Microsoft 365 管理センターでの Intune のロールの管理
Microsoft 365 または Office 365 サブスクリプションには、Microsoft 365 管理センターを使用して組織内のユーザーに割り当てることができる管理者ロールセットがあります。 各管理者ロールは、一般的なビジネス機能にマップされ、組織内のユーザーに管理センターで特定のタスクを実行する許可を与えます。 この場合、これらのロールは、Intune 管理センターで使用できるすべてのロールのサブセットに過ぎません。これには、Intune 自体に固有の追加のロールが含まれます。
特定の Intune ロールを追加する前に、ロールを Microsoft Entra ID で割り当てる必要があります。 これらのロールを表示するには、Microsoft Intune管理センター>のテナント管理>ロール>すべてのロールにサインインします。 ロールは、次のページで管理できます。
- プロパティ: ロールの名前、説明、アクセス許可、およびスコープのタグ。
- 割り当て: どのユーザーがどのユーザーまたはデバイスへのアクセス権を持つかを定義するロールの割り当てのリスト。 ロールは複数の割り当てを持つことができ、ユーザーは複数の割り当てを受けることができます。
Intune でのロールベースのアクセス制御について
ロールベースのアクセス制御 (RBAC) は、組織のリソースにアクセスできるユーザー、およびそれらのリソースを使ってできることを管理するのに役立ちます。 Intune ユーザーにロールを割り当てることで、どれをユーザーが表示および変更できるようにするかを管理者が制限できます。 組み込みのロールとカスタム ロールの各ロールには、組織内でそのロールを持つユーザーがアクセスしたり変更したりすることを決定する一連のアクセス許可があります。 次の情報では、Intune の両種のロールについて説明します。
ロールを作成、編集、または割り当てるには、アカウントに Microsoft Entra ID で次のいずれかのアクセス許可が必要です。
- グローバル管理者
- Intune サービス管理者 (Intune 管理者とも呼ばれますが、組み込みのIntune ロール管理者ロールと混同しないでください)。
Microsoft Entraロールと RBAC の詳細を確認してください。
Microsoft Intune に組み込みのロール
組み込みのロールでは、一般的な Intune シナリオに基づいて事前定義済みのルールが使用されます。 または、カスタム ロールは、ユーザーが厳密に定義したルールに基づいて構築されます。
割り当て可能な組み込みロールを次に示します。
管理者ロール | 誰にこの役割を割り当てるか |
---|---|
アプリケーション マネージャー | モバイルアプリのアプリケーションライフサイクルを管理し、ポリシーに管理されたアプリとビューのデバイス情報と構成プロファイルを表示するユーザーに、アプリケーション マネージャーの役割を割り当てます。 |
ヘルプデスク オペレーター | ユーザーとデバイスにアプリとポリシーを割り当てるユーザーに、ヘルプデスク オペレーターの役割を割り当てます。 |
Intune の役割の管理者 | Intune の管理者を他の管理者に割り当てることができるユーザーに、Intune の役割を割り当てることができます。ユーザーは Intune の役割を管理できます。 |
ポリシーおよびプロファイル マネージャー | ポリシーおよびプロファイル マネージャーの役割をユーザーに割り当て て、コンプライアンス ポリシーの管理、構成プロファイル、Apple の登録を行います。 |
読み取り専用の演算子 | ユーザー、デバイス、登録の詳細、構成の表示のみ可能なユーザーに読み取り専用オペレーターの役割を割り当てます。 |
学校の管理者 | Intune for Education で Windows 10 - 11 と iOS デバイス、アプリ、および構成を管理するためのフルアクセス権をもつユーザーに学校の管理者の役割を割り当てます。 |
クラウド PC 管理者 | クラウド PC 管理者は、クラウド PC ブレード内にあるすべての Cloud PC 機能に対する読み取りおよび書き込みアクセス権を持ちます。 |
クラウド PC リーダー | クラウド PC リーダーは、クラウド PC ブレード内にあるすべてのクラウド PC 機能に対する読み取りアクセス権を持ちます。 |
Microsoft Intune のカスタム ロール
特定のジョブ機能に必要なアクセス許可をすべて含む Intune のカスタム ロールを作成できます。 たとえば、IT 部門の 1 つのグループがアプリケーション、ポリシー、構成プロファイルを管理している場合は、これらのアクセス許可をすべて 1 つのカスタム ロールに追加できます。 カスタム ロールを作成したら、それをこれらのアクセス許可を必要とする任意のユーザーに割り当てることができます。
組み込みのロールと同様に、ロールを作成、編集、または割り当てるには、アカウントに Microsoft Entra ID に次のいずれかのアクセス許可が必要です。
- グローバル管理者
- Intune サービス管理者 (Intune 管理者とも呼ばれますが、組み込みのIntune ロール管理者ロールと混同しないでください)。
カスタム ロールを作成するには、以下の操作を行います。
