Microsoft Intuneを使ってスクリーンロックを強制する

会社組織でパソコンを使っていると、監査部門から「セキュリティ対策をちゃんとやれ」という指示が飛んできます。

たいていの場合は、中身が伴っていないのですが、情報システム部門はこのあやふやな指示から、具体的に何をしなければいけないのかをくみ取る必要があります。

たくさんやることがありますが、今回は「Microsoft Intuneを使ってスクリーンロックを強制する」ということをやってみたいと思います。

下記は2021年05月02日(日)時点の情報です。この先のアップデート等で挙動が変わる可能性があります。

■前提

Microsoft Azure Active Directory P1契約があり、ある程度設定済み

Microsoft Intune P1契約があり、ある程度設定済み

Windows 10 Pro Ver.20H2 (※これより古いバージョンやエディション違いは未確認)

※クライアントPCはAzure ADにJoin済みであること

■手順1

「Microsoft Endpoint Manager admin center」の画面を開きます。

　https://endpoint.microsoft.com

■手順2

「デバイス」→「構成プロファイル」→「プロファイルの作成」の順に進みます。

出てきた右側のブレードバーで「Windows10」「テンプレート」「Endpoint Protection」の3つを選んで、最後に「OK」ボタンを押します。

■手順3

「基本」のタブ内では、このポリシーの「名前」や「説明」を入力して「OK」ボタンを押します。

この2つの項目は、あとからでも変更できるので、深く考えずにとりあえず作ってしまっても良いでしょう。

■手順4

「構成設定」のタブ内で、「ローカルデバイスのセキュリティオプション」→「対話型ログオン」→「スクリーンセーバーがアクティブになるまでロック画面の非アクティブ時間」のところを「15」にして、最後に「OK」ボタンを押します。

私と同じ設定をした方は「15分何もせずに放置したらスクリーンセーバーが起動して、解除をしようとすると既定のロック解除手順を踏む」ということを強制されます。

時間は各社のポリシーがあると思うので、お好みでお願いいたします。

■手順5

「割り当て」のタブ内で、これらの設定をどのグループに割り当てるのかを設定します。

いったんテスト用のグループに割り当てることにしました。

■手順6

「適用性ルール」のタブ内では、同じWindows 10でも、どのバージョンのものに適用するのかなど、細かく設定ができるみたいですが、今回はテスト目的なので、なにも選択しませんでした。

■手順7

最後に内容を確認して「作成」ボタンを押すと、ポリシーが作成されます。

■手順8

残念ながら、Intuneはインターネット経由でのポリシー配信となるため、即時反映されません。(まぁまぁ早いけど)

しばらく待つ必要があります。また、サインインなどのタイミングで設定が反映されるようで、OSを再起動したりとかします。

正直タイミングがよくわからないのですが、オンプレADでもポリシー強制更新のコマンドがあったので、Intuneもなにかのコマンドで即時適用できるかもしれません。

ただしく設定がされていれば、「デスクトップ上で右クリック」→「個人用設定」→「ロック画面」→「スクリーンセーバー設定」で開いた画面で「待ち時間」が「15分」に設定されています。

いちおう、15分待ってスクリーンセーバーが発動して、それを解除するためには、所定のロック解除手順を踏む必要があることを確認して作業終了です。

これで、パソコンを付けっぱなしで放置する人が居ても、勝手にパソコンを触られたりといったことが防げると思います。

■余談

実は、この一連の設定めちゃくちゃハマりました。

というのも、一番最初にこの作業をしたとき、この設定がきかなかったのです。

Microsoft社に問い合わせたところ、ここは「スクリーンセーバーが発動してから何分でロックするか」を定義する設定項目だとのことでした。

つまり「スクリーンセーバーを起動するための設定は、これとは別で必要」ということです。

しかも、現時点(※問い合わせ時)では、スクリーンセーバーを起動するための、ポリシーのテンプレートは存在しないとのこと。ヲイヲイ、マジかよ！

なにこの仕様と思いましたが、しかたがないので、不慣れなPowerShellをゴリゴリ書いて、そのスクリプトを強制的に流し込むこととしました。

スクリーンセーバーが発動してから、なるべく早くロックしたいので、「スクリーンセーバーがアクティブになるまでロック画面の非アクティブ時間」の設定値は「1」に設定しました。

これでスクリーンセーバーが発動してから1分後にロックがかかるという動作ができていました。

しばらくは調子よく意図した動きをしていたので、満足していたのですが、あるときから設定を変えた覚えがないのに「1分でスクリーンセーバーが発動する」という状態になりました。

(※2021年04月30日くらいになにか変わった？？？)

PowerShellのスクリプトがバグったのかと思って、いろいろ見直したのですが、最終的に「スクリーンセーバーがアクティブになるまでロック画面の非アクティブ時間」の設定時間が「スクリーンセーバー発動までの時間」になっていることを突き止めました。

当初と挙動変わってますやん・・・。

なんか、タイミング的に、私からの問い合わせによって「あ、やべ」ってなって、修正したとしか思えないのですが、気のせいでしょうかね？

PowerShellでゴリゴリした時間を返して下さい・・・(´；ω；`)