なぜ Intune ポリシーは複雑なのか？その構造を説明します。

はじめに

Intune (Microsoft Intune) は複雑です。
同じネットワーク保護のポリシー設定が、別々の場所で設定できてしまい、混乱します。
そこで今回は、その優先順位や違いについてご案内させていただきます。

まずはじめに、ポリシーは、以下の順位で優先順位が構成されます。

1. Intune > エンドポイント セキュリティ > ウイルス対策 > Enable Network Protection

2. Intune > エンドポイント セキュリティ > 攻撃面の減少 > Web 保護 (Microsoft Edge レガシ)

3. Intune > デバイス > 構成プロファイル > テンプレートのネットワーク保護

また、各種のネットワーク保護ポリシーにてすべて ”ブロック” に設定いただくなど、同じ設定値にご設定ただく場合に限ると、競合には該当しないので、すべて有効にご設定いただくことは問題ありません。

ポリシーが競合する設定値の場合には対応策があり、それについては後述の ”ポリシーが競合した場合の対応策について” でご案内いたします。

---

ポリシーの優先順位

後述する Microsoft の Tech Community にて、以下に示す優先順位が存在する記述があります。

エンドポイント セキュリティ > セキュリティ ベースライン
エンドポイント セキュリティ > その他のテンプレート
デバイス > 構成プロファイル > 設定カタログ
デバイス > 構成プロファイル > その他のテンプレート
デバイス > スクリプト

このコミュニティの投稿では、今回の疑問と類似する観点の質問が投稿されており、それに対する回答が記載されています。
今日と投稿時とでは時差はありますが、疑問点の解消に有効な内容と存じますので、ご紹介させていただきます。

<参考情報>
タイトル : Difference between "Devices > Configuration Profiles" and "Endpoint Security > Manage"
アドレス : https://techcommunity.microsoft.com/t5/microsoft-intune/difference-between-quot-devices-gt-configuration-profiles-quot/m-p/3260865#
--- 引用開始 ---
Microsoft actually has an order of preference for you configurations:
Endpoint Security > Security baselines
Endpoint Security > Other templates
Devices > Configuration profiles > Settings Catalog
Devices > Configuration profiles > Other templates
Devices > Scripts
--- 引用終了 ---

ただし、この投稿は 2022 年の内容であり、現在の状況とは異なる可能性があります。
さらに、上記コミュニティ内で、優先順位が異なった旨の質問が続いており、それに対する回答は更新されていません。
真相は闇の中です。

しかし、調査を進めると、優先順位が正しいことを裏付ける内容が確認できました。

<公開情報>
タイトル : Microsoft Intuneのポリシーとプロファイルに関する一般的な質問、回答、シナリオ
項目 : 競合するコンプライアンスポリシーとデバイス構成ポリシー
アドレス : https://learn.microsoft.com/ja-jp/mem/intune/configuration/device-profile-troubleshoot#compliance-and-device-configuration-policies-that-conflict
--- 引用開始 ---
2 つ以上のポリシーが同じユーザーまたはデバイスに割り当てられる場合、適用される設定は個々の設定レベルで行われます。
コンプライアンス ポリシーの設定は、常に構成プロファイルの設定よりも優先されます。 カスタム コンプライアンス ポリシーを使用してデバイス設定を設定する場合、カスタム コンプライアンス ポリシー内の設定がデバイス構成ポリシー内の同じ設定よりも優先されます。
--- 引用終了 ---

したがいまして、3 つのポリシーの中では、エンドポイント セキュリティで構成するポリシーが最も優先されると判断できます。

---

ポリシーが競合した場合の対応策

ポリシーの競合が生じた場合、競合エラーが発生します。
この問題が生じた場合、多くの設定項目の中から手動で探し出すのは困難である問題に直面します。
そのため、Microsoft では Intune 管理センターでこの問題を最小化できるように機能の向上が図られております。
現時点では、まだプレビュー機能となりますが、競合するポリシーを確認することができる箇所が提供されています。

