次の方法で共有

テナント接続クライアントの Intune ロールベースのアクセス制御

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

Configuration Manager バージョン 2207 以降では、Microsoft Intune 管理センターから テナント接続デバイス と対話するときに、Intune ロールベースのアクセス制御 (RBAC) を使用できます。 たとえば、ロールベースのアクセス制御機関として Intune を使用する場合、 ヘルプ デスク オペレーター ロール を持つユーザーには、割り当てられたセキュリティ ロールや Configuration Manager からの追加のアクセス許可は必要ありません。 Intune ロールベースのアクセス制御 は、 Microsoft Intune 管理センター内のすべてのクラウド接続デバイス ページ ( デバイス タイムラインCMPivot、スクリプトなど) に対するアクセス許可を管理 します

重要

現在、Microsoft Intune 管理センターからテナントに接続されたデバイスに対して表示およびアクションを実行するための Intune ロールベースのアクセス制御の適用は任意です。 クラウドに接続された Configuration Manager 環境を持つすべての管理者が 、Intune からのロールベースのアクセス制御アクセス許可の検証を開始することをお勧めします。

テナントに接続されたデバイスのロールベースのアクセス制御機関として Intune を構成するための 3 つの大まかな手順は次のとおりです。

前提条件

制限事項

  • 現在 Microsoft Intune 管理センターからテナントに接続されたデバイスの表示と操作に Intune ロールベースのアクセス制御のみを使用する場合、スコープはサポートされていません。
  • 現時点では、Configuration Manager バージョン 2207 の早期更新リングを使用する場合、[ソフトウェアの更新] ページはクラウドのみのユーザーには使用できません。

クラウドに接続されたクライアントに対する Configuration Manager ロールベースのアクセス制御の適用を無効にする

Configuration Manager ロールベースのアクセス制御ではなく、テナントアタッチに Intune ロールベースのアクセス制御を使用するには、次の手順を使用します。

  1. Configuration Manager コンソールから、 管理>Cloud Services>Cloud Attach に移動します。

  2. ロールベースのアクセス制御オプションの場所は、環境が既にクラウドに接続されているかどうかによって異なります。

    • 環境が既にクラウドにアタッチされている場合は、 CoMgmtSettingsProd のプロパティを開きます。 管理センターにデバイスをアップロードしていない場合は、最初にそのオプションを構成します。 詳細については、「 クラウドアタッチを有効にする」を参照してください。
    • 環境がクラウドに接続されていない場合は、[ クラウドアタッチの構成 ] を選択して クラウドアタッチ構成ウィザードを開きます。

  3. ウィザードの [ アップロードの構成 ] タブまたはページで、[ ロールベースのアクセス制御 ] 見出しの下にある次のオプションのチェック ボックスをオフにします。

    Configuration Manager と対話するクラウド コンソール要求に Configuration Manager RBAC を適用する

  4. [ OK] を 選択して CoMgmtSettingsProd プロパティに変更を保存するか、 クラウドアタッチ ウィザードを完了します。

Configuration Manager の CoMgmtSettingsProd プロパティのスクリーンショット。スクリーンショットでは、[アップロードの構成] タブが、ロールベースのアクセス制御セクションのアウトラインを示す赤いボックスで表示されます。

Intune からロールベースのアクセス制御を有効にする

Intune でクラウド接続デバイスのユーザーアクセス許可を管理できるようにするには、次の手順を使用します。

  1. Microsoft Intune 管理センターを開き、ロール/更新アクセス許可を持つユーザーとしてサインインします。 アクセス許可の詳細については、「 Intune でのカスタム ロールのアクセス許可」を参照してください。
  2. [テナント管理]>[コネクタとトークン]>[Microsoft Endpoint Configuration Manager] を選択します。
  3. バナーで、[ Intune からユーザーのアクセス許可を管理することもできます] を選択します。このオプションの詳細については、こちらをクリックしてください。
  4. [Intune RBAC の使用] ポップアップが表示されます。
  5. [Intune RBAC の使用] オプションで [オン] を選択し、[適用] を選択します。
  6. 変更が有効になるまでに約 10 分かかる場合があります。

Microsoft Intune 管理センターの [Microsoft Configuration Manager コネクタとトークン] ページのスクリーンショット。[Intune RBAC の使用] ポップアップがスクリーンショットに表示されます。

Intune からのロールベースのアクセス制御アクセス許可を確認する

Intune がロールベースのアクセス制御機関に設定されたら、ロールのアクセス許可を確認します。 必要に応じて、Intune で作成した カスタム ロール にこれらのアクセス許可を追加できます。

  1. Microsoft Intune 管理センターを開き、サインインします。
  2. [ テナント管理>Roles] を選択します
  3. Application Manager などのロールを選択し、クラウド接続デバイスの一覧に表示されているアクセス許可を確認します。 必要に応じて、Intune で作成したすべての カスタム ロール のアクセス許可を編集します。

