1. 全体概要と結論
Microsoft Intuneのデバイスコンプライアンスポリシーに関する評価基準と動作について確認した。確認点は、「デフォルトのコンプライアンスポリシー」と「カスタムポリシー」それぞれの評価結果が、デバイス全体の準拠状態にどのように影響するかを明確にすること。各ステータス(準拠、非準拠、猶予期間中、エラー)の定義や判定ロジックについて確認を行った。
関連サービス
- Microsoft Intune
- Azure AD (Microsoft Entra ID)
- Microsoft 365 管理センター
確認事項
- デフォルトのコンプライアンスポリシーの評価基準
- カスタムコンプライアンスポリシーの「エラー」状態が与える影響
- デバイス全体の準拠状態の判定ロジック
- 各ポリシーが取り得る値とその動作仕様
結論
エラー状態が即座に非準拠とならず、一定期間(最大7日間)は既存の状態を維持するといった、デバイス全体の準拠判定に影響するものがあることが分かった。
2. 調査内容
2.1. デフォルトのコンプライアンスポリシーの評価基準
調査内容
デフォルトのコンプライアンスポリシーが適用されている場合、なぜデバイスが「準拠」になるのか,
適用されている他のポリシーの結果によっては「非準拠」になるはずではないか、という疑問あり。具体的にはデフォルトポリシーが適用されているデバイスの準拠状態を確認したところ、準拠と表示されるが、他のポリシーの評価結果が非準拠の場合でも準拠と判定される動作が確認された。
調査結果
デフォルトポリシーの評価基準について、以下の通り。
- 根本原因と技術解説:
デフォルトのコンプライアンスポリシーは、主に以下の基準で評価される。 - デバイスにコンプライアンスポリシーが割り当てられているか
- デバイスがアクティブ(Intuneと通信している)であるか
- 登録済みユーザーが存在し、Intuneライセンスが付与されているか
これらのインフラ的な要件が満たされている場合、デフォルトポリシー自体は「準拠」と判定されます。ただし、 個別に割り当てたカスタムポリシーが「非準拠」であれば、最終的なデバイス全体のステータスは「非準拠」 となる。
2.2. カスタムポリシーのエラー状態の影響
調査内容
カスタムコンプライアンスポリシーが「エラー」状態になった場合、デバイス全体の準拠状態にどのような影響を与えるのか、詳細な動作を確認。具体的にはポリシーがエラーの場合、最終的な判定が「準拠」「非準拠」「猶予期間中」のいずれになるのかのルールが不明確。
調査結果
カスタムポリシーのエラー状態における挙動について、以下の通り。
- 根本原因と技術解説:
設定値の取得失敗などでエラーが発生した場合、以下のステップで判定が行われる。
- 最大7日間: デバイスの「既存のコンプライアンス状態」が維持される(即座に非準拠にはなならない)。
- 7日経過後: エラーが解消されない場合、デバイスは自動的に「非準拠」と判定されます。
- 猶予期間の設定がある場合: 条件に応じて「猶予期間中」としてマークされます。
- 参考URL:
エラー状態のコンプライアンス設定を使用したデバイスの動作 - 提案された対応策:
エラーが発生した際は、ポリシー設定の不整合やデバイス側の応答を確認し、修正を行うことが推奨されます。
コメント