Intune にユーザーを追加して管理アクセス許可を付与する

管理者は、ユーザーを直接追加することも、オンプレミスの Active Directory からユーザーを同期することもできます。 追加されたユーザーは、デバイスを登録し、会社のリソースにアクセスできます。 また、グローバル管理者やサービス管理者のアクセス許可など、より多くのアクセス許可をユーザー付与することもできます。

Intune にユーザーを追加する

Microsoft 365 管理センターまたはMicrosoft Intune管理センターを使用して、Intune サブスクリプションにユーザーを手動で追加できます。 管理者は、ユーザー アカウントを編集して Intune ライセンスを割り当てることができます。 ライセンスは、Microsoft 365 管理センターまたはMicrosoft Intune管理センターで割り当てることができます。 Microsoft 365 管理センターの使用の詳細については、「Microsoft 365 管理センターにユーザーを個別または一括で追加する」を参照してください。

Microsoft 365 管理センターで Intune ユーザーを追加する

  1. グローバル管理者またはユーザー管理の管理者アカウントで、Microsoft 365 管理センターにサインインします。
  2. Microsoft 365 メニューで [ユーザー]>[アクティブなユーザー]>[ユーザーの追加] を選択します。
  3. 次のユーザー詳細を入力します。
    • 表示名
    • ユーザー名 - サービスへのアクセスに使用されるMicrosoft Entra ID に格納されているユニバーサル プリンシパル名 (UPN)。
    • パスワード -自動生成されるか、作成します。
  4. [次へ]を選択します。
  5. [ 製品ライセンスの割り当て ] ページで、[ 場所 ] を選択し、このユーザーのライセンスを選択します。 Intune を含むライセンスが必要です。
  6. [次へ]を選択します。
  7. [省略可能な設定] ページでは、
    • 新しいユーザーにさらにロールを割り当てます (既定では、新しいユーザーにはユーザー ロールが付与されます)。
    • プロファイル情報を指定します。
  8. [次へ]を選択します。
  9. [確認と完了] ページで [追加の完了] を選択してユーザーを追加します。 [閉じる] をクリックして [ユーザーの追加] ページを閉じます。

注:

Office 365 サブスクリプションから Microsoft 365 に移行する場合、ユーザーとグループは既に Microsoft Entra ID にあります。 Intune は同じMicrosoft Entra ID を使用し、既存のユーザーとグループを使用できます。

Microsoft Intune管理センターに個々の Intune ユーザーを追加する

  1. Microsoft Intune管理センターで、[ユーザー>] [すべてのユーザー] [新しいユーザー>] > [ユーザーの作成] の順に選択します。
  2. 次のユーザー詳細を指定します。
    • ユーザー名 - ユーザーが ID へのサインインに使用する新しい名前Microsoft Entra。
    • 名前 - ユーザーに与えられた名前。
    • [名] - ユーザーの名。
    • - ユーザーの姓。
  3. 新しいユーザーのパスワードを作成するか、自動生成するかを選択します。
  4. (省略可能) 新しいユーザーをグループに割り当てるには、[0 グループ選択済み] を選択して [グループ] ウィンドウを開きます。 ここで、ユーザーに割り当てるグループを選択できます。 グループの選択が完了したら、[選択] を選択します。
  5. 既定では、新しいユーザーにユーザーのロールが割り当てられます。 ユーザーにロールを追加する場合は、[グループとロール]の下の [ユーザー] を選択します。 [ディレクトリ ロール] ウィンドウで、ユーザーに割り当てるロールを選択し、[選択] を選択します。
  6. ユーザーがサインインできないようにするには、[サインインをブロック]に対して [はい] を選択します。 ユーザーのサインインを許可する準備ができたら、これを [いいえ] に切り替えてください。
  7. 新しいユーザーの [利用場所] を選択します。 新しいユーザーに Intune ライセンスを割り当てるには利用場所が必要です。
  8. 必要に応じて、[役職][部署][会社名][マネージャー] の各フィールドに情報を入力できます。
  9. [作成] を選択し、新しいユーザーを Intune に追加します。

Microsoft Intune管理センターに複数の Intune ユーザーを追加する

Intune ユーザーを一括で追加するには、ユーザーの完全な一覧を含む csv ファイルをアップロードします。 次の手順では、複数のユーザーを Intune に追加できます。

  1. Microsoft エンドポイント マネージャー管理センターで、[ユーザー>] [すべてのユーザー>] [一括操作>] [一括作成] の順に選択します。 [ ユーザーの一括作成 ] ウィンドウが表示されます。
  2. Intune に追加するユーザーの一覧を含む csv テンプレートをダウンロード、編集、アップロードします。

csv ファイルは、メモ帳または Excel で編集できるコンマ区切りの値リストです。 csv ファイルを使用して Intune ユーザーを追加する方法の詳細については、「Microsoft Entra ID でユーザーを一括作成する」を参照してください。

管理者アクセス許可を与える

Intune サブスクリプションにユーザーを追加した後で、ごく一部のユーザーに管理者アクセス許可を付与することをお勧めします。 管理者アクセス許可を付与するには、次の手順のようにします。

Microsoft 365 の管理者アクセス許可を付与する

  1. グローバル管理者アカウント>でMicrosoft 365 管理センターにサインインし、[ユーザー>] [アクティブ なユーザー>] を選択して、管理者のアクセス許可を付与します。
  2. ユーザー ウィンドウで、[ロール] の下にある [ロールの管理] を選択します。
  3. [ロールの管理] ウィンドウで、利用可能なロールの一覧から、付与する管理者アクセス許可を選びます。
  4. [変更の保存] を選びます。

