Intune で閲覧や操作を、 Windows や iPhone、Android などの特定 OS のみに制限したロールの付与を行ったのですが、忘れそうだったので備忘録として投稿します!
今回は、例として、Windows 端末のみに制限したカスタム ロールを付与していきます。
1.動的デバイスグループの作成
Windows OS のみを含めるデバイスグループを作成します。
①.[Azure AD]>[グループ]を開きます。
②.[+ 新しいグループ]をクリックします。
③.グループの情報を入力します。
| 項目 | 設定値 |
|---|---|
| グループの種類 | セキュリティ |
| グループ名 | 任意のグループ名 |
| グループの説明 | 任意の説明 |
| グループに Azure AD ロールを割り当てることができる | いいえ |
| メンバーシップの種類 | 動的デバイス |
④.[動的クエリの追加]をクリックします。
⑤.ルールをキャプチャを参考に入力して、[式の追加]、[保存]の順でクリックします。
※値を変更することで、他の OSを指定することも可能です。
参考情報:Azure Active Directory の動的グループ メンバーシップ ルール – デバイスのルール
⑥.[作成]をクリックして、グループを作成します。
公開情報:Azure Active Directory で動的グループを作成または更新する – グループ メンバーシップ ルールを作成するには
2.スコープ タグの作成
管理者が表示可能なデバイスを制限するための『スコープ タグ』を作成します。
①.Microsoft Endpoint Manager admin center の[テナント管理]>[ロール]>[スコープ(タグ)]を開きます。
②.[作成]をクリックします。
③.「基本」ページで、タグの名前と説明を入力します。
④.「割り当て」ページで、組み込まれたグループに、作成した動的デバイスグループを選択します。
⑤.「確認および作成」ページで、[作成]をクリックして、スコープ タグを作成します。
公開情報:分散 IT にロールベースのアクセス制御 (RBAC) とスコープのタグを使用する
3.カスタム ロールの作成
カスタム ロールを作成します。例として、ワイプのみ許可するようなロールを作成していきます。
①.Microsoft Endpoint Manager admin center の[テナント管理]>[ロール]>[すべてのロール]を開きます。
②.[作成]をクリックします。
③.「基本」ページで、ロールの名前と説明を入力します。
④.「アクセス許可」ページで、「Remote Tasks > Wipe」を「はい」にします。
※ワイプのみアクセス許可を有効にしています。
⑤.「スコープ タグ」ページで、作成したスコープ タグを選択します。
※選択したタグを付けられているデバイスに、ロールを割り当てられたユーザーがアクセスできるようにしています。
⑥.「確認および作成」ページで、[作成]をクリックして、カスタム ロールを作成します。
4.ロールの割り当て
Windows 端末のみに対して、閲覧・操作が可能になるように、作成したカスタム ロールに割り当てを行います。
①.Microsoft Endpoint Manager admin center の[テナント管理]>[ロール]>[すべてのロール]を開きます。
②.作成したカスタム ロールを選択します。
③.[割り当て]>[割り当て]をクリックします。
④.「基本」ページで、割り当ての名前と説明を入力します。
⑤.「管理者グループ」ページで、ロールを付与するユーザーのグループを選択します。
⑥.「スコープ グループ」ページで、作成した動的デバイスグループを選択します。
※ポリシー、アプリケーション、リモート タスクを制限するようにしています。
⑦.「スコープ タグ」ページで、作成したスコープ タグを選択します。
※表示可能なデバイスを制限するようにしています。
⑧.「確認および作成」ページで、[作成]をクリックして、ロールの割り当てを実行します。
最後に、、、
以上、特定の OS のみに対してのみ、アクセス権を割り当てる方法でした。
応用することで、別の OS のみ、特定の端末のみ、というように制限することも可能です。
自分用の備忘録とは言いつつも、何かしらの事情により、制限が必要な場合もあると思うので、その際は参考にしていただけたら幸いです(₌・ェ・₌)ノ
また、ロールを割り当てるユーザーには、Intune ライセンスが必要です。ライセンス違反にならないようにすることも大切です👩🏫
