Microsoft Intune管理センターのロールベースのアクセス制御を使用して、organizationのリソースにアクセスできるユーザーと、それらのリソースで実行できる操作を管理します。
組み込みのロール
Windows Autopatch を使用すると、ロールベースのアクセス制御で最小限の特権アクセスを使用して、Microsoft IntuneでWindows Update管理を分散および委任できます。
重要
Windows Autopatch を低い特権ロールとして正常に管理するには、Autopatch 管理アクセス許可とポリシーとプロファイル管理者アクセス許可の両方がユーザーに必要です。
Windows Autopatch 管理者または Windows Autopatch 閲覧者ロールで定義されているアクセス許可は、自動パッチ グループ、サポート要求、自動パッチ メッセージ、および自動パッチ レポートを管理するために使用されます。
更新ポリシーとWindows Update レポートを管理するには、デバイス構成アクセス許可が必要です。 このアクセス許可は、ポリシーロールやプロファイルマネージャーロールなどの組み込みロールで使用できます。
ポリシーとプロファイル マネージャーの役割
ポリシーとプロファイル マネージャーの役割には、次の更新ポリシーを含むIntune ポリシーを管理するためのデバイス構成アクセス許可が含まれます。
- リングを更新する
- 品質更新プログラム
- 機能更新プログラム
- ドライバーの更新
Windows Autopatch 管理者
Windows Autopatch 管理者ロールは、Windows Autopatch のすべての側面を管理します。
- 自動パッチ グループ
-
自動パッチ レポート
- 品質と機能の更新の状態と傾向レポート
- 要求とメッセージをサポートする
Windows Autopatch Reader
Windows Autopatch Reader では、Microsoft Intuneで使用できる Windows Autopatch データを表示できますが、変更することはできません。
ポリシー ロールを更新する
Windows 品質更新プログラム、更新リング、Windows 機能更新プログラム、ドライバー更新プログラム、Microsoft 365 Apps、Microsoft Edge ポリシーを管理するには、ユーザーに完全なデバイス構成アクセス許可が必要です。 次の表は、更新管理ロールの完全な一覧です。
| Intuneロール | Update ポリシー |
|---|---|
| ポリシー & プロファイル マネージャー | 読み取り/書き込み |
| ヘルプデスク オペレーター | 読み取り |
| 読み取り専用演算子 | 読み取り |
| 自動パッチ管理者 | アクセス許可なし |
| 自動パッチ リーダー | アクセス許可なし |
Windows Autopatch を低い特権ロールとして正常に管理するには、ユーザーに Autopatch 管理アクセス許可とポリシーとプロファイル管理者アクセス許可の両方が必要です。
ロールのMicrosoft Entra
次のMicrosoft Entraロールは、Microsoft Intune ポータルから Windows Autopatch 機能にアクセスできます。
| Microsoft Entraロール | すべての Windows Autopatch データ | Windows Autopatch > テナント管理 |
|---|---|---|
| グローバル管理者 | 読み取り/書き込み | 読み取り/書き込み |
| Intune サービス管理者 | 読み取り/書き込み | 読み取り/書き込み |
| グローバル リーダー | 読み取り | 読み取り |
| サービス サポート管理者 | アクセス許可なし | 読み取り テナント管理/Windows Autopatch/All |
| セキュリティ 管理 | アクセス許可なし | 読み取り テナント管理/Windows Autopatch/All |
| セキュリティ 閲覧者 | アクセス許可なし | 読み取り テナント管理/Windows Autopatch/All |
| 課金管理者 | アクセス許可なし | 読み取り テナント管理/Windows Autopatch/All |
| ヘルプデスク管理者 | アクセス許可なし | 読み取り テナント管理/Windows Autopatch/All |
カスタム ロール
特定のジョブ ロールに必要なアクセス許可を含む 2 つのカスタム ロールを作成できます。
すべての更新管理を実現するには、Autopatch カスタム ロールに割り当てられているグループも、 ポリシー & プロファイル マネージャー ロール のメンバーであるか、同等のアクセス許可を持つカスタム ロールであることを確認します。
[テナント管理>Roles>カスタム ロールの作成>Windows Autopatch に移動して、カスタム ロールを作成します。
