organizationへのアクセスをセキュリティで保護することは、重要なセキュリティ手順です。 この記事では、Microsoft Entra ID RBAC コントロールの拡張機能であるMicrosoft Intuneロールベースのアクセス制御 (RBAC) を使用するための基本的な詳細について説明します。 以降の記事は、organizationにIntune RBAC をデプロイするのに役立ちます。
Intune RBAC を使用すると、管理者に詳細なアクセス許可を付与して、organizationのリソースにアクセスできるユーザーと、それらのリソースで実行できる操作を制御できます。 RBAC ロールIntune割り当て、最小限の特権アクセスの原則に従うことで、管理者は、割り当てられたタスクを、管理する権限を持つユーザーとデバイスに対してのみ実行できます。
RBAC ロール
各Intune RBAC ロールは、そのロールに割り当てられたユーザーが使用できる一連のアクセス許可を指定します。 アクセス許可は、 デバイス構成 や 監査データなどの 1 つ以上の管理カテゴリと、 読み取り、 書き込み、 更新、削除などの一連のアクションで構成 されます。 これらを組み合わせて、Intune内の管理アクセスとアクセス許可のスコープを定義します。
Intuneには、組み込みロールとカスタム ロールの両方が含まれます。 組み込みロールはすべてのテナントで同じであり、一般的な管理シナリオに対処するために提供されますが、作成するカスタム ロールでは、管理者が必要に応じて特定のアクセス許可を許可します。さらに、いくつかのMicrosoft Entraロールには、Intune内のアクセス許可が含まれます。
Intune管理センターでロールを表示するには、テナント管理>Roles>すべてのロールに移動し>ロールを選択します。 その後、次のページからそのロールを管理できます。
- プロパティ: ロールの名前、説明、アクセス許可、およびスコープのタグ。 組み込みロールの名前、説明、およびアクセス許可については、このドキュメントの「 組み込みロールのアクセス許可」を参照してください。
- 割り当て: ロールの割り当てを 選択して、そのロールに関する詳細 (割り当てに含まれるグループとスコープなど) を表示します。 ロールには複数の割り当てを設定でき、ユーザーは複数の割り当てを受け取ることができます。
注:
2021 年 6 月、Intuneはライセンスのない管理者のサポートを開始しました。 この変更後に作成されたユーザー アカウントは、割り当てられたライセンスなしでIntuneを管理できます。 この変更の前に作成されたアカウントには、引き続きIntuneを管理するためのライセンスが必要です。
組み込みの役割
十分なアクセス許可を持つIntune管理者は、任意のIntuneロールをユーザーのグループに割り当てることができます。 組み込みロールは、ロールの目的に合った管理タスクを実行するために必要な特定のアクセス許可を付与します。 Intuneでは、組み込みロールの説明、入力、またはアクセス許可の編集はサポートされていません。
- アプリケーション マネージャー: モバイルとマネージド アプリケーションを管理し、デバイス情報を読み取り、デバイス構成プロファイルを表示することができます。
- Endpoint Privilege Manager: Intune コンソールでエンドポイント特権管理ポリシーを管理します。
- エンドポイント特権閲覧者: エンドポイント特権閲覧者は、Intune コンソールでエンドポイント特権管理ポリシーを表示できます。
- エンドポイント セキュリティ マネージャー: セキュリティ ベースライン、デバイス コンプライアンス、条件付きアクセス、Microsoft Defender for Endpointなどのセキュリティとコンプライアンスの機能を管理します。
- ヘルプ デスク オペレーター: ユーザーとデバイスに対するリモート タスクを実行し、ユーザーやデバイスにアプリケーションやポリシーを割り当てることができます。
- Intune ロール管理者: Intune のカスタム ロールを管理し、Intune の組み込みロールの割り当てを追加します。 アクセス許可を管理者に割り当てられるのは、Intune ロールだけです。
- ポリシーとプロファイル マネージャー: コンプライアンス ポリシー、構成プロファイル、Apple の登録、企業デバイスの識別子、セキュリティ ベースラインを管理します。
