Intune にユーザーを追加して管理アクセス許可を付与する

管理者は、ユーザーを直接追加することも、オンプレミスの Active Directory からユーザーを同期することもできます。 追加されたユーザーは、デバイスを登録し、会社のリソースにアクセスできます。 また、グローバル管理者サービス管理者など、追加のアクセス許可をユーザーに与えることができます。

Intune にユーザーを追加する

Microsoft 365 管理センター または Microsoft Endpoint Manager 管理センター を使って、Intune サブスクリプションにユーザーを手動で追加することができます。 管理者は、ユーザー アカウントを編集して Intune ライセンスを割り当てることができます。 Microsoft 365 管理センターまたは Microsoft Endpoint Manager 管理センターでライセンスを割り当てることができます。 Microsoft 365 管理センターの使用の詳細については、「Microsoft 365 管理センターにユーザーを個別または一括で追加する」を参照してください。

Microsoft 365 管理センターで Intune ユーザーを追加する

  1. グローバル管理者またはユーザー管理の管理者アカウントで、Microsoft 365 管理センターにサインインします。
  2. Microsoft 365 メニューで [ユーザー]>[アクティブなユーザー]>[ユーザーの追加] を選択します。
  3. 次のユーザー詳細を入力します。
    • 表示名
    • ユーザー名 - Azure Active Directory に格納されている、サービスへのアクセスに使われるユニバーサル プリンシパル名 (UPN)。
    • パスワード -自動生成されるか、作成します。
  4. [次へ]を選択します。
  5. [製品ライセンスの割り当て] ページで場所を選択してから、このユーザーのライセンスを選択します。 Intune を含むライセンスが必要です。
  6. [次へ]を選択します。
  7. [オプションの設定] ページには、次のオプションがあります。
    • 新しいユーザーに追加のロールを割り当てます (既定では、新しいユーザーにユーザー ロールが割り当てられます)。
    • プロファイル情報を指定します。
  8. [次へ]を選択します。
  9. [確認と完了] ページで [追加の完了] を選択してユーザーを追加します。 [閉じる] をクリックして [ユーザーの追加] ページを閉じます。

Azure Portal で Intune ユーザーを追加する

  1. Microsoft Endpoint Manager 管理センターで、[ユーザー]>[すべてのユーザー]>[新しいユーザー]>[ユーザーの作成] を選択します。
  2. 次のユーザー詳細を指定します。
    • ユーザー名 - ユーザーが Azure Active Directory にサインインするために使用する新しい名前。
    • 名前 - ユーザーに与えられた名前。
  3. 新しいユーザーのパスワードを作成するか、自動生成するかを選択します。
  4. (省略可能) 新しいユーザーをグループに割り当てるには、[0 グループ選択済み] を選択して [グループ] ウィンドウを開きます。 ここで、ユーザーに割り当てるグループを選択できます。 グループの選択が完了したら、[選択] を選択します。
  5. 既定では、新しいユーザーにユーザーのロールが割り当てられます。 ユーザーにロールを追加する場合は、[グループとロール]の下の [ユーザー] を選択します。 [ディレクトリ ロール] ウィンドウで、ユーザーに割り当てるロールを選択し、[選択] を選択します。
  6. ユーザーがサインインできないようにするには、[サインインをブロック]に対して [はい] を選択します。 ユーザーのサインインを許可する準備ができたら、これを [いいえ] に切り替えてください。
  7. 新しいユーザーの [利用場所] を選択します。 新しいユーザーに Intune ライセンスを割り当てるには利用場所が必要です。
  8. 必要に応じて、[役職][部署][会社名][マネージャー] の各フィールドに情報を入力できます。
  9. [作成] を選択し、新しいユーザーを Intune に追加します。

管理者アクセス許可を与える

Intune サブスクリプションにユーザーを追加した後で、ごく一部のユーザーに管理者アクセス許可を付与することをお勧めします。 管理者アクセス許可を付与するには、次の手順のようにします。

Microsoft 365 の管理者アクセス許可を付与する

  1. グローバル管理者アカウント>でMicrosoft 365 管理センターにサインインし、[ユーザー>] [アクティブ なユーザー>] を選択して、管理者のアクセス許可を付与します。
  2. ユーザー ウィンドウで、[ロール] の下にある [ロールの管理] を選択します。
  3. [ロールの管理] ウィンドウで、利用可能なロールの一覧から、付与する管理者アクセス許可を選びます。
  4. [変更の保存] を選びます。

Azure portal で管理者アクセス許可を付与する

  1. グローバル管理者アカウント>>を使用してMicrosoft エンドポイント マネージャー管理センターにサインインし、管理者アクセス許可を付与するユーザーを選択します。
  2. [割り当てられているロール]>[割り当ての追加] を選択します。
  3. [ディレクトリ ロール] ウィンドウで、ユーザー>に割り当てるロールを選択して [追加]

