前置き
Intune の構成プロファイルを利用していると割り当て先をどのように構成すべきかというか、という疑問が浮かびます。特にグループポリシーを利用していた方であれば、挙動にどのような差異があるのかといった部分も含めて混乱する部分も多いと思うので、本稿で整理したいと思います。
本記事の概要
この記事で書くこと
Intune 構成プロファイルのグループ割り当てに関して、以下に焦点を当てて整理します。
① 構成プロファイルの割り当てグループについて、グループポリシーのように構成プロファイルの中身ごとに考慮する必要があるのか(例えばスコープがユーザーの CSP に対し、デバイスグループを適用しても割りあたらないといったことはあるのか)
② そもそも構成プロファイル(Windows CSP)について、デバイス全体に設定が適用されるものと各ユーザーに適用されるものは分かれるのか
想定する読者
- Intune の仕組みを理解しておきたい方
- Intune の設計を担当されている方 etc
結論
以下のとおりです。
① 構成プロファイルの割り当てグループについて、グループポリシーのように構成プロファイルの中身ごとに考慮する必要があるのか(例えばスコープがユーザーの CSP に対し、デバイスグループを適用しても割りあたらないといったことはあるのか)
A. 基本的には必要ない
② そもそも構成プロファイル(Windows CSP)について、デバイス全体に設定が適用されるものと各ユーザーに適用されるものは分かれるのか
A. 分かれる
結論までの道のりと補足
色々な媒体を探したのですが、結局上記の結論の根拠については MS Learn にドンピシャな記載がありましたので以下に引用します。
① 構成プロファイルの割り当てグループについて、構成プロファイルの中身ごとに考慮する必要があるのか(例えばスコープがユーザーの CSP に対し、デバイスグループを適用しても割りあたらないといったことはあるのか)
こちらについては設定内容によって、グループの種別(デバイスなのかユーザー)なのかを気にするといった必要はなさそうです。もちろん設計上考慮すべきことはほかにもありますので、なんでもかんでも割り当ててもよいというものではないと思いますが...
次のリストには、スコープ、割り当て、および予想される動作の可能な組み合わせがいくつか含まれています。
- デバイス スコープ ポリシーがデバイスに割り当てられている場合、そのデバイス上のすべてのユーザーにその設定が適用されます。
- デバイス スコープ ポリシーがユーザーに割り当てられている場合、そのユーザーがサインインして Intune 同期が行われると、デバイス スコープ設定がデバイス上のすべてのユーザーに適用されます。
- ユーザー スコープ ポリシーがデバイスに割り当てられている場合、そのデバイス上のすべてのユーザーにその設定が適用されます。この動作は、ループバックが merge に設定されているのと似ています。
- ユーザースコープのポリシーがユーザーに割り当てられている場合、その設定はそのユーザーのみに適用されます。
- ユーザー スコープとデバイス スコープで使用できる設定がいくつかあります。これらの設定の 1 つがユーザー スコープとデバイス スコープの両方に割り当てられている場合、ユーザー スコープがデバイス スコープよりも優先されます。
② そもそも CSP(構成プロファイル)について、デバイス全体に設定が適用されるものと各ユーザーに適用されるものは分かれるのか
そもそも Windows の仕組み上レジストリがコンピュータとユーザーで分かれていますから、これは当然と言えば当然のことながら異なります。
Intune からポリシーを展開するときに、任意の種類のターゲット グループにユーザー スコープまたはデバイス スコープを割り当てることができます。 ユーザーごとのポリシーの動作は、設定のスコープによって異なります。
引用元
ちなみにどちらのスコープで適用できる設定なのかは MS Learn で公開されています。
以下はその例です。
- デバイス レベル・ユーザーレベルの両方で構成できるもの
- ユーザー レベルでのみ構成できるもの
引用元
以上です。
最後に
冒頭にも書きましたが、グループポリシーですとコンピュータの構成とユーザーの構成で適用できるオブジェクトが異なりましたが、Intune では異なるようです。
となるとどのように設計するのが良いのか、という観点もグループポリシーとは異なってくるのかと思います。そのあたり含めもう少し調べたことがあるので、そちらは別途記事にまとめたいと思います。
Intune に苦しむすべてのエンジニアの助けになれば幸いです。