グループを追加してユーザーとデバイスを整理する

Intune では、デバイスとユーザーの管理に Azure Active Directory (Azure AD) のグループが使用されます。 Intune 管理者は、組織のニーズに合ったグループを設定できます。 地理的な場所、部門、ハードウェアの特性ごとにグループを作成して、ユーザーまたはデバイスを整理します。 グループを使用して、大規模なタスクを管理します。 たとえば、多数のユーザーにポリシーを設定したり、デバイス セットにアプリを展開したりできます。

注意

Microsoft 365 管理センターから作成された既定のグループは、セキュリティが有効になっていません。 Microsoft 365 管理センターAzure AD 管理センター、または Microsoft エンドポイント マネージャー管理センターで、セキュリティが有効な Microsoft 365 グループを明示的に作成する必要があります。

次の種類のグループを追加できます。

  • 割り当てられたグループ: ユーザーまたはデバイスを静的なグループに手動で追加します。

  • 動的なグループ (Azure AD Premium が必要) - ご自分で作成した式に基づいてユーザー グループまたはデバイス グループにユーザーまたはデバイスを自動的に追加します。

    たとえば、マネージャーのタイトルを持つユーザーが追加されると、そのユーザーは [すべてのマネージャー] というユーザー グループに自動的に追加されます。 また、デバイスの OS の種類が iOS/iPadOS デバイスである場合、そのデバイスは "すべての iOS/iPadOS デバイス" というデバイス グループに自動的に追加されます。

新しいグループを追加する

新しいグループを作成するには、次の手順に従います。

  1. Microsoft エンドポイント マネージャー管理センター

  2. [グループ] > [新しいグループ] を選択します。

    [新しいグループ] が選択された Azure portal のスクリーンショット

  3. [グループの種類] で、次のいずれかのオプションを選択します。

    • セキュリティ: セキュリティ グループは、リソースにアクセスできるユーザーを定義し、Intune のグループに推奨されます。 たとえば、"シャーロットの全従業員"や"リモート ワーカー"などのユーザーのグループを作成できます。 または、デバイスのグループを作成します。たとえば、"すべての iOS/iPadOS デバイス" や "すべての Windows 10 Student デバイス" などです。

      ヒント

      作成したユーザーとグループは、Microsoft 365 管理センター、Azure Active Directory 管理センター、Azure portal 上の Microsoft Intune にも表示されます。 組織のテナントでは、これらのすべての領域でグループを作成および管理できます。

      プライマリ ロールがデバイス管理の場合は、Microsoft エンドポイント マネージャー 管理センターを使用することをお勧めします。

    • Microsoft 365: 共有メールボックス、予定表、ファイル、SharePoint サイトなどへのアクセス権をメンバーに付与することで、コラボレーションの機会を提供します。 このオプションを使用すると、組織外のユーザーにグループへのアクセス権を付与することもできます。 詳細については、「Microsoft 365 グループの詳細」を参照してください。

注: セキュリティが有効な Microsoft 365 グループのみがサポートされます

  1. 新しいグループの [グループ名] と [グループの説明] を入力します。 他のユーザーがそのグループの目的を理解できるように、具体的な情報にしてください。

    たとえば、グループ名として「すべての Windows 10 Student デバイス」と入力し、グループの説明として「Contoso 高校の第 9 学年から第 12 学年までの学生が使用するすべての Windows 10 デバイス」と入力します。

  2. [メンバーシップの種類] を入力します。 次のようなオプションがあります:

    • 割り当て済み: 管理者は、このグループにユーザーまたはデバイスを手動で割り当て、ユーザーまたはデバイスを手動で削除します。

    • 動的ユーザー: 管理者は、メンバーを自動的に追加および削除するためのメンバーシップ ルールを作成します。

    • 動的デバイス: 管理者は、デバイスを自動的に追加および削除するための動的グループ ルールを作成します。

      Intune のグループのプロパティのスクリーンショット

    これらのメンバーシップの種類の詳細と動的な式の作成については、以下を参照してください。

    注意

    この管理センターでは、ユーザーまたはグループを作成するときに、Azure Active Directory のブランド表示がない場合があります。 しかし、それは使用されています。

  3. [作成] を選択し、新しいグループを追加します。 一覧にグループが表示されます。

ヒント

作成できる他の動的ユーザー グループおよび動的デバイス グループとして、次のようなグループが考えられます。

  • Contoso 高校のすべての学生
  • すべての iOS 11 およびそれ以前のデバイス
  • マーケティング
  • 人事
  • シャーロットの全従業員
  • ワシントン州の全従業員

Intune のすべてのユーザーグループおよびすべてのデバイス グループ

管理センターでポリシーとアプリを割り当てる場合は、作成済みの [すべてのユーザー] または [すべてのデバイス] グループを割り当てることもできます。 [すべでのデバイス] グループは管理に登録されているすべてのデバイスを対象とし、[すべてのユーザー] グループは Intune のライセンスが割り当てられたユーザーを対象とする簡単な方法です。 これらのグループは、Azure Active Directory で作成したり、表示したりしないため、"仮想"と見なされます。 これらは (テナントで事前に作成されているため) 使用すると便利であり、Azure AD グループよりもより速いユニットのターゲット設定が可能です。

すべてのユーザーすべてのデバイス などの大規模なグループにポリシーとアプリケーションを割り当てる場合は、ポリシーまたはアプリの展開を適用するデバイスを動的に制御できるように、フィルター を使用することができます。

フィルターの使用に関する詳細については、「Microsoft エンドポイント マネージャーでアプリ、ポリシー、プロファイルを割り当てるときにフィルターを使用する」を参照してください

関連項目