管理者PCで設定したデバイス制限プロファイルを、ユーザーのPCに自動的に適用する方法をご紹介します。この自動割り当てにより、各社員のPCを個別に設定する手間が省け、管理者は該当ユーザーを既存のグループに追加するだけで、多くの社員のPCにデバイス制限プロファイルを反映させることができます。 
この記事では、管理者PCでプロファイルを作成し、ユーザーPCに自動適用する手順と、反映確認及び失敗例について解説します。 

＜個別に設定＞ 

＜自動インストール＞ 

• 手順1　デバイス制限プロファイルの作成
• 手順2　ユーザーPCでの反映確認作業_ゲーム録画ブロック
• 手順3　管理者PCでの確認作業
• 　※失敗例

手順1　デバイス制限プロファイルの作成

1．Microsoft Intune 管理センターを開き、「デバイス」をクリックします。

2．「構成」をクリックします。

3．「作成」をクリックし、「新しいポリシー」をクリックします。

4．「プラットフォーム」のプルダウンから、「Windows 10 以降」を選択します。

5．「プロファイルの種類」のプルダウンから、「テンプレート」を選択します。

6．「デバイスの制限」を選択し、「作成」をクリックします。

7．「任意の名前」を入力し、「次へ」をクリックします。

8．「アプリストア」のタブを開きます。

9．下記の項目を設定します。 
———————————— 
[App store（モバイルのみ）]　ブロック 
[ストア アプリの自動更新]　ブロック 
[信頼できるアプリのインストール]　ブロック 
[開発者によるロック解除]　ブロック 
———————————— 

10．下記の項目を設定します。 

———————————— 
[ストアから配信されたアプリの起動] 　ブロック  
[システム ボリューム上でアプリ データをインストールします] 　ブロック 
[システム ドライブ上でアプリをインストールします] 　ブロック 
[ゲーム録画（デスクトップのみ）] 　ブロック 
———————————— 

11．下記の項目を設定します。 
————————————
[インストールに対するユーザー コントロール] 　ブロック  
[昇格された特権を持つアプリをインストールします] 　ブロック 
———————————— 

12．「クラウドとストレージ」のタブを開きます。

13．下記の項目を設定します。 
———————————— 
[Microsoft 以外のアカウント] 　ブロック  
———————————— 

14．「全般」のタブを開きます。

15．下記の項目を設定します。 
———————————— 
[リムーバブル記憶域] 　ブロック 
———————————— 

16．「パスワード」のタブを開きます。

17．下記の項目を設定します。 
———————————— 
[パスワード]　必要 
[必要なパスワードの種類]　英数字 
[パスワードの複雑さ]　数字、小文字、大文字、特殊文字が必要 
[パスワードの最小文字数]　８ 
[画面がロックされるまでの非アクティブな最長時間（分）]　５分 
———————————— 

18．下記の項目を設定します。 
———————————— 
[単純なパスワード]　ブロック 
[Windows Hello デバイス認証]　許可 
———————————— 

19． 「Microsoft Defender SmartScreen」のタブを開きます。

20．下記の項目を設定します。 
———————————— 
[Microsoft Edge 従来版の SmartScreen]　必要 
[悪意あるサイトへのアクセス]　ブロック 
[確認されていないファイルのダウンロード] 　ブロック 
———————————— 

21．「Microsoft Defender ウイルス対策」のタブを開きます。

22．下記の項目を設定します。 
———————————— 
[リアルタイム監視]　有効にする 
[動作の監視]　有効にする 
[Network Inspection System（NIS）]　有効にする 
[すべてのダウンロードをスキャンする]　有効にする 
[スケジュールされたスキャン用に低い CPU 優先度を構成]　有効 
———————————— 

