Intune を管理する際、ユーザーに Intune 管理者ロールを付与するケースが多いかと思います。一方で、セキュリティの観点からは、最小権限の原則(※) に基づいた運用が望まれます。
構成プロファイルやコンプライアンスポリシーなど、特定の機能のみを操作できるようにしたい場合、Intune の カスタムロール を活用することで、機能別に権限を細かく制御できます。
本記事では、Intune のカスタムロールを利用して、機能別に権限を付与する方法をご紹介します。
※ 最小権限の原則
業務に必要な最小限の権限のみを付与し、不要な権限は持たせないという考え方です。
セキュリティ事故や誤操作のリスクを抑える目的で、多くのシステム運用で基本とされています。
カスタムロールの作成方法
権限をユーザーに割り当てる前に、まずは Intune のカスタムロールを作成します。
このカスタムロールで、機能別に付与する権限を定義していきます。
- Intune 管理センター(https://intune.microsoft.com/)にアクセスします。
- [テナント管理] > [ロール] を選択します。
- [すべてのロール] を選択します。
- [作成] > [Intune の役割] を選択します。
- カスタムロール名を記入し、[次へ] を選択します。
- 権限付与したい機能のアクセス権を [はい] にします。
例えば、指定の機能の読み込み権限のみ付与したい場合は、「Read:はい」を選択します。 - 権限設定が完了したら、[次へ] を選択します。
- スコープタグは設定せず、[次へ] を選択します。
- カスタムロールの設定値を確認し、[作成] を選択することで、カスタムロールが作成されます。
カスタムロールの割り当て方法
カスタムロールを作成したら、次にユーザー(またはグループ)への割り当てを行います。
- すべてのロールに再度アクセスし、作成したカスタムロールを選択します。
- [割り当て] > [+割り当て] を選択します。
- 割り当ての名前を入力し、[次へ] を選択します。
- [グループを追加] を選択し、権限を付与したいグループを選択します。
- [次へ] を選択します。
- [グループを追加] を選択し、グループを選択して [次へ] を選択します。
この手順にて指定したグループは、ポリシー(構成プロファイル等)作成時に適用が可能となります。
- [次へ] を選択します。
- 設定値を確認し、問題なければ [作成] を選択することでカスタムロールが適用されます。
以上が、Intune のカスタムロールを活用した、機能別の権限付与方法です。カスタムロールを利用することで、運用に合わせたより柔軟な権限設計も行えます。
設定内容のご相談や詳細について確認したい場合は、お気軽に Livestyle までお問い合わせください。
