Windows Autopilot デバイスを最小限の特権で管理するには?

Windows Autopilot による Windows デバイスの PC キッティングを展開する際、キッティング作業を行う担当者には必要最低限となる特権のみを付与したいケースもあります。
それを実現するには、Microsoft Intune のロールベースのアクセス制御 (RBAC) で対応します。

想定されるシナリオ

「Intune 管理者」ロールだと権限が多すぎる。役割以上の作業は行わせたくない。

対応策:Microsoft Intune で RBAC のカスタムロールを設定する

Intune の一般的なシナリオをカバーしている組み込みロールの中に「ポリシーとプロファイル マネージャー」というものがあり、これには Windows Autopilot を扱う上で必要なすべての権限 (およびいくつかの権限) があります。

ただ、この「ポリシーとプロファイル マネージャー」ロールにおいても、Windows Autopilot 以外の権限も持ってしまっているため、最小特権の状態にはなりません。そこで、Windows Autopilot のデバイス管理を行うために必要最低限となる権限のみを付与した RBAC のカスタムロール設定で対応します。

付与する権限は次のとおりです。

▼ アクセス許可するロール

カテゴリ ロール
データの監査 (Audit data) 読み取り (Read)
登録プログラム (Enrollment programs) デバイスの削除 (Delete device)
デバイスの作成 (Create device)
プロファイルの読み取り (Read profile)
同期デバイス (Sync device)
プロファイルの更新 (Update profile)
プロファイルの作成 (Create profile)
デバイスの読み取り (Read device)
プロファイルの削除 (Delete profile)
プロファイルの割り当て (Assign profile)
管理対象デバイス (Managed devices) 読み取り (Read)
組織 (Organization) 読み取り (Read)

  

参考ドキュメント

Microsoft Intune の役割ベースのアクセス制御 (RBAC)/組み込みのロール – Microsoft Learn
https://learn.microsoft.com/ja-jp/mem/intune/fundamentals/role-based-access-control#built-in-roles

 

Microsoft Intune でカスタムロールを作成 – Microsoft Learn
https://learn.microsoft.com/ja-jp/mem/intune/fundamentals/create-custom-role

いいね (←参考になった場合はハートマークを押して評価お願いします)
読み込み中...

注意事項・免責事項

※技術情報につきましては投稿日時点の情報となります。投稿日以降に仕様等が変更されていることがありますのでご了承ください。

※公式な技術情報の紹介の他、当社による検証結果および経験に基づく独自の見解が含まれている場合がございます。

※これらの技術情報によって被ったいかなる損害についても、当社は一切責任を負わないものといたします。十分な確認・検証の上、ご活用お願いたします。

※当サイトはマイクロソフト社によるサポートページではございません。パーソルプロセス&テクノロジー株式会社が運営しているサイトのため、マイクロソフト社によるサポートを希望される方は適切な問い合わせ先にご確認ください。
 【重要】マイクロソフト社のサポートをお求めの方は、問い合わせ窓口をご確認ください