Microsoft Intuneでユーザー ID とグループ ID を管理する
ユーザー ID の管理と保護は、エンドポイント管理戦略とソリューションの重要な部分です。 ID 管理には、organization リソースにアクセスするユーザー アカウントとグループが含まれます。
管理者は、アカウント メンバーシップの管理、リソースへのアクセスの承認と認証、ユーザー ID に影響を与える設定の管理、悪意から ID を保護 & セキュリティで保護する必要があります。
Microsoft Intuneは、これらすべてのタスクを実行できます。 Intuneは、セキュリティポリシーや認証ポリシーを含むポリシーを使用してユーザー ID を管理できるクラウドベースのサービスです。 Intuneとその利点の詳細については、「Microsoft Intuneとは」を参照してください。
サービスの観点から、Intuneは ID ストレージとアクセス許可にMicrosoft Entra IDを使用します。 Microsoft Intune管理センターを使用すると、エンドポイント管理用に設計された中央の場所でこれらのタスクを管理できます。
この記事では、ID を管理するときに考慮する必要がある概念と機能について説明します。
既存のユーザーとグループを使用する
エンドポイントの管理の大部分は、ユーザーとグループの管理です。 既存のユーザーとグループがある場合、または新しいユーザーとグループを作成する場合は、Intune役立ちます。
オンプレミス環境では、ユーザー アカウントとグループが作成され、オンプレミスの Active Directoryで管理されます。 これらのユーザーとグループは、ドメイン内の任意のドメイン コントローラーを使用して更新できます。
これは、Intuneでも同様の概念です。
Intune管理センターには、ユーザーとグループを管理するための中央の場所が含まれています。 管理センターは Web ベースであり、インターネットに接続されている任意のデバイスからアクセスできます。 管理者は、Intune管理者アカウントを使用して管理センターにサインインするだけで済みます。
重要な決定は、ユーザー アカウントとグループをIntuneに取得する方法を決定することです。 次のようなオプションがあります。
現在 Microsoft 365 を使用していて、Microsoft 365 管理センターにユーザーとグループがある場合、これらのユーザーとグループは、Intune管理センターでも使用できます。
Microsoft Entra IDとIntuneは、Contoso や Microsoft などのorganizationである "テナント" を使用します。 複数のテナントがある場合は、既存のユーザーやグループと同じ Microsoft 365 テナント内のIntune管理センターにサインインします。 ユーザーとグループが自動的に表示され、使用可能になります。
テナントの詳細については、「 クイック スタート: テナントの設定」を参照してください。
現在オンプレミスの Active Directoryを使用している場合は、Microsoft Entra Connect を使用してオンプレミスの AD アカウントを同期してMicrosoft Entra IDできます。 これらのアカウントがMicrosoft Entra IDされている場合は、Intune管理センターでも使用できます。
詳細については、「Connect Sync とは」Microsoft Entra参照してください。
CSV ファイルからIntune管理センターに既存のユーザーとグループをインポートしたり、ユーザーとグループをゼロから作成したりすることもできます。 グループを追加するときは、ユーザーとデバイスをこれらのグループに追加して、場所、部署、ハードウェアなど別に整理できます。
Intuneでのグループ管理の詳細については、「グループを追加してユーザーとデバイスを整理する」を参照してください。
既定では、Intuneは自動的に [すべてのユーザー] グループと [すべてのデバイス] グループを作成します。 ユーザーとグループをIntuneに使用できる場合は、これらのユーザーとグループにポリシーを割り当てることができます。
マシン アカウントから移動する
Windows 10/11 デバイスなどの Windows エンドポイントがオンプレミスの Active Directory (AD) ドメインに参加すると、コンピューター アカウントが自動的に作成されます。 コンピューター/マシン アカウントを使用して、オンプレミスのプログラム、サービス、アプリを認証できます。
これらのマシン アカウントはオンプレミス環境に対してローカルであり、Microsoft Entra IDに参加しているデバイスでは使用できません。 このような場合は、ユーザー ベースの認証に切り替えて、オンプレミスのプログラム、サービス、アプリに対する認証を行う必要があります。
詳細とガイダンスについては、「 クラウド ネイティブ エンドポイントに関する既知の問題と制限事項」を参照してください。
ロールとアクセス許可によってアクセスが制御される
さまざまな管理者の種類のタスクでは、ロールベースのアクセス制御 (RBAC) を使用Intune。 割り当てるロールによって、管理者がIntune管理センターでアクセスできるリソースと、それらのリソースで実行できる操作が決まります。 Application Manager、Policy、Profile Manager など、エンドポイント管理に重点を置く組み込みのロールがいくつかあります。
IntuneはMicrosoft Entra IDを使用するため、Intune サービス管理者など、組み込みのMicrosoft Entra ロールにもアクセスできます。
各ロールには、必要に応じて独自の作成、読み取り、更新、または削除のアクセス許可があります。 管理者が特定のアクセス許可を必要とする場合は、カスタム ロールを作成することもできます。 管理者の種類のユーザーとグループを追加または作成するときに、これらのアカウントをさまざまなロールに割り当てることができます。 Intune管理センターには、この情報が中央の場所にあり、簡単に更新できます。
