分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用するUse role-based access control (RBAC) and scope tags for distributed IT

ロールベースのアクセス制御とスコープのタグを使用し、適切な管理者が適切なアクセス権で、適切な Intune オブジェクトを表示できるようにします。You can use role-based access control and scope tags to make sure that the right admins have the right access and visibility to the right Intune objects. ロールにより、管理者が持つアクセス権と、対象となるオブジェクトが決まります。Roles determine what access admins have to which objects. スコープのタグにより、管理者が表示できるオブジェクトが決まります。Scope tags determine which objects admins can see.

たとえば、シアトルの支社にいる管理者が、ポリシーとプロファイル マネージャーのロールを持っているとします。For example, let's say a Seattle regional office admin has the Policy and Profile Manager role. この管理者には、シアトルのデバイスにのみ適用されるプロファイルとポリシーだけを表示し、管理を行ってもらいます。You want this admin to see and manage only the profiles and policies that only apply to Seattle devices. このアクセスを設定するには、次の操作を行います。To set up this access, you would:

  1. シアトルという名前でスコープのタグを作成します。Create a scope tag called Seattle.
  2. ポリシーとプロファイル マネージャーのロールにロールの割り当てを次の設定で作成します。Create a role assignment for the Policy and Profile Manager role with:
    • メンバー (グループ) = シアトル IT 管理者という名称のセキュリティ グループ。Members (Groups) = A security group named Seattle IT admins. このグループ内のすべての管理者には、スコープ (グループ) 内のユーザー/デバイスに対するポリシーとプロファイルを管理する許可が与えられます。All admins in this group will have permission to manage policies and profiles for users/devices in the Scope (Groups).
    • スコープ (グループ) = シアトル ユーザーという名称のセキュリティ グループ。Scope (Groups) = A security group named Seattle users. このグループに属するすべてのユーザー/デバイスには、メンバー (グループ) に属する管理者が管理するプロファイルとポリシーを設定できます。All users/devices in this group can have their profiles and policies managed by the admins in the Members (Groups).
    • スコープ (タグ) = シアトル。Scope (Tags) = Seattle. メンバー (グループ) 内の管理者は、シアトルというスコープのタグも持つ Intune オブジェクトを表示できます。Admins in the Member (Groups) can see Intune objects that also have the Seattle scope tag.
  3. メンバー (グループ) 内の管理者がアクセスできるようにしたいポリシーとプロファイルに、シアトルというスコープのタグを追加します。Add the Seattle scope tag to policies and profiles that you want admins in Members (Groups) to have access to.
  4. メンバー (グループ) 内の管理者が表示できるデバイスにシアトルというスコープのタグを追加します。Add the Seattle scope tag to devices that you want visible to admins in the Members (Groups).

既定のスコープ タグDefault scope tag

既定のスコープ タグは、スコープ タグをサポートするすべてのタグなしオブジェクトに自動的に追加されます。The default scope tag is automatically added to all untagged objects that support scope tags.

既定のスコープ タグの機能は、Microsoft Endpoint Configuration Manager のセキュリティ スコープ機能に似ています。The default scope tag feature is similar to the security scopes feature in Microsoft Endpoint Configuration Manager.

スコープのタグを作成するにはTo create a scope tag

  1. Microsoft Endpoint Manager admin center で、 [テナント管理] > [ロール] > [スコープ (タグ)] > [作成] を選択します。In the Microsoft Endpoint Manager admin center, choose Tenant administration > Roles > Scope (Tags) > Create.
  2. [基本] ページ上で、 [名前] を指定し、必要に応じて [説明] に入力します。On the Basics page, provide a Name and optional Description. [次へ] を選択します。Choose Next.
  3. [割り当て] ページで、このスコープ タグを割り当てるデバイスを含むグループを選択します。On the Assignments page, choose the groups containing the devices that you want to assign this scope tag. [次へ] を選択します。Choose Next.
  4. [確認と作成] ページで、 [作成] を選択します。On the Review + create page, choose Create.

スコープのタグをロールに割り当てるにはTo assign a scope tag to a role

  1. Microsoft Endpoint Manager admin center で、 [テナント管理] > [ロール] > [すべてのロール] を選択し、ロールを選択して、 [割り当て] > [割り当て] を選択します。In the Microsoft Endpoint Manager admin center, choose Tenant administration > Roles > All roles > choose a role > Assignments > Assign.

  2. [基本] ページ上で、 [割り当て名][説明] に入力します。On the Basics page, provide an Assignment name and Description. [次へ] を選択します。Choose Next.

  3. [管理者グループ] ページで、 [含めるグループを選択] を選択し、この割り当てに含めるグループを選択します。On the Admin Groups page, choose Select groups to include, and select the groups that you want as part of this assignment. これらのグループのユーザーには、スコープ (グループ) 内のユーザーまたはデバイスを管理するためのアクセス許可が付与されます。Users in these group will have permissions to manage users/devices in the Scope (Groups). [次へ] を選択します。Choose Next.

