Intune の導入に向けて、既存GPOがどこまでIntuneのポリシーで置き換え可能かについて事前調査したのでついでに記事に残したいと思います。
まだ英語であったりするところがあり、英語が苦手な私自身のために日本語で対応するポリシーを記載しています。
調査・検証を進めてみたところEnterpriseエディションでは、ADやローカルグループポリシーで利用していたポリシーの置き換えはほぼ可能なんですが、Proでは大多数が使えませんでした。
本記事のポリシーは 2022/3/1 時点での情報となります。
前提
今回の記事ではWindows 10向けの [構成プロファイル] - [設定カタログ] の中で以下のカテゴリーを一覧にまとめてみました。
BitLocker
BITS
Bluetooth
BitLocker
| カテゴリー名 | ポリシー名(Intune) | サポートするWindows10エディション | 説明 | ||||
| Home | Pro | Business | Enterprise | Education | |||
| BitLocker | デバイスの暗号化を必須にする | × | 〇 | 〇 | 〇 | 〇 | BitLocker\デバイスの暗号化を使用した暗号化をオンにすることを必須にすることを管理者に許可します。 形式は整数です。 このポリシーを有効化するための、このノードのサンプル値: 1 このポリシーを無効にしても、システム ドライブの暗号化はオフになりません。ただし、それをオンにするようにユーザーに求めるメッセージは表示されなくなります。 このポリシーを無効にする場合は、次の SyncML を使用してください。 101./Device/Vendor/MSFT/BitLocker/RequireDeviceEncryptionint0 |
| 他のディスク暗号化の警告を許可する | × | 〇 | 〇 | 〇 | 〇 | すべての UI (暗号化の通知と他のディスク暗号化に対する警告プロンプト) を無効にし、ユーザーのマシンで サイレントに暗号化をオンにすることを管理者に許可します。 警告: サード パーティの暗号化を使用しているデバイスで BitLocker を有効にすると、デバイスが使用不能になり、 Windows の再インストールが必要になる可能性があります。 注意: このポリシーは、"RequireDeviceEncryption" ポリシーが 1 に設定されている場合にのみ有効になります。 形式は整数です。 このポリシーに予期される値は次のとおりです。 1 = これは、ポリシーが設定されていないときの既定値です。警告プロンプトと暗号化の通知が許可されます。 0 = 警告プロンプトと暗号化の通知を無効にします。Windows 10 では、次回のメジャー アップデート以降、 値 0 は Azure Active Directory に参加しているデバイスでのみ有効になります。 値 0 の場合、Windows では BitLocker をサイレントに有効化しようとします。 このポリシーを無効にする場合は、次の SyncML を使用してください。 110./Device/Vendor/MSFT/BitLocker/AllowWarningForOtherDiskEncryptionint0 | |
| └ 標準ユーザーの暗号化を許可する | × | 〇 | 〇 | 〇 | 〇 | 現在ログオンしているユーザーが管理者以外の標準ユーザーであるときに、ポリシーがプッシュされるシナリオに対して管理者が "RequireDeviceEncryption" ポリシーを実施できるようにします。 "AllowStandardUserEncryption" ポリシーは、"0" に設定された "AllowWarningForOtherDiskEncryption" ポリシー (つまり、サイレント暗号化が実施される) に結び付けられています。 "AllowWarningForOtherDiskEncryption" が設定されていないか、"1" に設定されている場合、システムで現在ログオンしているユーザーが標準ユーザーであると、"RequireDeviceEncryption" ポリシーによる ドライブの暗号化は試行されません。 このポリシーで予期される値は次のとおりです。 1 = "RequireDeviceEncryption" ポリシーにより、現在ログインしているユーザーが標準ユーザーの場合でも、すべての固定ドライブで暗号化の有効化が試行されます。 0 = これは、ポリシーが設定されていないときの既定値です。現在ログオンしているユーザーが標準ユーザーの場合は、"RequireDeviceEncryption" ポリシーにより どのドライブでも暗号化の有効化は試行されません。 このポリシーを無効にする場合は、次の SyncML を使用してください。 111./Device/Vendor/MSFT/BitLocker/AllowStandardUserEncryptionint0 | |