Microsoft Intune管理センターで、[テナント管理>ロール>] [すべてのロール>の作成] の順に選択します。
[基本] ページで、新しいロールに名前と説明を入力して、[次へ] を選択します。
[アクセス許可] ページで、このロールで使用するアクセス許可を選択します。
[スコープ (タグ)] ページで、このロールのタグを選択します。 このロールがユーザーに割り当てられると、そのユーザーはこれらのタグもあるリソースにアクセスできます。 次へを選択します。
[確認および作成] ページで、完了したら、[作成] を選択します。 新しいロールが [Intune の役割 - すべてのロール] ブレード上の一覧に表示されます。
ロールをコピーするには、以下の操作を行います。
Microsoft Intune管理センターで、[テナント管理>ロール>] [すべてのロール>] を選択し、一覧の [複製] でロールのチェック ボックスをオンにします>。
[基本] ページで、名前を入力します。 必ず一意の名前を使用してください。
元のロールからのアクセス許可とスコープ タグはすべて既に選択されています。 重複するロールの [名前]、[説明]、[アクセス許可]、[スコープ (タグ)] は後で変更できます。
必要な変更をすべて行ったら、[次へ] を選択して、[確認および作成] ページに移動します。 [作成] を選択します。
注:
Intune を管理できるようにするには、Intune ライセンスが割り当てられている必要があります。 または、[ライセンスのない管理者へのアクセスを許可する] を [はい] に設定して、ライセンスのないユーザーが Intune を管理できるようにすることもできます。
ロールを割り当てる方法
組み込みロールまたはカスタム ロールを Intune ユーザーに割り当てることができます。 ロールを作成、編集、または割り当てるには、アカウントに Microsoft Entra ID で次のいずれかのアクセス許可が必要です。
- グローバル管理者
- Intune サービス管理者 (Intune 管理者とも呼ばれますが、組み込みのIntune ロール管理者ロールと混同しないでください)。
Microsoft Intune管理センターで、[テナント管理>ロール>] [すべてのロール] の順に選択します。
割り当て + 割り当てを割り当てる > 組み込みロールを > 選択します。
[基本] ページで、割り当て名と省略可能な割り当ての説明を入力し、[次へ] を選択します。
[管理者グループ] ページで、アクセス許可を付与するユーザーが含まれているグループを選択します。 [次へ]を選択します。
[スコープ (グループ)] ページで、上記のメンバーが管理できるユーザーまたはデバイスを含むグループを選択します。 すべてのユーザーを選択することも、すべてのデバイスを選択することもできます。 [次へ]を選択します。
注:
[すべてのユーザー] と [すべてのデバイス] は Intune 仮想グループであり、セキュリティ グループMicrosoft Entraではありません。 その結果、スコープ (グループ) 割り当ての目的で、Microsoft Entraセキュリティ グループの親として使用することはできません。 スコープ (グループ) の割り当てに [すべてのユーザー] と [すべてのデバイス] と特定のMicrosoft Entra セキュリティ グループの両方が必要な場合は、個別の割り当てで個別に追加する必要があります。 それ以外の場合、ロールのスコープ (グループ) 割り当てが [すべてのユーザー] に設定されている場合でも、このロールの管理者は特定のMicrosoft Entraユーザー グループにアクセスできません。 セキュリティ グループMicrosoft Entraの場合は、入れ子がサポートされています。
[スコープ (タグ)] ページで、このロールの割り当てが適用されるタグを選択します。 [次へ]を選択します。
[確認および作成] ページで、完了したら、[作成] を選択します。 新しい割り当てが割り当ての一覧に表示されます。
注:
スコープ グループを作成し、スコープ タグを割り当てる場合は、ロールの割り当てのスコープ (グループ) に一覧表示されているグループのみを対象にすることができます。
Microsoft パートナーの代理管理
Microsoft パートナーと連携している場合、パートナーに管理者ロールを割り当てることができます。 次に、彼らはあなたの会社のユーザーまたはその会社の管理者ロールを割り当てることができます。 たとえば、オンライン organizationを設定して管理している場合など、ユーザーにこれを行ってほしい場合があります。
パートナーは、次の役割を割り当てることができます。
パートナー センターを介した多要素認証の管理を除いた、グローバル管理者と同等の特権を持つフル管理。
ヘルプデスク管理者と同等の特権を持つ制限付き管理。
パートナーがこれらの役割をユーザーに割り当てる前に、パートナーを代理管理者としてアカウントに追加する必要があります。 このプロセスは認定パートナーによって開始されます。 パートナーは管理者に電子メールを送信し、代理管理者となる権限を割り当てるかどうか質問します。手順については、「パートナー リレーションシップの承認または削除」を参照してください。
関連項目
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示