この記事では、セキュリティ運用部門に対する特定のアクセス許可を持つカスタム Intune RBAC ロールを作成し、そのロールをオペレーターのグループに割り当てる方法について説明します。 カスタム ロールを使用すると、最小限の特権アクセスを実装できるため、管理者は、処理できるユーザーとデバイスのみを管理できます。
この記事は、Microsoft Intuneの機能を評価するのに役立つ Evaluate and Try シリーズの一部です。
Intuneには、使用できる組み込みの RBAC ロールがいくつか含まれています。 Microsoft では、管理者が管理する必要があるタスクを完了できる最小特権ロールを使用することをお勧めします。これは、カスタム ロールである可能性があります。 この方法では、日常的な作業に対する特権を超えるアカウントを回避することで、セキュリティ リスクと運用エラーを最小限に抑えます。
前提条件
ライセンス要件
- Microsoft Intune サブスクリプション。 無料試用版アカウントにサイン アップします。
ロールの要件
次のロールを使用して、Microsoft Intune管理センターにサインインします。
- 組み込みのIntune ロール管理者Microsoft Intuneロール
デバイス構成の要件
この手順を完了するには、次の操作を行う必要があります。
この評価手順を完了するには、少なくとも 1 人のユーザーを持つグループが必要です。
カスタム役割を作成する
カスタム ロールを作成するときに、さまざまなアクションに対してアクセス許可を設定できます。 セキュリティ操作ロールでは、オペレーターがデバイスの構成とポリシーを確認できるように、いくつかのカテゴリの 読み取り アクセス許可を有効にします。
Microsoft Intune管理センターにサインインし、[テナント管理者>Roles] に移動します。 [作成] を選択します。 ドロップダウン ボックスから、[ロールのIntune] を選択します。 [ カスタム ロールの追加] ワークフローが開きます。
![[テナント管理]、[すべてのロール] が選択され、[ロールの作成] メニューが開いているMicrosoft Intune管理センター Intuneのスクリーンショット。](media/quickstart-custom-role/add-custom-role.png)
[ 基本 ] ページで、次の操作を行います。
- [ 名前] に「 セキュリティ操作」と入力します。
- [ 説明] に「 このロールを使用すると、セキュリティ オペレーターがデバイスの構成とコンプライアンス情報を監視できます」と 入力します。[ 次へ ] を選択して続行します。
[ アクセス許可 ] ページで、[ 会社のデバイス識別子 ] カテゴリを展開し、[ 読み取り ] を [はい] に設定します。
![[カスタム ロールの追加]、[アクセス許可] ページIntune[会社のデバイス識別子] が展開され、[読み取り] が [はい] に設定されているスクリーンショット。](media/quickstart-custom-role/corp-device-id-read.png)
企業デバイス識別子の 読み取り を構成した後、次の追加カテゴリを展開し、[ 読み取り ] を [はい] に設定して同じ構成を行います。
- デバイス コンプライアンス ポリシー
- デバイス構成
- 組織
4 つのカテゴリを構成したら、[ 次へ ] を選択して続行します。
[ スコープ タグ] で、[ 次へ] を選択します。 この評価シナリオでは、スコープ タグを構成する必要はありません。
[ 確認と作成] で、[作成] を選択 します。 Intuneでは、カスタム ロールが作成され、Intune ロールに表示されます。 |カスタム Intune ロールの種類を含む、Intune管理センターのすべてのロール ページ。
![[テナント管理]、[すべてのロール] が選択され、[ロールの作成] メニューが開いているMicrosoft Intune管理センター Intuneのスクリーンショット。](media/quickstart-custom-role/add-custom-role.png#lightbox)
![[カスタム ロールの追加]、[アクセス許可] ページIntune[会社のデバイス識別子] が展開され、[読み取り] が [はい] に設定されているスクリーンショット。](media/quickstart-custom-role/corp-device-id-read.png#lightbox)
ヒント
ロールごとのアクセス許可の一覧については、「 ロールベースのアクセス制御 (RBAC) リファレンス」を参照してください。
ロールをグループに割り当てる
Microsoft Intune管理センターにサインインし、[テナント管理>Roles>すべてのロール] に移動します。
[Intune ロール - すべてのロール] で、作成したカスタムセキュリティ操作ロールを選択します。 ロールの [概要] で、[ 割り当て] を選択し、[ 割り当て] を選択します。
![[割り当て] ボタンMicrosoft Intune強調表示されている [セキュリティ操作の割り当て] ページのスクリーンショット。](media/quickstart-custom-role/assignment-workflow.png)
[ 基本] で、名前に 「Sec Ops」 と入力し、[ 次へ] を選択します。
[管理 グループ] で、[グループの追加] を選択し、ロールのアクセス許可を割り当てるユーザーを含むグループを選択します。 この評価ガイドの手順 3 で Contoso Testers グループを作成した場合は、そのグループを選択します。
グループを追加したら、[ 選択] を選択し、[ 次へ ] を選択してワークフローの次のページに進みます。
[ スコープ グループ] で、[ グループの追加] を選択し、前の手順で追加したグループと同じグループを追加します。 前と同様に、[ 選択] を選択し、[ 次へ ] を選択して、ワークフローの次のページに進みます。
[ スコープ タグ] で、[ 次へ] を選択します。 この評価シナリオでは、スコープ タグを構成する必要はありません。
[ 確認と作成] で、完了したら [ 作成 ] を選択します。
新しい割り当てが割り当ての一覧に表示されます。
![[割り当て] ボタンMicrosoft Intune強調表示されている [セキュリティ操作の割り当て] ページのスクリーンショット。](media/quickstart-custom-role/assignment-workflow.png#lightbox)
これで、グループ内のすべてのユーザーがセキュリティ操作ロールのメンバーとなり、会社のデバイス識別子、デバイス コンプライアンス ポリシー、デバイス構成、organization情報など、デバイスに関する次の情報を確認できます。
リソースをクリーンアップする
カスタム ロールを使用しなくなった場合は、削除できます。 Microsoft Intune管理センターで、テナント管理>Roles>すべてのロールに移動します。 ロールを見つけて、ロールの説明の左側にある省略記号 (...) を選択し、[削除] を選択 します。
次の手順
この評価手順では、カスタム セキュリティ操作ロールを作成し、それをグループに割り当てます。 Intuneのロールの詳細については、「ロールベースの管理制御 (RBAC) とMicrosoft Intune」を参照してください。
Microsoft Intuneの評価を続行するには、次の手順に進みます。