BITS
| カテゴリー名 | ポリシー名(Intune) | サポートするWindows10エディション | 説明 | ||||
| Home | Pro | Business | Enterprise | Education | |||
| BITS | コストのかかるネットワーク動作のバックグラウンド優先順位 | 〇 | 〇 | × | 〇 | 〇 | このポリシー設定は、システムがコストのかかるネットワーク (3G など) に接続しているときに、バックグラウンド インテリジェント転送サービス (BITS) によってバックグラウンド転送で使用される既定の動作を定義します。バックグラウンド転送のネットワーク使用はダウンロード動作ポリシーによってさらに制限されます。このポリシー設定を有効にした場合、BITS ジョブの優先順位ごとに既定のダウンロード ポリシーを定義できます。BITS ジョブを作成したアプリケーションによって明示的に構成されたダウンロード ポリシーがこの設定によってオーバーライドされることはありませんが、優先順位のみを指定して作成されたジョブにはこの設定が適用されます。たとえば、バックグラウンド ジョブは既定でコストのかからないネットワーク接続時にのみ転送され、フォアグラウンド ジョブはローミング時以外にのみ開始されるように指定できます。割り当て可能な値は次のとおりです: 1 - 常に転送 2 - ローミング時以外に転送 3 - 追加料金が適用される場合を除いて (ローミング時または容量を超えているとき以外に) 転送 4 - 制限に近づいている場合を除いて (ローミング時または容量に近づいているとき以外に) 転送 5 - 制約がない場合のみ転送 |
| コストのかかるネットワーク動作のフォアグラウンド優先順位 | 〇 | 〇 | × | 〇 | 〇 | このポリシー設定は、システムがコストのかかるネットワーク (3G など) に接続しているときに、フォアグラウンド インテリジェント転送サービス (BITS) によってフォアグラウンド転送で使用される既定の動作を定義します。フォアグラウンド転送のネットワーク使用はダウンロード動作ポリシーによってさらに制限されます。このポリシー設定を有効にした場合、BITS ジョブの優先順位ごとに既定のダウンロード ポリシーを定義できます。BITS ジョブを作成したアプリケーションによって明示的に構成されたダウンロード ポリシーがこの設定によってオーバーライドされることはありませんが、優先順位のみを指定して作成されたジョブにはこの設定が適用されます。たとえば、フォアグラウンド ジョブは既定でコストのかからないネットワーク接続時にのみ転送され、フォアグラウンド ジョブはローミング時以外にのみ開始されるように指定できます。割り当て可能な値は次のとおりです: 1 - 常に転送 2 - ローミング時以外に転送 3 - 追加料金が適用される場合を除いて (ローミング時または容量を超えているとき以外に) 転送 4 - 制限に近づいている場合を除いて (ローミング時または容量に近づいているとき以外に) 転送 5 - 制約がない場合のみ転送 | |
| ジョブ非アクティブのタイムアウト | × | 〇 | × | 〇 | 〇 | このポリシー設定では、保留中の BITS ジョブが非アクティブになってから、破棄されたと見なされるまでの日数を指定します。既定では、BITS は非アクティブなジョブが破棄されたと見なすまで、90 日間待機します。ジョブが破棄されたと判断されると、そのジョブは BITS から削除され、そのジョブのダウンロード済みファイルはディスクから削除されます。注: ジョブのプロパティが変更されたり、ダウンロード アクションが正常に行われたりすると、このタイムアウトはリセットされます。値の型は整数です。既定値は 90 日です。サポートされている値の範囲: 0 - 999 コンピューターが長時間オフラインでいる傾向がある場合や、保留中のジョブが残っている場合は、タイムアウト値を大きくすることをご検討ください。孤立したジョブがディスク領域を占有することが懸念される場合は、この値を小さくすることをご検討ください。このポリシー設定を無効にした場合、または構成しなかった場合、既定値の 90 (日) が、非アクティブなジョブのタイムアウトに使用されます。 | |
