分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する
ロールベースのアクセス制御とスコープ タグを使用して、適切な管理者が必要なIntune オブジェクトに対して適切なアクセス権と可視性を持っていることを確認できます。 ロールは、どのアクセス管理者がどのオブジェクトに対して持っているかを決定します。 スコープ タグは、管理者が表示できるオブジェクトを決定します。
たとえば、シアトルの地域オフィス管理者にポリシーとプロファイル マネージャーの役割があるとします。 この管理者は、Seattle デバイスにのみ適用されるプロファイルとポリシーのみを表示および管理する必要があります。 このアクセスを設定するには、次の操作を行います。
- Seattle というスコープ タグを作成します。
- ポリシーおよびプロファイル マネージャー ロールのロールの割り当てを作成するには、次を使用します。
- メンバー (グループ) = Seattle IT 管理者という名前のセキュリティ グループ。 このグループのすべての管理者は、スコープ (グループ) 内のユーザー/デバイスのポリシーとプロファイルを管理するアクセス許可を持ちます。
- スコープ (グループ) = Seattle users という名前のセキュリティ グループ。 このグループ内のすべてのユーザー/デバイスは、メンバー (グループ) で管理者によって管理されるプロファイルとポリシーを持つことができます。
- スコープ (タグ) = Seattle。 メンバー (グループ) の管理者は、Seattle スコープ タグを持つIntune オブジェクトも表示できます。
- メンバー (グループ) の管理者がアクセスできるようにするポリシーとプロファイルに Seattle スコープ タグを追加します。
- メンバー (グループ) で管理者に表示するデバイスに Seattle スコープ タグを追加します。
既定のスコープ タグ
既定のスコープ タグは、スコープ タグをサポートするすべてのタグなしオブジェクトに自動的に追加されます。
既定のスコープ タグ機能は、Microsoft Configuration Managerのセキュリティ スコープ機能に似ています。
注:
Intuneポリシーを構成または編集するときに、テナントのカスタム定義スコープ タグがない場合、一部のポリシーの種類で [スコープ タグ] 構成ページが表示されないことがあります。 [スコープ タグ] オプションが表示されない場合は、既定のスコープ タグに加えて少なくとも 1 つのタグが定義されていることを確認します。
スコープ タグを作成するには
Microsoft Intune管理センターで、テナント管理>Roles>Scope (Tags)>Create を選択します。
[ 基本 ] ページで、[ 名前] とオプションの [説明] を指定します。 [次へ]を選択します。
[ 割り当て] ページで、このスコープ タグを割り当てるデバイスを含むグループを選択します。 [次へ]を選択します。
[ 確認と作成 ] ページで、[ 作成] を選択します。
重要
自動スコープ タグの割り当ては、手動で割り当てられたスコープ タグを上書きします。 デバイスにグループの割り当てによって複数のスコープ タグが割り当てられている場合、すべてのスコープ タグが適用されます。
スコープ タグをロールに割り当てるには
Microsoft Intune管理センターで、[テナント管理>Roles>すべてのロール] を選択>[Assignments>Assign] >ロールを選択します。
[ 基本 ] ページで、 割り当ての名前 と説明を指定 します。 [次へ]を選択します。
[管理 グループ] ページで、[グループの追加] を選択し、この割り当ての一部として必要なグループを選択します。 これらのグループのユーザーには、スコープ (グループ) 内のユーザー/デバイスを管理するためのアクセス許可があります。 [次へ]を選択します。
[スコープ グループ] ページで、[含まれるグループ] で次のいずれかのオプションを選択します。
- [グループの追加]: 管理するユーザー/デバイスを含むグループを選択します。 選択したグループ内のすべてのユーザー/デバイスは、管理 グループ内のユーザーによって管理されます。
- [すべてのユーザーの追加]: すべてのユーザーは、管理 グループ内のユーザーによって管理できます。
- [すべてのデバイスの追加]: すべてのデバイスは、管理 グループ内のユーザーが管理できます。
[次へ] を選択します
[スコープ タグ] ページで、この役割に追加するタグを選択します。 管理 グループのユーザーは、同じスコープ タグを持つオブジェクトIntuneアクセスできます。 ロールには、最大 100 個のスコープ タグを割り当てることができます。
[ 次へ ] を選択して [ 確認と作成 ] ページに移動し、[ 作成] を選択します。
スコープ タグを他のオブジェクトに割り当てる
スコープ タグをサポートするオブジェクトの場合、スコープ タグは通常、[ プロパティ] の下に表示されます。 たとえば、スコープ タグを構成プロファイルに割り当てるには、次の手順に従います。
Microsoft Intune管理センターで、[デバイス>管理デバイス>構成] を選択>プロファイルを選択します。
[プロパティ>Scope (Tags)>Edit>スコープ タグを選択します>プロファイルに追加するタグを選択します。 オブジェクトには、最大 100 個のスコープ タグを割り当てることができます。
[選択>Review + save] を選択します。
スコープ タグの詳細
スコープ タグを使用する場合は、次の詳細を覚えておいてください。
- テナントがそのオブジェクトの複数のバージョン (ロールの割り当てやアプリなど) を持つ場合は、スコープ タグを Intune オブジェクトの種類に割り当てることができます。
次のIntune オブジェクトは、この規則の例外であり、現在スコープ タグをサポートしていません。
- Corp デバイス識別子
- Autopilot デバイス
- デバイスコンプライアンスの場所
- Jamf デバイス
- VPP トークンに関連付けられているボリューム購入プログラム (VPP) アプリと電子ブックは、関連付けられている VPP トークンに割り当てられたスコープ タグを継承します。
- 管理者がIntuneでオブジェクトを作成すると、その管理者に割り当てられているすべてのスコープ タグが新しいオブジェクトに自動的に割り当てられます。
- INTUNE RBAC は、Microsoft Entra ロールには適用されません。 そのため、Intune サービス管理者ロールとグローバル管理者ロールは、スコープ タグに関係なく、Intuneに対する完全な管理者アクセス権を持ちます。
- ロールの割り当てにスコープ タグがない場合、IT 管理者は IT 管理者のアクセス許可に基づいてすべてのオブジェクトを表示できます。 スコープ タグを持たない管理者は、基本的にすべてのスコープ タグを持ちます。
- ロールの割り当てに含まれるスコープ タグのみを割り当てることができます。
- ターゲット グループは、ロールの割り当てのスコープ (グループ) に一覧表示されているグループのみです。
- スコープ タグがロールに割り当てられている場合、Intune オブジェクトのすべてのスコープ タグを削除することはできません。 少なくとも 1 つのスコープ タグが必要です。
次の手順
複数のロール割り当てがある場合のスコープ タグの動作について説明します。 ロールとプロファイルを管理します。