Intune と GPO はどちらが優先される？競合時の解決策をわかりやすく解説

 

企業環境で Windows デバイスを管理する際に、オンプレミスのグループポリシー (GPO) とクラウド管理の Microsoft Intune を併用するケースが増えています。しかし、同じ設定を両方から配布した場合にどちらが優先されるのか、競合が起きたときにどう対応すれば良いのか、私がIntuneを設計するときに調査した内容を共有します。

本記事では以下の2つの観点に絞って解説します。

1. 適用の優先順位 (Intune vs ドメインGPO vs ローカルGPO)
2. 競合が起きたときの解決方法 (Best Practice や設定のポイント)

1. 適用の優先順位 (Intune vs GPO vs ローカル GPO)

基本ルール: GPO のほうが強い

Windows 10/11 において、同一設定が Intune (MDM) からも GPO からも配布されている場合、既定では GPO が優先して適用されるのが基本ルールです。これはドメインに参加している PC であれば ドメインGPO が、非ドメイン環境であれば ローカルGPO が優先されます。

たとえば以下のようなケースでは、GPO 側の設定が上書きするかたちで最終的に有効になります。

• ドメイン GPO: Windows Defender のリアルタイム保護をオフ
• Intune: リアルタイム保護をオンにするポリシーを配布

このように「どちらが勝つかわからない」ではなく、原則として GPOが勝つ と考えておけば OK です。もし Intune の設定を優先したい場合は、あとで紹介するMDMWinsOverGP の仕組みを活用することで一部のポリシーを逆転可能です。

ドメイン GPO > ローカル GPO

ドメイン環境におけるグループポリシーは、ローカル GPO よりも優先度が高いです。つまり、Windows の「ローカル グループポリシー エディタ (gpedit.msc)」で設定した値は、同じ項目についてドメイン GPO でも設定されている場合は上書きされます。

結果として、オンプレ AD ドメインに参加した PC の場合は

1. ドメイン GPO
2. ローカル GPO
3. MDM (Intune) からの設定

という優先順位になるわけです。
（※ 実際には、Windows の起動時やログオン時に GPO が適用され、その後に Intune からのポリシーが適用されることもありますが、最終的には GPO の値が勝ることが多い、という意味です）

参照情報

Intune deployment and Group Policy impact? - Microsoft Q&A

2.  MDMWinsOverGP で Intune を優先させる方法

Windows 10 バージョン 1803 以降 (および Windows 11) では、MDMWinsOverGP と呼ばれるポリシーを有効化することで、従来 GPO が優先されていた同一項目を Intune 側で上書きできるようになりました。

具体的には、

1. Intune で「カスタム OMA-URI」プロファイルを作成
2.  ./Device/Vendor/MSFT/Policy/Config/ControlPolicyConflict/MDMWinsOverGP
 に 1 を設定

を配布することで、Policy CSP に属するポリシー に限り、競合時に Intune の値が優先されます。ただし下記のような制限がある点に注意が必要です。

• すべてのポリシーが対象ではなく、Policy CSP で提供される設定のみが対象
• Windows Defender や BitLocker など一部セキュリティ領域では対象外の設定が多い
• 運用としては重複管理を続けるより、最終的に GPO 側を無効化・削除するほうが安全

参考情報
ControlPolicyConflict Policy CSP | Microsoft Learn

グループ ポリシーでサポートされている Policy CSP のポリシー | Microsoft Learn

3. GPOからIntuneに移行しよう

前述のとおりMDMWinsOverGP は百薬の長とはなりえません。
Intuneを導入するのであれば、端末の構成管理はIntuneまたはGPOのどちらかに倒すのがベストです。

例として、GPOからIntuneでの構成管理に切り替える場合は以下の点を考慮することで、ポリシーの衝突の可能性を低く抑えることができると考えます。

ポリシー移行計画を立てる

　既存の GPO で管理していた設定のうち、Intune へ移行したい項目はどれなのかを事前に洗い出し、段階的に GPO を無効化する計画を立てましょう。

　Intuneの制約上移行できないものはGPOにて管理するか、そもそもの要件に立ち返ってGPOで設定する必要が本当にあるか検討しましょう。

グループ ポリシー アナリティクスを利用することでオンプレの GPO バックアップ (ADMX) をインポートすると、Intune の「設定カタログ」で同等の設定があるか自動分析してポリシー移行に役立てることができます。

MDMWinsOverGPは過渡期にのみ使用し最終的には無効とする

一時的に MDMWinsOverGP を使って Intune の設定を優先させる方法があります。ただし、すべてのポリシーが対象になるわけではありません。
また、運用中においても競合したらGPOが勝つという 原則に例外が発生してしまい運用が複雑になります。　あくまでも、GPOからIntuneにポリシーを移行するまでの間のみ利用するのが経験上ベストな構成です。

株式会社Rock'in villageではIntuneをはじめとしたMDM製品やMicrosoft365導入支援及びコンサルティングを行っております。 お客様の課題やご予算やに合わせた柔軟な対応を行っておりますのでまずはご相談ください。
お問い合わせフォーム (Microsoft Forms) へ