管理者の種類

ユーザーに 1 つまたは複数の管理者アクセス許可を割り当てます。 これらのアクセス許可で、ユーザーの管理範囲および管理できるタスクを定義します。 さまざまな Microsoft クラウド サービスで共通の管理者アクセス許可が使われており、一部のサービスではサポートされていないアクセス許可もあります。 Azure portal と Microsoft 365 管理センターの両方で、Intune で使われていない制限付き管理者ロールの一覧が表示されます。 Intune の管理者アクセス許可には、次のオプションが含まれます。

  • 全体管理者 - (Microsoft 365 と Intune) Intune のすべての管理機能にアクセスできます。 既定では、Intune にサインアップしたユーザーがグローバル管理者になります。他の管理者ロールを割り当てることができる管理者は、グローバル管理者だけです。 組織内の全体管理者は 2 人以上でもかまいません。 ベスト プラクティスとしては、ビジネス リスクを軽減するため、社内の少数のユーザーのみがこのロールを持つようにすることをお勧めします。
  • パスワード管理者 - (Microsoft 365 と Intune) パスワードの再設定、サービス要求の管理、およびサービスの正常性の監視を行います。 パスワード管理者は、ユーザーのパスワードの再設定のみ行うことができます。
  • サービス サポート管理者 - (Microsoft 365 と Intune) Microsoft へのサポート リクエストを開き、サービス ダッシュボードとメッセージ センターを表示します。 サポート チケットを開き、それを読み取る操作以外は "表示のみ" の権限が割り当てられます。
  • 課金管理者 - (Microsoft 365 と Intune) 購入、サブスクリプションの管理、サポート チケットの管理、サービスの正常性の監視を行います。
  • ユーザー管理者 - (Microsoft 365 と Intune) パスワードの再設定、サービスの正常性の監視、ユーザー アカウントの追加と削除、サービス要求の管理を行います。 ユーザー管理の管理者は、グローバル管理者の削除、他の管理者ロールの作成、または他の管理者のパスワードの再設定を行うことはできません。
  • Intune 管理者 - [ディレクトリ ロール] オプションで管理者を作成するアクセス許可を除く、すべての Intune グローバル管理者アクセス許可。

Microsoft Intune サブスクリプションの作成に使うアカウントはグローバル管理者です。 ベスト プラクティスとして、グローバル管理者を日常の管理タスクに使用しないでください。 管理者は、Azure portalでIntuneにアクセスするためにIntune ライセンスを必要としませんが、Exchange サービス コネクタの設定などの特定の管理タスクを実行するには、Intune ライセンスが必要です。

Microsoft 365 管理センターにアクセスするには、アカウントにサインインが許可されている必要があります。 Azure portal の [プロファイル] で、[サインインのブロック][いいえ] に設定し、アクセスを許可します。 これは、サブスクリプションのライセンスを与えられていることとは別です。 既定では、すべてのユーザー アカウントは、"許可済み" の状態です。 管理者権限を持たないユーザーは、Microsoft 365 管理センターを使って、Intune パスワードをリセットすることができます。

Active Directory を同期化して Intune にユーザーを追加する

ディレクトリの同期化によって、オンプレミスの Active Directory から Intune ユーザーを含む Microsoft Azure Active Directory (Azure AD) に、ユーザー アカウントをインポートできます。 オンプレミスの Active Directory サービスが Azure Active Directory ベースの全サービスに反映され、ユーザー ID の管理が大幅に単純化されます。 また、シングル サインオン機能を構成することによってユーザー認証の利便性を高めることもできます。 同じ Azure AD テナントを複数のサービスとリンクすることにより、前に同期したユーザー アカウントをすべてのクラウド ベース サービスで使用できるようになります。

オンプレミスのユーザーを Azure AD と同期する方法

ユーザー アカウントを Azure AD と同期するために必要なツールは、Azure AD Connect ウィザードのみです。 Azure AD Connect ウィザードでは、簡単な画面の指示に従って、オンプレミスの ID インフラストラクチャをクラウドに接続できます。 トポロジと要件 (単一ディレクトリまたは複数ディレクトリ、パスワード ハッシュ同期、パススルー認証、またはフェデレーション) を選択します。 ウィザードにより、接続を稼働させるために必要なすべてのコンポーネントがデプロイされて構成されます。 接続した機能が稼働するために必要なすべてのコンポーネントが自動的に展開されて構成されます。

ヒント

Azure AD Connect には、過去に Dirsync や Azure AD Sync としてリリースされた機能がすべて備わっています。ディレクトリ統合の詳細を確認してください。 ローカル ディレクトリから Azure AD へのユーザー アカウントの同期について詳しくは、「Active Directory と Azure AD の類似点」をご覧ください。