organizationへのアクセスをセキュリティで保護することは、重要なセキュリティ手順です。 この記事では、Microsoft Entra ID RBAC コントロールの拡張機能である Microsoft Intune ロールベースのアクセス制御 (RBAC) を使用するための基本的な詳細について説明します。 以降の記事は、organizationに Intune RBAC を展開するのに役立ちます。
Intune RBAC を使用すると、管理者に詳細なアクセス許可を付与して、organizationのリソースにアクセスできるユーザーと、それらのリソースで実行できる操作を制御できます。 Intune RBAC ロールを割り当て、最小特権アクセスの原則に従うと、管理者は、割り当てられたタスクを、管理する権限を持つユーザーとデバイスに対してのみ実行できます。
RBAC ロール
各 Intune RBAC ロールは、そのロールに割り当てられたユーザーが使用できるアクセス許可のセットを指定します。 アクセス許可は、 デバイス構成 や 監査データなどの 1 つ以上の管理カテゴリと、 読み取り、 書き込み、 更新、削除などの一連のアクションで構成 されます。 これらを組み合わせて、Intune 内の管理アクセスとアクセス許可のスコープを定義します。
Intune には、組み込みロールとカスタム ロールの両方が含まれています。 組み込みロールはすべてのテナントで同じであり、一般的な管理シナリオに対処するために提供されますが、作成するカスタム ロールでは、管理者が必要に応じて特定のアクセス許可を許可します。さらに、いくつかのMicrosoft Entraロールには、Intune 内のアクセス許可が含まれています。
Intune 管理センターでロールを表示するには、テナント管理>Roles>すべてのロールに移動し>ロールを選択します。 その後、次のページからそのロールを管理できます。
- プロパティ: ロールの名前、説明、アクセス許可、およびスコープのタグ。 組み込みロールの名前、説明、およびアクセス許可については、このドキュメントの「 組み込みロールのアクセス許可」を参照してください。
- 割り当て: ロールの割り当てを 選択して、そのロールに関する詳細 (割り当てに含まれるグループとスコープなど) を表示します。 ロールには複数の割り当てを設定でき、ユーザーは複数の割り当てを受け取ることができます。
注:
2021 年 6 月、Intune は ライセンスのない管理者のサポートを開始しました。 この変更後に作成されたユーザー アカウントは、割り当てられたライセンスなしで Intune を管理できます。 この変更の前に作成されたアカウントと、ロールに割り当てられた入れ子になったセキュリティ グループの管理者アカウントには、Intune を管理するためのライセンスが引き続き必要です。
組み込みの役割
十分なアクセス許可を持つ Intune 管理者は、任意の Intune ロールをユーザーのグループに割り当てることができます。 組み込みロールは、ロールの目的に合った管理タスクを実行するために必要な特定のアクセス許可を付与します。 Intune では、組み込みロールの説明、種類、またはアクセス許可の編集はサポートされていません。
- アプリケーション マネージャー: モバイルとマネージド アプリケーションを管理し、デバイス情報を読み取り、デバイス構成プロファイルを表示することができます。
- Endpoint Privilege Manager: Intune コンソールでエンドポイント特権管理 ポリシーを管理します。
- エンドポイント特権閲覧者: エンドポイント特権閲覧者は、Intune コンソールでエンドポイント特権管理ポリシーを表示できます。
- エンドポイント セキュリティ マネージャー: セキュリティ ベースライン、デバイス コンプライアンス、条件付きアクセス、Microsoft Defender for Endpointなどのセキュリティとコンプライアンスの機能を管理します。
- ヘルプ デスク オペレーター: ユーザーとデバイスに対するリモート タスクを実行し、ユーザーやデバイスにアプリケーションやポリシーを割り当てることができます。
- Intune ロール管理者: Intune のカスタム ロールを管理し、Intune の組み込みロールの割り当てを追加します。 アクセス許可を管理者に割り当てられるのは、Intune ロールだけです。
- ポリシーとプロファイル マネージャー: コンプライアンス ポリシー、構成プロファイル、Apple の登録、企業デバイスの識別子、セキュリティ ベースラインを管理します。
- 読み取り専用オペレーター: ユーザー、デバイス、登録、構成、アプリケーション情報を表示します。 Intune に変更を加えることはできません。
- 学校管理者: 学校管理者は、 Intune for Education でグループのアプリ、設定、デバイスを管理します。 デバイスのリモート ロック、再起動、管理からの削除など、デバイスでリモートアクションを実行できます。
テナントにクラウド PC をサポートするためのWindows 365サブスクリプションが含まれている場合は、Intune 管理センターに次のクラウド PC ロールも表示されます。 これらのロールは既定では使用できません。また、クラウド PC に関連するタスクに対する Intune 内のアクセス許可も含まれています。 これらのロールの詳細については、Windows 365ドキュメントの「クラウド PC の組み込みロール」を参照してください。