| 許可 | 説明 |
|---|---|
| ロールの割り当て/作成 | Autopatch リソースに対して実行される操作の自動パッチ ロールを作成します。 |
| ロールの割り当て/更新 | Autopatch のロールを更新します。ここで、自動パッチ リソースに対して編集操作が実行されます。 |
| ロールの割り当て/削除 | Autopatch の削除ロール。Autopatch リソースに対して削除操作が実行されます。 |
| ロール/読み取り | Autopatch ロールのアクセス許可、ロール定義、ロールの割り当てを表示します。 ビュー操作またはアクションは、Autopatch リソースに対して実行されます。 |
| 自動パッチ グループ/読み取り | Autopatch グループとそのプロパティを読み取る。 |
| 自動パッチ グループ/作成 | 自動パッチ グループを作成し、グループの割り当てを追加し、リリース設定を構成します。 |
| 自動パッチ グループ/編集 | 自動パッチ グループの編集、リリース設定の変更、グループの割り当ての管理。 |
| 自動パッチ グループ/削除 | Autopatch グループを削除します。 |
| レポート/読み取り | オートパッチ品質レポートと機能更新レポートの読み取りとエクスポート。 |
| Reports/DiscoverDevices | デバイス レポート アクションでデバイスを検出できるようにします。 |
| Reports/AssignRing | 自動パッチ グループへのデバイス リングの割り当てを許可します。 |
| Reports/ExcludeDevices | デバイス レポートで [デバイスの除外] アクションを実行します。 |
| Reports/RestoreExcludedDevices | デバイス レポートで復元アクションを実行します。 |
| サポートリクエスト/読み取り | 既存の Autopatch サポートの要求と応答を読み取ります。 |
| メッセージ/読み取り | 発行された Autopatch と Service Health ダッシュボードのメッセージを読み取ります。 |
スコープ
Windows Autopatch では、分散更新管理Intune使用するスコープ タグとスコープ 付きグループがサポートされています。 Microsoft Intuneを使用して、スコープ タグを作成および管理します。
- Windows Autopatch では、自動パッチ グループ、自動パッチ ロールの割り当て、更新ポリシー、レポートのIntuneスコープがサポートされています。
- 自動パッチメッセージ、サポート、管理連絡先はスコープをサポートしていません。
- スコープ付き管理者によって作成された自動パッチ グループは、ユーザーと同じスコープ タグに割り当てられます。
- 同じスコープ タグが割り当てられているスコープ管理者のみが、自動パッチ グループを編集および管理できます。
- Autopatch グループを作成し、スコープ タグを割り当てると、作成された更新ポリシーは同じスコープ タグを継承します。
- 自動パッチ グループに割り当てられたデバイスは、Autopatch グループ スコープ タグを継承しません。 Intuneを使用して、スコープ タグをデバイスに割り当てます。
Autopatch グループのアクセス許可
自動パッチ グループは、Microsoft Entra グループを作成し、ポリシーを更新し、そのワークフローの一部としてグループにポリシーを割り当てます。 ワークフローを正常に完了するには、両方のアクセス許可が 必要です。 自動パッチ グループを作成するオプションは、ユーザーが両方のアクセス許可を有効にしている場合にのみ使用できます。
- デバイス構成、 すべての アクセス許可
- Windows Autopatch グループ、 すべての アクセス許可
スコープ付きタグが割り当てられている Windows Autopatch グループは、それらの正確なスコープ タグを持つユーザーにのみ表示されます。 これにより、IT 管理者は Autopatch グループを使用してリングベースのロールアウトを管理でき、スコープの不一致の影響を受けないようにします。
注
Autopatch グループ ワークフローでは、デプロイ リングが作成され、更新ポリシーが割り当てられます。 Autopatch ロールにスコープ内のすべてのデバイスが含まれている場合、ポリシー管理ロールにはスコープ内 のすべてのデバイスとすべてのユーザー が含まれている必要があります。
Microsoft Entraアクセス許可がないと、ログインユーザーがグループを作成できなくなる可能性があります。 ユーザーには、グループを作成するための十分なアクセス許可が必要です。 詳細については、「 セルフサービス グループ管理を設定する方法 」または「グループの 作成」のアクセス許可を参照してください。
ユーザーにスコープ付きグループが割り当てられている場合、展開リングへの配布のスコープ付きグループのみを割り当てることができます。
