「Microsoft Intune の役割ベースのアクセス制御 (RBAC)」
ロールベースのアクセス制御 (RBAC) は、組織のリソースにアクセスできるユーザー、およびそれらのリソースを使ってできることを管理するのに役立ちます。 Intune ユーザーにロールを割り当てることで、どれをユーザーが表示および変更できるようにするかを管理者が制限できます。 各ロールには、組織内でそのロールを持つユーザーがアクセスおよび変更できることを決定する一連のアクセス許可があります。
ロールを作成、編集、または割り当てるには、アカウントに Azure AD の次のいずれかのアクセス許可が必要です。
- グローバル管理者
- Intune サービス管理者 (Intune 管理者 とも呼ばれます)
Intune RBAC に関するアドバイスと提案については、例とチュートリアルを紹介する、この一連の 5 つのビデオをご覧ください: 1, 2, 3, 4, 5。
役割
ロールは、そのロールに割り当てられたユーザーに付与される一連のアクセス許可を定義します。 組み込みロールとカスタム ロールの両方を使用できます。 組み込みロールは、Intune の一般的なシナリオをカバーしています。 必要な一連のアクセス許可だけを使用して、独自のカスタム ロールを作成することができます。 いくつかの Azure Active Directory のロールには、Intune へのアクセス許可が含まれています。 ロールを表示するには、[エンドポイント マネージャー] > [テナント管理] > [ロール] > [すべてのロール] の順に選択し、ロールを選択します。 ロールは、次のページで管理できます。
- プロパティ: ロールの名前、説明、アクセス許可、およびスコープのタグ。
- 割り当て: どのユーザーがどのユーザー/デバイスへのアクセス権を持つかを定義する ロールの割り当てのリスト。 ロールは複数の割り当てを持つことができ、ユーザーは複数の割り当てを受けることができます。
注意
Intune を管理できるようにするには、Intune ライセンスが割り当てられている必要があります。 または、[ライセンスのない管理者へのアクセスを許可する] を [はい] に設定して、ライセンスのないユーザーが Intune を管理できるようにすることもできます。
組み込みの役割
追加の構成を行うことなく、組み込みロールをグループに割り当てることができます。 組み込みロールの名前、説明、種類、またはアクセス許可を削除または編集することはできません。
- アプリケーション マネージャー: モバイルとマネージド アプリケーションを管理し、デバイス情報を読み取り、デバイス構成プロファイルを表示することができます。
- エンドポイント セキュリティー マネージャー: セキュリティ ベースライン、デバイス コンプライアンス、条件付きアクセス、Microsoft Defender for Endpoint などのセキュリティとコンプライアンスの機能を管理します。
- 読み取り専用オペレーター: ユーザー、デバイス、登録、構成、アプリケーション情報を表示します。 Intune に変更を加えることはできません。
- 学校管理者: Intune for Education の Windows 10 デバイスを管理します。
- ポリシーとプロファイル マネージャー: コンプライアンス ポリシー、構成プロファイル、Apple の登録、企業デバイスの識別子、セキュリティ ベースラインを管理します。
- ヘルプ デスク オペレーター: ユーザーとデバイスに対するリモート タスクを実行し、ユーザーやデバイスにアプリケーションやポリシーを割り当てることができます。
- Intune ロール管理者: Intune のカスタム ロールを管理し、Intune の組み込みロールの割り当てを追加します。 アクセス許可を管理者に割り当てられるのは、Intune ロールだけです。
- クラウド PC 管理者: クラウド PC 管理者は、クラウド PC ブレード内にあるすべての Cloud PC 機能に対する読み取りおよび書き込みアクセス権を持ちます。
- クラウド PC リーダー: クラウド PC リーダーは、クラウド PC ブレード内にあるすべてのクラウド PC 機能に対する読み取りアクセス権を持ちます。
カスタムの役割
カスタム アクセス許可を使用して独自のロールを作成できます。 カスタム ロールの詳細については、カスタム ロールの作成に関するページをご覧ください。
Intune のアクセス権を持つ Azure Active Directory ロール
