Microsoft Intune でのロールベースのアクセス制御 (RBAC)Role-based access control (RBAC) with Microsoft Intune

ロールベースのアクセス制御 (RBAC) は、組織のリソースにアクセスできるユーザー、およびそれらのリソースを使ってできることを管理するのに役立ちます。Role-based access control (RBAC) helps you manage who has access to your organization's resources and what they can do with those resources. Intune ユーザーにロールを割り当てることで、ユーザーが表示および変更できることを制限できます。By assigning roles to your Intune users, you can limit what they can see and change. 各ロールには、組織内でそのロールを持つユーザーがアクセスおよび変更できることを決定する一連のアクセス許可があります。Each role has a set of permissions that determine what users with that role can access and change within your organization.

ロールを作成、編集、または割り当てるには、アカウントに Azure AD の次のいずれかのアクセス許可が必要です。To create, edit, or assign roles, your account must have one of the following permissions in Azure AD:

  • 全体管理者Global Administrator
  • Intune サービス管理者 (Intune 管理者 とも呼ばれます)Intune Service Administrator (also known as Intune Administrator)

Intune RBAC に関するアドバイスと提案については、例とチュートリアルを紹介する、この一連の 5 つのビデオをご覧ください:12345For advice and suggestions about Intune RBAC, you can check out this series of five videos that showcase examples and walkthroughs: 1, 2, 3, 4, 5.

ロールRoles

ロールは、そのロールに割り当てられたユーザーに付与される一連のアクセス許可を定義します。A role defines the set of permissions granted to users assigned to that role. 組み込みロールとカスタム ロールの両方を使用できます。You can use both the built-in and custom roles. 組み込みロールは、Intune の一般的なシナリオをカバーしています。Built-in roles cover some common Intune scenarios. 必要な一連のアクセス許可だけを使用して、独自のカスタム ロールを作成することができます。You can create your own custom roles with the exact set of permissions you need. いくつかの Azure Active Directory ロールには、Intune へのアクセス許可があります。Several Azure Active Directory roles have permissions to Intune. ロールを表示するには、 [Intune] > [ロール] > [すべてのロール] の順に選択し、ロールを選択します。To see a role, choose Intune > Roles > All roles > choose a role. 次のページが表示されます。You'll see the following pages:

  • プロパティ:ロールの名前、説明、種類、割り当て、およびスコープのタグ。Properties: The name, description, type, assignments, and scope tags for the role.
  • アクセス許可:ロールが持つアクセス許可の定義を切り替える長いセットを一覧表示します。Permissions: Lists a long set of toggles defining what permissions the role has.
  • 割り当て:どのユーザーがどのユーザー/デバイスへのアクセス権を持つかを定義する ロールの割り当てのリスト。Assignments: A list of role assignments defining which users have access to which users/devices. ロールは複数の割り当てを持つことができ、ユーザーは複数の割り当てを受けることができます。A role can have multiple assignments, and a user can be in multiple assignments.

組み込みのロールBuilt-in roles

追加の構成を行うことなく、組み込みロールをグループに割り当てることができます。You can assign built-in roles to groups without further configuration. 組み込みロールの名前、説明、種類、またはアクセス許可を削除または編集することはできません。You can't delete or edit the name, description, type, or permissions of a built-in role.

  • ヘルプ デスク オペレーター:ユーザーとデバイスに対するリモート タスクを実行し、ユーザーやデバイスにアプリケーションやポリシーを割り当てることができます。Help Desk Operator: Performs remote tasks on users and devices, and can assign applications or policies to users or devices.
  • ポリシーおよびプロファイル マネージャー:コンプライアンス ポリシー、構成プロファイル、Apple の登録、企業デバイスの識別子、セキュリティ ベースラインを管理します。Policy and Profile Manager: Manages compliance policy, configuration profiles, Apple enrollment, corporate device identifiers, and security baselines.
  • 読み取り専用オペレーター: ユーザー、デバイス、登録、構成、アプリケーション情報を表示します。Read Only Operator: Views user, device, enrollment, configuration, and application information. Intune に変更を加えることはできません。Can't make changes to Intune.
  • アプリケーション マネージャー: モバイルとマネージド アプリケーションを管理し、デバイス情報を読み取り、デバイス構成プロファイルを表示することができます。Application Manager: Manages mobile and managed applications, can read device information and can view device configuration profiles.
  • Intune ロール管理者:Intune のカスタム ロールを管理し、Intune の組み込みロールの割り当てを追加します。Intune Role Administrator: Manages custom Intune roles and adds assignments for built-in Intune roles. アクセス許可を管理者に割り当てられるのは、Intune ロールだけです。It's the only Intune role that can assign permissions to Administrators.
  • 学校管理者:Intune for Education で Windows 10 デバイスを管理します。School Administrator: Manages Windows 10 devices in Intune for Education.
  • エンドポイント セキュリティ マネージャー:セキュリティ ベースライン、デバイス コンプライアンス、条件付きアクセス、Microsoft Defender for Endpoint などのセキュリティとコンプライアンスの機能を管理します。Endpoint Security Manager: Manages security and compliance features, such as security baselines, device compliance, conditional access, and Microsoft Defender for Endpoint.

カスタム ロールCustom roles

カスタム アクセス許可を使用して独自のロールを作成できます。You can create your own roles with custom permissions. カスタム ロールの詳細については、カスタム ロールの作成に関するページをご覧ください。For more information about custom roles, see Create a custom role.

