コンプライアンス・ポリシーが非準拠になる問題について

Intuneで何をやっても最近コンプライアンス・ポリシーが非準拠になる問題が発生しており、頭を悩ませておりました。

結構な確率でエラーが出ている

デバイスを見ていると大抵はシステムアカウントで発生している模様。

システムアカウントでエラーが出ており

こんな感じでユーザアカウント側は準拠になっている

ポリシーの中身を見ても基本的に全て準拠させてるしPC側も問題なく動いていて、何でだろうなぁ…と悩んでおりましたがちょっとワードを変えてググったら答えが出てきました…。

Microsoft Intune でデバイスのコンプライアンス ポリシーの結果を監視する

MSの説明にはこうあります。

コンプライアンス ポリシーをデバイス グループに割り当てる場合、ユーザーがサインインしていると、コンプライアンスの評価が 2 回発生することに注意してください。1 つはユーザーに対して、もう 1 つはシステム アカウントに対してです。 このシナリオでは、システム アカウント の評価が失敗し、デバイスが "非準拠" になる可能性があります。 この動作を防ぐには:

ユーザーがサインインしているデバイスの場合 - コンプライアンス ポリシーをユーザー グループに割り当てます。
ユーザーがサインインしていないデバイスの場合 - コンプライアンス ポリシーをデバイス グループに割り当てます。

Microsoft Build上記URL参照

確かに最近共有端末の絡みがあって全社に適用できるようデバイスグループで適用かけてたな…こいつが原因だったのか…(；´Д｀)

PCそのものにポリシーをかけたい場合何となくデバイスグループで括って適用したくなる所ですが、こんな落とし穴があるのですね…横着せずにちゃんとユーザレベルでの制御をかけるように心がけよう…。