- 読み取り専用オペレーター: ユーザー、デバイス、登録、構成、アプリケーション情報を表示します。 Intune に変更を加えることはできません。
- 学校管理者: Intune for Education の Windows 10 デバイスを管理します。
テナントにクラウド PC をサポートするためにWindows 365するサブスクリプションが含まれている場合は、Intune管理センターにも次のクラウド PC ロールがあります。 これらのロールは既定では使用できません。また、クラウド PC に関連するタスクに対するIntune内のアクセス許可も含まれます。 これらのロールの詳細については、Windows 365ドキュメントの「クラウド PC の組み込みロール」を参照してください。
- クラウド PC 管理者: クラウド PC 管理者は、クラウド PC 領域内にあるすべてのクラウド PC 機能に 対する読み取り および 書き込み アクセス権を持っています。
- クラウド PC リーダー: クラウド PC リーダーには、クラウド PC 領域内にあるすべてのクラウド PC 機能への 読み取り アクセス権があります。
カスタムの役割
独自のカスタム Intune ロールを作成して、管理者にタスクに必要な特定のアクセス許可のみを付与できます。 これらのカスタム ロールには、任意のIntune RBAC アクセス許可を含めることができます。これにより、管理者アクセスの絞り込みと、organization内の最小特権アクセスの原則のサポートが可能になります。
「 カスタム ロールを作成する」を参照してください。
Intune アクセス権を持つロールのMicrosoft Entra
INTUNE RBAC アクセス許可は、Microsoft Entra RBAC アクセス許可のサブセットです。 サブセットとして、Intune内のアクセス許可を含む Entra ロールがいくつかあります。 Intuneへのアクセス権を持つほとんどのEntra IDロールは、特権ロールと見なされます。 特権ロールの使用と割り当てを制限し、Intune内の毎日の管理タスクには使用しないでください。
Microsoft では、管理者が職務を遂行するために最低限必要なアクセス許可のみを割り当てることによって、最小限のアクセス許可の原則に従うことをお勧めします。 この原則をサポートするには、毎日のIntune管理タスクにIntuneの組み込みの RBAC ロールを使用し、Intuneにアクセスできる Entra ロールを使用しないようにします。
次の表は、Intuneへのアクセス権を持つ Entra ロールと、そのロールに含まれるIntuneのアクセス許可を示しています。
| Microsoft Entraロール | すべての Intune データ | Intune の監査データ |
|---|---|---|
グローバル管理者  |
読み取り/書き込み | 読み取り/書き込み |
| Intune サービス管理者 |
読み取り/書き込み | 読み取り/書き込み |
| 条件付きアクセス管理者 |
なし | なし |
| セキュリティ管理者 |
読み取り専用 (エンドポイント セキュリティ ノードの完全な管理アクセス許可) | 読み取りのみ |
| Security Operator |
読み取りのみ | 読み取りのみ |
| セキュリティ 閲覧者 |
読み取りのみ | 読み取りのみ |
| コンプライアンス管理者 | なし | 読み取りのみ |
| コンプライアンス データ管理者 | なし | 読み取りのみ |
| グローバル閲覧 (このロールは、Intune ヘルプ デスク オペレーター ロールと同じです) |
読み取り専用 | 読み取り専用 |
| ヘルプデスク管理者 (このロールは、Intuneヘルプ デスクオペレーターロールと同じです) |
読み取り専用 | 読み取り専用 |
| レポート閲覧者 | なし | 読み取り専用 |
Intune内のアクセス許可を持つ Entra ロールに加えて、Intuneの 3 つの領域は、Entra の直接拡張機能であるユーザー、グループ、条件付きアクセスです。 Intune内から作成されたこれらのオブジェクトと構成のインスタンスは、Entra に存在します。 Entra オブジェクトとして、Entra ロールによって付与された十分なアクセス許可を持つ Entra 管理者によって管理できます。 同様に、Intuneに対する十分なアクセス許可を持つIntune管理者は、Entra で作成されたこれらのオブジェクトの種類を表示および管理できます。
