次の方法で共有

Microsoft Intuneのユーザーを追加および管理する

Microsoft Entraの一部であるMicrosoft Entra IDは、Microsoft Intuneの ID サービスであり、Intuneに表示されるユーザー アカウントがMicrosoft Entraに存在することを意味します。 Microsoft Entra内で十分なロールベースのアクセス制御 (RBAC) アクセス許可を持つ管理者は、Intune管理センターを使用してユーザー アカウントMicrosoft Entra管理できます。 これらの同じ Entra アクセス許可を使用すると、管理者はMicrosoft 365 管理センター内から、またはMicrosoft Entra 管理センターを介して直接ユーザーを管理することもできます。

Intuneでは、Active Directory から、テナントをIntuneおよび Entra テナントと共有するクラウドベースのサービスに同期するユーザー アカウントの使用もサポートされています。

ユーザーが Entra に追加または同期され、Intuneにライセンスが割り当てられた後、そのユーザーはデバイスをIntuneに登録し、会社のリソースへのアクセスを開始できます。 Intune管理者は、Intune RBAC ロールとアクセス許可をユーザーの控えめなグループに割り当てて、それらのユーザーがIntune サブスクリプションの管理を支援できるようにすることもできます。

この記事の残りの部分では、Intune管理センターを使用してユーザー アカウントを管理することに重点を置いています。

ユーザー アカウントを管理するためのロールベースのアクセス制御

Intune管理センターを使用してユーザーを管理するには、ユーザー アカウントを管理するために、Microsoft Entra内の RBAC アクセス許可がアカウントに必要です。 RBAC は Entra RBAC のサブセットであるため、Microsoft Entraアクセス許可が必要Intune。 サブセットとして、Intuneのみの RBAC アクセス許可では、Microsoft Entraでアカウントを管理するには十分ではありません。 ただし、Intune内のアクセス許可を含むMicrosoft Entraロールがいくつかあります。

RBAC を使用する場合、タスクに最低限必要なアクセス許可を持つアカウントのみを使用し、Intune管理者などの特権管理ロールの使用と割り当てを制限することで、最小限のアクセス許可の原則に従うことをお勧めします。

次の組み込み RBAC ロールMicrosoft Entra、ユーザー アカウントを追加および管理するための十分なアクセス許可を含む、最小限の特権を持つ組み込みロールです。

  • ユーザー管理者 – このロールは、Microsoft Intune、Microsoft Entra、および Microsoft 365 の管理センター内からユーザー アカウントを追加および編集するのに十分なアクセス許可を提供します。

ヒント

Microsoft Entraユーザー管理者ロールには、Intuneやその他の製品にライセンスをユーザーに割り当てるための十分なアクセス許可も用意されています。 ただし、ライセンス管理は、Microsoft 365 管理センターを使用する場合にのみ管理できるタスクです。 詳細については、「Intune ライセンスをユーザーに割り当てる」を参照してください。

Intune にユーザーを追加する

Intune管理センターを使用して、新しいユーザー アカウントをMicrosoft Entra IDに手動で追加し、サブスクリプションで使用できます。 ユーザーを個別に追加し、一括操作を使用して、CSV ファイルで定義されている複数のユーザーを同時に追加することもできます。

個々のユーザーの追加

次の手順を使用して、Intune サブスクリプションに個々のユーザーを追加できます。 新しいユーザー アカウントを作成する方法の詳細については、Microsoft Entra ドキュメントの「ユーザーを作成、招待、削除する方法」を参照してください。

  1. Intune管理センターで、[ユーザー>すべてのユーザー] に移動し>[新しいユーザー>新しいユーザーの作成] を選択します。

  2. [ 基本 ] タブで、次のユーザーの詳細を構成します。

    • ユーザー プリンシパル名 - ユーザー プリンシパル名 (UPN) はMicrosoft Entra IDに格納され、Microsoft Entra、Microsoft 365、Microsoft Intuneなどのサービスへのアクセスに使用されます。
    • メールのニックネーム - ユーザー プリンシパル名とは異なるメール ニックネームを入力するには、[ ユーザー プリンシパル名から派生 ] オプションをオフにして、メールのニックネームを入力します。
    • 表示名 – ユーザーの名前の表示方法。 たとえば、Chris Green や Chris A. Green などです。
    • [パスワード ] - 新しいユーザーのパスワードを追加するか、自動生成を選択します。 すべての新しいユーザーは、最初のサインイン時に新しいパスワードを作成するように指示されます。
    • アカウントが有効 - アカウントが有効になっていない場合、ユーザーはサインインをブロックされます。 この設定は、アカウントの作成後に更新できます。

[ 確認と作成 ] を選択して、基本情報のみを使用して新しいユーザー アカウントを作成するか、[ 次へ: プロパティ ] を選択して追加の構成を完了できますが、オプションの構成を完了できます。

