Intune 管理者の主な役割と責任範囲とは?「何でもできる」は誤解です

「Microsoft Intune(以下Intune)管理者になったけど、実際に何をやればいいの?」「なんでもできると思ってたのに、できないことがある……」
この記事は、そんな疑問を持ち始めた方に向けて書いています。前回の記事ではIntuneの管理者ロールの基本を整理しました。今回は一歩踏み込んで、Intune管理者が「実際に何を担うのか」——つまり役割と責任範囲を4つの領域に分けて解説します。
この記事を読むと、以下の3つが理解できるようになります。
- Intune管理者が担う4つの責任領域がわかる
- Intune管理者にできることと、できないことが区別できるようになる
- 他のロールとの連携ポイントが整理できる
1. Intune管理者の4つの責任領域
Intune管理者が担うことが多い業務は、大きく4つの領域に分類できます。まずは全体像を把握しましょう。

2. 責任領域の詳細
① 設計(ポリシー・準拠性・構成プロファイル)
コンプライアンスポリシー・構成プロファイル・アプリ保護ポリシー(MAM)の設計が中心です。「どの端末にどのポリシーを適用するか」をMicrosoft Entra ID(以下Entra ID)グループと組み合わせて決定し、展開対象を明確化します。
MDM(Mobile Device Management)とは、組織の端末をまとめて管理するための仕組みです。コンプライアンスポリシーは「端末が満たすべき条件」、構成プロファイルは「Wi-Fi・VPN・メールなどの設定を自動配布する仕組み」です。
準拠性の判定基準(OSバージョン・暗号化の有無など)は組織のセキュリティ要件に合わせて設計し、変更時は変更管理の手続きに沿って記録します。
② 運用(配布・例外・問い合わせ・障害時の切り分け)
端末管理の日常業務として、デバイスの登録許可設定・アプリ配布・コンプライアンスポリシーの適用状況確認が中心になります。非準拠端末が検出された場合はユーザーへの通知や条件付きアクセスとの連携で対応します。
例外対応(ポリシー適用除外の申請など)は担当者を明確にしておかないと属人化しやすい領域です。紛失・盗難時のリモートワイプや障害時の切り分け手順もあらかじめ整備しておくことで、ヘルプデスクへの問い合わせ対応がスムーズになります。
③ 統制(変更管理・監査ログ・定期レビュー)
「設定したら終わり」と思いがちですが、Intune管理者には継続的な統制の責任もあります。ポリシーの変更は変更管理の手続きに沿って記録し、監査ログで操作履歴を定期確認することが求められます。また、割り当て済みのロールやスコープ設定を定期的に見直し、不要な権限を剥奪する「棚卸し運用」も統制の一部です。年1回程度の定期レビューをスケジュール化することを推奨します。
④ RACI例——誰が決める・実行・承認・共有するか
チーム内の分担が曖昧なまま運用を始めると、「誰が判断するのか」で混乱が生じます。以下は中規模組織を想定したRACIの例です。自組織の体制に合わせて調整してください。
RACIとは、業務ごとに「R=実行(Responsible)・A=最終承認(Accountable)・C=相談される(Consulted)・I=情報共有される(Informed)」の4役割を整理するフレームワークです。
| 業務 | R(実行) | A(承認) | C(相談) | I(共有) |
| ポリシー設計・変更 | Intune管理者 | ITマネージャー | セキュリティ担当 | 関係部署 |
| 端末管理・日次監視 | Intune管理者 | Intune管理者 | ヘルプデスク | ITマネージャー |
| 例外対応(適用除外申請) | Intune管理者 | ITマネージャー | セキュリティ担当 | 申請部署 |
| 定期レビュー(権限棚卸し) | Intune管理者 | ITマネージャー | セキュリティ担当 | 監査担当・上長 |
| 監査ログの確認・報告 | Intune管理者 | ITマネージャー | セキュリティ担当 | 監査担当・上長 |
初期設定が完了すると運用が安定しているように見えますが、異動・退職によって不要になったロールが残り続けるケースが多発します。定期的な権限棚卸しをスケジュール化し、監査ログで異常な操作がないかを確認する習慣が重要です。
例外対応が属人化する
「この端末だけポリシーを外してほしい」といった例外申請が口頭・チャットで飛び交い、担当者が変わると経緯が分からなくなりがちです。申請・承認・記録のフローを文書化し、RACIに沿って判断者を明確にしておくことで属人化を防げます。
3. 筆者が最初に詰まったポイント
-「Intune管理者=なんでもできる」は誤解 –
Intune管理者になった当初、「デバイス管理全般を担当します」と言われたので、ユーザーアカウントの設定やライセンスの付与もできると思っていました。ところが実際には、それらはIntuneの管理範囲外でした。
IntuneとEntra IDはそれぞれ独立したサービスです。Intune管理者ロールは、あくまでもデバイス・アプリ・ポリシーの管理に特化しています。以下の操作は別のロールが必要です。
※以下はIntune管理者ロール単体では実行できない操作の例です
| できないこと(Intune管理者ロール) | 必要なロール | 備考 |
| Entra IDの管理者ロール付与・変更 | グローバル管理者 / 特権ロール管理者 | Intune管理者の付与も含む |
| ユーザー・デバイスへのライセンス付与 | ライセンス管理者 | Intuneライセンスの割り当ても対象外 |
| Entra IDグループの作成・削除 | グループ管理者 / ユーザー管理者 | グループへのデバイス追加も別途必要
※グループの種類やテナント設定によって異なる |
| ユーザーアカウントの作成・属性変更 | ユーザー管理者 | UPN変更・部署属性の変更など |
| 条件付きアクセスポリシーの作成 | 条件付きアクセス管理者 | Intuneとの連携ポリシー設計時に必要 |
4. 実務でのベストプラクティス
– 役割分担を事前に整理する-
Intune管理者が担う領域と、他のロールと連携が必要な領域を、あらかじめ整理しておくことが安定運用の鍵です。

まとめ
Intune管理者の責任範囲は広範ですが、「何でもできるわけではない」という理解が運用の出発点です。ライセンス管理・Entra IDロール付与・条件付きアクセス設計などは別ロールとの連携が必要です。
↓ この記事の続きを読む
↓ ガイドのトップを見る