IntuneのPrivileged Identity Management
Entra ID Privileged Identity Management (PIM) を使用する場合、ユーザーがEntra IDからIntune RBAC ロールまたはIntune管理者ロールによって提供される特権を使用できるタイミングを管理できます。
Intuneでは、ロール昇格の 2 つの方法がサポートされています。 2 つの方法にはパフォーマンスと最小限の特権の違いがあります。
方法 1: Microsoft Entra組み込みのIntune管理者ロールのMicrosoft Entra Privileged Identity Management (PIM) を使用して Just-In-Time (JIT) ポリシーを作成し、管理者アカウントを割り当てます。
方法 2: Intune RBAC ロールの割り当てを持つグループにPrivileged Identity Management (PIM) を利用する。 INTUNE RBAC ロールを持つグループに PIM を使用する方法の詳細については、「グループのMICROSOFT ENTRA PIM を使用した just-in-time 管理者アクセスMicrosoft Intune構成する |Microsoft Community Hub
Entra IDからIntune管理者ロールに PIM 昇格を使用する場合、昇格は通常 10 秒以内に発生します。 Intuneの組み込みロールまたはカスタム ロールの PIM グループベースの昇格は、通常、適用に最大 15 分かかります。
ロールの割り当てのIntuneについて
Intuneカスタム ロールと組み込みロールの両方がユーザーのグループに割り当てられます。 割り当てられたロールは、グループ内の各ユーザーに適用され、次を定義します。
- そのロールに割り当てられるユーザー
- 使用できるリソース
- 変更できるリソース
Intuneロールが割り当てられている各グループには、そのロールの管理タスクを実行する権限を持つユーザーのみを含める必要があります。
- 最小限の特権を持つ組み込みロールが過剰な特権またはアクセス許可を付与する場合は、カスタム ロールを使用して管理アクセスのスコープを制限することを検討してください。
- ロールの割り当てを計画するときは、複数のロールの 割り当てを持つユーザーの結果を考慮してください。
ユーザーにIntuneロールを割り当て、Intuneを管理するためのアクセス権を持つユーザーには、2021 年 6 月以降にアカウントが Entra で作成されている限り、Intune ライセンスは必要ありません。 2021 年 6 月より前に作成されたアカウントでは、Intuneを使用するためにライセンスが割り当てられている必要があります。
既存のロールの割り当てを表示するには、Intune>テナント管理>Roles>すべてのロールを選択>ロール >Assignments を選択>割り当てを選択します。 [割り当ての プロパティ] ページで、次の内容を編集できます。
[基本]: 割り当ての名前と説明。
メンバー: メンバーは、ロールの割り当てを作成するときに [管理 グループ] ページで構成されるグループです。 一覧表示されている Azure セキュリティ グループ内のすべてのユーザーは、[ スコープ (グループ)] に一覧表示されているユーザーとデバイスを管理するアクセス許可を持っています。
スコープ (グループ): スコープ (グループ) を使用して、このロールの割り当てを持つ管理者が管理できるユーザーとデバイスのグループを定義します。 このロールの割り当てを持つ管理ユーザーは、ロールによって付与されたアクセス許可を使用して、ロールの割り当て定義されたスコープ グループ内のすべてのユーザーまたはデバイスを管理できます。
ヒント
スコープ グループを構成する場合は、このロールの割り当てを持つ管理者が管理する必要があるユーザーとデバイスを含むセキュリティ グループのみを選択して、アクセスを制限します。 このロールを持つ管理者がすべてのユーザーまたはすべてのデバイスを対象にできないようにするには、[ すべてのユーザーの追加 ] または [ すべてのデバイスの追加] を選択しないでください。