- クラウド PC 管理者: クラウド PC 管理者は、クラウド PC 領域内にあるすべてのクラウド PC 機能に 対する読み取り および 書き込み アクセス権を持っています。
- クラウド PC リーダー: クラウド PC リーダーには、クラウド PC 領域内にあるすべてのクラウド PC 機能への 読み取り アクセス権があります。
カスタムの役割
独自のカスタム Intune ロールを作成して、管理者にタスクに必要な特定のアクセス許可のみを付与できます。 これらのカスタム ロールには、任意の Intune RBAC アクセス許可を含めることができます。これにより、管理者アクセスの絞り込みと、organization内の最小特権アクセスの原則のサポートが可能になります。
「 カスタム ロールを作成する」を参照してください。
Intune アクセス権を持つロールのMicrosoft Entra
Intune RBAC アクセス許可は、Microsoft Entra RBAC アクセス許可のサブセットです。 サブセットとして、Intune 内のアクセス許可を含むMicrosoft Entraロールがいくつかあります。 Intune にアクセスできるほとんどのEntra IDロールは、特権ロールと見なされます。 特権ロールの使用と割り当てを制限し、Intune 内の毎日の管理タスクには使用しないでください。
Microsoft では、管理者が職務を遂行するために最低限必要なアクセス許可のみを割り当てることによって、最小限のアクセス許可の原則に従うことをお勧めします。 この原則をサポートするには、毎日の Intune 管理タスクに Intune の組み込みの RBAC ロールを使用し、Intune にアクセスできるロールMicrosoft Entra使用しないようにします。
次の表は、Intune にアクセスできるMicrosoft Entraロールと、そのロールに含まれる Intune のアクセス許可を示しています。
| Microsoft Entraロール | すべての Intune データ | Intune の監査データ |
|---|---|---|
グローバル管理者  |
読み取り/書き込み | 読み取り/書き込み |
| Intune サービス管理者 |
読み取り/書き込み | 読み取り/書き込み |
| 条件付きアクセス管理者 |
なし | なし |
| セキュリティ管理者 |
読み取り専用 (エンドポイント セキュリティ ノードの完全な管理アクセス許可) | 読み取りのみ |
| Security Operator |
読み取りのみ | 読み取りのみ |
| セキュリティ 閲覧者 |
読み取りのみ | 読み取りのみ |
| コンプライアンス管理者 | なし | 読み取りのみ |
| コンプライアンス データ管理者 | なし | 読み取りのみ |
| グローバル 閲覧 (このロールは Intune ヘルプ デスクオペレーター の役割と同じです) |
読み取り専用 | 読み取り専用 |
| ヘルプデスク管理者 (このロールは Intune ヘルプ デスク オペレーター ロールと同じです) |
読み取り専用 | 読み取り専用 |
| レポート閲覧者 | なし | 読み取り専用 |
Intune 内のアクセス許可を持つMicrosoft Entraロールに加えて、Intune の次の 3 つの領域は、ユーザー、グループ、条件付きアクセスのMicrosoft Entraの直接拡張機能です。 Intune 内から作成されたこれらのオブジェクトと構成のインスタンスは、Microsoft Entraに存在します。 オブジェクトMicrosoft Entraとして、Microsoft Entra ロールによって付与された十分なアクセス許可を持つMicrosoft Entra管理者が管理できます。 同様に、Intune に対する十分なアクセス許可を持つ Intune 管理者は、Microsoft Entraで作成されたこれらのオブジェクトの種類を表示および管理できます。
グローバル管理者ロールと Intune 管理者ロール
グローバル管理者ロールは、Microsoft Entraの組み込みロールであり、Microsoft Intune へのフル アクセス権を持ちます。 グローバル管理者は、Microsoft Entra ID の管理機能や、Microsoft Intune などのMicrosoft Entra ID を使用するサービスにアクセスできます。
リスクを軽減するには:
Intune でグローバル管理者ロールを使用しないでください。 Microsoft では、グローバル管理者ロールを使用して Intune を管理または管理することはお勧めしません。
Intune には、一部のモバイル脅威防御 (MTD) コネクタなど、グローバル管理者の役割を必要とする機能がいくつかあります。 このような場合は、必要な場合にのみグローバル管理者ロールを使用し、タスクが完了したら削除します。
Intune の組み込みロールを使用するか、カスタム ロールを作成して Intune を管理します。
管理者がタスクを実行するために必要な最小限の特権 Intune ロールを割り当てます。
