「Microsoft Intune の役割ベースのアクセス制御 (RBAC)」
ロールベースのアクセス制御 (RBAC) は、組織のリソースにアクセスできるユーザー、およびそれらのリソースを使ってできることを管理するのに役立ちます。 Intune ユーザーにロールを割り当てることで、どれをユーザーが表示および変更できるようにするかを管理者が制限できます。 各ロールには、組織内でそのロールを持つユーザーがアクセスおよび変更できることを決定する一連のアクセス許可があります。
ロールを作成、編集、または割り当てるには、アカウントに Microsoft Entra ID で次のいずれかのアクセス許可が必要です。
- グローバル管理者
- Intune サービス管理者 (Intune 管理者 とも呼ばれます)
役割
ロールは、そのロールに割り当てられたユーザーに付与される一連のアクセス許可を定義します。 組み込みロールとカスタム ロールの両方を使用できます。 組み込みロールは、Intune の一般的なシナリオをカバーしています。 必要な一連のアクセス許可だけを使用して、独自のカスタム ロールを作成することができます。 いくつかの Microsoft Entra ロールには、Intune へのアクセス許可があります。 Intune 管理センターでロールを表示するには、テナント管理>Roles>すべてのロールに移動>ロールを選択します。 ロールは、次のページで管理できます。
- プロパティ: ロールの名前、説明、アクセス許可、およびスコープのタグ。
- 割り当て: どのユーザーがどのユーザー/デバイスへのアクセス権を持つかを定義するロールの割り当てのリスト。 ロールは複数の割り当てを持つことができ、ユーザーは複数の割り当てを受けることができます。
注:
Intune を管理できるようにするには、Intune ライセンスが割り当てられている必要があります。 または、[ライセンスのない管理者へのアクセスを許可する] を [はい] に設定して、ライセンスのないユーザーが Intune を管理できるようにすることもできます。
組み込みの役割
追加の構成を行うことなく、組み込みロールをグループに割り当てることができます。 組み込みロールの名前、説明、種類、またはアクセス許可を削除または編集することはできません。
- アプリケーション マネージャー: モバイルとマネージド アプリケーションを管理し、デバイス情報を読み取り、デバイス構成プロファイルを表示することができます。
- Endpoint Privilege Manager: Intune コンソールでエンドポイント特権管理ポリシーを管理します。
- エンドポイント特権閲覧者: エンドポイント特権閲覧者は、Intune コンソールでエンドポイント特権管理ポリシーを表示できます。
- エンドポイント セキュリティー マネージャー: セキュリティ ベースライン、デバイス コンプライアンス、条件付きアクセス、Microsoft Defender for Endpoint などのセキュリティとコンプライアンスの機能を管理します。
- ヘルプ デスク オペレーター: ユーザーとデバイスに対するリモート タスクを実行し、ユーザーやデバイスにアプリケーションやポリシーを割り当てることができます。
- Intune ロール管理者: Intune のカスタム ロールを管理し、Intune の組み込みロールの割り当てを追加します。 アクセス許可を管理者に割り当てられるのは、Intune ロールだけです。
- ポリシーとプロファイル マネージャー: コンプライアンス ポリシー、構成プロファイル、Apple の登録、企業デバイスの識別子、セキュリティ ベースラインを管理します。
- 組織のメッセージ マネージャー: Intune コンソールで組織のメッセージを管理します。
- 読み取り専用オペレーター: ユーザー、デバイス、登録、構成、アプリケーション情報を表示します。 Intune に変更を加えることはできません。
- 学校管理者: Intune for Education の Windows 10 デバイスを管理します。
- クラウド PC 管理者: クラウド PC 管理者は、クラウド PC 領域内にあるすべてのクラウド PC 機能への読み取りおよび書き込みアクセス権を持っています。
- クラウド PC リーダー: クラウド PC リーダーは、クラウド PC 領域内にあるすべてのクラウド PC 機能への読み取りアクセス権を持ちます。
カスタムの役割
カスタム アクセス許可を使用して独自のロールを作成できます。 カスタム ロールの詳細については、カスタム ロールの作成に関するページをご覧ください。
Intune アクセス権を持つ Microsoft Entra ロール
| Microsoft Entra ロール | すべての Intune データ | Intune の監査データ |
|---|---|---|
| グローバル管理者 | 読み取り/書き込み | 読み取り/書き込み |
| Intune サービス管理者 | 読み取り/書き込み | 読み取り/書き込み |
