はじめに

Intuneのコンプライアンスポリシー関連について調べてみましたが、
情報量が多いため記事を分けて執筆します。
本記事では、Microsoft Intune コンプライアンスポリシーの概要について簡単にまとめ、
コンプライアンスポリシーの設定方法について記載します。

Microsoft Intuneとは

Microsoft Intuneは企業データを保護することができる、モバイルデバイス管理のソリューションです。
企業データを守るためには、セキュリティ的に危うい要件を満たさないユーザー（デバイス）からのアクセスをさせないようにする必要があります。
そのため、企業で決めた基準となるコンプライアンスに準拠したデバイスのみアクセスを許可する設定ならびに管理をする必要があります。

Microsoft Intune コンプライアンスポリシーとは？

Microsoft Intuneにおけるコンプライアンスポリシーとは、
企業が定めたある特定の要件を満たすように、ユーザーのデバイスに要求する機能です。
コンプライアンスポリシーに準拠するデバイスのルールを定めたり、
準拠しないデバイスに適用されるアクションを設定することができます。
また条件付きアクセスと組み合わせることにより、コンプライアンスポリシーに準拠しないデバイスをブロックすることができます。^[1]

Microsoft Intune コンプライアンスポリシーの2つの要素 ^[1:1]

Intuneのコンプライアンスポリシーには、2つの要素があります。

1. コンプライアンスポリシー（Compliance policy settings）
   テナント全体に適用される設定で、デバイスがコンプライアンスに準拠している、または準拠していない場合の動作のベースラインを設定することができます。

2. デバイスコンプライアンスポリシー（Device compliance policy）
   ユーザまたはデバイスのグループに適用する特定のルールです。
   デバイスが準拠しているとみなされるには、このルールを満たす必要があります。
   条件付きアクセスを使用することにより、準拠していないデバイスからのアクセスをブロックすることができます。

https://docs.microsoft.com/en-us/mem/intune/protect/actions-for-noncompliance

【コンプライアンスポリシーの設定】 管理者側操作

組み込みデバイスコンプライアンスポリシー（Built-in Device Compliance Policy Intune）

Intuneを使用している場合、全てのデバイスに「組み込みデバイスコンプライアンスポリシー（built-in device compliance policy）」がデフォルトで割り当てられます。
デフォルトの場合、図のようにコンプライアンスポリシーが割り当てられていないのに、準拠していると表示（マーク）されます。
以降の手順により、組み込みデバイスポリシーを使用して、コンプライアンスポリシーが割り当てられていないデバイスを、非準拠として表示（マーク）させる設定をしていきます。

組み込みデバイスコンプライアンスポリシー（Built-in Device Compliance Policy Intune）とIntuneコンプライアンスポリシーについて

---

コンプライアンスポリシーに割り当てられていないデバイスをIntuneがどのように対処するかを決めます（設定します）。

---

Microsfot Endpoint Manager admin centerにサインインした後、
[エンドポイント セキュリティ] > [デバイスのポリシー準拠] を選択し、

[コンプライアンス ポリシー設定] の順にクリックします。

---

コンプライアンスポリシーが割り当てられていないデバイスをマークする

「コンプライアンスポリシーが割り当てられていないデバイスをマークする」についての説明は、以下のアコーディオンメニューをクリックしてください。

コンプライアンスポリシーが割り当てられていないデバイスをマークする

• 準拠; Compliant (default)
  セキュリティ機能はOFFになります。
  デバイスコンプライアンスポリシーを送信していないデバイスは、「準拠している」とみなされます。

• 準拠していない; Not compliant
  セキュリティ機能はONになります。
  コンプライアンスポリシーを受け取っていないデバイスは、「準拠していない」とみなされます。

[コンプライアンス ポリシーが割り当てられていないデバイスをマークする] というセキュリティ設定では、コンプライアンス ポリシーのないデバイスを特定することが重要です。 特定できたら、少なくとも 1 つのコンプライアンス ポリシーをデバイスに割り当てることができます。
知っておく必要がある情報, Microsoft

If you use Conditional Access with your device compliance policies, we recommended you change this setting to Not compliant to ensure that only devices that are confirmed as compliant can access your resources.
Compliance policy settings, Microsoft

You can change these settings to match your requirements but I strongly suggest you change the default behaviour for devices with no compliance policy assigned to Not Compliant. In this scenario if you have any users which have happened to be missed out of the group which is targeted then the device which they have enrolled will be marked as Not compliant until a policy has been deployed. This will allow you to block access to corporate resources using conditional access until the device has been evaluated against an additional compliance policy so you can ensure the device meets the requirements to be marked as compliant.
Built-in Device Compliance Policy Intune, TRIPLE SIX SEVEN