Intune のアクセス権を持つ Azure Active Directory ロールAzure Active Directory roles with Intune access

Azure Active Directory ロールAzure Active Directory role すべての Intune データAll Intune data Intune の監査データIntune audit data
グローバル管理者Global Administrator 読み取り/書き込みRead/write 読み取り/書き込みRead/write
Intune サービス管理者Intune Service Administrator 読み取り/書き込みRead/write 読み取り/書き込みRead/write
条件付きアクセス管理者Conditional Access Administrator なしNone なしNone
セキュリティ管理者Security Administrator 読み取り専用 (エンドポイント セキュリティ ノードの完全な管理アクセス許可)Read only (full administrative permissions for Endpoint Security node) 読み取り専用Read only
セキュリティ オペレーターSecurity Operator 読み取り専用Read only 読み取り専用Read only
セキュリティ閲覧者Security Reader 読み取り専用Read only 読み取り専用Read only
コンプライアンス管理者Compliance Administrator なしNone 読み取り専用Read only
コンプライアンス データ管理者Compliance Data Administrator なしNone 読み取り専用Read only
グローバル閲覧者Global Reader [読み取り専用]Read Only [読み取り専用]Read Only
レポート閲覧者Reports Reader [読み取り専用]Read Only なしNone

ヒント

Intune には 3 つの Azure AD 拡張機能も表示されます。ユーザーグループ条件付きアクセス です。これらは、Azure AD RBAC を使用して制御されされます。Intune also shows three Azure AD extensions: Users, Groups, and Conditional Access, which are controlled using Azure AD RBAC. また、ユーザーアカウント管理者 は AAD ユーザー/グループのアクティビティのみを実行します。Intune のすべてのアクティビティを実行する完全なアクセス許可はありません。Additionally, the User Account Administrator only performs AAD user/group activities and does not have full permissions to perform all activities in Intune. 詳細については、Azure AD での RBAC に関するページを参照してください。For more information, see RBAC with Azure AD.

ロールの割り当てRole assignments

ロールの割り当ては次を定義します。A role assignment defines:

  • そのロールに割り当てられるユーザーwhich users are assigned to the role
  • 使用できるリソースwhat resources they can see
  • 変更できるリソースwhat resources they can change.

組み込みロールとカスタム ロールの両方をユーザーに割り当てることができます。You can assign both custom and built-in roles to your users. Intune ロールを割り当てるには、そのユーザーに Intune ライセンスが必要です。To be assigned an Intune role, the user must have an Intune license. ロールの割り当てを表示するには、 [Intune] > [ロール] > [すべてのロール] の順に選択し、ロールを選択し、割り当てを選択します。To see a role assignment, choose Intune > Roles > All roles > choose a role > choose an assignment. 次のページが表示されます。You'll see the following pages:

  • プロパティ:割り当ての名前、説明、ロール、メンバー、スコープ、タグ。Properties: The name, description, role, members, scopes, and tags of the assignment.
  • メンバー:一覧表示されている Azure セキュリティ グループ内のすべてのユーザーには、スコープ (グループ) に一覧表示されているユーザー/デバイスを管理するアクセス許可があります。Members: All users in the listed Azure security groups have permission to manage the users/devices that are listed in Scope (Groups).
  • [スコープ (グループ)] :これらの Azure セキュリティ グループ内のすべてのユーザー/デバイスは、メンバー内のユーザーが管理できます。Scope (Groups): All users/devices in these Azure security groups can be managed by the users in Members.
  • [スコープ (タグ)] :メンバー内のユーザーは、同じスコープのタグを持つリソースを表示できます。Scope (Tags): Users in Members can see the resources that have the same scope tags.

複数のロールの割り当てMultiple role assignments

ユーザーに複数のロールの割り当て、アクセス許可、スコープのタグがある場合は、これらのロールの割り当てが、次のように別のオブジェクトに拡張されます。If a user has multiple role assignments, permissions, and scope tags, those role assignments extend to different objects as follows:

  • アクセス許可とスコープのタグの割り当ては、そのロールの割り当てスコープ (グループ) 内のオブジェクト (ポリシーやアプリなど) にのみ適用されます。Assign permissions and scope tags only apply to the objects (like policies or apps) in that role's assignment Scope (Groups). アクセス許可とスコープのタグの割り当ては、他の割り当てで具体的に付与されない限り、他のロールの割り当てのオブジェクトには適用されません。Assign permissions and scope tags don't apply to objects in other role assignments unless the other assignment specifically grants them.
  • その他のアクセス許可 (作成、読み取り、更新、削除など) とスコープのタグは、任意のユーザーの割り当てで、同じ種類のすべてのオブジェクト (すべてのポリシーやすべてのアプリなど) に適用されます。Other permissions (such as Create, Read, Update, Delete) and scope tags apply to all objects of the same type (like all policies or all apps) in any of the user's assignments.
  • 異なる種類のオブジェクト (ポリシーやアプリなど) に対するアクセス許可やスコープのタグが、相互に適用されることはありません。Permissions and scope tags for objects of different types (like policies or apps), don't apply to each other. たとえば、ポリシーの読み取りアクセス許可では、ユーザーの割り当てでアプリへの読み取りアクセス許可は提供されません。A Read permission for a policy, for example, doesn't provide a Read permission to apps in the user's assignments.

次のステップNext steps