ユーザーとデバイスを整理するためのグループを追加する

Intune では、Microsoft Entra グループを使用してデバイスとユーザーを管理します。 Intune 管理者は、組織のニーズに合ったグループを設定できます。 地理的な場所、部門、ハードウェアの特性ごとにグループを作成して、ユーザーまたはデバイスを整理します。 グループを使用して、大規模なタスクを管理します。 たとえば、多数のユーザーにポリシーを設定したり、デバイス セットにアプリを展開したりできます。

注:

Microsoft 365 管理センターから作成された既定のグループは、セキュリティが有効になっていません。 Microsoft 365 管理センター、Microsoft Entra 管理センター、または Microsoft Intune 管理センターで、セキュリティが有効な Microsoft365 グループを明示的に作成する必要があります。

次の種類のグループを追加できます。

  • 割り当てられたグループ: ユーザーまたはデバイスを静的なグループに手動で追加します。

  • 動的グループ (Microsoft Entra ID P1 または P2 が必要) - 作成した式に基づいて、ユーザーまたはデバイスをユーザー グループまたはデバイス グループに自動的に追加します。

    たとえば、マネージャーのタイトルを持つユーザーが追加されると、そのユーザーは [すべてのマネージャー] というユーザー グループに自動的に追加されます。 また、デバイスの OS の種類が iOS/iPadOS デバイスである場合、そのデバイスは "すべての iOS/iPadOS デバイス" というデバイス グループに自動的に追加されます。

新しいグループを追加する

新しいグループを作成するには、次の手順に従います。

  1. Microsoft Intune 管理センターにサインインします。

  2. [グループ] > [新しいグループ] を選択します。

    [新しいグループ] が選択された Azure portal を示すスクリーンショット。

  3. [グループの種類] で、次のいずれかのオプションを選択します。

    • セキュリティ: セキュリティ グループは、リソースにアクセスできるユーザーを定義し、Intune のグループに推奨されます。 たとえば、"シャーロットの全従業員"や"リモート ワーカー"などのユーザーのグループを作成できます。 または、デバイスのグループを作成します。たとえば、"すべての iOS/iPadOS デバイス" や "すべての Windows 10 Student デバイス" などです。

      ヒント

      作成されたユーザーとグループは、Azure portal の Microsoft 365 管理センター、Microsoft Entra 管理センター、 Microsoft Intune でも確認できます。 組織のテナントでは、これらのすべての領域でグループを作成および管理できます。

      主な役割がデバイス管理の場合は、 Microsoft Intune 管理センターを使用することをお勧めします。

    • Microsoft 365: 共有メールボックス、予定表、ファイル、SharePoint サイトなどへのアクセス権をメンバーに付与することで、コラボレーションの機会を提供します。 このオプションを使用すると、組織外のユーザーにグループへのアクセス権を付与することもできます。 詳細については、「Microsoft 365 グループの詳細」を参照してください。

      注:

      セキュリティが有効な Microsoft 365 グループのみがサポートされています。

  4. 新しいグループの [グループ名] と [グループの説明] を入力します。 他のユーザーがそのグループの目的を理解できるように、具体的な情報にしてください。

    たとえば、グループ名として「すべての Windows 10 Student デバイス」と入力し、グループの説明として「Contoso 高校の第 9 学年から第 12 学年までの学生が使用するすべての Windows 10 デバイス」と入力します。

  5. [メンバーシップの種類] を入力します。 次のようなオプションがあります:

    • 割り当て済み: 管理者は、このグループにユーザーまたはデバイスを手動で割り当て、ユーザーまたはデバイスを手動で削除します。

    • 動的ユーザー: 管理者は、メンバーを自動的に追加および削除するためのメンバーシップ ルールを作成します。

    • 動的デバイス: 管理者は、デバイスを自動的に追加および削除するための動的グループ ルールを作成します。

      Intune グループのプロパティを示すスクリーンショット。

    これらのメンバーシップの種類の詳細と動的な式の作成については、以下を参照してください。

    注:

    この管理センターでは、ユーザーまたはグループを作成するときに、 Microsoft Entra ID のブランド化が表示されない場合があります。 しかし、それは使用されています。

  6. [作成] を選択し、新しいグループを追加します。 一覧にグループが表示されます。

作成できる他の動的ユーザー グループおよび動的デバイス グループとして、次のようなグループが考えられます。

  • Contoso 高校のすべての学生
  • すべての iOS 11 およびそれ以前のデバイス
  • マーケティング
  • 人事
  • シャーロットの全従業員

デバイス グループ

ユーザー ID ではなくデバイス ID に基づいて管理タスクを実行する必要がある場合は、デバイス グループを作成できます。 これらは、専用ユーザーがいないデバイス (キオスク デバイス、交代勤務従業員が共有するデバイス、または特定の場所に割り当てられたデバイスなど) の管理に役立ちます。

例:

  • すべての Windows 10 Surface デバイス
  • CLT 配布センター-Zebra デバイス

また、デバイス カテゴリを使用して、登録時にデバイスをグループに自動的に参加させることができます。

Intune のすべてのユーザーグループおよびすべてのデバイス グループ

Intune 管理センターでポリシーとアプリを割り当てる場合は、Intune によって自動的に作成される [すべてのユーザー ] グループまたは [すべてのデバイス グループ] に割り当てることを選択できます。

[すべてのデバイス] グループは、管理に登録されているすべてのデバイスを対象としています。 [すべてのユーザー] グループは、Intune ライセンスが割り当てられているすべてのユーザーをターゲットにする簡単な方法です。 これらのグループは、作成したり、Microsoft Entra ID で表示したりしないため、"仮想" と見なされます。 これらは既にテナントに存在し、Microsoft Entra グループよりも高速なターゲットユニットであるため、使用に便利です。

ヒント

組織の基本的なコンプライアンス要件を作成するには、すべてのグループとデバイスに適用される既定のポリシーを作成します。 次に、ユーザーとデバイスの最も広範なカテゴリに対して、より具体的なポリシーを作成します。 たとえば、デバイス オペレーティング システムごとに電子メール ポリシーを作成できます。

[すべてのユーザー] や [すべてのデバイス] など、大規模なグループにポリシーとアプリケーションを割り当てる場合は、[フィルター] を使用して、ポリシーまたはアプリの展開を適用するデバイスを動的に制御できます。

フィルターの使用に関する詳細なガイダンスについては、次のページを参照してください。

関連項目