| 帯域幅調整の終了時刻 | 〇 | 〇 | × | 〇 | 〇 | このポリシーは、バックグラウンド インテリジェント転送サービス (BITS) がバックグラウンド転送に使用する、帯域幅調整の終了時間を指定します。このポリシー設定は、フォアグラウンド転送に影響しません。このポリシーは 24 時間形式に基づいています。値の型は整数です。既定値は 17 (午後 5 時) です。サポートされている値の範囲: 0 - 23 特定の時間間隔に使用し、残りのすべての時間は使用しないように制限を指定できます。たとえば、午前 8:00 から午後 5:00 までのネットワーク帯域幅の使用を 10 Kbps に制限し、残りの時間帯は使用可能なすべての未使用帯域幅を使用します。3 つのポリシー (BandwidthThrottlingStartTime、BandwidthThrottlingEndTime、BandwidthThrottlingTransferRate) を同時に使用すると、BITS は帯域幅の使用を指定された値に制限します。1 秒あたりの K ビット数 (Kbps) で制限を指定できます。2 K ビット未満の値を指定した場合、BITS は約 2 K ビットを引き続き使用します。BITS の転送が発生しないようにするには、制限値として 0 を指定してください。このポリシー設定を無効にした場合、または構成しなかった場合、BITS は使用可能なすべての未使用帯域幅を使用します。注: 制限は、コンピューターのネットワーク インターフェイス カード (NIC) ではなく、ネットワーク リンクの速度に基づく必要があります。このポリシー設定は、ピア コンピューター間のピア キャッシュ転送には影響しません (配信元サーバーからの転送には影響します)。その目的には、"ピアキャッシュに使用される最大ネットワーク帯域幅を制限する" ポリシー設定を使用する必要があります。クライアント コンピューターに高速ネットワーク カード (10 Mbs) があるが、低速リンク (56 Kbs) でネットワークに接続されている場合に、この設定を使用して、BITS の転送によってネットワーク帯域幅の競合が発生しないようにすることをご検討ください。 | |
| 帯域幅調整の転送速度 | 〇 | 〇 | × | 〇 | 〇 | このポリシーは、バックグラウンド インテリジェント転送サービス (BITS) によってバックグラウンド転送で使用される帯域幅調整の転送速度を 1 秒あたりのキロビット数 (Kbps) で指定します。このポリシー設定は、フォアグラウンド転送に影響しません。値の型は整数です。既定値は 1000 です。サポートされている値の範囲: 0 - 4294967200。特定の時間間隔に使用し、残りのすべての時間は使用しないように制限を指定できます。たとえば、午前 8:00 から午後 5:00 までのネットワーク帯域幅の使用を 10 Kbps に制限し、残りの時間帯は使用可能なすべての未使用帯域幅を使用します。3 つのポリシー (BandwidthThrottlingStartTime、BandwidthThrottlingEndTime、BandwidthThrottlingTransferRate) を同時に使用すると、BITS は帯域幅の使用を指定された値に制限します。1 秒あたりのキロビット数 (Kbps) で制限を指定できます。2 キロビット未満の値を指定した場合、BITS は約 2 キロビットを引き続き使用します。BITS の転送が発生しないようにするには、制限値として 0 を指定してください。このポリシー設定を無効にした場合、または構成しなかった場合、BITS は使用可能なすべての未使用帯域幅を使用します。注: 制限は、コンピューターのネットワーク インターフェイス カード (NIC) ではなく、ネットワーク リンクの速度に基づく必要があります。このポリシー設定は、ピア コンピューター間のピア キャッシュ転送には影響しません (配信元サーバーからの転送には影響します)。その目的には、"ピアキャッシュに使用される最大ネットワーク帯域幅を制限する" ポリシー設定を使用する必要があります。クライアント コンピューターに高速ネットワーク カード (10 Mbs) があるが、低速リンク (56 Kbs) でネットワークに接続されている場合に、この設定を使用して、BITS の転送によってネットワーク帯域幅の競合が発生しないようにすることをご検討ください。 | |