| 条件付きアクセス管理者 | なし | なし |
| セキュリティ管理者 | 読み取り専用 (エンドポイント セキュリティ ノードの完全な管理アクセス許可) | 読み取りのみ |
| セキュリティ オペレーター | 読み取りのみ | 読み取りのみ |
| セキュリティ閲覧者 | 読み取りのみ | 読み取りのみ |
| コンプライアンス管理者 | なし | 読み取りのみ |
| コンプライアンス データ管理者 | なし | 読み取りのみ |
| グローバル 閲覧者 (このロールは Intune ヘルプ デスク オペレーター ロールと同じです) | 読み取り専用 | 読み取り専用 |
| ヘルプデスク管理者 (このロールは Intune ヘルプ デスク オペレーター ロールと同じです) | 読み取り専用 | 読み取り専用 |
| レポート閲覧者 | なし | 読み取り専用 |
ヒント
Intune には、Microsoft Entra RBAC を使用して制御される ユーザー、 グループ、 条件付きアクセスの 3 つの Microsoft Entra 拡張機能も表示されます。 さらに、 ユーザー アカウント管理者 は Microsoft Entra ユーザー/グループ アクティビティのみを実行し、Intune ですべてのアクティビティを実行するための完全なアクセス許可を持っていません。 詳細については、「 Microsoft Entra ID を使用した RBAC」を参照してください。
役割の割り当て
ロールの割り当ては次を定義します。
- そのロールに割り当てられるユーザー
- 使用できるリソース
- 変更できるリソース
組み込みロールとカスタム ロールの両方をユーザーに割り当てることができます。 Intune ロールを割り当てるには、そのユーザーに Intune ライセンスが必要です。 ロールの割り当てを表示するには、Intune>Tenant 管理>Roles>すべてのロールを選択>ロール >Assignments を選択>割り当てを選択します。 [ プロパティ ] ページで、次の内容を編集できます。
- [基本]: 割り当ての名前と説明。
- メンバー: 一覧表示されている Azure セキュリティ グループ内のすべてのユーザーには、スコープ (グループ) に一覧表示されているユーザー/デバイスを管理するためのアクセス許可があります。
- スコープ (グループ): スコープ グループは、ユーザーまたはデバイスの Microsoft Entra セキュリティ グループ、またはその役割割り当ての管理者が操作の実行に制限されている両方です。 たとえば、ポリシーまたはアプリケーションをユーザーに展開したり、デバイスをリモートでロックしたりします。 これらの Microsoft Entra セキュリティ グループ内のすべてのユーザーとデバイスは、メンバーのユーザーによって管理できます。
- スコープ (タグ): メンバー内のユーザーは、同じスコープのタグを持つリソースを表示できます。
注:
スコープ タグは、管理者が定義し、ロールの割り当てに追加するフリーフォーム テキスト値です。 ロールに追加されたスコープ タグはロール自体の可視性を制御しますが、ロールの割り当てに追加されたスコープ タグは、Intune オブジェクト (ポリシーやアプリなど) またはデバイスの表示を、そのロール割り当てに属する管理者のみに制限します。ロールの割り当てには 1 つ以上の一致するスコープ タグが含まれているためです。
複数のロールの割り当て
ユーザーに複数のロールの割り当て、アクセス許可、スコープのタグがある場合は、これらのロールの割り当てが、次のように別のオブジェクトに拡張されます。
- 2 つ以上のロールが同じオブジェクトにアクセス許可を付与する場合、アクセス許可は増分されます。 たとえば、あるロールからの読み取りアクセス許可と別のロールからの読み取り/書き込み権限を持つユーザーは、読み取り/書き込みの有効なアクセス許可を持っています (両方のロールの割り当てが同じスコープ タグを対象とすると仮定します)。
- アクセス許可とスコープのタグの割り当ては、そのロールの割り当てスコープ (グループ) 内のオブジェクト (ポリシーやアプリなど) にのみ適用されます。 アクセス許可とスコープのタグの割り当ては、他の割り当てで具体的に付与されない限り、他のロールの割り当てのオブジェクトには適用されません。
- その他のアクセス許可 (作成、読み取り、更新、削除など) とスコープのタグは、任意のユーザーの割り当てで、同じ種類のすべてのオブジェクト (すべてのポリシーやすべてのアプリなど) に適用されます。
- 異なる種類のオブジェクト (ポリシーやアプリなど) に対するアクセス許可やスコープのタグが、相互に適用されることはありません。 たとえば、ポリシーの読み取りアクセス許可では、ユーザーの割り当てでアプリへの読み取りアクセス許可は提供されません。
- スコープ タグがない場合、または一部のスコープ タグが異なる割り当てから割り当てられている場合、ユーザーは一部のスコープ タグの一部であり、すべてのデバイスを表示できないデバイスのみを表示できます。