テナント接続クライアントの Intune ロールベースのアクセス制御

  • [アーティクル]

Configuration Manager (現在のブランチ) に適用

Configuration Manager バージョン 2207 以降では、Microsoft Intune 管理センターからテナント接続デバイスと対話するときに、Intune ロールベースのアクセス制御 (RBAC) を使用できます。 たとえば、ロールベースのアクセス制御機関として Intune を使用する場合、ヘルプ デスク オペレーター ロールを持つユーザーには、割り当てられたセキュリティ ロールや、Configuration Managerからの追加のアクセス許可は必要ありません。 Intune ロールベースのアクセス制御は、デバイス タイムライン、CMPivot、スクリプトなど、Microsoft Intune管理センター内のすべてのクラウド接続デバイス ページに対するアクセス許可を管理します

重要

現在、Microsoft Intune 管理センターからテナントに接続されたデバイスに対して表示およびアクションを実行するための Intune ロールベースのアクセス制御の適用は任意です。 クラウドに接続されたConfiguration Manager環境を持つすべての管理者が、Intune からのロールベースのアクセス制御アクセス許可の検証を開始することをお勧めします。

テナントに接続されたデバイスのロールベースのアクセス制御機関として Intune を構成するための 3 つの大まかな手順は次のとおりです。

前提条件

制限事項

  • 現在Microsoft Intune 管理センターからテナントに接続されたデバイスに対してアクションを表示および実行するために Intune ロールベースのアクセス制御のみを使用する場合、スコープはサポートされていません。
  • 現時点では、Configuration Manager バージョン 2207 の早期更新リングを使用する場合、クラウドのみのユーザーは [ソフトウェア更新プログラム] ページを使用できません。

クラウド接続クライアントのConfiguration Managerロールベースのアクセス制御の適用を無効にする

ロールベースのアクセス制御ではなく、テナントアタッチに Intune ロールベースのアクセス制御 Configuration Managerを使用するには、次の手順に従います。

  1. Configuration Manager コンソールから、[管理]>Cloud Services>[クラウドアタッチ] に移動します。

  2. ロールベースのアクセス制御オプションの場所は、環境が既にクラウドに接続されているかどうかによって異なります。

    • 環境が既にクラウドにアタッチされている場合は、 CoMgmtSettingsProd のプロパティを開きます。 管理センターにデバイスをアップロードしていない場合は、最初にそのオプションを構成します。 詳細については、「 クラウドアタッチを有効にする」を参照してください。
    • 環境がクラウドに接続されていない場合は、[ クラウドアタッチの構成 ] を選択して クラウドアタッチ構成ウィザードを開きます。

  3. ウィザードの [アップロードの構成] タブまたはページで、[ロールベースのAccess Control] 見出しの下にある次のオプションのチェック ボックスをオフにします。

    Configuration Managerと対話するクラウド コンソール要求に対してConfiguration Manager RBAC を適用する

  4. [ OK] を 選択して CoMgmtSettingsProd プロパティに変更を保存するか、 クラウドアタッチ ウィザードを完了します。

Configuration Managerの CoMgmtSettingsProd プロパティのスクリーンショット。スクリーンショットでは、[アップロードの構成] タブが、ロールベースのアクセス制御セクションのアウトラインを示す赤いボックスで表示されます。

Intune からロールベースのアクセス制御を有効にする

Intune でクラウド接続デバイスのユーザーアクセス許可を管理できるようにするには、次の手順を使用します。

  1. Microsoft Intune管理センターを開き、ロール/更新アクセス許可を持つユーザーとしてサインインします。 アクセス許可の詳細については、「 Intune でのカスタム ロールのアクセス許可」を参照してください。
  2. [テナント管理]>[コネクタとトークン]>[Microsoft Endpoint Configuration Manager] を選択します。
  3. バナーで、[ Intune からユーザーのアクセス許可を管理することもできます] を選択します。このオプションの詳細については、こちらをクリックしてください。
  4. [Intune RBAC の使用] ポップアップが表示されます。
  5. [Intune RBAC の使用] オプションで [オン] を選択し、[適用] を選択します。
  6. 変更が有効になるまでに約 10 分かかる場合があります。

管理センターの [Microsoft Configuration Manager コネクタとトークン] ページMicrosoft Intuneスクリーンショット。[Intune RBAC の使用] ポップアップがスクリーンショットに表示されます。

Intune からのロールベースのアクセス制御アクセス許可を確認する

Intune がロールベースのアクセス制御機関に設定されたら、ロールのアクセス許可を確認します。 必要に応じて、Intune で作成した カスタム ロール にこれらのアクセス許可を追加できます。

  1. Microsoft Intune管理センターを開き、サインインします。
  2. [ テナント管理>ロール] を選択します
  3. Application Manager などのロールを選択し、クラウド接続デバイスの一覧に表示されているアクセス許可を確認します。 必要に応じて、Intune で作成したすべての カスタム ロール のアクセス許可を編集します。

