Intuneの管理者ロールとは?RBACとEntra IDとの違いをやさしく解説

2026.06.16
Intune管理者ロールとRBACの権限管理を表すフラットデザインイメージ

「急に会社のデバイスやアプリの管理を担当することになったけど、何をどこから設定すればいいかまったくわからない……」

この記事は、そんな状況に置かれた方に向けて書いています。IT職だけれどセキュリティ管理は初めて、公式ドキュメントを読んでも難しくて行き詰まっている人——まさに筆者自身がそうでした。

今回は「Microsoft Intune(以下Intune)の管理者ロール」について、定義から組織内での使い方まで、できるだけわかりやすく解説します。

この記事を読むと、以下の3つが理解できるようになります。

  • Intuneロールの基本が理解できる
  • 最低限の権限設計ができるようになる
  • Microsoft Entra ID(以下Entra ID)との違いで迷わなくなる

1. Intune管理者ロールとは

Intune管理者ロールとは、Microsoft Intuneの管理センター内で定義される「誰が・何を・どこまで操作できるか」を決めるための役割(ロール)のことです。

たとえば、「ヘルプデスク担当者はデバイスのリモートワイプができるが、ポリシーの変更はできない」といった細かい権限の分担が可能です。これにより、組織の規模や体制に合わせた安全な管理体制を構築できます。

Intune管理者ロールには大きく2種類あります。

  • 組み込みロール:Microsoftがあらかじめ定義した標準ロール
  • カスタムロール:組織が独自に作成・設定するロール

組み込みロールの例と使いどころ

ロール名 できること 向いている人
Policy and Profile Manager 主要なポリシー・プロファイル設定の作成・変更が可能 情シス担当者・設計担当
Help Desk Operator 主にリモート操作やユーザーサポートに関する操作(パスコードリセット等) サポート担当
Read Only Operator 閲覧のみ(変更不可) 監査担当・上長
Endpoint Security Manager セキュリティポリシーの管理に特化 セキュリティ担当

2. RBAC(ロールベースアクセス制御)とは

【用語メモ】
RBAC(Role-Based Access Control)とは、ユーザーに直接権限を付与するのではなく、「ロール(役割)」を通じて権限を管理する仕組みです。「この役割の人はこれができる」と定義しておき、人にロールを割り当てる方式です。

IntuneのRBACは、権限(何ができるか)、スコープ(どこに対して)の2軸で構成されます。
この2軸を組み合わせることで、「東京オフィスのデバイスのみ管理できる担当者」のような、きめ細かい権限設計が可能になります。

Intuneスコープタグによる操作範囲制御の3ステップフロー図
スコープタグは「どのデバイスを管理できるか」を制御する仕組みです。タグとロールを組み合わせることで、担当者ごとに操作範囲を限定できます。

3. 組織内での位置づけ

Intune管理者ロールは、Microsoft 365の管理体制における「デバイス・アプリ管理の専任担当者」として位置づけられます。組織全体を管理するグローバル管理者のような全権限ではなく、Intuneに特化した権限を委譲する形です。

Entra IDとIntune RBACのロール階層構造を示す概念図
グローバル管理者からカスタムロールまでの階層関係。日常運用ではIntune RBACのロールを使い、上位ロールは最小限に留めることが推奨されます。※Intuneサービス管理者の現在の正式名称はIntune管理者(Microsoft Entra IDのディレクトリロール)
【用語メモ】
Entra IDとは、Microsoftが提供するクラウド上のID管理サービスです(旧称:Azure AD)。組織のユーザーアカウントやアクセス権をまとめて管理します。Intuneが「デバイスを管理するサービス」であるのに対し、Entra IDは「誰が・何に・どうアクセスできるかを管理するサービス」です。

RBACロールとサービス管理者の違い
Intune管理者ロール(RBAC)は権限とスコープを細かく制御できるのに対し、Intune管理者(Microsoft Entra IDのディレクトリロール)はIntune管理センターのほぼ全機能にアクセスできます(ただしEntra ID側の操作は対象外)。日常運用にはRBACロールを使い、サービス管理者は最小限の人数に留めることが推奨されます。

4. 筆者が最初に詰まったポイント
– IntuneロールとEntra IDロールは「別管理」 –

最初にここで盛大に混乱しました。Intuneの管理者ロールを付与したのに、「なぜかユーザー管理ができない……」という状況です。

答えはシンプルで、IntuneとEntra IDはそれぞれ独立したサービスなので、権限付与も「別々」に行う必要があります。AさんにIntune管理者ロール(RBAC)を付与しても、Entra ID側の操作(ユーザー管理・ライセンス付与など)はできません。Entra IDの操作が必要な場合は、別途Entra ID側のロールを付与する必要があります。

IntuneロールとEntra IDロールの権限範囲を比較した境界図
IntuneとEntra IDは独立したサービスのため、それぞれのロールを別々に付与する必要があります。片方だけでは管理業務が完結しないケースに注意しましょう。

各ロールの管理場所

ロールの種類 付与・管理される場所
Intune管理者ロール(RBAC) Intune管理センター → テナント管理 → ロール
Intune管理者 Microsoft Entra ID → ロールと管理者
グローバル管理者 Microsoft Entra ID → ロールと管理者

5. 実務でのベストプラクティス
– 「最小権限の原則」を守る –

権限設計で最も重要なのが「最小権限の原則(Least Privilege)」です。担当者には業務に必要な最低限の権限だけを付与する、という考え方です。

特に注意したいのは、グローバル管理者アカウントを日常的なIntune管理に使わないことです。グローバル管理者はMicrosoft 365全体に影響を与える最高権限を持つため、誤操作やアカウント乗っ取りのリスクが非常に高くなります。

推奨される運用方針

  • 日常のデバイス管理は「Intune管理者ロール(RBAC)」で行う
  • ヘルプデスクには「Help Desk Operator」など業務に必要な限定ロールを付与する
  • グローバル管理者アカウントは緊急時・初期設定時のみ使用し、多要素認証(MFA)を必ず設定する
    ※MFA(多要素認証):パスワードに加えてスマートフォン認証などを組み合わせ、不正ログインを防ぐ仕組み
  • スコープタグを活用し、担当者が管理できる範囲(部署・地域など)を明確に限定する

やりがちなミス

  • 全員にIntune管理者を付与してしまう
    → 誤操作リスクが高まります。役割に応じたロールを選びましょう
  • スコープタグを未設定のまま運用する
    → 担当外のデバイスまで操作できてしまいます

実務シナリオ例:中小企業でのロール設計

担当者 割り当てるロール 理由
情シス担当(1名) Intune管理者 全体設定が必要なため
ヘルプデスク(複数名) Help Desk Operator リセット対応のみ必要なため
上長・監査担当 Read Only Operator 閲覧のみで十分なため

まとめ

Intune管理者ロールは、組織のデバイス・アプリ・ポリシー管理を安全・効率的に行うための権限設計の核心です。「誰が・何を・どこまで」できるかを明確にすることが、セキュアな運用の第一歩になります。

 ↓ この記事の続きを読む

 ↓ ガイドのトップを見る

この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。

製造業での現場経験を経てIT業界へ転身した異色のキャリアを持ちます。製造の現場で培った「工程管理」や「業務の流れを俯瞰する視点」は、IT領域においても大きな強みです。現場を知るからこそ見えてくる無駄や非効率に対して、クラウドツールやシステムを活用した実践的な改善提案が得意です。時間とコストを削減し、現場の方が本来の仕事に集中できる環境づくりを支援します。

おすすめの記事

目次