Microsoft Intune では、さまざまな組織のニーズにMicrosoft Entra ID のセキュリティ グループを使用します。 これらのニーズには、地理的な場所、部署、ハードウェア特性などによるユーザーまたはデバイスのグループ化が含まれます。 Intune による Entra グループの使用をサポートするために、Intune 管理センターには、すべての機能を備えた Entra Groups ユーザー インターフェイスが含まれています。 Entra に表示されるグループと、Intune 管理者が作成する可能性がある新しいグループは、Intune、Entra、および Microsoft 365 などの Entra グループ ユーザー インターフェイスを共有するその他の製品に表示されます。
Intune 管理者は、ポリシーの展開、アプリの展開、その他の管理ユーザーのアクセス許可の割り当て時に、適切に定義されたグループを使用して、Intune サブスクリプションのさまざまな側面の管理に役立ちます。
この記事では、Intune 管理センターを使用して、管理センター内でそれらのグループを管理および使用するために必要なアクセス許可の詳細など、Intune で使用するグループを作成することに重点を置いています。
Microsoft Entra グループの詳細については、Entra のドキュメントを参照してください。
グループを操作するためのロールベースのアクセス制御
既定では、すべてのMicrosoft Entra ユーザー アカウントには、Entra ロールベースのアクセス制御 (RBAC) ロールを割り当てずに新しいグループを作成および構成するためのアクセス許可があります。 これらのアクセス許可は、Intune 管理センター内の [グループ] ノードの使用に拡張されます。
グループを作成したユーザー、 所有者として割り当てられているユーザー、Entra グループを管理するための十分な Entra RBAC アクセス許可を持つユーザーのみが、グループのプロパティを編集できます。 グループを編集する権限を持たない他のユーザーは、そのメンバーシップを表示でき、Intune を管理している場合は、Intune ポリシー、アプリ、ロールの割り当てをグループに割り当てることができます。
次のMicrosoft Entra組み込み RBAC ロールは、他のユーザーによって作成された Entra グループを編集および管理するための十分なアクセス許可を含む、最小限の特権を持つ組み込みロールです。
- グループ管理者 – このロールは、Microsoft Intune、Microsoft Entra、および Microsoft 365 の管理センター内からグループを追加および編集するのに十分なアクセス許可を提供します。
RBAC を使用する場合は、タスクに最低限必要なアクセス許可を持つアカウントのみを使用し、Intune 管理者などの特権管理ロールの使用と割り当てを制限することで、最小限のアクセス許可の原則に従うことをお勧めします。
Microsoft Entra グループとグループ アクセスの詳細については、Entra ドキュメントの「グループとアクセス権について」を参照してください。
Intune で使用するグループの要件
Intune 管理者は、新しいグループを作成したり、ポリシーの展開または管理ロールに割り当てたりするときに、Microsoft Entra グループの次の点に注意する必要があります。
セキュリティ - Intune で使用するグループは、セキュリティが有効になっているグループである必要があります。 これは通常、 グループの作成時にグループ グループの種類 を [セキュリティ ] に設定する必要があります。 セキュリティ グループは、ユーザーとデバイスの両方をメンバーとしてサポートします。
既定では、Microsoft Entraの Microsoft 365 グループはセキュリティが有効ではなく、ユーザーのみをメンバーとしてサポートし、Intune ではサポートされていません。 Microsoft Graph PowerShell を使用して、Intune がサポートするセキュリティ対応の Microsoft 365 グループを作成できますが、既定の Microsoft 365 グループのように、デバイスではなくユーザーのみを含めることができます。
メンバーシップ - Intune では 、割り当て済み グループ メンバーシップと 動的グループ メンバーシップの両方がサポートされます。 グループ メンバーシップの管理方法に基づいて、 メンバーシップの種類 を選択します 。ルールに基づいて手動または自動で管理します。 たとえば、Endpoint Security Manager などの組み込みの Intune RBAC ロールを管理ユーザーに割り当てるには、手動で割り当てられたメンバーを持つグループを使用して、その特権ロールを受け取るユーザーを制限します。 逆に、すべてのWindows 11 デバイスにデバイス構成ポリシーの既定のセットを展開するには、デバイスオペレーティング システムのバージョンに基づいてメンバーを動的に追加するグループを使用できます。 動的グループを使用すると、Intune に登録するデバイスが、デバイスをグループに手動で追加することなく、目的の既定のポリシーを自動的に受け取れるようにすることができます。
Intune [すべてのユーザー] グループと [すべてのデバイス] グループ
Intune で作成および使用できるMicrosoft Entra グループに加えて、Intune には、Intune のコンテキスト内と Intune 管理センター内でのみ使用できる 2 つの仮想グループが含まれています。
- すべてのユーザー - このグループには、Intune のライセンスを持つすべてのユーザーが自動的に含まれます。
- すべてのデバイス - このグループには、Intune に登録される各デバイスが自動的に含まれます。
これらの仮想グループは、広範に適用する必要がある Intune ポリシーと割り当てを使用して、該当するすべてのユーザーまたはデバイスをターゲットにする簡単な方法を提供します。
たとえば、Intune コンプライアンス ポリシーをすべてのデバイス グループに展開して、organization内のすべてのデバイスが満たす必要がある最小レベルのコンプライアンス要件を確立できます。 後で、特定の Entra グループにさらに多くの要件をデプロイして、特定のデバイスまたはユーザーのグループに必要な追加の要件を適用できます。
ヒント
