Intuneコンプライアンスポリシー評価のタイミング/動作詳細

2025年4月21日2025年4月22日

1. コンプライアンスポリシー評価のタイミング
2. コンプライアンスポリシー評価の仕組み詳細
- 2.1. デバイスにコンプライアンスポリシーを割り当てた場合の注意点
- 2.2. Android、iOSなどデバイスを使い始める際にデバイスにログインするという概念がない製品の場合、Intuneに送信されるユーザのオブジェクト IDはどの値になるか
3. その他
- 3.1. Entra ID への情報反映のタイムラグについて（注意点）

コンプライアンスポリシー評価のタイミング

コンプライアンスのチェックはデバイスが Intune と同期（チェックイン）された際に評価されます。

同期のタイミングは複数存在します。いずれかのタイミングに合致した際に、コンプライアンスポリシーの評価が Intune 上で行われます。

スケジュールされたチェックインのタイミング

Intune の同期は約 8 時間ごとに自動で実施されます。

注意点としは、デバイスが Intune に登録された初めのタイミングでは、この同期間隔が短くなっています。最初は、短く、徐々に長くなり、最終的に約8時間間隔となります。詳細は以下です（最新情報は、MSサイトを確認ください）

Microsoft Intune のポリシーとプロファイルに関する質問 | Microsoft Learn

スケジュールされたチェックインのタイミング以外

デバイス所有者や管理者が特定の操作を実施したタイミングなどで、チェックインが発生します。

▼参考情報

ポリシー更新間隔

https://learn.microsoft.com/ja-jp/mem/intune/configuration/device-profile-troubleshoot#policy-refresh-intervals

コンプライアンスポリシー評価の仕組み詳細

Intuneとの同期のタイミングで、デバイスはIntuneに対して、「Microsoft Entra デバイスID（Entra上でデバイスを識別する値）」「ユーザのオブジェクト ID（Entra上でユーザを識別する値）」が送付されます（図①）
Intuneは、「Microsoft Entra デバイスID」「ユーザのオブジェクト ID」に対してデバイスコンプライアンスポリシーが割り当てられているかをチェックし、評価に必要となる情報の提供をデバイスに要求します（図②③
デバイスから送付された情報を元に、評価をします（結果、準拠マークまたは非準拠マークが更新されます）（図⑤）

デバイスに対してコンプライアンスポリシーを割り当てた場合は、「Microsoft Entra デバイス ID」にコンプライアンスポリシーが割当たりますし、ユーザに対してコンプライアンスポリシーを割り当てた場合は、「ユーザのオブジェクト ID」に対してコンプライアンスポリシーが割当たります。

（参考）Microsoft Entra デバイス ID、ユーザのオブジェクト IDの確認方法

▼Microsoft Entra デバイス ID

[Intune 管理センター] – [デバイス] – [すべてのデバイス] – デバイスを選択 – [ハードウェア]

▼ユーザのオブジェクト ID

[Intune 管理センター] – [ユーザー] – ユーザーを選択 – [ハードウェア]

Intuneとの同期ができない場合、評価結果はどうなるか

例えば、Intuneとの同期のタイミングで、デバイス側がIntuneと同期できない状態だった場合（電源オフ、NWに接続されていない等）、評価結果は変化しません。

デバイスにコンプライアンスポリシーを割り当てた場合の注意点

Intune上では、デバイスとユーザが紐づいているため、コンプライアンスポリシーを、デバイスに割り当てた場合でも、ユーザに割り当てた場合でも結果は同じではないか？と疑問を持つ人もいると思いますが、挙動が若干変わります。

以下のようなケースで特殊な動きとなります。

デバイスA（Windows OS）にコンプライアンスポリシー①が割り当たっている
Intune上で、デバイスAに紐づくユーザAにもコンプライアンスポリシー②が割当たっている
デバイスA にローカルユーザ（デバイスA上で作成されているユーザ）でログイン

