Windows Autopilot による Windows デバイスの PC キッティングを展開する際、キッティング作業を行う担当者には必要最低限となる特権のみを付与したいケースもあります。
それを実現するには、Microsoft Intune のロールベースのアクセス制御 (RBAC) で対応します。

想定されるシナリオ

「Intune 管理者」ロールだと権限が多すぎる。役割以上の作業は行わせたくない。

対応策：Microsoft Intune で RBAC のカスタムロールを設定する

Intune の一般的なシナリオをカバーしている組み込みロールの中に「ポリシーとプロファイル マネージャー」というものがあり、これには Windows Autopilot を扱う上で必要なすべての権限 (およびいくつかの権限) があります。

ただ、この「ポリシーとプロファイル マネージャー」ロールにおいても、Windows Autopilot 以外の権限も持ってしまっているため、最小特権の状態にはなりません。そこで、Windows Autopilot のデバイス管理を行うために必要最低限となる権限のみを付与した RBAC のカスタムロール設定で対応します。

付与する権限は次のとおりです。

▼ アクセス許可するロール

カテゴリ	ロール
データの監査 (Audit data)	読み取り (Read)
登録プログラム (Enrollment programs)	デバイスの削除 (Delete device) デバイスの作成 (Create device) プロファイルの読み取り (Read profile) 同期デバイス (Sync device) プロファイルの更新 (Update profile) プロファイルの作成 (Create profile) デバイスの読み取り (Read device) プロファイルの削除 (Delete profile) プロファイルの割り当て (Assign profile)
管理対象デバイス (Managed devices)	読み取り (Read)
組織 (Organization)	読み取り (Read)

　　

参考ドキュメント

Microsoft Intune の役割ベースのアクセス制御 (RBAC)／組み込みのロール – Microsoft Learn
https://learn.microsoft.com/ja-jp/mem/intune/fundamentals/role-based-access-control#built-in-roles

　

Microsoft Intune でカスタムロールを作成 – Microsoft Learn
https://learn.microsoft.com/ja-jp/mem/intune/fundamentals/create-custom-role