Intune 内のグループに フィルター を使用することを検討してください。 すべての ユーザー や すべてのデバイスなどの大規模なグループに Microsoft Intune のアプリ、ポリシー、プロファイルを割り当てるときに、Intune 内でフィルターを使用できます。 フィルターは、展開を受け取るデバイスまたはユーザーを動的に制御するのに役立ちます。 フィルターの使用については、次を参照してください。
Intune にグループを追加する
Microsoft Intune 管理センター内にグループを作成すると、実際には Microsoft Entra ID でグループが作成されます。 次の手順では、Intune 管理センターでグループを作成するための基本的なガイダンスを提供します。 詳細については、次のMicrosoft Entra記事を参照してください。
- Microsoft Entra グループとグループ メンバーシップを管理する
- 基本グループを作成し、Microsoft Entra ID を使用してメンバーを追加する
- Microsoft Entra ID のグループの動的メンバーシップ ルール
Microsoft Intune 管理センターでグループを作成するには:
Microsoft Intune 管理センターにサインインし、[グループ>新しいグループ] を選択します。
![Intune 管理センターの [グループ] ウィンドウを示すスクリーンショット。](media/groups-add/groups-add-new.png)
[新しいグループ] ウィンドウが開きます。これは、Microsoft Entraで見つかったインターフェイスと同じです。
![Intune 管理センター内の Entra の [新しいグループ] ウィンドウを示すスクリーンショット。](media/groups-add/groups-add-properties.png)
新しいグループに対して次のオプションを構成します。
[グループの種類] を [セキュリティ] に設定します。
[ グループ名] には、グループを明確に識別するわかりやすい名前を指定します。 この名前は、管理センターでグループを操作するユーザーに表示されます。
[ グループの説明] (省略可能) には、グループに関するその他の詳細 (目的の用途など) を指定します。
[ メンバーシップの種類] で、次のオプションから選択します。
割り当て済み – このメンバーシップの種類では、ユーザーをグループに手動で追加する必要があります。これは、グループの作成後に今または後で行うことができます。
この時点でユーザーを追加するには、[メンバーの追加] ウィンドウを開くために [メンバーが選択されていない] を見つけて選択します。
ウィンドウで、[ ユーザー ] タブまたは [ デバイス ] タブを使用して、このグループに追加する各オブジェクトの横にあるチェック ボックスをオンにします。
このグループ内の グループ を入れ子にする場合は、[グループ] タブを選択することもできます。 グループをメンバーとして含むグループは、親グループと呼ばれます。 後で親グループを割り当てに使用する管理者は、メンバーシップ関係が明確でない可能性があるため、グループを入れ子にする場合は注意してください。 入れ子になったグループに対して行われたメンバーシップの変更は、親グループの有効なメンバーシップに自動的に適用されます。
重要
ユーザーとデバイスの両方を含むグループは作成しないでください。これにより、Intune の展開中にポリシーの競合や予期しない動作が発生する可能性があります。
ヒント
デバイスのグループを作成するには、 デバイス カテゴリ を使用して、Intune に登録するときにデバイスをグループに自動的に参加させることができます。
動的ユーザー - このメンバーシップの種類で、[ 動的クエリの追加] を選択し、動的メンバーシップ規則を構成します。 ガイダンスについては、「Microsoft Entra ID での動的メンバーシップ グループのルールの管理」を参照してください。
重要
動的ユーザー グループを使用するには、動的グループのメンバーである各ユーザーに対して、Microsoft Entra ID P1 ライセンスが必要です。
動的デバイス - このメンバーシップの種類で、[ 動的クエリの追加] を選択し、動的メンバーシップ規則を構成します。 ガイダンスについては、「Microsoft Entra ID での動的メンバーシップ グループのルールの管理」を参照してください。
ヒント
動的デバイス グループのメンバーには、特定のEntra ID ライセンスは必要ありません。
所有者の構成は省略可能です。 既定では、グループを作成するユーザーは所有者です。 他の所有者を追加するには、[ 所有者が選択されていない ] を選択し、[ ユーザー ] タブを選択して、このグループの所有者として追加する 1 人以上のユーザーを選択できます。
[ 作成] を 選択して、新しいグループを追加します。 一覧にグループが表示されます。
![Intune 管理センターの [グループ] ウィンドウを示すスクリーンショット。](media/groups-add/groups-add-new.png#lightbox)
グループを編集する
Intune 管理者は、グループのメンバー、所有者、プロパティの変更など、グループを編集できます。
既存のグループを編集するには、次の手順に従います。
- Microsoft Intune 管理センターにサインインします。
- [ グループ>すべてのグループ>編集するグループの名前を選択します。
- [ 管理 ] メニュー グループで、編集するグループの領域 ( [プロパティ]、[ メンバー]、または [所有者] など) を選択します。 Intune には、その構成オプションに関連するユーザー インターフェイスが表示されます。
グループを削除する
Intune 管理者は、不要になったグループを削除できます。
既存のグループを削除するには、次の手順に従います。
- Microsoft Intune 管理センターにサインインします。
- [ グループ>すべてのグループ] を選択します。
- 削除する各グループのチェック ボックスをオンにし、[すべてのグループ] ビューの上部にある [オプションから削除] を選択します。 または、グループの名前を選択して 1 つのグループの [概要 ] ページを開き、そのビューの上部にある [ 削除] * を選択することもできます。
ヒント
グループが削除された後、削除された グループ の一覧に表示されるまでに時間がかかる場合があります。