Intune サービス管理者とは? グローバル管理者との違いと付与すべき人を解説

「Microsoft Intuneの管理者ロール(旧称:Intune サービス管理者)に設定したのに、なぜかテナント設定が変更できない……」「グローバル管理者と何が違うの?」——こういう疑問を最初に持つのは、実は当然のことです。
この記事を読むと、以下の3つが理解できるようになります。
- Intune サービス管理者の定義と位置づけがわかる
- 誰に付与すべきか・避けるべきかが判断できる
- 常時付与のリスクと監査のポイントが押さえられる
1. Intune サービス管理者の位置づけ
– グローバル管理者・RBACロールとの違い –
このロールを持つユーザーは、Intune 管理センターにおける主要な設定および管理操作(テナント設定を含む)にアクセスできます。 重要なのは、Intune サービス管理者は「Intune 管理センター内で定義されるロール(RBAC)」とは別物だという点です。管理センターではなく、Entra ID ポータルから付与する必要があります。
※「Intuneサービス管理者」と表記される場合がありますが、現在の正式名称は「Intune管理者(Microsoft Entra IDのディレクトリロール)」です。
Intune サービス管理者の主な特徴
- Entra ID 側で管理・付与される(Intune 管理センターからは付与できない)
- Intune 管理センターのほぼ全機能へのアクセスが可能(Entra ID 側の操作は対象外)
- 付与できるのは主にグローバル管理者または特権ロール管理者

2. 付与すべき人・避けたい人(役割分離)
Intune サービス管理者は「Intune 全体を管理できる強力なロール」です。それだけに、付与対象の選定は慎重に行う必要があります。
付与すべき人
| 担当者 | 推奨するロール |
| 情シス担当者(MDM・コネクタ設定) | Intune管理者 |
| RBAC設計担当 | Intune管理者 |
| 初期セットアップ・大規模変更担当 | Intune管理者 |
付与を避けたい人
| 担当者 | 推奨するロール |
| ヘルプデスク担当 | Help Desk Operator(RBAC) |
| 特定部署のデバイス管理者 | Policy and Profile Manager(またはHelp Desk Operator などのRBACロール)+スコープタグ |
| アプリ配布専任担当 | カスタム RBAC ロール |
| 監査・閲覧のみの担当者 | Read Only Operator(RBAC) |
3. 運用パターン(2名体制・申請制・緊急時)
「Intune サービス管理者を何名に付与すればいいか」は、組織の規模や体制によって異なります。以下に代表的な3つの運用パターンを紹介します。

4. 初心者が陥りやすいポイント
– 常時付与で「強い権限」が放置される –
Intune の運用を検討する中で、「いつでも対応できるように、チームメンバー全員に Intune サービス管理者を付与しておけば安心ではないか」と考えるケースは少なくありません。実際、「すぐ対応できるなら、それに越したことはない」という発想は自然です。 しかし、セキュリティ上の観点を調べてみると、この考え方がいかにリスクをはらんでいるかが分かります。
常時付与の何が問題なのか
- 不要になった担当者のロールが残り続け、退職後もアクティブな状態になることがある
- アカウント乗っ取りや内部不正があった際に、被害範囲が Intune 全体に及ぶ
- 誰が「今この権限を持っているか」が把握しづらくなり、定期レビューが形骸化する
最小権限の原則(Least Privilege)——必要な権限を、必要な人に、必要な期間だけ付与する——はセキュリティ設計の基本ですが、日常の忙しさの中で意識が薄れがちです。定期的な棚卸しのスケジュールを最初から組み込んでおくことを強くお勧めします。
5. 監査観点(付与・剥奪の証跡管理)
Intune サービス管理者ロールの付与・剥奪は、操作ログとして記録されます。この記録を定期的に確認・管理することが、セキュリティ統制の観点から求められます。
確認すべき監査ログ
| ログの種類 | 確認できること | 確認場所 |
| Entra ID 監査ログ | ロールの付与・剥奪・付与者・付与日時 | Entra ID ポータル → 監査ログ |
| Intune 監査ログ | 管理センターでの操作履歴(誰が何を変更したか) | Intune 管理センター → テナント管理 → 監査ログ |
| PIM ログ(PIM 使用時) | ロールの有効化・申請・承認の記録 | Entra ID ポータル → PIM → 監査履歴 |
定期レビューのポイント
- 現在 Intune サービス管理者ロールを保持しているユーザーの一覧を確認する(Entra ID → ロールと管理者)
- 退職・異動した担当者のロールが残っていないか確認する
- 直近の操作ログに不審な変更がないか確認する
- 年1回以上のレビューをスケジュール化し、ITマネージャーへの報告フローと連動させる
まとめ
Intune サービス管理者は、Intune 管理センターのほぼ全機能にアクセスできる強力なロールです。日常運用は Intune RBAC のロールに任せ、サービス管理者は最小人数に絞る——この原則を守ることが安全な運用の出発点です。
↓ この記事の続きを読む
↓ ガイドのトップを見る