| 帯域幅調整の開始時刻 | 〇 | 〇 | × | 〇 | 〇 | このポリシーは、バックグラウンド インテリジェント転送サービス (BITS) がバックグラウンド転送に使用する、帯域幅調整の開始時間を指定します。このポリシー設定は、フォアグラウンド転送に影響しません。このポリシーは 24 時間形式に基づいています。値の型は整数です。既定値は 8 (午前 8 時) です。サポートされている値の範囲: 0 - 23 特定の時間間隔に使用し、残りのすべての時間は使用しないように制限を指定できます。たとえば、午前 8:00 から午後 5:00 までのネットワーク帯域幅の使用を 10 Kbps に制限し、残りの時間帯は使用可能なすべての未使用帯域幅を使用します。3 つのポリシー (BandwidthThrottlingStartTime、BandwidthThrottlingEndTime、BandwidthThrottlingTransferRate) を同時に使用すると、BITS は帯域幅の使用を指定された値に制限します。1 秒あたりの K ビット数 (Kbps) で制限を指定できます。2 K ビット未満の値を指定した場合、BITS は約 2 K ビットを引き続き使用します。BITS の転送が発生しないようにするには、制限値として 0 を指定してください。このポリシー設定を無効にした場合、または構成しなかった場合、BITS は使用可能なすべての未使用帯域幅を使用します。注: 制限は、コンピューターのネットワーク インターフェイス カード (NIC) ではなく、ネットワーク リンクの速度に基づく必要があります。このポリシー設定は、ピア コンピューター間のピア キャッシュ転送には影響しません (配信元サーバーからの転送には影響します)。その目的には、"ピアキャッシュに使用される最大ネットワーク帯域幅を制限する" ポリシー設定を使用する必要があります。クライアント コンピューターに高速ネットワーク カード (10 Mbs) があるが、低速リンク (56 Kbs) でネットワークに接続されている場合に、この設定を使用して、BITS の転送によってネットワーク帯域幅の競合が発生しないようにすることをご検討ください。 | |
Bluetooth
| カテゴリー名 | ポリシー名(Intune) | サポートするWindows10エディション | 説明 | ||||
| Home | Pro | Business | Enterprise | Education | |||
| Bluetooth | ローカル デバイス名 | × | 〇 | 〇 | 〇 | 〇 | ローカル Bluetooth デバイス名を設定します。設定すると、設定した値が Bluetooth デバイス名として使用されます。ポリシーが設定されていることを確認するには、デバイスの Bluetooth コントロール パネルを開きます。その後、別の Bluetooth 対応デバイスに移動し、Bluetooth コントロール パネルを開いて、指定された値を確認します。このポリシーが設定されていないか削除されている場合、既定のローカル無線名が使用されます。 |
| 使用できるサービスの一覧 | × | 〇 | 〇 | 〇 | 〇 | 許可されるサービスとプロファイルの一覧を設定します。セミコロンで区切られた、標準形式の Bluetooth サービス UUID の文字列 16 進形式配列。例: {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF}。既定値は空の文字列です。詳細については、ServicesAllowedList 利用ガイドを参照してください | |
| 広告を許可する | × | 〇 | 〇 | 〇 | 〇 | デバイスが Bluetooth 広告を送信できるかどうかを指定します。これが設定されていないか削除された場合、既定値の 1 (許可) が使用されます。最も制限されている値は 0 です。 | |
| 暗号化キーの最小サイズを設定する | × | 〇 | 〇 | 〇 | 〇 | Bluetooth デバイスをペアリングする際の暗号化の強度には複数のレベルがあります。このポリシーは、高セキュリティ環境で暗号強度の低いデバイスが使用されるのを防止するのに役立ちます。 | |
| 検出可能モードを許可する | × | 〇 | 〇 | 〇 | 〇 | その他の Bluetooth 対応デバイスがデバイスを検出できるかどうかを指定します。これが設定されていないか削除された場合、既定値の 1 (許可) が使用されます。最も制限されている値は 0 です。 | |
| 準備を許可する | × | 〇 | 〇 | 〇 | 〇 | バンドルされている特定の Bluetooth 周辺機器がホスト デバイスと自動的にペアリングすることを許可するかどうかを指定します。 | |
| 近位接続の表示を許可する | × | 〇 | 〇 | 〇 | 〇 | このポリシーを使用すると、IT 管理者はこれらのマネージド デバイス上で、ユーザーによるクイック ペアリングやその他の近接通信ベースのシナリオの使用をブロックすることができます。 | |