詳細については、「ロールベースのアクセス制御 (RBAC) with Microsoft Intune」を参照してください。
デバイスの登録時にユーザー アフィニティを作成する
ユーザーが初めてデバイスにサインインすると、デバイスはそのユーザーに関連付けられます。 この機能はユーザー アフィニティと呼ばれます。
ユーザー ID に割り当てられたポリシーまたはデプロイされたポリシーは、すべてのデバイスにユーザーと一緒に移動します。 ユーザーがデバイスに関連付けられている場合、ユーザーはメール アカウント、ファイル、アプリなどにアクセスできます。
ユーザーをデバイスに関連付けない場合、デバイスはユーザーレスと見なされます。 このシナリオは、特定のタスク専用のキオスク デバイスと、複数のユーザーと共有されているデバイスで一般的です。
Intuneでは、Android、iOS/iPadOS、macOS、Windows の両方のシナリオのポリシーを作成できます。 これらのデバイスを管理する準備をするときは、デバイスの目的がわかっていることを確認してください。 この情報は、デバイスが登録されている場合の意思決定プロセスに役立ちます。
詳細については、プラットフォームの登録ガイドに関するページを参照してください。
- 展開ガイド: Microsoft Intune で Android デバイスを登録する
- 展開ガイド: Microsoft Intune で iOS および iPadOS デバイスを登録する
- 展開ガイド: Microsoft Intune で macOS デバイスを登録する
- 展開ガイド: Microsoft Intune で Windows デバイスを登録する
ポリシーをユーザーおよびグループに割り当てる
オンプレミスでは、ドメイン アカウントとローカル アカウントを操作し、ローカル、サイト、ドメイン、または OU レベル (LSDOU) でこれらのアカウントにグループ ポリシーとアクセス許可を展開します。 OU ポリシーはドメイン ポリシーを上書きし、ドメイン ポリシーはサイト ポリシーを上書きします。
Intuneはクラウドベースです。 Intuneで作成されるポリシーには、デバイスの機能、セキュリティ規則などを制御する設定が含まれます。 これらのポリシーは、ユーザーとグループに割り当てられます。 LSDOU のような従来の階層はありません。
Intuneの設定カタログには、iOS/iPadOS、macOS、および Windows デバイスを管理するための何千もの設定が含まれています。 現在、オンプレミス グループ ポリシー オブジェクト (GPO) を使用している場合、設定カタログを使用することは、クラウドベースのポリシーへの自然な移行です。
Intuneのポリシーの詳細については、次のページを参照してください。
ユーザー ID をセキュリティで保護する
ユーザー アカウントとグループ アカウントは、organization リソースにアクセスします。 これらの ID をセキュリティで保護し、ID への悪意のあるアクセスを防ぐ必要があります。 検討する項目がいくつかあります。
Windows Hello for Businessは、ユーザー名とパスワードのサインインを置き換え、パスワードレス戦略の一部です。
パスワードはデバイスで入力され、ネットワーク経由でサーバーに送信されます。 それらは傍受され、どこでも誰でも使用できます。 サーバーの侵害により、保存されている資格情報が明らかになる可能性があります。
Windows Hello for Businessでは、ユーザーはサインインし、顔認識や指紋認識などの PIN または生体認証で認証します。 この情報はデバイスにローカルに保存され、外部デバイスやサーバーには送信されません。
Windows Hello for Businessが環境に展開されている場合は、Intuneを使用してデバイスのWindows Hello for Business ポリシーを作成できます。 これらのポリシーでは、PIN 設定を構成したり、生体認証を許可したり、セキュリティ キーを使用したりできます。
詳細については、次を参照してください:
Windows Hello for Businessを管理するには、次のいずれかのオプションを使用します。
- デバイス登録時: デバイスが Intune で登録された時点で、Windows Hello設定をデバイスに適用するテナント全体のポリシーを構成します。
- セキュリティ ベースライン: Windows Helloの一部の設定は、Microsoft Defender for EndpointセキュリティのベースラインやWindows 10以降のセキュリティ ベースラインなど、Intuneのセキュリティ ベースラインを使用して管理できます。
- 設定カタログ: エンドポイント セキュリティアカウント保護プロファイルの設定は、Intune設定カタログで使用できます。
証明書ベースの認証 は、パスワードレス戦略の一部でもあります。 証明書を使用すると、VPN、Wi-Fi 接続、または電子メール プロファイルを使用して、アプリケーションに対してユーザーを認証し、リソースをorganizationできます。 証明書を使用すると、ユーザーはユーザー名とパスワードを入力する必要がなく、これらのリソースへのアクセスを容易にすることができます。
詳細については、「Microsoft Intuneでの認証に証明書を使用する」を参照してください。
多要素認証 (MFA) は、Microsoft Entra IDで使用できる機能です。 ユーザーが正常に認証するには、少なくとも 2 つの異なる検証方法が必要です。 MFA が環境にデプロイされている場合は、デバイスがIntuneに登録されるときに MFA を要求することもできます。
詳細については、次を参照してください:
ゼロ トラストは、デバイスやアプリを含むすべてのエンドポイントを検証します。 この考え方は、organizationデータをorganizationに保持し、偶発的または悪意のある意図によるデータ リークを防ぐことです。 これには、Windows Hello for Business、MFA の使用など、さまざまな機能領域が含まれています。
詳細については、「Microsoft Intuneを使用したゼロ トラスト」を参照してください。