Intuneの管理者ロールとは?RBACとEntra IDとの違いをやさしく解説

「急に会社のデバイスやアプリの管理を担当することになったけど、何をどこから設定すればいいかまったくわからない……」
この記事は、そんな状況に置かれた方に向けて書いています。IT職だけれどセキュリティ管理は初めて、公式ドキュメントを読んでも難しくて行き詰まっている人——まさに筆者自身がそうでした。
今回は「Microsoft Intune(以下Intune)の管理者ロール」について、定義から組織内での使い方まで、できるだけわかりやすく解説します。
この記事を読むと、以下の3つが理解できるようになります。
- Intuneロールの基本が理解できる
- 最低限の権限設計ができるようになる
- Microsoft Entra ID(以下Entra ID)との違いで迷わなくなる
1. Intune管理者ロールとは
Intune管理者ロールとは、Microsoft Intuneの管理センター内で定義される「誰が・何を・どこまで操作できるか」を決めるための役割(ロール)のことです。
たとえば、「ヘルプデスク担当者はデバイスのリモートワイプができるが、ポリシーの変更はできない」といった細かい権限の分担が可能です。これにより、組織の規模や体制に合わせた安全な管理体制を構築できます。
Intune管理者ロールには大きく2種類あります。
- 組み込みロール:Microsoftがあらかじめ定義した標準ロール
- カスタムロール:組織が独自に作成・設定するロール
組み込みロールの例と使いどころ
| ロール名 | できること | 向いている人 |
| Policy and Profile Manager | 主要なポリシー・プロファイル設定の作成・変更が可能 | 情シス担当者・設計担当 |
| Help Desk Operator | 主にリモート操作やユーザーサポートに関する操作(パスコードリセット等) | サポート担当 |
| Read Only Operator | 閲覧のみ(変更不可) | 監査担当・上長 |
| Endpoint Security Manager | セキュリティポリシーの管理に特化 | セキュリティ担当 |
2. RBAC(ロールベースアクセス制御)とは
RBAC(Role-Based Access Control)とは、ユーザーに直接権限を付与するのではなく、「ロール(役割)」を通じて権限を管理する仕組みです。「この役割の人はこれができる」と定義しておき、人にロールを割り当てる方式です。
IntuneのRBACは、権限(何ができるか)、スコープ(どこに対して)の2軸で構成されます。
この2軸を組み合わせることで、「東京オフィスのデバイスのみ管理できる担当者」のような、きめ細かい権限設計が可能になります。

3. 組織内での位置づけ
Intune管理者ロールは、Microsoft 365の管理体制における「デバイス・アプリ管理の専任担当者」として位置づけられます。組織全体を管理するグローバル管理者のような全権限ではなく、Intuneに特化した権限を委譲する形です。

Entra IDとは、Microsoftが提供するクラウド上のID管理サービスです(旧称:Azure AD)。組織のユーザーアカウントやアクセス権をまとめて管理します。Intuneが「デバイスを管理するサービス」であるのに対し、Entra IDは「誰が・何に・どうアクセスできるかを管理するサービス」です。
RBACロールとサービス管理者の違い
Intune管理者ロール(RBAC)は権限とスコープを細かく制御できるのに対し、Intune管理者(Microsoft Entra IDのディレクトリロール)はIntune管理センターのほぼ全機能にアクセスできます(ただしEntra ID側の操作は対象外)。日常運用にはRBACロールを使い、サービス管理者は最小限の人数に留めることが推奨されます。
4. 筆者が最初に詰まったポイント
– IntuneロールとEntra IDロールは「別管理」 –
最初にここで盛大に混乱しました。Intuneの管理者ロールを付与したのに、「なぜかユーザー管理ができない……」という状況です。
答えはシンプルで、IntuneとEntra IDはそれぞれ独立したサービスなので、権限付与も「別々」に行う必要があります。AさんにIntune管理者ロール(RBAC)を付与しても、Entra ID側の操作(ユーザー管理・ライセンス付与など)はできません。Entra IDの操作が必要な場合は、別途Entra ID側のロールを付与する必要があります。

各ロールの管理場所
| ロールの種類 | 付与・管理される場所 |
| Intune管理者ロール(RBAC) | Intune管理センター → テナント管理 → ロール |
| Intune管理者 | Microsoft Entra ID → ロールと管理者 |
| グローバル管理者 | Microsoft Entra ID → ロールと管理者 |
5. 実務でのベストプラクティス
– 「最小権限の原則」を守る –
権限設計で最も重要なのが「最小権限の原則(Least Privilege)」です。担当者には業務に必要な最低限の権限だけを付与する、という考え方です。
推奨される運用方針
- 日常のデバイス管理は「Intune管理者ロール(RBAC)」で行う
- ヘルプデスクには「Help Desk Operator」など業務に必要な限定ロールを付与する
- グローバル管理者アカウントは緊急時・初期設定時のみ使用し、多要素認証(MFA)を必ず設定する
※MFA(多要素認証):パスワードに加えてスマートフォン認証などを組み合わせ、不正ログインを防ぐ仕組み - スコープタグを活用し、担当者が管理できる範囲(部署・地域など)を明確に限定する
やりがちなミス
- 全員にIntune管理者を付与してしまう
→ 誤操作リスクが高まります。役割に応じたロールを選びましょう - スコープタグを未設定のまま運用する
→ 担当外のデバイスまで操作できてしまいます
実務シナリオ例:中小企業でのロール設計
| 担当者 | 割り当てるロール | 理由 |
| 情シス担当(1名) | Intune管理者 | 全体設定が必要なため |
| ヘルプデスク(複数名) | Help Desk Operator | リセット対応のみ必要なため |
| 上長・監査担当 | Read Only Operator | 閲覧のみで十分なため |
まとめ
Intune管理者ロールは、組織のデバイス・アプリ・ポリシー管理を安全・効率的に行うための権限設計の核心です。「誰が・何を・どこまで」できるかを明確にすることが、セキュアな運用の第一歩になります。
↓ この記事の続きを読む
↓ ガイドのトップを見る











