次の方法で共有

ロールベースのアクセス制御にMicrosoft Intuneロールを割り当てる

この記事の情報は、Intune サブスクリプションを管理するユーザーに組み込みロールまたはカスタム ロールベースのアクセス制御 (RBAC) ロールMicrosoft Intuneユーザーを割り当てるのに役立ちます。 RBAC ロールは、個々のユーザーではなく、グループに割り当てられます。

グループにロールを割り当てる前に、さまざまなIntune管理タスクに十分なグループがあることを確認し、それらのグループのメンバーシップを確認します。 RBAC ロールが割り当てられているグループの各メンバーは、そのロールによって付与されたアクセス許可を受け取ります。 複数のグループからのアクセス許可は、ユーザーの累積的なものであり、特定のアクセス許可を拒否するオプションはありません。 ただし、 RBAC でスコープ タグを使用 して、さまざまな個人グループが表示および管理できるスコープを制限できます。

重要

Microsoft では、権限の低いロールで十分な場合に、毎日の管理にIntune管理者レベルのアクセス許可を持つアカウントを使用することを推奨します。 ただし、Intune管理者のアクセス許可は、次のようなタスクの初期Intuneセットアップ時に必要です。

  • Intune管理者として機能するユーザーをIntuneに追加します。 (「 ユーザーの追加」を参照)
  • 同様の管理業務を共有するユーザーのグループを作成します。 (「 グループの追加」を参照)
  • RBAC ロールをユーザーのグループに割り当て、各グループに、毎日のタスクを実行するために必要なアクセス許可のみを提供します。 (この記事)

これらの手順を完了したら、最小限の特権の原則を維持するために継続的な管理に必要なアクセス許可のみを持つアカウントに切り替えます。

ロールを割り当てるために必要な RBAC アクセス許可

Intuneで RBAC ロールと割り当てを管理するには、アカウントに次のいずれかのアクセス許可セットが必要です。

  • Intune ロール管理者のIntune組み込みロール最小特権組み込みロール

  • 次のカテゴリとカテゴリのアクセス許可を含むカスタム ロール。

    ロール:

    • Assign
    • 作成
    • 削除
    • 読み取り
    • 更新

    組織:

    • 読み取り

Intuneロールの割り当てをデプロイする

Intuneロールをデプロイする前に、「ロールの割り当てについて Intune」を参照してください。このロールの割り当てについてIntune役割の割り当てのいくつかの側面について詳しく説明します。

  1. Microsoft Intune管理センターにサインインし、[テナント管理>Roles>すべてのロール] に移動します。

  2. [Intune ロール - すべてのロール] ページで、テナントで割り当てることができるすべてのIntuneロールを確認できます。 各ロールには、Intuneによって提供される組み込みロールまたはorganizationによって作成されたカスタム Intune ロールとして識別される型があります。

    割り当てるロールを選択し、[ 割り当て>+ 割り当て] を選択します。

  3. [ 基本 ] ページで、[ 名前] とオプションの [説明] を入力し、[ 次へ] を選択します。

  4. [管理 グループ] ページで、[グループの追加] を選択し、ロールのアクセス許可を割り当てるユーザーを含むグループを選択します。

    ヒント

    ロールをグループに割り当てると、そのグループのすべてのメンバーがそのロールによって付与されたアクセス許可を受け取ります。 メンバーシップがわかっているグループにロールを割り当てるだけで、ロールによって提供される管理特権を受け取ってはいけないユーザーは含まれません。

    [次へ] を選択します。

  5. [スコープ (グループ)] ページで、前の手順で選択した管理 グループのメンバーが管理できるようにするユーザーまたはデバイスのみを含むグループを追加します。 さらに [次へ] を選択します。

    注:

    [すべてのユーザー] グループと [すべてのデバイス] グループは、Microsoft Entraセキュリティ グループではなく、仮想グループIntuneされます。 そのため、スコープ (グループ) 割り当てのMicrosoft Entraセキュリティ グループの親として使用することはできません。 すべてのユーザーすべてのデバイスと特定のMicrosoft Entraセキュリティ グループを割り当てるには、個別に追加します。 それ以外の場合、ロールのスコープ (グループ) が [すべてのユーザー] に設定されている場合でも、管理者は特定のMicrosoft Entraユーザー グループにアクセスできません。

    入れ子は、Microsoft Entraセキュリティ グループでサポートされています。

  6. [ スコープ (タグ)] ページで、このロールの割り当てが適用されるタグを選択します。 [次へ] を選択します。

    注:

    スコープ グループを定義し、スコープ タグを割り当てると、管理者はロールの割り当ての [スコープ (グループ)] に一覧表示されているグループのみを対象にすることができます。

  7. [ 確認と作成 ] ページで、完了したら [作成] を選択 します

新しい割り当てが割り当ての一覧に表示されます。

関連コンテンツ