Microsoft Intuneは、さまざまな組織のニーズにMicrosoft Entra IDのセキュリティ グループを使用します。 これらのニーズには、地理的な場所、部署、ハードウェア特性などによるユーザーまたはデバイスのグループ化が含まれます。 Intuneによる Entra グループの使用をサポートするために、Intune管理センターには、すべての機能を備えた Entra Groups ユーザー インターフェイスが含まれています。 Entra に表示されるグループと、Intune管理者が作成する可能性がある新しいグループは、Intune、Entra、および Microsoft 365 などの Entra グループ ユーザー インターフェイスを共有するその他の製品に表示されます。
Intune管理者は、ポリシーの展開、アプリの展開、その他の管理ユーザーのアクセス許可の割り当て時に、適切に定義されたグループを使用して、Intune サブスクリプションのさまざまな側面の管理に役立ちます。
この記事では、Intune管理センターを使用して、管理センター内でそれらのグループを管理および使用するために必要なアクセス許可の詳細など、Intuneで使用するグループを作成することに重点を置いています。
Microsoft Entra グループの詳細については、Entra のドキュメントを参照してください。
グループを操作するためのロールベースのアクセス制御
既定では、すべてのMicrosoft Entra ユーザー アカウントには、Entra ロールベースのアクセス制御 (RBAC) ロールを割り当てずに新しいグループを作成および構成するためのアクセス許可があります。 これらのアクセス許可は、Intune管理センター内の [グループ] ノードの使用に拡張されます。
グループを作成したユーザー、 所有者として割り当てられているユーザー、Entra グループを管理するための十分な Entra RBAC アクセス許可を持つユーザーのみが、グループのプロパティを編集できます。 グループを編集する権限を持たない他のユーザーは、そのメンバーシップを表示でき、Intuneを管理している場合は、Intuneポリシー、アプリ、ロールの割り当てをグループに割り当てることができます。
次のMicrosoft Entra組み込み RBAC ロールは、他のユーザーによって作成された Entra グループを編集および管理するための十分なアクセス許可を含む、最小限の特権を持つ組み込みロールです。
- グループ管理者 – このロールは、Microsoft Intune、Microsoft Entra、および Microsoft 365 の管理センター内からグループを追加および編集するのに十分なアクセス許可を提供します。
RBAC を使用する場合、タスクに最低限必要なアクセス許可を持つアカウントのみを使用し、Intune管理者などの特権管理ロールの使用と割り当てを制限することで、最小限のアクセス許可の原則に従うことをお勧めします。
Microsoft Entra グループとグループ アクセスの詳細については、Entra ドキュメントの「グループとアクセス権について」を参照してください。
Intuneで使用するグループの要件
Intune管理者は、新しいグループを作成したり、ポリシーの展開または管理ロールに割り当てたりするときに、Microsoft Entra グループの次の側面を認識する必要があります。
セキュリティ - Intuneで使用するグループは、セキュリティが有効になっているグループである必要があります。 これは通常、 グループの作成時にグループ グループの種類 を [セキュリティ ] に設定する必要があります。 セキュリティ グループは、ユーザーとデバイスの両方をメンバーとしてサポートします。
既定では、Microsoft Entraの Microsoft 365 グループはセキュリティが有効ではなく、ユーザーのみをメンバーとしてサポートし、Intuneではサポートされていません。 Microsoft Graph PowerShell を使用して、既定の Microsoft 365 グループのように、Intuneサポートされているセキュリティ対応 Microsoft 365 グループを作成できますが、デバイスを含めることができるのはユーザーのみで、デバイスは含まれません。
メンバーシップ - Intuneは、割り当てられたグループ メンバーシップと動的グループ メンバーシップの両方をサポートします。 グループ メンバーシップの管理方法に基づいて、 メンバーシップの種類 を選択します 。ルールに基づいて手動または自動で管理します。 たとえば、Endpoint Security Manager などの組み込みのIntune RBAC ロールを管理ユーザーに割り当てるには、手動で割り当てられたメンバーを持つグループを使用して、その特権ロールを受け取るユーザーを制限します。 逆に、すべてのWindows 11 デバイスにデバイス構成ポリシーの既定のセットを展開するには、デバイスオペレーティング システムのバージョンに基づいてメンバーを動的に追加するグループを使用できます。 動的グループを使用すると、Intuneに登録するデバイスが、デバイスをグループに手動で追加することなく、目的の既定のポリシーを自動的に受け取ることができます。
Intuneすべてのユーザーグループとすべてのデバイス グループ
Intuneで作成および使用できるMicrosoft Entra グループに加えて、Intuneには、Intuneのコンテキスト内とIntune管理センター内でのみ使用できる 2 つの仮想グループが含まれています。
- すべてのユーザー - このグループには、Intuneのライセンスを持つすべてのユーザーが自動的に含まれます。
- すべてのデバイス - このグループには、Intuneに登録された各デバイスが自動的に含まれます。
これらの仮想グループは、広範に適用する必要があるIntuneポリシーと割り当てを使用して、該当するすべてのユーザーまたはデバイスを簡単にターゲットにする方法を提供します。