  1. [ プロパティ ] タブで、次の詳細をすべて省略可能に構成します。 指定されていない値は、アカウントの作成時に空白のままであり、後で編集できます。

    • ID:
      • ユーザーの種類 - [メンバー ] または [ゲスト] を選択 します。 どちらのユーザーの種類も、organizationの内部にあります。 メンバーは通常、organizationの正社員です。 ゲストはテナントにアカウントを持っていますが、 ゲスト レベルの特権を持っています
      • 認証情報 – ユーザーに証明書ベースの認証を使用する場合は、このフィールドを使用して、最大 5 つの証明書ユーザー ID を追加できます。 詳細については、「Microsoft Entra IDの certificateUserIds 属性へのマッピング」を参照してください。
    • ジョブ情報: ユーザーの役職、部署、マネージャーなど、ジョブに関連する情報を指定します。
    • 連絡先情報: ユーザーの連絡先情報を追加します。
    • 保護者による管理: K-12 学区などの組織では、ユーザーの年齢グループを指定する必要がある場合があります。 未成年者 は12歳未満、 大人 は13~18歳、 大人 は18歳以上です。 親オプションによって提供される年齢グループと同意の組み合わせによって、法的年齢グループの分類が決まります。 法的年齢グループ分類では、ユーザーのアクセスと権限が制限される場合があります。
    • 設定: 使用状況の場所 を使用して、ユーザーのグローバルな場所を識別できます。

    [ 確認と作成 ] を選択するか、[ 次へ: 割り当て] に進みます。

  2. [割り当て] タブでは、ユーザーを 1 つの管理単位に割り当てることができ、アカウントの作成時に最大 20 個のグループまたはMicrosoft Entraロールを割り当てることができます。 ユーザーの作成後に割り当てを構成することもできます。

    ヒント

    一部のオプションは、Microsoft Entraのアカウント レベルの特権に基づいて構成できない場合があります。 たとえば、ユーザー管理者ロールのみを割り当てる場合は、ユーザーをグループに割り当てることができますが、管理単位を割り当てる権限がない場合や、ユーザーにMicrosoft Entraロールを割り当てる権限がありません。 さまざまなロールによって提供されるアクセス許可については、「Microsoft Entra組み込みロール」を参照してください。

    新しいユーザーにグループを割り当てるには:

    1. [ + グループの追加] を選択します
    2. 表示されるメニューから、一覧から最大 20 個のグループを選択し、[選択] ボタンを 選択 します。
    3. [校閲 + 作成] ボタン選択します。

    新しいユーザーにMicrosoft Entraロールを割り当てるには:
    ユーザーが Entra 内のアクセス許可を必要とする場合は、このオプションを使用して適切なロールを割り当てることができます。 他のアカウントに Entra ロールを割り当てるには、アカウントに特権ロール管理者Microsoft Entraと同じアクセス許可が必要です。

    ヒント

    Intuneに追加するほとんどのユーザーは、Microsoft Entraロールの割り当てを必要としません。 代わりに、Intuneのみを管理するユーザーの場合は、アカウントの作成後にIntune RBAC ロールを割り当てる予定です。

    1. [ + ロールの追加] を選択します
    2. 表示されるメニューから、一覧から最大 20 個のロールを選択し、[選択] ボタンを 選択 します。
    3. [ 確認と作成 ] ボタンを選択します。

    新しいユーザーに管理単位を追加するには:
    Intuneに追加するほとんどのユーザーは、管理単位 (AU) を必要としません。Microsoft Entra IDでは、organization内のユーザー、グループ、またはデバイスのサブセットに対する管理制御を委任する強力な方法です。

    代わりに、Intune内でスコープ タグとスコープ グループを使用できます。

    ユーザーに管理単位を割り当てるには、アカウントに Entra Privileged Role Administrator と同じアクセス許可が必要です。

    1. [ + 管理単位の追加] を選択します
    2. 表示されたメニューから、1 つの管理単位を選択し、[ 選択 ] ボタンを選択します。
    3. [ 確認と作成] を選択します。

  3. [ 確認と作成 ] タブで、詳細を確認して、情報が正しく、検証に合格した詳細を確認します。 詳細を確認し、すべてが適切に表示される場合は、[ 作成 ] ボタンを選択します。

注:

ゲスト ユーザーを Intune テナントに招待することもできます。 詳細については、「Microsoft Entra 管理センター Microsoft Entra B2B コラボレーション ユーザーを追加する」を参照してください。

複数のユーザーを追加する

ユーザー Intune一括で追加するには、ユーザーの完全な一覧を含む csv ファイルをアップロードします。 csv ファイルは、メモ帳または Excel で編集できるコンマ区切りの値リストです。

Intuneに複数のユーザーを追加するには:

