Intune サービス管理者とは? グローバル管理者との違いと付与すべき人を解説

2026.06.16
Intuneサービス管理者とグローバル管理者の違いを示すフラットデザインイメージ

「Microsoft Intuneの管理者ロール(旧称:Intune サービス管理者)に設定したのに、なぜかテナント設定が変更できない……」「グローバル管理者と何が違うの?」——こういう疑問を最初に持つのは、実は当然のことです。

この記事を読むと、以下の3つが理解できるようになります。

  • Intune サービス管理者の定義と位置づけがわかる
  • 誰に付与すべきか・避けるべきかが判断できる
  • 常時付与のリスクと監査のポイントが押さえられる

1. Intune サービス管理者の位置づけ
– グローバル管理者・RBACロールとの違い –

このロールを持つユーザーは、Intune 管理センターにおける主要な設定および管理操作(テナント設定を含む)にアクセスできます。 重要なのは、Intune サービス管理者は「Intune 管理センター内で定義されるロール(RBAC)」とは別物だという点です。管理センターではなく、Entra ID ポータルから付与する必要があります。

「Intune管理者(Microsoft Entra IDのディレクトリロール、旧称:Intune サービス管理者)」とは、Microsoft Entra ID(以下Entra ID)側で定義される組み込みロールです。
※「Intuneサービス管理者」と表記される場合がありますが、現在の正式名称は「Intune管理者(Microsoft Entra IDのディレクトリロール)」です。

Intune サービス管理者の主な特徴

  • Entra ID 側で管理・付与される(Intune 管理センターからは付与できない)
  • Intune 管理センターのほぼ全機能へのアクセスが可能(Entra ID 側の操作は対象外)
  • 付与できるのは主にグローバル管理者または特権ロール管理者
グローバル管理者はMicrosoft 365全体に影響する最高権限のため、原則として常時付与ゼロが理想であり、緊急時のみの利用を想定したブレークグラスアカウントとして運用することが推奨されます。
グローバル管理者・サービス管理者・RBACロールの権限範囲を比較した階層図
3つのロールは名前が似ていますが、定義場所も権限範囲も異なります。グローバル管理者が最も広く、RBACロールが最も細かく制御可能です。

2. 付与すべき人・避けたい人(役割分離)

Intune サービス管理者は「Intune 全体を管理できる強力なロール」です。それだけに、付与対象の選定は慎重に行う必要があります。

付与すべき人

担当者 推奨するロール
情シス担当者(MDM・コネクタ設定) Intune管理者
RBAC設計担当 Intune管理者
初期セットアップ・大規模変更担当 Intune管理者

付与を避けたい人

担当者 推奨するロール
ヘルプデスク担当 Help Desk Operator(RBAC)
特定部署のデバイス管理者 Policy and Profile Manager(またはHelp Desk Operator などのRBACロール)+スコープタグ
アプリ配布専任担当 カスタム RBAC ロール
監査・閲覧のみの担当者 Read Only Operator(RBAC)

3. 運用パターン(2名体制・申請制・緊急時)

「Intune サービス管理者を何名に付与すればいいか」は、組織の規模や体制によって異なります。以下に代表的な3つの運用パターンを紹介します。

Intune管理者の3つの運用パターンを比較したフロー図
運用パターンは組織の規模やセキュリティ要件に応じて選択します。PIMを活用した申請制が最もセキュアですが、まずは2名体制から始めるのが現実的です。

4. 初心者が陥りやすいポイント
– 常時付与で「強い権限」が放置される –

Intune の運用を検討する中で、「いつでも対応できるように、チームメンバー全員に Intune サービス管理者を付与しておけば安心ではないか」と考えるケースは少なくありません。実際、「すぐ対応できるなら、それに越したことはない」という発想は自然です。 しかし、セキュリティ上の観点を調べてみると、この考え方がいかにリスクをはらんでいるかが分かります。

常時付与の何が問題なのか

  • 不要になった担当者のロールが残り続け、退職後もアクティブな状態になることがある
  • アカウント乗っ取りや内部不正があった際に、被害範囲が Intune 全体に及ぶ
  • 誰が「今この権限を持っているか」が把握しづらくなり、定期レビューが形骸化する

最小権限の原則(Least Privilege)——必要な権限を、必要な人に、必要な期間だけ付与する——はセキュリティ設計の基本ですが、日常の忙しさの中で意識が薄れがちです。定期的な棚卸しのスケジュールを最初から組み込んでおくことを強くお勧めします。

5. 監査観点(付与・剥奪の証跡管理)

Intune サービス管理者ロールの付与・剥奪は、操作ログとして記録されます。この記録を定期的に確認・管理することが、セキュリティ統制の観点から求められます。

確認すべき監査ログ

ログの種類 確認できること 確認場所
Entra ID 監査ログ ロールの付与・剥奪・付与者・付与日時 Entra ID ポータル → 監査ログ
Intune 監査ログ 管理センターでの操作履歴(誰が何を変更したか) Intune 管理センター → テナント管理 → 監査ログ
PIM ログ(PIM 使用時) ロールの有効化・申請・承認の記録 Entra ID ポータル → PIM → 監査履歴

定期レビューのポイント

  • 現在 Intune サービス管理者ロールを保持しているユーザーの一覧を確認する(Entra ID → ロールと管理者)
  • 退職・異動した担当者のロールが残っていないか確認する
  • 直近の操作ログに不審な変更がないか確認する
  • 年1回以上のレビューをスケジュール化し、ITマネージャーへの報告フローと連動させる
定期レビューを「やろうと思っていたけどできていない」状態にしないために、カレンダーに予め年次レビューの予定を入れておくことをお勧めします。ロールの棚卸しは地味な作業ですが、セキュリティインシデントを未然に防ぐ最も効果的な手段の一つです。

まとめ

Intune サービス管理者は、Intune 管理センターのほぼ全機能にアクセスできる強力なロールです。日常運用は Intune RBAC のロールに任せ、サービス管理者は最小人数に絞る——この原則を守ることが安全な運用の出発点です。

 ↓ この記事の続きを読む

 ↓ ガイドのトップを見る

この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。

製造業での現場経験を経てIT業界へ転身した異色のキャリアを持ちます。製造の現場で培った「工程管理」や「業務の流れを俯瞰する視点」は、IT領域においても大きな強みです。現場を知るからこそ見えてくる無駄や非効率に対して、クラウドツールやシステムを活用した実践的な改善提案が得意です。時間とコストを削減し、現場の方が本来の仕事に集中できる環境づくりを支援します。

おすすめの記事

目次