スコープ付き管理者と自動パッチ グループ
スコープ付き管理者Intune、特定のスコープ タグとスコープ 付きグループが割り当てられている管理者ユーザーのみが、スコープ付きグループにのみポリシーを割り当てることができます。
注
[すべてのデバイス] と [すべてのユーザー] スコープを持つ管理者または更新管理者Intune、保留中の割り当てワークフローは表示されません。これは、特定のスコープ グループを介して割り当てられたスコープを持つロールにのみ影響します。
スコープ付き管理者と自動パッチ グループ ワークフロー
自動パッチ グループ作成ワークフローの一環として、Windows Autopatch は、選択した展開設定のMicrosoft Entra グループと更新ポリシーを作成します。 新しく作成された展開リングに更新ポリシーを割り当てるには、 デバイス構成のアクセス許可を含むロールに、スコープ付きグループとして Autopatch グループを含める必要があります。
注
スコープ付き管理で自動パッチ グループを使用するには、Intune管理者またはロール管理者が、新しく作成した Windows Autopatch グループをスコープグループとして割り当てる必要があります。
Autopatch グループが [保留中の割り当て ] 状態でスコープ付きグループとして追加されると、スコープ付き管理者は、Autopatch グループが アクティブになる更新ポリシーを割り当てることができます。
次の表では、ワークフローの概要について説明します。
| ステップ | 説明 | 誰が |
|---|---|---|
| 手順 1: 自動パッチ グループを作成する | Autopatch グループを作成します。 自動パッチ グループを 作成 または編集すると、自動パッチ グループによってデバイスが Windows Autopatch サービスに登録されます。 Autopatch グループ、デプロイ リング、および更新ポリシーが作成されます。 [Windows 更新プログラム] で更新ポリシーを表示できます。 |
スコープ付き管理者 |
| 手順 2: Intune管理者またはロール管理者に問い合わせて、Autopatch 親グループをロールのスコープ付きグループとして割り当てる | 次の情報を含めます。
|
スコープ付き管理者 |
| 手順 3: デバイス構成アクセス許可を持つロールのスコープ付きグループとして Autopatch 親グループを割り当てる | スコープ付きグループの割り当てを使用して、Autopatch 親を スコープ付きグループとして追加します。 | Intune管理者またはIntune ロール管理者 |
| 手順 4: Autopatch グループを使用する準備が整えるようにポリシーの割り当てを完了する | [Autopatch group]\(自動パッチ グループ\) が [保留中の 割り当て ] 状態のままで、[スコープ付きグループの割り当て] ステップがまだ完了していない場合は、[グループの割り当ての完了] を選択します。 ポリシーの割り当てが成功すると、自動パッチ グループが [アクティブ] に設定され、使用できる状態になります。 スコープ付きグループの割り当てがすぐには使用できない場合があります。 有効になるまでに最大 10 分かかる場合があります。 |
スコープ付き管理者 |
Autopatch グループにスコープ タグを割り当てる
注
スコープ タグを既存の Autopatch グループに割り当てる場合、スコープ管理者は、自動パッチ グループを管理するための デバイス構成アクセス許可 を持つスコープ グループとしてロールに含める必要があります。
Windows Autopatch は、オートパッチ グループと展開リングを入れ子にする親グループを作成します。このグループは、スコープ付きグループとして追加できます。 親グループ名は、Autopatch グループのプロパティにあります。
- Microsoft Intune管理センターで、[テナント管理>Autopatch groups>グループを選択します。 Autopatch グループのすべてのリングとポリシーのスコープは同じです。
- [グループをリングに追加] オプションで、オートパッチ グループに割り当てるMicrosoft Entra グループを選択します。 スコープ オブジェクトを持つグループのみを選択できます。
-
[プロパティ>Scope (Tags)>Edit>Select scope tags]\(スコープ タグの選択\) に移動し>プロファイルに追加するタグを選択します。
オブジェクトには、最大 100 個のスコープ タグを割り当てることができます。
- [スコープ グループ] セクションは、ロールベースのアクセス制御の前に作成された Autopatch グループをサービスが検出すると表示されます。 これは、スコープ付きグループとして追加できるMicrosoft Entra グループが作成されることを示します。 スコープ管理者は、スコープに含まれている場合、この自動パッチ グループを管理できます。