<公開情報>
タイトル : Microsoft Intuneのポリシーとプロファイルに関する一般的な質問、回答、シナリオ
項目 : 競合するコンプライアンスポリシーとデバイス構成ポリシー
アドレス : https://learn.microsoft.com/ja-jp/mem/intune/configuration/device-profile-troubleshoot#compliance-and-device-configuration-policies-that-conflict
--- 引用開始 ---
構成ポリシーの設定が別の構成ポリシーの設定と競合する場合、Intune にこの競合が表示されます。
--- 中略 ---
使用可能なレポートの詳細については、「Intune レポート」を参照してください。
--- 引用終了 ---

上記の ”「Intune レポート」を参照してください。” に設置されたリンク先では、”非準拠ポリシー (運用)” の項目にて ”[デバイス]>[監視]>[非準拠ポリシー] を選択します。” と記載がありますが、現時点の Intune 管理センター上の表記・パスは以下のとおりです。

Intune 管理センター (https://intune.microsoft.com/) > [デバイス] > [モニター] > 割り当てエラー (プレビュー) でございます。

<公開情報>
タイトル : Intune レポート
項目 : 非準拠ポリシー (運用)
アドレス : https://learn.microsoft.com/ja-jp/mem/intune/fundamentals/reports#noncompliant-policies-operational
--- 引用開始 ---
非準拠ポリシー レポートを表示するには、次の手順を実行します。
Microsoft Intune管理センターにサインインします。
[デバイス]>[監視]>[非準拠ポリシー] を選択します。
--- 引用終了 ---

---

3 つのポリシーの詳細

最後に、上記を踏まえたうえで、3 つのポリシーそれぞれの概要についてふれていきます。

■ 1. Intune > エンドポイント セキュリティ > ウイルス対策 > Enable Network Protection

このポリシーを有効にすると、悪意のあるコンテンツをホストする可能性のあるドメインにアクセスできないようにします。
ブロックと監査の 2 種類から設定が可能です。

<公開情報>
タイトル : ポリシー CSP - Defender
項目 : EnableNetworkProtection
アドレス : https://learn.microsoft.com/ja-jp/windows/client-management/mdm/policy-csp-defender?WT.mc_id=Portal-fx#enablenetworkprotection

■ 2. Intune > エンドポイント セキュリティ > 攻撃面の減少 > Web 保護 (Microsoft Edge レガシ)

Web 保護によって、フィッシング サイト、マルウェア ベクトル、エクスプロイト サイト、信頼されていないか評判の悪いサイト、カスタム インジケーター リストでブロックされたサイトなどへのアクセスを停止します。

設定できる項目は以下のとおりです。
違いは、上記 (ウイルス対策 > Enable Network Protection) と比較し、以下に示すさらに詳細な項目を設定することができます。

・ネットワーク保護を有効にする (任意のモード)
・Microsoft Edge 従来版には SmartScreen が必要 (はい / 未構成)
・悪意のあるサイトへのアクセスをブロックする (はい / 未構成)
・未検証のファイルのダウンロードをブロックする (はい / 未構成)

<参考情報>
タイトル : Hardening Windows Clients with Microsoft Intune and Defender for Endpoint
アドレス : https://techcommunity.microsoft.com/t5/security-compliance-and-identity/hardening-windows-clients-with-microsoft-intune-and-defender-for/ba-p/3807378

■ 3. Intune > デバイス > 構成プロファイル > テンプレートのネットワーク保護

セキュリティ設定を唯一の目的とする場合は、エンドポイント セキュリティ プロファイルを使用することをお勧めします。
それ以外の場合は、デバイス構成プロファイルを使用できます。

以下は、補足として参考となる参考情報のご紹介です。

<参考情報>
タイトル : Difference between "Devices > Configuration Profiles" and "Endpoint Security > Manage"
アドレス : https://techcommunity.microsoft.com/t5/microsoft-intune/difference-between-quot-devices-gt-configuration-profiles-quot/m-p/3260865

長文となりましたが、以上の説明が誰かの一助となれば幸いです。