たとえば、Intuneコンプライアンス ポリシーをすべてのデバイス グループに展開して、organization内のすべてのデバイスが満たす必要がある最小レベルのコンプライアンス要件を確立できます。 後で、特定の Entra グループにさらに多くの要件をデプロイして、特定のデバイスまたはユーザーのグループに必要な追加の要件を適用できます。
ヒント
Intune内のグループにフィルターを使用することを検討してください。 すべてのユーザーやすべてのデバイスなどの大規模なグループにMicrosoft Intuneでアプリ、ポリシー、プロファイルを割り当てる場合は、Intune内でフィルターを使用できます。 フィルターは、展開を受け取るデバイスまたはユーザーを動的に制御するのに役立ちます。 フィルターの使用については、次を参照してください。
Intuneにグループを追加する
Microsoft Intune管理センター内にグループを作成すると、実際にはMicrosoft Entra IDにグループが作成されます。 次の手順では、Intune管理センターでグループを作成するための基本的なガイダンスを提供します。 詳細については、次のMicrosoft Entra記事を参照してください。
- Microsoft Entra グループとグループ メンバーシップを管理する
- Microsoft Entra IDを使用して基本的なグループを作成し、メンバーを追加する
- Microsoft Entra ID のグループの動的メンバーシップ ルール
Microsoft Intune管理センターでグループを作成するには:
Microsoft Intune管理センターにサインインし、[グループ>新しいグループ] を選択します。
[新しいグループ] ウィンドウが開きます。これは、Microsoft Entraで見つかったインターフェイスと同じです。
新しいグループに対して次のオプションを構成します。
[グループの種類] を [セキュリティ] に設定します。
[ グループ名] には、グループを明確に識別するわかりやすい名前を指定します。 この名前は、管理センターでグループを操作するユーザーに表示されます。
[ グループの説明] (省略可能) には、グループに関するその他の詳細 (目的の用途など) を指定します。
[ メンバーシップの種類] で、次のオプションから選択します。
割り当て済み – このメンバーシップの種類では、ユーザーをグループに手動で追加する必要があります。これは、グループの作成後に今または後で行うことができます。
この時点でユーザーを追加するには、[メンバーの追加] ウィンドウを開くために [メンバーが選択されていない] を見つけて選択します。
ウィンドウで、[ ユーザー ] タブまたは [ デバイス ] タブを使用して、このグループに追加する各オブジェクトの横にあるチェック ボックスをオンにします。
このグループ内の グループ を入れ子にする場合は、[グループ] タブを選択することもできます。 グループをメンバーとして含むグループは、親グループと呼ばれます。 後で親グループを割り当てに使用する管理者は、メンバーシップ関係が明確でない可能性があるため、グループを入れ子にする場合は注意してください。 入れ子になったグループに対して行われたメンバーシップの変更は、親グループの有効なメンバーシップに自動的に適用されます。
重要
ユーザーとデバイスの両方を含むグループは作成しないでください。これにより、Intune展開中にポリシーの競合や予期しない動作が発生する可能性があります。
ヒント
デバイスのグループを作成するには、デバイス カテゴリを使用して、Intuneに登録するときにデバイスをグループに自動的に参加させることができます。
動的ユーザー - このメンバーシップの種類で、[ 動的クエリの追加] を選択し、動的メンバーシップ規則を構成します。 ガイダンスについては、「Microsoft Entra IDでの動的メンバーシップ グループのルールの管理」を参照してください。
重要
動的ユーザー グループを使用するには、動的グループのメンバーである各ユーザーにMicrosoft Entra ID P1 ライセンスが必要です。
動的デバイス - このメンバーシップの種類で、[ 動的クエリの追加] を選択し、動的メンバーシップ規則を構成します。 ガイダンスについては、「Microsoft Entra IDでの動的メンバーシップ グループのルールの管理」を参照してください。
ヒント
動的デバイス グループのメンバーには、特定のEntra ID ライセンスは必要ありません。
所有者の構成は省略可能です。 既定では、グループを作成するユーザーは所有者です。 他の所有者を追加するには、[ 所有者が選択されていない ] を選択し、[ ユーザー ] タブを選択して、このグループの所有者として追加する 1 人以上のユーザーを選択できます。
[ 作成] を 選択して、新しいグループを追加します。 一覧にグループが表示されます。
グループを編集する
Intune管理者は、グループのメンバー、所有者、プロパティの変更など、グループを編集できます。
既存のグループを編集するには、次の手順に従います。
- Microsoft Intune 管理センターにサインインします。
- [ グループ>すべてのグループ>編集するグループの名前を選択します。
- [ 管理 ] メニュー グループで、編集するグループの領域 ( [プロパティ]、[ メンバー]、または [所有者] など) を選択します。 Intuneは、その構成オプションに関連するユーザー インターフェイスを表示します。
グループを削除する
Intune管理者は、不要になったグループを削除できます。
既存のグループを削除するには、次の手順に従います。
- Microsoft Intune 管理センターにサインインします。
- [ グループ>すべてのグループ] を選択します。
- 削除する各グループのチェック ボックスをオンにし、[すべてのグループ] ビューの上部にある [オプションから削除] を選択します。 または、グループの名前を選択して 1 つのグループの [概要 ] ページを開き、そのビューの上部にある [ 削除] * を選択することもできます。
ヒント
グループが削除された後、削除された グループ の一覧に表示されるまでに時間がかかる場合があります。