- スコープ付きグループを割り当てるには、「 スコープ付き管理者と Autopatch グループ ワークフロー 」セクションの手順に従います。
- [ 確認と保存] を選択します。
既知の問題
Windows 365 Enterpriseでは、IT 管理者は、Windows 365 プロビジョニング ポリシーの作成の一環として、Windows Autopatch にデバイスを登録するオプションを提供します。 このアクションを完了するには、Intune サービス管理者である必要があります。
一般的なトラブルシューティング
| シナリオ | メッセージ | 原因 | 解決策 |
|---|---|---|---|
| Autopatch グループを作成、編集、または削除しようとすると、エラー メッセージが表示されます。 | この自動パッチ グループを変更するための十分なアクセス許可がありません。 変更できるのは、割り当てられたスコープに一致する Autopatch グループのみです。 この自動パッチ グループには、ロールの割り当てと一致しない追加のスコープ タグが割り当てられています。 または Autopatch グループの申請に失敗し、ログインしたユーザーにスコープ タグが割り当てられています。 |
この問題は、Autopatch グループを編集し、サービスがスコープ タグの不一致を検出したときに発生します。 | Autopatch グループとポリシー割り当てロールに割り当てられているスコープ タグを確認します。 ポリシー割り当てロールには、より多くのスコープ タグがある場合がありますが、Autopatch グループに割り当てられている すべての スコープ タグを含める必要があります。 |
| デバイスを選択するとエラー メッセージが表示され、自動パッチ グループ メンバーシップ レポートで [リング デバイスの割り当て] アクションが表示されます。 | 十分なアクセス許可がない、またはデバイスを割り当てるために必要なスコープがありません。 | この問題は、スコープ タグが一致しないため、Autopatch が Autopatch グループの一覧に設定できない場合に発生します。 | Autopatch グループとロールのスコープ タグを確認します。 少なくとも 1 つの スコープ タグを共有していることを確認します。 |
| デバイスを選択するとエラー メッセージが表示され、自動パッチ グループ メンバーシップ レポートで [リング デバイスの割り当て] アクションが表示されます。 | このアクションを完了するための十分な自動パッチ グループのアクセス許可がありません。 自動パッチ グループの読み取りアクセス許可の最小値が必要です。 | 自動パッチデプロイ リング間でデバイスを移動するには、Autopatch グループを読み取るアクセス許可が必要です。 | ロールに Autopatch Group/Read アクセス許可が含まれていることを確認します。 [テナント管理] > [ロール] > [マイ アクセス許可] に移動します。 |
| 自動パッチ グループ メンバーシップ レポートでデバイスを選択すると、エラー メッセージが表示されます。 | アクセス拒否 | デバイスのプロパティを表示するためのIntuneアクセス許可がありません。 | ロールに マネージド デバイス/読み取りアクセス許可が含まれていることを確認します。 [テナント管理] > [ロール] > [マイ アクセス許可] に移動します。 |
| [ リリース]、[ 更新リング]、[ 監視 ] タブは、委任された Windows Autopatch 管理者としてログインした場合にのみ表示されます。 | Windows Updateを表示するために必要なすべてのアクセス許可がありません。 | ロールに 組織/読み取りアクセス許可が含まれていることを確認します。 [テナント管理] > [ロール] > [マイ アクセス許可] に移動します。 | |
| スコープ タグが新しく割り当てられた既存の Autopatch グループを編集しようとすると、エラー メッセージが表示されます。 ポリシー割り当てロールに親スコープ グループが正常に追加されました。 | この自動パッチ グループを変更するための十分なアクセス許可がありません。 変更できるのは、割り当てられたスコープに一致する Autopatch グループのみです。 この自動パッチ グループには、ロールの割り当てと一致しない追加のスコープ タグが割り当てられています。 | この問題は、ログインしているユーザー "Assigned Entra Group" が Autopatch 管理者ロールのスコープ付きグループに含まれていないことをサービスが検出したときに発生します。 これは、既存の Autopatch グループで発生します。 | スコープ付きグループとして割り当てられた Entra グループを Autopatch 管理者ロールに追加します。 |