The most notable option is the enabling/disabling of the “Not Compliant” label for devices with no compliance policy. Note that there is also a feature for enhanced jailbreak detection, which only applies to iOS devices. Jailbreaking allows root access to iOS devices which isn’t a good thing from a compliance point of view.
Intune Compliance Policies: Get Started in A Few Easy Steps, PolicyPack

デフォルトの設定では、「準拠」に設定されています。

[コンプライアンス ポリシーが割り当てられていないデバイスをマークする] で「準拠していない」を設定すると、コンプライアンスポリシーが割り当てられていないデバイスの場合、「準拠していない」と表示（マーク）されます。


確認方法は、Microsoft Endpoint Manager 管理センターにサインインし、
[デバイス] > [コンプライアンス ポリシー] > [デバイス名] を選択し、

[デバイスのポリシー構成] > [組み込みデバイスコンプライアンスポリシー] をクリックし、

[コンプライアンスポリシーから割り当て済み] において [準拠していない] と表示（マーク）されます。

---

脱獄の高度な検出（Enhanced jailbreak detection）

この設定は iOS/iPadOS デバイスに対して適用できる設定です。
脱獄(Jailbreaking)はiOSデバイスにrootアクセスを許可させるため、コンプラ観点では適切ではないようです。

• 無効; Disabled (default)
  セキュリティ機能はOFFになります。
  脱獄したデバイスをブロックするデバイスコンプライアンスポリシーを受信するデバイスには影響しません。

• 有効; Enabled:
  セキュリティ機能はONになります。
  脱獄したデバイスをブロックするデバイスコンプライアンスポリシーを受信するデバイスは、脱獄の高度な検出(the Enhanced jailbreak detection)を使用します。

脱獄の高度な検出では、

• OSレベルの位置情報サービスを有効にする
• ポータルサイトが位置情報サービスを使用できるようにする
• 位置情報サービスを用いて、バックグラウンド上で頻繁に脱獄検出をトリガーします。（ユーザーの位置データは、Intuneによって保存されません。）

---

コンプライアンス状態の有効期間 (日)（Compliance status validity period (days) ）

受け取った全てのコンプライアンスポリシーにおいて、デバイスが正常であることを報告する有効期間を指定できます。
もしデバイスが有効期間内にレポートされない場合、「準拠していない」と表示（マーク）されます。

Specify a period in which devices must successfully report on all their received compliance policies. If a device fails to report its compliance status for a policy before the validity period expires, the device is treated as noncompliant.
https://docs.microsoft.com/en-us/mem/intune/protect/device-compliance-get-started

[保存]をクリックします。

「コンプライアンスポリシー」の設定が保存されました。

---

デバイスのコンプライアンスポリシーの監視

コンプライアンス構成（compliance configurations）を満たしていないデバイスを監視する画面は、Microsoft エンドポイント マネージャー管理センターにサインインし、
[デバイス] > [概要] > [対応状態] タブを選択します。

https://docs.microsoft.com/ja-jp/mem/intune/protect/compliance-policy-monitor

「準拠している」、「猶予期間中」、「評価されていません」、「準拠していない」 の分類で、デバイスの状態を確認することができます。

おわりに

今回は、Intuneのコンプライアンスポリシーについて調査してみました。
次回はポリシー作成について調査し、記事にしてみたいと思います。

本記事が参考になりましたら幸いです。

External Links

• コンプライアンスポリシーでWindowsデバイスをIntuneに準拠させる, LIGLOG
• Microsoft Intune でデバイスのセキュリティ対策状態を把握する, Illuminate Japan
• くらめその情シス：AzureAD＋Intuneで社内PCのMDMとセットアップ自動化をはじめてみた, Classmethod
• くらめその情シス：【まとめ】AzureADとIntuneを使ってPC管理を効率化してみた, Classmethod
• コンプライアンス ポリシーを使用して、Intune で管理するデバイスのルールを設定する, Microsoft
• IntuneのWindows 10/11 のデバイス コンプライアンス設定, Microsoft
• コンプライアンスポリシーを作成して割り当てる！【M365フルクラウド環境検証 その6】, ebi
• How to Boss Device Management with Endpoint Manager (aka Intune), ALTARO
  ―Intune Compliance Policies: Get Started in A Few Easy Steps, PolicyPack

脚注

1. Use compliance policies to set rules for devices you manage with Intune, Microsoft ↩︎ ↩︎

2. ポリシーの作成, Microsoft ↩︎