| Azure Active Directory ロール | すべての Intune データ | Intune の監査データ |
|---|---|---|
| グローバル管理者 | 読み取り/書き込み | 読み取り/書き込み |
| Intune サービス管理者 | 読み取り/書き込み | 読み取り/書き込み |
| 条件付きアクセス管理者 | なし | なし |
| セキュリティ管理者 | 読み取り専用 (エンドポイント セキュリティ ノードの完全な管理アクセス許可) | 読み取りのみ |
| セキュリティ オペレーター | 読み取りのみ | 読み取りのみ |
| セキュリティ閲覧者 | 読み取りのみ | 読み取りのみ |
| コンプライアンス管理者 | なし | 読み取りのみ |
| コンプライアンス データ管理者 | なし | 読み取りのみ |
| グローバル閲覧者 | 読み取り専用 | 読み取り専用 |
| レポート閲覧者 | 読み取り専用 | なし |
ヒント
また Intune では、Azure AD の 3 つの拡張機能 (ユーザー、グループ、Azure AD RBAC を使用して制御される 条件付きアクセス) が表示されます。 また、ユーザーアカウント管理者 は AAD ユーザー/グループのアクティビティのみを実行します。Intune のすべてのアクティビティを実行する完全なアクセス許可はありません。 詳細については、「Azure AD での RBAC」 を参照してください。
役割の割り当て
ロールの割り当ては次を定義します。
- そのロールに割り当てられるユーザー
- 使用できるリソース
- 変更できるリソース
組み込みロールとカスタム ロールの両方をユーザーに割り当てることができます。 Intune ロールを割り当てるには、そのユーザーに Intune ライセンスが必要です。 ロールの割り当てを表示するには、[Intune] > [テナント管理] > [ロール] > [すべてのロール] の順に選択し、ロールを選択し、[割り当て] を選択して割り当てを選択します。 [プロパティ] ページでは、以下の編集ができます。
- [基本]: 割り当ての名前と説明。
- メンバー: 一覧表示されている Azure セキュリティ グループ内のすべてのユーザーには、スコープ (グループ) に一覧表示されているユーザー/デバイスを管理するためのアクセス許可があります。
- スコープ (グループ): スコープ グループは、ユーザーまたはデバイスの Azure AD セキュリティ グループ、またはそのロール割り当ての管理者が操作の実行に制限されている両方の Azure AD セキュリティ グループです。 たとえば、ポリシーまたはアプリケーションをユーザーに展開したり、デバイスをリモートでロックしたりします。 これらの Azure AD セキュリティ グループのすべてのユーザーとデバイスは、メンバーのユーザーが管理できます。
- スコープ (タグ): メンバー内のユーザーは、同じスコープのタグを持つリソースを表示できます。
注意
スコープ タグは、管理者が定義し、ロールの割り当てに追加するフリーフォーム テキスト値です。 ロールに追加されたスコープ タグはロール自体の可視性を制御しますが、ロールの割り当てに追加されたスコープ タグは、Intune オブジェクト (ポリシーやアプリなど) またはデバイスの表示を、そのロール割り当てに属する管理者のみに制限します。ロールの割り当てには 1 つ以上の一致するスコープ タグが含まれているためです。
複数のロールの割り当て
ユーザーに複数のロールの割り当て、アクセス許可、スコープのタグがある場合は、これらのロールの割り当てが、次のように別のオブジェクトに拡張されます。
- アクセス許可とスコープのタグの割り当ては、そのロールの割り当てスコープ (グループ) 内のオブジェクト (ポリシーやアプリなど) にのみ適用されます。 アクセス許可とスコープのタグの割り当ては、他の割り当てで具体的に付与されない限り、他のロールの割り当てのオブジェクトには適用されません。
- その他のアクセス許可 (作成、読み取り、更新、削除など) とスコープのタグは、任意のユーザーの割り当てで、同じ種類のすべてのオブジェクト (すべてのポリシーやすべてのアプリなど) に適用されます。
- 異なる種類のオブジェクト (ポリシーやアプリなど) に対するアクセス許可やスコープのタグが、相互に適用されることはありません。 たとえば、ポリシーの読み取りアクセス許可では、ユーザーの割り当てでアプリへの読み取りアクセス許可は提供されません。