ユーザーとデバイスを整理するためのグループを追加する
Intune では、Microsoft Entra グループを使用してデバイスとユーザーを管理します。 Intune 管理者は、組織のニーズに合ったグループを設定できます。 地理的な場所、部門、ハードウェアの特性ごとにグループを作成して、ユーザーまたはデバイスを整理します。 グループを使用して、大規模なタスクを管理します。 たとえば、多数のユーザーにポリシーを設定したり、デバイス セットにアプリを展開したりできます。
注:
Microsoft 365 管理センターから作成された既定のグループは、セキュリティが有効になっていません。 Microsoft 365 管理センター、Microsoft Entra 管理センター、または Microsoft Intune 管理センターで、セキュリティが有効な Microsoft365 グループを明示的に作成する必要があります。
次の種類のグループを追加できます。
割り当てられたグループ: ユーザーまたはデバイスを静的なグループに手動で追加します。
動的グループ (Microsoft Entra ID P1 または P2 が必要) - 作成した式に基づいて、ユーザーまたはデバイスをユーザー グループまたはデバイス グループに自動的に追加します。
たとえば、マネージャーのタイトルを持つユーザーが追加されると、そのユーザーは [すべてのマネージャー] というユーザー グループに自動的に追加されます。 また、デバイスの OS の種類が iOS/iPadOS デバイスである場合、そのデバイスは "すべての iOS/iPadOS デバイス" というデバイス グループに自動的に追加されます。
新しいグループを追加する
新しいグループを作成するには、次の手順に従います。
Microsoft Intune 管理センターにサインインします。
[グループ] > [新しいグループ] を選択します。
![[新しいグループ] が選択された Azure portal を示すスクリーンショット。](media/groups-add/groups-add-new.png)
[グループの種類] で、次のいずれかのオプションを選択します。
セキュリティ: セキュリティ グループは、リソースにアクセスできるユーザーを定義し、Intune のグループに推奨されます。 たとえば、"シャーロットの全従業員"や"リモート ワーカー"などのユーザーのグループを作成できます。 または、デバイスのグループを作成します。たとえば、"すべての iOS/iPadOS デバイス" や "すべての Windows 10 Student デバイス" などです。
ヒント
作成されたユーザーとグループは、Azure portal の Microsoft 365 管理センター、Microsoft Entra 管理センター、 Microsoft Intune でも確認できます。 組織のテナントでは、これらのすべての領域でグループを作成および管理できます。
主な役割がデバイス管理の場合は、 Microsoft Intune 管理センターを使用することをお勧めします。
Microsoft 365: 共有メールボックス、予定表、ファイル、SharePoint サイトなどへのアクセス権をメンバーに付与することで、コラボレーションの機会を提供します。 このオプションを使用すると、組織外のユーザーにグループへのアクセス権を付与することもできます。 詳細については、「Microsoft 365 グループの詳細」を参照してください。
注:
セキュリティが有効な Microsoft 365 グループのみがサポートされています。
新しいグループの [グループ名] と [グループの説明] を入力します。 他のユーザーがそのグループの目的を理解できるように、具体的な情報にしてください。
たとえば、グループ名として「すべての Windows 10 Student デバイス」と入力し、グループの説明として「Contoso 高校の第 9 学年から第 12 学年までの学生が使用するすべての Windows 10 デバイス」と入力します。
[メンバーシップの種類] を入力します。 次のようなオプションがあります:
割り当て済み: 管理者は、このグループにユーザーまたはデバイスを手動で割り当て、ユーザーまたはデバイスを手動で削除します。
動的ユーザー: 管理者は、メンバーを自動的に追加および削除するためのメンバーシップ ルールを作成します。
動的デバイス: 管理者は、デバイスを自動的に追加および削除するための動的グループ ルールを作成します。
これらのメンバーシップの種類の詳細と動的な式の作成については、以下を参照してください。
注:
この管理センターでは、ユーザーまたはグループを作成するときに、 Microsoft Entra ID のブランド化が表示されない場合があります。 しかし、それは使用されています。
[作成] を選択し、新しいグループを追加します。 一覧にグループが表示されます。
![[新しいグループ] が選択された Azure portal を示すスクリーンショット。](media/groups-add/groups-add-new.png#lightbox)
作成できる他の動的ユーザー グループおよび動的デバイス グループとして、次のようなグループが考えられます。
- Contoso 高校のすべての学生
- すべての iOS 11 およびそれ以前のデバイス
- マーケティング
- 人事
- シャーロットの全従業員
デバイス グループ
ユーザー ID ではなくデバイス ID に基づいて管理タスクを実行する必要がある場合は、デバイス グループを作成できます。 これらは、専用ユーザーがいないデバイス (キオスク デバイス、交代勤務従業員が共有するデバイス、または特定の場所に割り当てられたデバイスなど) の管理に役立ちます。
例:
- すべての Windows 10 Surface デバイス
- CLT 配布センター-Zebra デバイス
また、デバイス カテゴリを使用して、登録時にデバイスをグループに自動的に参加させることができます。
Intune のすべてのユーザーグループおよびすべてのデバイス グループ
Intune 管理センターでポリシーとアプリを割り当てる場合は、Intune によって自動的に作成される [すべてのユーザー ] グループまたは [すべてのデバイス グループ] に割り当てることを選択できます。
[すべてのデバイス] グループは、管理に登録されているすべてのデバイスを対象としています。 [すべてのユーザー] グループは、Intune ライセンスが割り当てられているすべてのユーザーをターゲットにする簡単な方法です。 これらのグループは、作成したり、Microsoft Entra ID で表示したりしないため、"仮想" と見なされます。 これらは既にテナントに存在し、Microsoft Entra グループよりも高速なターゲットユニットであるため、使用に便利です。
ヒント
組織の基本的なコンプライアンス要件を作成するには、すべてのグループとデバイスに適用される既定のポリシーを作成します。 次に、ユーザーとデバイスの最も広範なカテゴリに対して、より具体的なポリシーを作成します。 たとえば、デバイス オペレーティング システムごとに電子メール ポリシーを作成できます。
[すべてのユーザー] や [すべてのデバイス] など、大規模なグループにポリシーとアプリケーションを割り当てる場合は、[フィルター] を使用して、ポリシーまたはアプリの展開を適用するデバイスを動的に制御できます。
フィルターの使用に関する詳細なガイダンスについては、次のページを参照してください。
- Microsoft Intune でアプリ、ポリシー、プロファイルを割り当てるときにフィルター を使用する
- 大規模な Microsoft Intune 環境でのグループ化、ターゲット設定、フィルター処理に関するパフォーマンスに関する推奨事項