次の方法で共有

ロールベースのアクセス制御に Microsoft Intune ロールを割り当てる

この記事の情報は、Microsoft Intune の 組み込み または カスタム ロールベースのアクセス制御 (RBAC) ロールを、Intune サブスクリプションを管理するユーザーにユーザーを割り当てるのに役立ちます。 RBAC ロールは、個々のユーザーではなく、グループに割り当てられます。

グループにロールを割り当てる前に、さまざまな Intune 管理タスクに十分なグループがあることを確認し、それらのグループのメンバーシップを確認します。 RBAC ロールが割り当てられているグループの各メンバーは、そのロールによって付与されたアクセス許可を受け取ります。 複数のグループからのアクセス許可は、ユーザーの累積的なものであり、特定のアクセス許可を拒否するオプションはありません。 ただし、 RBAC でスコープ タグを使用 して、さまざまな個人グループが表示および管理できるスコープを制限できます。

重要

Microsoft では、Intune 管理者レベルのアクセス許可を持つアカウントを、より低い特権のロールで十分な場合に、毎日の管理に使用することを推奨します。 ただし、Intune 管理者のアクセス許可は、Intune の初期セットアップ時に次のようなタスクに必要です。

  • Intune 管理者として機能するユーザーを Intune に追加します。 (「 ユーザーの追加」を参照)
  • 同様の管理業務を共有するユーザーのグループを作成します。 (「 グループの追加」を参照)
  • RBAC ロールをユーザーのグループに割り当て、各グループに、毎日のタスクを実行するために必要なアクセス許可のみを提供します。 (この記事)

これらの手順を完了したら、最小限の特権の原則を維持するために継続的な管理に必要なアクセス許可のみを持つアカウントに切り替えます。

ロールを割り当てるために必要な RBAC アクセス許可

Intune で RBAC ロールと割り当てを管理するには、アカウントに次のいずれかのアクセス許可セットが必要です。

  • Intune ロール管理者の Intune 組み込みロール。 最小特権組み込みロール

  • 次のカテゴリとカテゴリのアクセス許可を含むカスタム ロール。

    ロール:

    • Assign
    • 作成する
    • 削除
    • 読み取り
    • Update

    組織:

    • 読み取り

注:

セキュリティ強化: Multi 管理承認でロールベースのアクセス制御がサポートされるようになりました。 この設定がオンの場合、2 番目の管理者はロールの変更を承認する必要があります。 これらの変更には、ロールのアクセス許可、管理者グループ、またはメンバー グループの割り当ての更新が含まれます。 変更は承認後にのみ有効になります。 この二重承認プロセスは、承認されていないロールベースのアクセス制御の変更からorganizationを保護するのに役立ちます。 詳細については、「Intune でマルチ管理承認を使用する」を参照してください。

Intune ロールの割り当てを展開する

Intune ロールを展開する前に、「 Intune ロールの割り当てについて 」を参照してください。

  1. Microsoft Intune 管理センターにサインインし、[ テナント管理>Roles>すべてのロール] に移動します。

  2. [ Intune ロール - すべてのロール ] ページで、テナントで割り当てることができるすべての Intune ロールを確認できます。 各ロールには、Intune によって提供される組み込みロールまたはorganizationによって作成されたカスタム Intune ロールとして識別されるがあります。

    割り当てるロールを選択し、[ 割り当て>+ 割り当て] を選択します。

  3. [ 基本 ] ページで、[ 名前] とオプションの [説明] を入力し、[ 次へ] を選択します。

  4. [管理 グループ] ページで、[グループの追加] を選択し、ロールのアクセス許可を割り当てるユーザーを含むグループを選択します。

    ヒント

    ロールをグループに割り当てると、そのグループのすべてのメンバーがそのロールによって付与されたアクセス許可を受け取ります。 メンバーシップがわかっているグループにロールを割り当てるだけで、ロールによって提供される管理特権を受け取ってはいけないユーザーは含まれません。

    注:

    テナントで ライセンスのない管理者が許可されている場合、Intune ロールの割り当ては、割り当てられたセキュリティ グループの直接メンバーにのみ適用されます。 入れ子になったグループのメンバーは、既定ではこれらの割り当てを受け取りません。 ただし、入れ子になったグループ内のユーザーに Intune ライセンスがある場合、そのユーザーは Intune ロールを受け取ります。

    [次へ] を選択します。

  5. [スコープ (グループ)] ページで、前の手順で選択した管理 グループのメンバーが管理できるようにするユーザーまたはデバイスのみを含むグループを追加します。 さらに [次へ] を選択します。

    注:

    [すべてのユーザー] グループと [すべてのデバイス] グループは Intune 仮想グループであり、セキュリティ グループMicrosoft Entraではありません。 そのため、スコープ (グループ) 割り当てのMicrosoft Entraセキュリティ グループの親として使用することはできません。 すべてのユーザーすべてのデバイスと特定のMicrosoft Entraセキュリティ グループを割り当てるには、個別に追加します。 それ以外の場合、ロールのスコープ (グループ) が [すべてのユーザー] に設定されている場合でも、管理者は特定のMicrosoft Entraユーザー グループにアクセスできません。

    入れ子は、Microsoft Entraセキュリティ グループでサポートされています。

  6. [ スコープ (タグ)] ページで、このロールの割り当てが適用されるタグを選択します。 [次へ] を選択します。

    注:

    スコープ グループを定義し、スコープ タグを割り当てると、管理者はロールの割り当ての [スコープ (グループ)] に一覧表示されているグループのみを対象にすることができます。

  7. [ 確認と作成 ] ページで、完了したら [作成] を選択 します

    新しい割り当てが割り当ての一覧に表示されます。

関連コンテンツ