23．下記の項目を設定します。 
———————————— 
[Microsoft Web ブラウザーに読み込まれたスクリプトをスキャンする]　有効にする 
[Defender へのエンドユーザーアクセス]　ブロック 
[セキュリティ インテリジェンスの更新間隔（時間）]　１ 
[ファイルとプログラムのアクティビティを監視する]　すべてのファイルを監視する 
[スキャン中の CPU 使用率の制限] 　２０ 
———————————— 

24．下記の項目を設定します。 
———————————— 
[アーカイブ ファイルのスキャン]　有効にする 
[受信メール メッセージをスキャンする] 　有効にする 
[フル スキャン中に、リムーバブル ドライブをスキャンする] 　有効にする 
[フル スキャン中に、マップされたネットワーク ドライブをスキャンする] 　有効にする 
[ネットワーク フォルダーから開いたファイルをスキャンする] 　有効にする 
[クラウドによる保護] 　有効にする 
———————————— 

25．下記の項目を設定します。 
———————————— 
[ファイル ブロック レベル]　高 
[クラウドによるファイル スキャンの時間延長]　２０ 
[サンプルを送信する前にユーザーに確認メッセージを表示する]　安全なサンプルを自動的に送信する 
[毎日のクイック スキャンを実行する時刻]　午後 １２：００ 
[実行するシステム スキャンの種類] 　フル スキャン 
[スケジュール日]　火曜日 
[スケジュールされた時刻]　午後 ３：００ 
———————————— 

26．下記の項目を設定します。 
———————————— 
[望ましくない可能性のあるアプリケーションの検出]　有効にする 
[常時保護]　ブロック 
[検出されたマルウェアの脅威に対するアクション]　有効にする 
[重要度レベル低]　検疫 
[“中程度”の重大度] 　検疫 
[重要度レベル高]　ブロック 
[“重大”の重大度]　削除 
———————————— 

27．「次へ」をクリックします。

28．「グループの追加」をクリックし、グループを割り当てます。

29．割り当てるグループにチェックを入れ、「選択」をクリックします。

30．「次へ」をクリックします。

31．「次へ」をクリックします。

32．内容を確認し、「作成」をクリックします。

33．プロファイルが作成されました。

手順2　ユーザーPCでの反映確認作業_ゲーム録画ブロック

1．手順１にて、事前にゲーム録画のブロックをしていたので、設定が反映されているか確認します。「設定」を開きます。

2．「ゲーム」を開き、「キャプチャ」をクリックします。

3．ゲーム録画のブロックがされていない場合は、「録画の環境設定」の設定項目が表示されます。

4．新しくキッティングしたPCでは、「録画の環境設定」の設定項目が表示されておらず、ゲーム録画のブロックが反映されていることが確認できました。

手順3　管理者PCでの確認作業

1．Microsoft Intune 管理センターを開き、「デバイス」をクリックします。

2．「構成」をクリックします。

3．手順１で作成した「ポリシー」をクリックします。

4．ポリシーを開くと、「競合」に1台反映されています。

5．「レポートの表示」をクリックします。

6．「デバイス名」をクリックします。

7．いくつかの項目の「設定の状態」が、「競合」と表示されています。

8．ポリシー画面に戻り、「編集」をクリックします。

9．手順３－７で「競合」と表示されていた項目を、「未構成」または、「空欄」に設定を変更していきます。

10．設定の変更が完了したら、「レビューと保存」をクリックします。

11．「保存」をクリックします。

12．ポリシーが保存されました。

13．「成功」に1台反映されたことが確認できました。 
※変更が反映されるまで、15分~20分程かかりました。

14．「設定の状態」もすべての項目で、「成功」と表示されました。

※失敗例

手順３－９にて、設定を「空欄」に変更していましたが、「0」と入力してしまうと「競合」のまま表示が変わりませんでした。こちらでは失敗ver.として、「0」に設定変更した際の画面を紹介します。 

1．設定項目を「未構成」または、「0」に変更してみました。

2．「設定の状態」が「競合」のまま、変更されていないことがわかります。

その他お困りごとも動画で解説！