管理センターで管理者アクセス許可Microsoft Intune付与する

  1. グローバル管理者アカウント>>を使用してMicrosoft Intune管理センターにサインインし、管理者アクセス許可を付与するユーザーを選択します。
  2. [割り当てられているロール]>[割り当ての追加] を選択します。
  3. [ディレクトリ ロール] ウィンドウで、ユーザー > [追加] に割り当てるロールを選択します。

管理者の種類

ユーザーに 1 つまたは複数の管理者アクセス許可を割り当てます。 これらのアクセス許可で、ユーザーの管理範囲および管理できるタスクを定義します。 さまざまな Microsoft クラウド サービスで共通の管理者アクセス許可が使われており、一部のサービスではサポートされていないアクセス許可もあります。 Azure portal と Microsoft 365 管理センターの両方で、Intune で使われていない制限付き管理者ロールの一覧が表示されます。 Intune の管理者アクセス許可には、次のオプションが含まれます。

  • 全体管理者 - (Microsoft 365 と Intune) Intune のすべての管理機能にアクセスできます。 既定では、Intune にサインアップしたユーザーがグローバル管理者になります。他の管理者ロールを割り当てることができる管理者は、グローバル管理者だけです。 組織内の全体管理者は 2 人以上でもかまいません。 ベスト プラクティスとしては、ビジネス リスクを軽減するため、社内の少数のユーザーのみがこのロールを持つようにすることをお勧めします。
  • パスワード管理者 - (Microsoft 365 と Intune) パスワードの再設定、サービス要求の管理、およびサービスの正常性の監視を行います。 パスワード管理者は、ユーザーのパスワードの再設定のみ行うことができます。
  • サービス サポート管理者 - (Microsoft 365 と Intune) Microsoft へのサポート リクエストを開き、サービス ダッシュボードとメッセージ センターを表示します。 サポート チケットを開き、それを読み取る操作以外は "表示のみ" の権限が割り当てられます。
  • 課金管理者 - (Microsoft 365 と Intune) 購入、サブスクリプションの管理、サポート チケットの管理、サービスの正常性の監視を行います。
  • ユーザー管理者 - (Microsoft 365 と Intune) パスワードの再設定、サービスの正常性の監視、ユーザー アカウントの追加と削除、サービス要求の管理を行います。 ユーザー管理の管理者は、グローバル管理者の削除、他の管理者ロールの作成、または他の管理者のパスワードの再設定を行うことはできません。
  • Intune 管理者 - [ディレクトリ ロール] オプションで管理者を作成するアクセス許可を除く、すべての Intune グローバル管理者アクセス許可。

Microsoft Intune サブスクリプションの作成に使うアカウントはグローバル管理者です。 ベスト プラクティスとして、グローバル管理者を日常の管理タスクに使用しないでください。 管理者は、Azure portalで Intune にアクセスするために Intune ライセンスを必要としませんが、Exchange サービス コネクタの設定などの特定の管理タスクを実行するには、Intune ライセンスが必要です。

Microsoft 365 管理センターにアクセスするには、アカウントにサインインが許可されている必要があります。 Azure portal の [プロファイル] で、[サインインのブロック][いいえ] に設定し、アクセスを許可します。 これは、サブスクリプションのライセンスを与えられていることとは別です。 既定では、すべてのユーザー アカウントは、"許可済み" の状態です。 管理者権限を持たないユーザーは、Microsoft 365 管理センターを使って、Intune パスワードをリセットすることができます。

Active Directory を同期化して Intune にユーザーを追加する

ディレクトリ同期を構成して、オンプレミスの Active Directoryから Intune ユーザーを含むMicrosoft Entraにユーザー アカウントをインポートできます。 オンプレミスの Active Directory サービスをすべてのMicrosoft Entra ID ベースのサービスに接続すると、ユーザー ID の管理が簡単になります。 また、シングル サインオン機能を構成することによってユーザー認証の利便性を高めることもできます。 同じMicrosoft Entraテナントを複数のサービスにリンクすると、以前に同期したユーザー アカウントはすべてのクラウドベースのサービスで使用できます。

AD 管理者がMicrosoft Entra サブスクリプションにアクセスでき、一般的な AD タスクとMicrosoft Entra タスクを完了するようにトレーニングされていることを確認します。

Microsoft Entra ID を使用してオンプレミス ユーザーを同期する方法

  • 既存のユーザーを オンプレミスの Active Directory から Microsoft Entra ID に移動するには、ハイブリッド ID を設定します。 ハイブリッド ID は、オンプレミス AD と Microsoft Entra ID の両方のサービスに存在します。

  • また、UI またはスクリプトを使用して Active Directory のユーザーをエクスポートすることもできます。 インターネット検索は、organizationに最適なオプションを見つけるのに役立ちます。

  • Microsoft Entra ID でユーザー アカウントを同期するには、Microsoft Entra接続ウィザードを使用します。 Microsoft Entra接続ウィザードでは、オンプレミスの ID インフラストラクチャをクラウドに接続するための簡略化されたガイド付きエクスペリエンスが提供されます。 トポロジと要件 (単一ディレクトリまたは複数ディレクトリ、パスワード ハッシュ同期、パススルー認証、またはフェデレーション) を選択します。 ウィザードにより、接続を稼働させるために必要なすべてのコンポーネントがデプロイされて構成されます。 サービス、Active Directory フェデレーション サービス (AD FS) (AD FS)、Microsoft Graph PowerShell モジュールを含みます。

ヒント

Microsoft Entra Connect には、Dirsync および Azure AD Sync として以前にリリースされた機能が含まれています。ディレクトリ統合の詳細については、こちらをご覧ください。 ローカル ディレクトリから Microsoft Entra ID へのユーザー アカウントの同期については、「Active Directory と Microsoft Entra ID の類似点」を参照してください。