  1. Microsoft Intune 管理センターにサインインします。
  2. [ユーザー>すべてのユーザー>Bulk 操作>Bulk create] に移動します。 [ ユーザーの一括作成 ] ウィンドウが表示され、使用できる CVS テンプレートを ダウンロード するオプションが表示されます。
  3. CVS テンプレートの準備ができたら、参照機能を使用してファイルを見つけてアップロードします。 [ 送信] を 選択してインポートを開始します。

csv ファイルを使用してユーザー Intune追加する方法の詳細については、「Microsoft Entra IDでユーザーを一括作成する」を参照してください。

注:

Intune テナントに複数のゲスト ユーザーを招待することもできます。 詳細については、「チュートリアル: B2B コラボレーション ユーザー Microsoft Entra一括招待する」を参照してください。

Active Directory を同期化して Intune にユーザーを追加する

ディレクトリ同期を構成して、ユーザー アカウントをオンプレミスの Active DirectoryからIntuneユーザーを含むMicrosoft Entraにインポートできます。 オンプレミスの Active Directory サービスをすべてのEntra ID ベースのサービスに接続すると、ユーザー ID の管理が簡単になります。 また、シングル サインオン機能を構成することによってユーザー認証の利便性を高めることもできます。 同じ Entra テナント を複数のサービスにリンクすると、以前に同期したユーザー アカウントはすべてのクラウドベースのサービスで使用できます。

Active Directory 管理者が Entra サブスクリプションにアクセスでき、一般的な Active Directory タスクとMicrosoft Entra タスクを完了するようにトレーニングされていることを確認します。

オンプレミス ユーザーを Microsoft Entra ID と同期する方法

  • 既存のユーザーをオンプレミスの Active DirectoryからEntra IDに移動するには、ハイブリッド ID を設定します。 ハイブリッド ID は、オンプレミスの Active DirectoryとMicrosoft Entra IDの両方のサービスに存在します。
  • また、UI またはスクリプトを使用して Active Directory のユーザーをエクスポートすることもできます。 インターネット検索は、organizationに最適なオプションを見つけるのに役立ちます。
  • ユーザー アカウントをEntra IDと同期するには、Microsoft Entra接続ウィザードを使用します。 Microsoft Entra接続ウィザードでは、オンプレミスの ID インフラストラクチャをクラウドに接続するための簡略化されたガイド付きエクスペリエンスが提供されます。 トポロジと要件 (単一ディレクトリまたは複数ディレクトリ、パスワード ハッシュ同期、パススルー認証、またはフェデレーション) を選択します。 ウィザードにより、接続を稼働させるために必要なすべてのコンポーネントがデプロイされて構成されます。 サービス、Active Directory フェデレーション サービス (AD FS) (AD FS)、Microsoft Graph PowerShell モジュールを含みます。

ヒント

Microsoft Entra Connect には、Dirsync および Azure AD Sync として以前にリリースされた機能が含まれていますディレクトリ統合の詳細については、こちらをご覧ください。 ローカル ディレクトリからEntra IDにユーザー アカウントを同期する方法については、「Active Directory と Microsoft Entra IDの類似点」を参照してください。

ユーザーの削除

ユーザーがorganizationを離れた後、Intune管理センターを使用してMicrosoft Entraから削除し、Intuneから削除することもできます。 一括操作を使用して複数のユーザーを削除することもできます。

Entra からユーザーを削除するには、管理者アカウントに、ユーザー管理者ロールMicrosoft Entraと同じアクセス許可が必要です。

Intuneから個々のユーザーを削除するには:

  1. Microsoft Intune 管理センターにサインインします。
  2. [ユーザー>すべてのユーザー] を参照します。
  3. 削除するユーザーを選択します。
  4. [削除] を選択します。

Intuneから複数のユーザーを削除するには:

  1. Microsoft Intune 管理センターにサインインします。
  2. [ユーザー>すべてのユーザー>Bulk 操作>Bulk delete] に移動します。 [ ユーザーの一括削除 ] ウィンドウが表示され、使用できる CVS テンプレートを ダウンロード するオプションが表示されます。
  3. CVS テンプレートの準備ができたら、参照機能を使用してファイルを見つけてアップロードします。 [ 送信] を 選択して削除を開始します。

関連情報については、「Microsoft Entra IDでユーザーを一括削除する」を参照してください。

ヒント

ユーザー アカウントを管理するための十分なアクセス許可を持つユーザーとして、削除できないアカウントがいくつかあります。 特定のアカウントを削除できない理由は次のとおりです。

  • オンプレミスの Active Directoryから同期されるアカウント。
  • アカウントよりも特権の高い Entra ロールが割り当てられているアカウント。
  • Intune管理センターを使用するときに、現在のIntune スコープ グループの外にあるアカウント。

関連コンテンツ