この記事は、システム管理者がIntune アカウントにサインアップするのに役立ちます。 Intuneにサインアップする前に、organizationが既にMicrosoft Entra IDを使用しているかどうかを判断します。 Entra IDでは、Intuneおよび Microsoft Azure や Microsoft 365 などのその他の Microsoft オンライン サービスおよびサブスクリプションで使用する職場または学校のアカウントがサポートされます。
Intune サブスクリプションを Entra テナントに追加するには、Intuneを追加するのに十分なアクセス許可を持つEntra ID組み込みロールが割り当てられているアカウントを使用する必要があります。 最初のサインアップ ページでは、 課金管理者、 コンプライアンス管理者、グローバル管理者など、該当する組み込みロールが識別 されます。
Entra テナントをお持ちでない場合は、試用版サブスクリプションに一般的なIntune サブスクリプションにサインアップするときに、organization用に Entra テナントが作成されます。 このシナリオでは、サインアップに使用するアカウントは、新しい Entra テナントのグローバル管理者ロールを自動的に受け取ります。
ヒント
グローバル管理者の組み込みロールは特権Entra IDロールであり、毎日の使用には推奨されません。 この記事の後半で説明するように、Intuneを管理し、毎日のタスクを実行する管理者に特権のないロールを割り当てることで、このロールへの依存を減らすことができます。
警告
新しいアカウントにサインアップした後で、既存の職場または学校アカウントを組み合わせることはできません。
重要
2024 年 10 月 15 日、Microsoft は多要素認証 (MFA) を使用するための Azure サインイン要件の適用を開始しました。 適用されると、持っているロールや持っていないロールに関係なく、管理センター Intuneにサインインするすべてのユーザーに MFA が必要です。 MFA 要件は、管理センターを通じてアクセスするサービス (Windows 365 クラウド PCなど) や、Microsoft Azure portalとMicrosoft Entra 管理センターの使用にも適用されます。 MFA 要件は、それらのユーザーが管理センターにサインインしない Azure でホストされているアプリケーション、Web サイト、またはサービスにアクセスするエンド ユーザーには適用されません。
MFA を使用してサインインする要件は、アドオンの有無にかかわらずプラン 1 サブスクリプション、無料試用版サブスクリプションなど、すべてのIntune サブスクリプションに適用されます。 MFA を構成するために必要な前提条件とプロセスは、テナントに使用する MFA 方法によって異なります。 テナントに対して MFA が有効になった直後に、その後のサインイン試行では、構成された MFA ソリューションを使用するためのセットアップを完了する必要があります。
MFA 要件の詳細については、Microsoft Entraドキュメントの「Azure および管理ポータルの必須多要素認証の計画」を参照してください。
Microsoft Entra計画に関する記事では、多要素認証の準備に役立つガイダンスとリソースについて説明します。これには、MFA を構成する方法が含まれますが、これらに限定されません。
- 条件付きアクセス ポリシー
- Microsoft 365 管理センターからMicrosoft Entra IDするための MFA ウィザード
- Entra IDセキュリティの既定値
ロールベースのアクセス制御
organizationへのアクセスをセキュリティで保護することは、基本的なセキュリティ 手順です。 Intuneにサインアップした直後に、Microsoft 365 管理センターを使用して、ユーザー アカウントにEntra ID組み込みロールを管理者Intune割り当てることを計画することをお勧めします。
グローバル管理者と同様に、Intune管理者は特権アカウントです。 ただし、このロールに含まれるアクセス許可は、Microsoft Intuneのスコープ内でのみ適用されます。
Intuneの構成に加えて、Intune管理者は、Intune管理センターを使用して、日常的な管理タスクを完了するために必要な特定のIntune組み込みロールに他のユーザー アカウントを割り当てることができます。 低い特権ロールを使用して毎日のタスクを管理するには、最小限の 特権 アクセスの原則に従い、リスクを軽減します。
詳細については、「Microsoft Entra ロールのベスト プラクティス」および「Microsoft Intuneを使用したロールベースのアクセス制御 (RBAC)」を参照してください。
Intune にサインアップする方法
-
- Web ブラウザーで、アカウントを設定Intuneページを開き、パズルを解決してロボットではないことを確認します。
[サインインの詳細] ページで、サインインまたはサインアップして、Intuneの新しいサブスクリプションを管理します。
サインアップ後の考慮事項
新しいサブスクリプションにサインアップした後、アカウント情報の記載されたメール メッセージが、サインアップ過程で登録したメール アドレスに送信されます。 このメールで、サブスクリプションがアクティブになったことが確認されます。
サインアップ プロセスが完了すると、Microsoft 365 管理センターに移動してユーザーを追加し、ライセンスを割り当てます。 既定の onmicrosoft.com ドメイン名を使用するクラウドベースのアカウントしかない場合は、この時点でユーザーを追加してライセンスを割り当てることができます。 一方、組織のカスタム ドメイン名を使う場合や、オンプレミスの Active Directory からユーザー アカウント情報を同期する場合は、そのブラウザー ウィンドウを閉じてかまいません。
Microsoft Intune にサインインする
Intuneにサインアップした後、サポートされているブラウザーを備えた任意のデバイスを使用して、Microsoft Intune管理センターにサインインしてサービスを管理します。 Intuneの管理には、アカウントに、管理するタスクに対する十分な RBAC アクセス許可がIntune内に必要です。 最初は、管理者の組み込みロールMicrosoft Entra ID割り当てられているアカウントIntune使用できます。
Intune管理者は、Microsoft Intune内のグローバル アクセス許可を持つ特権ロールです。 このロールを使用すると、ユーザーは、Intuneを構成し、ユーザーを追加し、ユーザーのグループを作成し、それらのグループのメンバーを RBAC ロールIntune割り当てて、毎日の使用に対する特権の低い管理アクセスを提供できます。
Microsoft では、毎日の管理に必要な最小限の権限を持つロールを使用し、アカウントが侵害された場合のリスクを軽減することをお勧めします。 組み込み RBAC ロールとカスタム RBAC ロールIntuneの詳細と、これらのロールをユーザーに割り当てる方法のガイダンスについては、「Microsoft Intuneでロールベースのアクセス制御を使用する」を参照してください。
Intune 管理ポータルの URL
管理センター Microsoft Intune:https://intune.microsoft.com
Intune for Education: https://intuneeducation.portal.azure.com
Microsoft 365 によって提供される Intune サービスの URL
Microsoft 365 Business: https://portal.microsoft.com/adminportal
Microsoft 365 モバイル デバイス管理: https://admin.microsoft.com/adminportal/home#/MifoDevices