    メンバー グループ選択のスクリーンショット

  4. [スコープ グループ] ページで、 [割当先] について次のいずれかのオプションを選択します。On the Scope Groups page, select one of the following options for Assign to

    • [選択したグループ] : 管理するユーザーまたはデバイスを含むグループを選択します。Selected groups: select the groups containing the users/deivces that you want to manage. 選択したグループ内のすべてのユーザーおよびデバイスは、管理者グループ内のユーザーによって管理されます。All users/devices in the selected groups will be managed by the users in the Admin Groups.
    • [すべてのユーザー] : すべてのユーザーを、管理者グループ内のユーザーが管理できます。All users: All users can be managed by the users in the Admin Groups.
    • [すべてのデバイス] : すべてのデバイスを、管理者グループ内のユーザーが管理できます。All devices: All devices can be managed by the users in the Admin Groups.
    • [すべてのユーザーおよびすべてのデバイス] : すべてのユーザーおよびデバイスを、管理者グループ内のユーザーが管理できます。All users and all devices: All users and devices can be managed by the users in the Admin Groups.
  5. [次へ] を選択します。Choose Next

  6. [スコープ タグ] ページで、このロールに追加するタグを選択します。On the Scope tags page, select the tags that you want to add to this role. 管理者グループ内のユーザーは、同じスコープ タグを持つ Intune オブジェクトにアクセスできます。Users in the Admin Groups will have access to Intune objects that also have the same scope tag. 1 つのロールに最大で 100 個のスコープ タグを割り当てることができます。You can assign a maximum of 100 scope tags to a role.

  7. [次へ] を選択して、 [確認と作成] ページに移動し、 [作成] を選択します。Choose Next to go to the Review + create page and then choose Create.

スコープ タグを他のオブジェクトに割り当てるAssign scope tags to other objects

スコープ タグをサポートするオブジェクトの場合、通常、スコープ タグは、 [プロパティ] の下に表示されます。For objects that support scope tags, scope tags usually appear under Properties. たとえば、構成プロファイルにスコープ タグを割り当てるには、次の手順を行います。For example, to assign a scope tag to a configuration profile, follow these steps:

  1. Microsoft Endpoint Manager admin center で、 [デバイス] > [構成プロファイル] を選択して、プロファイルを選択します。In the Microsoft Endpoint Manager admin center, choose Devices > Configuration profiles > choose a profile.

  2. [プロパティ] > [スコープ (タグ)] > [編集] > [スコープ タグを選択] の順に選択して、プロファイルに追加するタグを選択します。Choose Properties > Scope (Tags) > Edit > Select scope tags > choose the tags that you want to add to the profile. 1 つのオブジェクトに最大で 100 個のスコープ タグを割り当てることができます。You can assign a maximum of 100 scope tags to an object.

  3. [選択] > [Review + save](確認と保存) の順に選択します。Choose Select > Review + save.

スコープのタグの詳細Scope tag details

スコープのタグを使用するとき、次のことを忘れないでください。When working with scope tags, remember these details:

  • テナントが複数のバージョンのオブジェクト (ロールの割り当て、アプリなど) を持つことができる場合は、Intune オブジェクトの種類にスコープ タグを割り当てることができます。You can assign scope tags to an Intune object type if the tenant can have multiple versions of that object (such as role assignments or apps). 次の Intune オブジェクトはこの規則の例外であり、現在スコープ タグをサポートしていません。The following Intune objects are exceptions to this rule and don't currently support scope tags:
    • Windows ESP プロファイルWindows ESP profiles
    • Corp デバイス識別子Corp Device Identifiers
    • Autopilot デバイスAutopilot Devices
    • デバイスのポリシー準拠の場所Device compliance locations
    • Jamf デバイスJamf devices
  • VPP トークンに関連付けられている VPP アプリと電子ブックは、関連付けられている VPP トークンに割り当てられたスコープ タグを継承します。VPP apps and ebooks associated with the VPP token inherit the scope tags assigned to the associated VPP token.
  • 管理者が Intune でオブジェクトを作成すると、その管理者に割り当てられているすべてのスコープのタグが新しいオブジェクトに自動的に割り当てられます。When an admin creates an object in Intune, all scope tags assigned to that admin will be automatically assigned to the new object.
  • Intune RBAC は Azure Active Directory ロールに適用されません。Intune RBAC doesn't apply to Azure Active Directory roles. そのため、Intune Service Admins ロールと Global Admins ロールには、与えられているスコープのタグに関係なく、Intune への完全な管理者アクセス権が与えられます。So, the Intune Service Admins and Global Admins roles have full admin access to Intune no matter what scope tags they have.
  • ロールの割り当てにスコープ タグがない場合、IT 管理者は IT 管理者のアクセス許可に基づいてすべてのオブジェクトを表示できます。If a role assignment has no scope tag, that IT admin can see all objects based on the IT admins permissions. スコープ タグが指定されていない管理者は、基本的にすべてのスコープ タグを使用できます。Admins that have no scope tags essentially have all scope tags.
  • 自分のロールの割り当て内で与えられるスコープのタグのみを割り当てることができます。You can only assign a scope tag that you have in your role assignments.
  • 自分のロールの割り当てのスコープ (グループ) に記載されているグループのみをターゲットにできます。You can only target groups that are listed in the Scope (Groups) of your role assignment.
  • スコープのタグを自分のロールに割り当てている場合、Intune オブジェクトで一部のスコープのタグを削除できません。If you have a scope tag assigned to your role, you can't delete all scope tags on an Intune object. 少なくとも 1 つのスコープのタグが必要です。At least one scope tag is required.

次のステップNext steps

複数のロールの割り当てがある場合に、スコープ タグがどのように動作するかについて説明します。Learn how scope tags behave when there are multiple role assignments. ご自分のロールプロファイルを管理します。Manage your roles and profiles.