スコープ タグ: このロールの割り当てを割り当てられている管理ユーザーは、同じスコープ タグを持つリソースを表示できます。
注:
スコープ タグは、管理者が定義し、ロールの割り当てに追加するフリーフォーム テキスト値です。 ロールに追加されたスコープ タグはロール自体の可視性を制御しますが、ロールの割り当てで追加されたスコープ タグは、ポリシー、アプリ、デバイスなどのIntune オブジェクトの可視性を、そのロール割り当ての管理者のみに制限します。これは、ロールの割り当てに一致するスコープ タグが 1 つ以上含まれているためです。
複数のロールの割り当て
ユーザーに複数のロールの割り当て、アクセス許可、スコープのタグがある場合は、これらのロールの割り当てが、次のように別のオブジェクトに拡張されます。
- 2 つ以上のロールが同じオブジェクトにアクセス許可を付与する場合、アクセス許可は増分されます。 たとえば、あるロールからの読み取りアクセス許可と別のロールからの読み取り/書き込み権限を持つユーザーは、読み取り/書き込みの有効なアクセス許可を持っています (両方のロールの割り当てが同じスコープ タグを対象とすると仮定します)。
- アクセス許可とスコープのタグの割り当ては、そのロールの割り当てスコープ (グループ) 内のオブジェクト (ポリシーやアプリなど) にのみ適用されます。 アクセス許可とスコープのタグの割り当ては、他の割り当てで具体的に付与されない限り、他のロールの割り当てのオブジェクトには適用されません。
- その他のアクセス許可 (作成、読み取り、更新、削除など) とスコープのタグは、任意のユーザーの割り当てで、同じ種類のすべてのオブジェクト (すべてのポリシーやすべてのアプリなど) に適用されます。
- 異なる種類のオブジェクト (ポリシーやアプリなど) に対するアクセス許可やスコープのタグが、相互に適用されることはありません。 たとえば、ポリシーの読み取りアクセス許可では、ユーザーの割り当てでアプリへの読み取りアクセス許可は提供されません。
- スコープ タグがない場合、または一部のスコープ タグが異なる割り当てから割り当てられている場合、ユーザーは一部のスコープ タグの一部であり、すべてのデバイスを表示できないデバイスのみを表示できます。
RBAC の割り当てを監視する
このサブセクションと 3 つのサブセクションは進行中です
Intune管理センター内で、テナント管理者>Roles に移動し、[モニター] を展開して、Intune テナント内のさまざまなユーザーのアクセス許可を特定するのに役立ついくつかのビューを見つけることができます。 たとえば、複雑な管理環境では、管理アクセス許可ビューを使用してアカウントを指定して、現在の管理特権のスコープを確認できます。
自分のアクセス許可
このノードを選択すると、アカウントに付与されている現在のIntune RBAC カテゴリとアクセス許可の組み合わせリストが表示されます。 この組み合わせリストには、すべてのロールの割り当てからのすべてのアクセス許可が含まれますが、どのロールの割り当てによって割り当てられるか、割り当てられているグループ メンバーシップは含まれません。
アクセス許可によるロール
このビューでは、特定のIntune RBAC カテゴリとアクセス許可、およびロールの割り当てと、その組み合わせが使用可能なグループに関する詳細を確認できます。
開始するには、Intuneアクセス許可カテゴリを選択し、そのカテゴリから特定のアクセス許可を選択します。 次に、管理センターには、次を含むアクセス許可が割り当てられるインスタンスの一覧が表示されます。
- ロールの表示名 – アクセス許可を付与する組み込みまたはカスタム RBAC ロールの名前。
- ロールの割り当ての表示名 – ユーザーのグループにロールを割り当てるロールの割り当ての名前。
- [グループ名 ] – そのロールの割り当てを受け取るグループの名前。
アクセス許可の管理
管理アクセス許可ノードを使用して、アカウントに現在付与されている特定のアクセス許可を特定します。
まず 、ユーザー アカウントを指定します。 ユーザーが自分のアカウントにIntuneアクセス許可を割り当てられている限り、Intuneには、カテゴリとアクセス許可で識別されたアクセス許可の完全な一覧が表示されます。
