分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する

  • [アーティクル]

ロールベースのアクセス制御とスコープ タグを使用して、適切な管理者が必要な Intune オブジェクトに対して正しいアクセス権と可視性を持っていることを確認できます。 ロールは、どのアクセス管理者がどのオブジェクトに対して持っているかを決定します。 スコープ タグは、管理者が表示できるオブジェクトを決定します。

たとえば、シアトルの地域オフィス管理者にポリシーとプロファイル マネージャーの役割があるとします。 この管理者は、Seattle デバイスにのみ適用されるプロファイルとポリシーのみを表示および管理する必要があります。 このアクセスを設定するには、次の操作を行います。

  1. Seattle というスコープ タグを作成します。
  2. ポリシーおよびプロファイル マネージャー ロールのロールの割り当てを作成するには、次を使用します。
    • メンバー (グループ) = Seattle IT 管理者という名前のセキュリティ グループ。 このグループのすべての管理者は、スコープ (グループ) 内のユーザー/デバイスのポリシーとプロファイルを管理するアクセス許可を持ちます。
    • スコープ (グループ) = Seattle users という名前のセキュリティ グループ。 このグループ内のすべてのユーザー/デバイスは、メンバー (グループ) の管理者によって管理されるプロファイルとポリシーを持つことができます。
    • スコープ (タグ) = Seattle。 メンバー (グループ) の管理者は、シアトル スコープ タグも持つ Intune オブジェクトを確認できます。
  3. メンバー (グループ) の管理者がアクセスできるようにするポリシーとプロファイルに Seattle スコープ タグを追加します。
  4. メンバー (グループ) の管理者に表示するデバイスに Seattle スコープ タグを追加します。

既定のスコープ タグ

既定のスコープ タグは、スコープ タグをサポートするすべてのタグなしオブジェクトに自動的に追加されます。

既定のスコープ タグ機能は、Microsoft Configuration Manager のセキュリティ スコープ機能に似ています。

注:

Intune ポリシーを構成または編集するときに、テナントのカスタム定義スコープ タグがない場合、一部のポリシーの種類で [スコープ タグ] 構成ページが表示されないことがあります。 [スコープ タグ] オプションが表示されない場合は、既定のスコープ タグに加えて少なくとも 1 つのタグが定義されていることを確認します。

スコープ タグを作成するには

  1. Microsoft Intune 管理センターで、テナント管理>Roles>Scope (Tags)>Create を選択します。

  2. [ 基本 ] ページで、[ 名前] とオプションの [説明] を指定します。 [次へ]を選択します。

  3. [ 割り当て] ページで、このスコープ タグを割り当てるデバイスを含むグループを選択します。 [次へ]を選択します。

  4. [ 確認と作成 ] ページで、[ 作成] を選択します。

    重要

    自動スコープ タグの割り当ては、手動で割り当てられたスコープ タグを上書きします。 デバイスにグループの割り当てによって複数のスコープ タグが割り当てられている場合、すべてのスコープ タグが適用されます。

スコープ タグをロールに割り当てるには

  1. Microsoft Intune 管理センターで、[テナント管理>Roles>すべてのロール] を選択>[ロール] >[Assignments>Assign] を選択します。

  2. [ 基本 ] ページで、 割り当ての名前 と説明を指定 します。 [次へ]を選択します。

  3. [ 管理グループ] ページで、[ グループの追加] を選択し、この割り当ての一部として必要なグループを選択します。 これらのグループのユーザーには、スコープ (グループ) 内のユーザー/デバイスを管理するためのアクセス許可があります。 [次へ]を選択します。

    メンバー グループの選択のスクリーンショット。

  4. [ スコープ グループ] ページで、[ 含まれるグループ] で次のいずれかのオプションを選択します。

    • [グループの追加]: 管理するユーザー/デバイスを含むグループを選択します。 選択したグループ内のすべてのユーザー/デバイスは、管理グループ内のユーザーによって管理されます。
    • [すべてのユーザーの追加]: すべてのユーザーを管理グループ内のユーザーが管理できます。
    • [すべてのデバイスの追加]: すべてのデバイスを管理グループ内のユーザーが管理できます。

  5. [次へ] を選択します

  6. [スコープ タグ] ページで、この役割に追加するタグを選択します。 管理グループのユーザーは、同じスコープ タグを持つ Intune オブジェクトにアクセスできます。 ロールには、最大 100 個のスコープ タグを割り当てることができます。

  7. [ 次へ ] を選択して [ 確認と作成 ] ページに移動し、[ 作成] を選択します。

スコープ タグを他のオブジェクトに割り当てる

スコープ タグをサポートするオブジェクトの場合、スコープ タグは通常、[ プロパティ] の下に表示されます。 たとえば、スコープ タグを構成プロファイルに割り当てるには、次の手順に従います。

  1. Microsoft Intune 管理センターで、[デバイス>管理デバイス>構成] を選択>プロファイルを選択します。

  2. [プロパティ>Scope (Tags)>Edit>スコープ タグを選択します>プロファイルに追加するタグを選択します。 オブジェクトには、最大 100 個のスコープ タグを割り当てることができます。

  3. [選択>Review + save] を選択します。

スコープ タグの詳細

スコープ タグを使用する場合は、次の詳細を覚えておいてください。

  • テナントがそのオブジェクトの複数のバージョン (ロールの割り当てやアプリなど) を持つ場合は、Intune オブジェクトの種類にスコープ タグを割り当てることができます。 次の Intune オブジェクトは、この規則の例外であり、現在スコープ タグをサポートしていません。
    • Corp デバイス識別子
    • Autopilot デバイス
    • デバイスコンプライアンスの場所
    • Jamf デバイス
  • VPP トークンに関連付けられているボリューム購入プログラム (VPP) アプリと電子ブックは、関連付けられている VPP トークンに割り当てられたスコープ タグを継承します。
  • 管理者が Intune でオブジェクトを作成すると、その管理者に割り当てられたすべてのスコープ タグが自動的に新しいオブジェクトに割り当てられます。
  • Intune RBAC は Microsoft Entra ロールには適用されません。 そのため、Intune サービス管理者ロールとグローバル管理者ロールは、どのスコープ タグを持っていても、Intune への完全な管理者アクセス権を持ちます。
  • ロールの割り当てにスコープ タグがない場合、IT 管理者は IT 管理者のアクセス許可に基づいてすべてのオブジェクトを表示できます。 スコープ タグを持たない管理者は、基本的にすべてのスコープ タグを持ちます。
  • ロールの割り当てに含まれるスコープ タグのみを割り当てることができます。
  • ターゲット グループは、ロールの割り当ての [スコープ (グループ)] に一覧表示されているグループのみです。
  • ロールにスコープ タグが割り当てられている場合、Intune オブジェクトのすべてのスコープ タグを削除することはできません。 少なくとも 1 つのスコープ タグが必要です。

次の手順

複数のロール割り当てがある場合のスコープ タグの動作について説明します。 ロールとプロファイルを管理します