Microsoft Entraグローバル管理者ロールの詳細については、「Microsoft Entra組み込みロール - グローバル管理者」を参照してください。
Intune 管理者ロールは、Microsoft Entraの組み込みロールであり、Intune サービス管理者ロールとも呼ばれます。 Intune を管理および管理し、ユーザーやグループの管理などの関連機能を管理するためのアクセス許可の範囲は限られています。 このロールは、Intune のみを管理する必要がある管理者に適しています。
リスクを軽減するには:
- 必要に応じて Intune 管理者ロールのみを割り当てます。 管理者のニーズを満たす 組み込みの Intune ロール がある場合は、Intune 管理者ロールの代わりにそのロールを割り当てます。 管理者がタスクを実行するために必要な最小限の特権 Intune ロールを常に割り当てます。
- カスタム ロールを作成して、管理者のアクセス許可のスコープをさらに制限します。
強化されたセキュリティ制御:
マルチ管理承認でロールベースのアクセス制御がサポートされるようになりました。 この設定がオンの場合、2 番目の管理者はロールの変更を承認する必要があります。 これらの変更には、ロールのアクセス許可、管理者グループ、またはメンバー グループの割り当ての更新が含まれます。 変更は承認後にのみ有効になります。 この二重承認プロセスは、承認されていないロールベースのアクセス制御の変更からorganizationを保護するのに役立ちます。 詳細については、「Intune でマルチ管理承認を使用する」を参照してください。
Microsoft Entra Intune 管理者ロールの詳細については、「Microsoft Entra組み込みロール - Intune 管理者」を参照してください。
Intune のPrivileged Identity Management
Entra ID Privileged Identity Management (PIM) を使用する場合、ユーザーが Intune RBAC ロールまたは Intune 管理者ロールによって提供される特権をEntra IDから使用できるタイミングを管理できます。
Intune では、ロール昇格の 2 つの方法がサポートされています。 2 つの方法にはパフォーマンスと最小限の特権の違いがあります。
方法 1: Microsoft Entra組み込みの Intune 管理者ロールのMicrosoft Entra Privileged Identity Management (PIM) を使用して Just-In-Time (JIT) ポリシーを作成し、管理者アカウントを割り当てます。
方法 2: Intune RBAC ロールの割り当てを持つグループにPrivileged Identity Management (PIM) を利用する。 Intune RBAC ロールでグループに PIM を使用する方法の詳細については、「グループの PIM を使用した Microsoft Intune Just-In-Time 管理者アクセスの構成Microsoft Entra |Microsoft Community Hub
Entra IDから Intune 管理者ロールに PIM 昇格を使用する場合、昇格は通常 10 秒以内に発生します。 Intune の組み込みロールまたはカスタム ロールの PIM グループベースの昇格は、通常、適用に最大 15 分かかります。
Intune ロールの割り当てについて
Intune カスタム ロールと組み込みロールの両方がユーザーのグループに割り当てられます。 割り当てられたロールは、グループ内の各ユーザーに適用され、次を定義します。
- そのロールに割り当てられるユーザー
- 使用できるリソース
- 変更できるリソース
Intune ロールが割り当てられている各グループには、そのロールの管理タスクを実行する権限を持つユーザーのみを含める必要があります。
- 最小限の特権を持つ組み込みロールが過剰な特権またはアクセス許可を付与する場合は、カスタム ロールを使用して管理アクセスのスコープを制限することを検討してください。
- ロールの割り当てを計画するときは、複数のロールの 割り当てを持つユーザーの結果を考慮してください。
ユーザーが Intune ロールを割り当てられ、Intune を管理するためのアクセス権を持つには、2021 年 6 月以降にアカウントが Entra で作成された 場合 、Intune ライセンスは必要ありません。 2021 年 6 月より前に作成されたアカウントでは、Intune を使用するためにライセンスが割り当てられている必要があります。
既存のロールの割り当てを表示するには、Intune>Tenant 管理>Roles>すべてのロールを選択>ロール>割り当てを選択>割り当てを選択します。 [割り当ての プロパティ] ページで、次の内容を編集できます。
[基本]: 割り当ての名前と説明。
メンバー: メンバーは、ロールの割り当てを作成するときに [管理 グループ] ページで構成されるグループです。 一覧表示されている Azure セキュリティ グループ内のすべてのユーザーは、[ スコープ (グループ)] に一覧表示されているユーザーとデバイスを管理するアクセス許可を持っています。
