ロールベースのアクセス制御(通称:RBAC)はご存知でしょうか。 必要な権限をカスタマイズすることで、既定のAzure ADロール(グローバル閲覧者/セキュリティ管理者などなど)より細かいアクセス制限を付与できる機能です。付与する権限が限られているため不要な管理操作を防ぎ、情報漏洩のリスク軽減などのセキュリティ対策としても有効です。

こちらは Azure AD、Defender for Endpoint などでも利用可能ですが、今回は Microsoft Endpoint Manager での設定方法を紹介します。
Intune 管理者ロールだと権限が多すぎる、それぞれの役割別で管理させたいなど、権限をなるべく少なくしたい場合にご検討ください!

RBAC 設定手順

今回のシナリオは、Andorid OSだけ参照可能かつ、ワイプ処理を実行できる権限を作ります。(WindowsやiOS等は参照不可。Andoridでもワイプ以外は禁止)
設定の流れは以下のような感じです。

① 管理権限を付与するグループの作成
② 閲覧可能デバイスの制御(特定デバイスのみ管理させたい場合)
③ RBAC のカスタムロールの作成
④ ③で作成したカスタムロールを対象ユーザーに付与

① 管理権限を付与するグループの作成

RBAC の付与はグループに対してのみ可能ですので、以下のように権限を付与したいユーザーをメンバーとするグループを作成します(既存のグループでも可)。

② 閲覧可能デバイスの制御

特定デバイスのみ管理させたい場合、対象端末の動的デバイスグループを作成し(既存のグループでも可)、対象端末にスコープタグを割り当てて制御します。

動的デバイスグループの作成

以下のように、特定 OS をメンバーとするグループを作成します(以下は Android の場合)。

[動的クエリを追加] には、下記の構文を入力します。

(device.deviceOSType -contains "Android")
※OS欄が 「AndroidEnterprise」 等の表記になることもあるため、contains(含む)を演算子としています。

画面左上の [保存] をクリックすると、【新しいグループ】画面に戻りますので、[作成] をクリックします。
作成後しばらくすると、該当する Android デバイスが自動的にメンバーへ追加されます。

スコープ タグの作成

こちらはエンドポイントマネージャーにて作成します。

1.管理者アカウントで、エンドポイントマネージャー(https://endpoint.microsoft.com/)へアクセスします。
2.[テナント管理] > [ロール] > [スコープ(タグ)] > [+ 作成] を選択します。

3.【スコープのタグを作成する】の [基本] ページで 、[名前] とオプションの [説明] を指定し、[次へ] を選択します。
4.[割り当て] ページで、[グループを追加] を選択して、このスコープタグを割り当てるデバイスグループ(②で作成したデバイスグループ)を選択し、[次へ] を選択します。

5.[確認と作成] ページで内容を確認して [作成] を選択します。

上記により、作成した動的デバイスグループのメンバーである Android デバイスに対して自動的にスコープ タグが割り当たります。

③ RBAC のカスタムロールの作成

カスタムロールを作成します。

1.エンドポイントマネージャーで、[テナント管理] > [ロール] > [すべてのロール] > [作成] を選択します。

2.[基本] ページで、新しいロールに名前と説明を入力して、[次へ] を選択します。
3.[アクセス許可] ページで付与したいロールを構成し、[次へ] を選択します。ここではデバイスリストの参照とワイプだけを許可させたいので、以下の設定を追加しました。
 Managed devices : Read
 Organization : Read
 Remote tasks : Wipe

※ 他のロールや詳細については、以下の公開情報を参照ください。

【公開情報】
Title:Intune でカスタム役割を作成
URL:https://docs.microsoft.com/ja-jp/mem/intune/fundamentals/create-custom-role

4.[スコープ (タグ)] ページはそのまま [次へ] を選択します。
5.[確認および作成] ページで内容を確認しましたら [作成] を選択します。

④ ③で作成したカスタムロールを対象ユーザーに付与

対象ユーザーへカスタムロールを付与します。

1.エンドポイントマネージャーで、[テナント管理] > [ロール] > [すべてのロール] を選択します。
2.一覧から ③ で作成したカスタムロールを選択します。

3.[割り当て] > [+割り当て] をクリックします。
4.[基本] ページで、新しいロールに名前と説明を入力して、[次へ] を選択します。
5.[管理者グループ] ページで、権限を付与するグループ(① で作成したグループ)を選択し、[次へ] を選択します。

6.[スコープグループ] ページは②で作成したグループを指定します。
7.[スコープタグ] ページで [スコープタグを選択] をクリックし、② で作成したスコープタグを選択し、[次へ] を選択します。
8.[確認および作成] ページで内容を確認しましたら [作成] を選択します。

上記作業により、 Andorid OSだけ参照可能かつ、ワイプ処理を実行できる権限ができました!
※ RBAC を割り当てるユーザー(手順④-5)は Intune ライセンスが必要です。