次の Intune アクセス許可は、Configuration Manager クラウド接続デバイスへのアクセスを制御します。

アクセス許可 説明 アクセス許可を持つ Intune 組み込みロール
クラウド接続デバイス\コレクションの表示 Configuration Manager クラウド接続デバイス の [コレクション ] ページを表示します Application Manager、Endpoint Security Manager、読み取り専用オペレーター、学校管理者、ポリシー プロファイル マネージャー、ヘルプ デスク オペレーター
クラウド接続デバイス\リソース エクスプローラーの表示 Configuration Manager クラウド接続デバイスの リソース エクスプローラー ページを表示します Application Manager、Endpoint Security Manager、読み取り専用オペレーター、学校管理者、ポリシー プロファイル マネージャー、ヘルプ デスク オペレーター
クラウド接続デバイス\タイムラインの表示 Configuration Manager クラウド接続デバイスの [タイムライン] ページを表示します Application Manager、Endpoint Security Manager、読み取り専用オペレーター、学校管理者、ポリシー プロファイル マネージャー、ヘルプ デスク オペレーター
クラウドに接続されたデバイス\ソフトウェアの更新プログラムを表示する Configuration Manager クラウド接続デバイスの [ソフトウェア更新プログラム ] ページを表示します Application Manager、Endpoint Security Manager、読み取り専用オペレーター、学校管理者、ヘルプ デスク オペレーター
クラウドに接続されたデバイス\スクリプトの表示 Configuration Manager クラウド接続デバイス の [スクリプト] ページを表示します エンドポイント セキュリティ マネージャー、読み取り専用オペレーター、学校管理者、ポリシー プロファイル マネージャー、ヘルプ デスク オペレーター
クラウド接続デバイス\スクリプトの実行 [スクリプトの実行] アクションを表示し、ユーザーが Configuration Manager クラウド接続デバイスでスクリプトを実行できるようにします 学校管理者、ヘルプ デスク オペレーター
クラウド接続デバイス\CMPivot クエリの実行 Configuration Manager クラウド接続デバイスの CMPivot ページを表示します エンドポイント セキュリティ マネージャー、学校管理者、ヘルプ デスク オペレーター
クラウド接続デバイス\クライアントの詳細を表示する Configuration Manager クラウド接続デバイスの [クライアントの詳細 ] ページを表示します Application Manager、Endpoint Security Manager、読み取り専用オペレーター、学校管理者、ポリシー プロファイル マネージャー、ヘルプ デスク オペレーター
クラウド接続デバイス\アプリケーションの表示 Configuration Manager クラウド接続デバイス の [アプリケーション] ページを表示します Application Manager、読み取り専用オペレーター、学校管理者、ポリシー プロファイル マネージャー、ヘルプ デスク オペレーター
クラウド接続デバイス\アプリケーションアクションを実行する [ アプリケーション ] ページにアプリケーションアクションを表示し、ユーザーが Configuration Manager クラウド接続デバイスでアプリケーションアクションを実行できるようにします アプリケーション マネージャー、学校管理者、ヘルプ デスク オペレーター
リモート タスク/BitLockerKeys の回転 (プレビュー) デバイスで BitLocker 回復パスワードのキー ローテーションを開始します。 Configuration Manager クラウド接続デバイスの [回復キー ] ページを表示します。 エンドポイント セキュリティ マネージャー、ヘルプ デスク オペレーター

よく寄せられる質問

Intune でテナント接続デバイスにアクセスする必要があるクラウド専用ユーザーがいる場合、アクセス権は付与されますか?

はい。 ユーザーがクラウドのみである場合、このシナリオでは、Microsoft Entra ID に含まれており、Intune にアクセスできることを意味します。Intune RBAC を使用すると、テナントに接続されたデバイスにアクセスできるようになります。

複数の Configuration Manager 階層がテナントに接続されている場合はどうすればよいですか?

Microsoft Intune 管理センターの [Intune RBAC の使用 ] 設定は、テナントに一覧表示されているすべての Configuration Manager 階層に適用されます。

Configuration Manager と Intune の設定が一致しない場合はどうなりますか?

[ Intune で Intune RBAC を使用 する] トグルが [オフ] に設定されている場合、[Configuration Manager と 対話するクラウド コンソール要求に Configuration Manager RBAC を適用 する] チェック ボックスがオフになっている場合でも、Configuration Manager ロールベースのアクセスが適用されます。 [Configuration Manager と対話するクラウド コンソール要求に対して Configuration Manager RBAC を強制する] オプションを無効にしても、[Intune で Intune RBAC を使用する] トグルが [オン] に設定されるまでは効果がありません。

テスト階層が Intune RBAC を使用するように構成されているのに、運用階層が存在せず、それらが同じテナントにある場合はどうなりますか?

[Intune RBAC の使用] 設定は、テナントに一覧表示されているすべての Configuration Manager 階層に適用されます。 クラウド専用ユーザーは、Configuration Manager RBAC を適用するチェック ボックスもオフにしているため、テスト階層からアップロードされたテナント接続デバイスにアクセスできます。 クラウド専用ユーザーが運用環境からアップロードされたテナント接続デバイスにアクセスしようとすると、運用デバイスが Configuration Manager RBAC を適用しているため、エラーが発生します。 クラウド専用ユーザーは、次のようなエラーを受け取ります。 Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.

次の手順

  • クラウドに接続されたデバイスの タイムライン を確認する
  • クラウド接続デバイスで CMPivot クエリを実行する