スコープ (グループ): スコープ (グループ) を使用して、このロールの割り当てを持つ管理者が管理できるユーザーとデバイスのグループを定義します。 このロールの割り当てを持つ管理ユーザーは、ロールによって付与されたアクセス許可を使用して、ロールの割り当て定義されたスコープ グループ内のすべてのユーザーまたはデバイスを管理できます。
ヒント
スコープ グループを構成する場合は、このロールの割り当てを持つ管理者が管理する必要があるユーザーとデバイスを含むセキュリティ グループのみを選択して、アクセスを制限します。 このロールを持つ管理者がすべてのユーザーまたはすべてのデバイスを対象にできないようにするには、[ すべてのユーザーの追加 ] または [ すべてのデバイスの追加] を選択しないでください。
ポリシーやアプリの割り当てなどの割り当てに除外グループを指定する場合は、RBAC 割り当てスコープ グループのいずれかに入れ子にするか、RBAC ロールの割り当てでスコープ グループとして個別に一覧表示する必要があります。
スコープ タグ: このロールの割り当てを割り当てられている管理ユーザーは、同じスコープ タグを持つリソースを表示できます。
注:
スコープ タグは、管理者が定義し、ロールの割り当てに追加するフリーフォーム テキスト値です。 ロールに追加されたスコープ タグは、ロール自体の可視性を制御します。 ロールの割り当てに追加されたスコープ タグは、ポリシー、アプリ、デバイスなどの Intune オブジェクトの可視性を、そのロール割り当ての管理者のみに制限します。これは、ロールの割り当てに一致するスコープ タグが 1 つ以上含まれているためです。
複数のロールの割り当て
ユーザーに複数のロールの割り当て、アクセス許可、スコープのタグがある場合は、これらのロールの割り当てが、次のように別のオブジェクトに拡張されます。
- 2 つ以上のロールが同じオブジェクトにアクセス許可を付与する場合、アクセス許可は増分されます。 たとえば、あるロールからの読み取りアクセス許可と別のロールからの読み取り/書き込み権限を持つユーザーは、読み取り/書き込みの有効なアクセス許可を持っています (両方のロールの割り当てが同じスコープ タグを対象とすると仮定します)。
- アクセス許可とスコープのタグの割り当ては、そのロールの割り当てスコープ (グループ) 内のオブジェクト (ポリシーやアプリなど) にのみ適用されます。 アクセス許可とスコープのタグの割り当ては、他の割り当てで具体的に付与されない限り、他のロールの割り当てのオブジェクトには適用されません。
- その他のアクセス許可 (作成、読み取り、更新、削除など) とスコープのタグは、任意のユーザーの割り当てで、同じ種類のすべてのオブジェクト (すべてのポリシーやすべてのアプリなど) に適用されます。
- 異なる種類のオブジェクト (ポリシーやアプリなど) に対するアクセス許可やスコープのタグが、相互に適用されることはありません。 たとえば、ポリシーの読み取りアクセス許可では、ユーザーの割り当てでアプリへの読み取りアクセス許可は提供されません。
- スコープ タグがない場合、または一部のスコープ タグが異なる割り当てから割り当てられている場合、ユーザーは一部のスコープ タグの一部であり、すべてのデバイスを表示できないデバイスのみを表示できます。
RBAC の割り当てを監視する
このサブセクションと 3 つのサブセクションは進行中です
Intune 管理センター内で、[ テナント管理者>ロール ] に移動し、[ モニター ] を展開して、Intune テナント内のさまざまなユーザーが持つアクセス許可を特定するのに役立ついくつかのビューを見つけることができます。 たとえば、複雑な管理環境では、管理アクセス許可ビューを使用してアカウントを指定して、現在の管理特権のスコープを確認できます。
自分のアクセス許可
このノードを選択すると、アカウントに付与されている現在の Intune RBAC カテゴリとアクセス許可の組み合わせリストが表示されます。 この組み合わせリストには、すべてのロールの割り当てからのすべてのアクセス許可が含まれますが、どのロールの割り当てによって割り当てられたか、割り当てられているグループ メンバーシップは含まれません。
アクセス許可によるロール
このビューでは、特定の Intune RBAC カテゴリとアクセス許可、およびロールの割り当てと、その組み合わせが使用可能になったグループの詳細を確認できます。
開始するには、Intune のアクセス許可 [カテゴリ] を選択し、そのカテゴリの特定のアクセス許可を選択します。 次に、管理センターには、次を含むアクセス許可が割り当てられるインスタンスの一覧が表示されます。
- ロールの表示名 – アクセス許可を付与する組み込みまたはカスタム RBAC ロールの名前。
- ロールの割り当ての表示名 – ユーザーのグループにロールを割り当てるロールの割り当ての名前。
- [グループ名 ] – そのロールの割り当てを受け取るグループの名前。
アクセス許可の管理
管理アクセス許可ノードを使用して、アカウントに現在付与されている特定のアクセス許可を特定します。
まず 、ユーザー アカウントを指定します。 ユーザーが自分のアカウントに割り当てられた Intune アクセス許可を持っている限り、Intune には、カテゴリとアクセス許可で識別されたアクセス許可の完全な一覧が表示されます。
