EntraIDのロールとIntuneのロールの違いを調べてみた。
背景
- EntraIDにもロールは存在するが、Intuneのロールとどのように異なるのかを調査。
- MS公式ドキュメントの内容を読み解く。
- 動きも少し見てみる。
結論
- どちらも関連しあっているので、ケースバイケースで使い分けをする。EntraIDのグローバル管理者・Intune管理者がIntuneRBACロールの上位のロールになっている。
- EntraIDでグローバル管理者およびIntune管理者を適用している場合は、Intuneでのロールを割り当てることは不要。
- EntraIDでのロールを当てずにIntuneの管理センターの中で特定の役割を当てたいときにIntuneでのロールを割り当てる。
- 組み込みのIntuneのロールは現在9個あり、よく使われそうなのは読み取り専用オペレーター、ヘルプデスクオペレーターあたり。
RBAC
- 役割ベースの権限のこと。何のサービスにどれくらいの権限を持っているかで構成されている。一番有名なのはEntra IDのグローバル管理者だと思う。※これはそのテナントにおける全知全能に近いロール。検証環境などであればこれだけ使っていても事足りる。セキュリティとはトレードオフの関係。
EntraIDのロールについて
- MS文書を見ると、RBACベースのロール。
- M365およびAzureに携わっている人は日常的に触れていると思う。
- 上記例のグローバル管理者がまさにそう。
Intuneのロールについて
- MSドキュメントを見ると、”Intune RBACロール”なる文言があり、正確にはこの内容になる。
「Microsoft Intune の役割ベースのアクセス制御 (RBAC)」 - Microsoft Intune
Microsoft Intune で RBAC を使用して、アクションを実行できるユーザーや変更できるユーザーを制御する方法について学習します。
learn.microsoft.com
- 本番環境では役割に応じてIntuneのポータル上の権限を細かく最小権限でユーザーの役割毎にあたえたほうがよいので、EntraIDでIntune管理者を当てずに、こちらで最小権限のものを選んであてる運用になる。
下記は参考程度。
| ロール名 | 権限 (要点) | ユースケース (簡略化) |
|---|---|---|
| アプリケーション マネージャー | モバイル/マネージド アプリの管理。デバイス情報の読み取り。 | 企業アプリの配布と更新を担当する管理者。 |
| Endpoint Privilege Manager | エンドポイント特権管理ポリシーの管理。 | 標準ユーザーの権限昇格を制御するセキュリティ担当者。 |
| エンドポイント特権閲覧者 | エンドポイント特権管理ポリシーの表示。 | 特権管理ポリシーの監査・確認を行う担当者。 |
| エンドポイント セキュリティ マネージャー | セキュリティ ベースライン、コンプライアンス、条件付きアクセスなどセキュリティ機能の管理。 | 組織全体のセキュリティ体制の構築・維持を行う責任者。 |
| ヘルプ デスク オペレーター | ユーザー/デバイスへのリモートタスク実行。アプリ/ポリシーの割り当て。 | 日常のユーザーサポート(リモートロック、トラブル対応)を行う担当者。 |
| Intune ロール管理者 | Intuneのカスタムロール管理と組み込みロールの割り当て。 | Intuneのアクセス権限を統括する最上位の管理者。 |
| ポリシーとプロファイル マネージャー | コンプライアンス、構成プロファイル、登録、セキュリティベースラインの管理。 | デバイスの統一設定(Wi-Fi, VPN, 設定)の作成・配布を行う管理者。 |
| 読み取り専用オペレーター | ユーザー、デバイス、設定情報の表示のみ。変更は不可。 | IT監査や監視のために現状設定を確認する担当者。 |
| 学校管理者 | Intune for Educationでのグループのアプリ/デバイス管理。リモートアクション実行。 | 学校の教室デバイスを管理し、リモート操作を行う教員/ITスタッフ。 |
コメント