次の Intune アクセス許可は、Configuration Managerクラウド接続デバイスへのアクセスを制御します。

アクセス許可 説明 アクセス許可を持つ Intune 組み込みロール
クラウド接続デバイス\コレクションの表示 クラウドに接続されているデバイスの [コレクション] ページConfiguration Manager表示します Application Manager、Endpoint Security Manager、読み取り専用オペレーター、学校管理者、ポリシー プロファイル マネージャー、ヘルプ デスク オペレーター
クラウド接続デバイス\リソース エクスプローラーの表示 クラウドに接続されているデバイスのリソース エクスプローラー ページConfiguration Manager表示します Application Manager、Endpoint Security Manager、読み取り専用オペレーター、学校管理者、ポリシー プロファイル マネージャー、ヘルプ デスク オペレーター
クラウド接続デバイス\ビュー タイムライン クラウドに接続されているデバイスの [タイムライン] ページConfiguration Manager表示します Application Manager、Endpoint Security Manager、読み取り専用オペレーター、学校管理者、ポリシー プロファイル マネージャー、ヘルプ デスク オペレーター
クラウドに接続されたデバイス\ソフトウェアの更新プログラムを表示する クラウドに接続されているデバイスの [ソフトウェア更新プログラム] ページConfiguration Manager表示します Application Manager、Endpoint Security Manager、読み取り専用オペレーター、学校管理者、ヘルプ デスク オペレーター
クラウドに接続されたデバイス\スクリプトの表示 クラウドに接続されているデバイスの [スクリプト] ページConfiguration Manager表示します エンドポイント セキュリティ マネージャー、読み取り専用オペレーター、学校管理者、ポリシー プロファイル マネージャー、ヘルプ デスク オペレーター
クラウド接続デバイス\スクリプトの実行 [スクリプトの実行] アクションを表示し、ユーザーがクラウドに接続されているデバイスでスクリプトConfiguration Manager実行できるようにします 学校管理者、ヘルプ デスク オペレーター
クラウド接続デバイス\CMPivot クエリの実行 クラウドに接続されているデバイスの CMPivot ページConfiguration Manager表示します エンドポイント セキュリティ マネージャー、学校管理者、ヘルプ デスク オペレーター
クラウド接続デバイス\クライアントの詳細を表示する Configuration Managerクラウド接続デバイスの [クライアントの詳細] ページを表示します Application Manager、Endpoint Security Manager、読み取り専用オペレーター、学校管理者、ポリシー プロファイル マネージャー、ヘルプ デスク オペレーター
クラウド接続デバイス\アプリケーションの表示 クラウドに接続されているデバイスの [アプリケーション] ページConfiguration Manager表示します Application Manager、読み取り専用オペレーター、学校管理者、ポリシー プロファイル マネージャー、ヘルプ デスク オペレーター
クラウド接続デバイス\アプリケーションアクションを実行する [アプリケーション] ページにアプリケーションアクションを表示し、ユーザーがクラウドに接続されたデバイスConfiguration Managerアプリケーションアクションを実行できるようにします アプリケーション マネージャー、学校管理者、ヘルプ デスク オペレーター
リモート タスク/BitLockerKeys の回転 (プレビュー) デバイスで BitLocker 回復パスワードのキー ローテーションを開始します。 クラウドに接続されているデバイスの [回復キー] ページConfiguration Manager表示します。 エンドポイント セキュリティ マネージャー、ヘルプ デスク オペレーター

よく寄せられる質問

Intune でテナント接続デバイスにアクセスする必要があるクラウド専用ユーザーがいる場合、アクセス権は付与されますか?

はい。 ユーザーがクラウドのみである場合、このシナリオでは、Microsoft Entra ID にあり、Intune にアクセスできることを意味します。Intune RBAC を使用すると、テナントに接続されたデバイスにアクセスできるようになります。

テナントに複数のConfiguration Manager階層が接続されている場合はどうすればよいですか?

Microsoft Intune管理センターの [Intune RBAC の使用] 設定は、テナントに一覧表示されているすべてのConfiguration Manager階層に適用されます。

Configuration Managerと Intune の設定が一致しない場合はどうなりますか?

[Intune で Intune RBAC を使用する] トグルが [オフ] に設定されている場合、[Configuration Manager操作するクラウド コンソール要求にConfiguration Manager RBAC を適用する] チェック ボックスがオフになっている場合でも、Configuration Managerロールベースのアクセスが適用されます。 [Configuration Managerと対話するクラウド コンソール要求にConfiguration Manager RBAC を適用する] オプションを無効にしても、[Intune で Intune RBAC を使用する] トグルが [オン] に設定されるまでは効果がありません。

テスト階層が Intune RBAC を使用するように構成されているのに、運用階層が存在せず、それらが同じテナントにある場合はどうなりますか?

[Intune RBAC の使用] 設定は、テナントに一覧表示されているすべてのConfiguration Manager階層に適用されます。 クラウド専用ユーザーは、テスト階層からアップロードされたテナント接続デバイスにアクセスできます。これは、RBAC Configuration Manager適用するチェック ボックスもオフにしているためです。 クラウド専用ユーザーが運用環境からアップロードされたテナント接続デバイスにアクセスしようとすると、運用デバイスが RBAC Configuration Manager適用されているため、エラーが発生します。 クラウド専用ユーザーは、次のようなエラーを受け取ります。 Unable to get device information. Make sure Azure AD and AD user discovery are configured and the user is discovered by both. Verify that the user has proper permissions in Configuration Manager.

次の手順

  • クラウドに接続されたデバイスのタイムラインを確認する
  • クラウド接続デバイスで CMPivot クエリを実行する