この場合、結論としてはコンプライアンスポリシー①のみが評価対象となります。

Intuneとの同期のタイミングで、デバイスはIntuneに対して、Microsoft Entra デバイスIDとして「デバイスＡのMicrosoft Entra デバイスID」、ユーザのオブジェクト IDとして「00000000-0000-0000-0000-000000000000」が送信されます。（★「00000000-0000-0000-0000-000000000000」はローカルユーザでログインしている場合のみに送付される特殊な値です）

Intuneは、デバイスから送信された、「デバイスＡのMicrosoft Entra デバイスID」の情報を元に、デバイスA（Windows OS）にコンプライアンスポリシーが割り当たっているか確認し、割当たっていたら評価します（デバイスA（Windows OS）にコンプライアンスポリシー①が割当たっているため、コンプライアンスポリシー①が評価されます）

Intuneは、デバイスから送信された、ユーザのオブジェクト ID「00000000-0000-0000-0000-000000000000」の情報を元に、このユーザのオブジェクトIDにコンプライアンスポリシーが割り当たっているか確認し、割当たっていたら評価します（ユーザAのオブジェクトIDにはコンプライアンスポリシー②が割当たっていますが、オブジェクト ID「00000000-0000-0000-0000-000000000000」には、コンプライアンスポリシーは何も当たっていないため、コンプライアンスポリシー②は評価されません）

★上記のように、デバイスにコンプライアンスポリシーを割り当てると「ローカルユーザ」でデバイスにログインしている場合も、コンプライアンスポリシーも評価されるので、注意が必要です（たとえば、「ローカルユーザ」が何かしら理由で、コンプライアンスポリシーに反する設定をデバイスにしてしまった場合、Intune上では対象デバイスは”非準拠”マークが付いてしまいます）。

上記シナリオが発生した後の、Intune上でのデバイスAのユーザプリンシパル名の表示

Intune上では、デバイスAは、ユーザプリンシパル名の項目に「システムアカウント」と表示されます。

一般的に「システムアカウント」というと、Windows上で勝手にバックグラウンドで起動していて、タスクマネージャで表示されている「SYSTEM」（以下の図）を想像される方が多いと思いますが、Intune上のユーザプリンシパル名の項目に表示される「システムアカウント」は、一般的な「システムアカウント」と意味が違います（混乱する原因の一つ）。

タスクマネージャの表示例↓

Intune上で表示されている「システムアカウント」の意味は、単純に「ローカルユーザ」と理解するのがよいでしょう（「システムアカウント」という言葉に混乱させられないようにしましょう）。

Android、iOSなどデバイスを使い始める際にデバイスにログインするという概念がない製品の場合、Intuneに送信されるユーザのオブジェクト IDはどの値になるか

たとえば、WIndos OSの場合は、EntraユーザAでデバイスにログインしたら、Intuneとの同期のタイミングで、EntraユーザAのオブジェクトIDが、Intuneに送信されます。

では、Androidなど、ログインプロセスがないようなデバイスは、Intuneとの同期のタイミングでは、どのユーザのオブジェクトIDが、Intuneに送信されるのでしょうか。

答えは、Intune にデバイスを登録した際に使用したEntraユーザのオブジェクトIDが、Intuneに送信されます。

Androidなどは、Intuneにデバイスを登録する際に、Intuneアプリを利用します。デバイスを登録するプロセスの中で、Entra ユーザのUPN/パスワードを入力する必要があります(ここで、Intune アプリは、デバイス登録に使用されたEntra ユーザを認識できます）

Androidなどの、非WindowsOSデバイスでは、Intuneとの同期タイミングで、Intuneに「Microsoft Entra デバイスID」「ユーザのオブジェクト ID」を送信する役割は、この Intuneアプリが担います（Windows OSの場合は、OSが勝手にやってくれます）。Intune アプリは、Intune にデバイスを登録した際に使用されたEntra ユーザを認識できていますので、Intuneとの同期タイミングで、IこのEntra ユーザのオブジェクトIDが、Intuneに送付されることになります。