図表7-5 Windows更新リング設定の適用確認

次の記事に続きます。

当ブログ内の連載記事

elmgrn.hatenablog.com

elmgrn.hatenablog.com

当ブログ内の関連記事

elmgrn.hatenablog.com

elmgrn.hatenablog.com

©2024-2026 elmgrn All rights reserved.

トップに戻る