Intuneのスコープタグを利用してデバイスの表示を制限する方法

Intuneの機能の中にある「スコープタグ」というものをご存じでしょうか。

Intuneでデバイスやポリシーなどを管理していると、セキュリティの観点からIntune管理センターに表示する情報を制限したい、という事はないでしょうか。

例えば、「各支社のIntune管理者ユーザーには、各支社で管理しているデバイスと、各支社のIntune管理者自身が作成したポリシーだけを表示させたい」といった状況が出てくることもあるかと思います。

上記のような運用は、スコープタグを利用すれば可能になります。

今回は、スコープタグの概要や利用方法について説明していきたいと思います。

スコープタグの概要

本章では、スコープタグの概要について記載します。

スコープタグとは

Intuneのスコープタグを利用する事で、タグに対して紐づけられた管理者ユーザーが表示可能なIntuneオブジェクトを限定することが可能です。

スコープタグで制御できるオブジェクト

Intuneのスコープタグでは、決められたオブジェクトにしかタグが付与できません。

制御可能なオブジェクト(タグが付与できるオブジェクト)は以下のものになります。

  • デバイス(Windows, iOS/iPad OS, Mac OS, Android)
  • コンプライアンスポリシー
  • 構成プロファイル
  • Intune配信アプリ
  • Windows10更新リング
  • Windows10の機能更新リング
  • デバイスの登録制限
  • デバイスのカテゴリ
  • ファイアウォールポリシー

スコープタグで制御できないオブジェクト

下記のIntuneオブジェクトは、スコープタグを付与できる規則の対象外です。

  • ユーザー
  • グループ
  • Corpデバイスの識別子
  • デバイスコンプライアンスの場所
  • Jamfデバイス

スコープタグの注意点

Intuneのスコープタグは、Microsoft Entraロールには適用されません。そのため、Intune管理者とグローバル管理者ロールには、スコープタグに関係なく、Intuneへの完全な管理者アクセス権が付与されます。

また、Intuneのオブジェクトには最低でも1つのスコープタグが付与されている必要があります。今回のようにスコープタグを設定していない場合は既定のスコープタグが自動で設定され、これは削除できません。

実際の動作確認

前提条件

本記事では、事前に以下のリソースを作成済みの想定で進めます。

  • グループ
    • 拠点管理者A
      • メンバー:管理者A
    • 拠点管理者B
      • メンバー:管理者B
  • デバイスグループ
    • testgroup
      • メンバー:デバイスA
    • testgroup 2
      • メンバー:デバイスB

想定しているシナリオ

今回は、下記のようなシナリオを想定して、実際の動作確認を行いました。

  • それぞれの拠点ごとの管理者を管理者Aと管理者Bで用意
  • スコープタグAを作成し、以下の要件を実現
    • 管理者AはスコープタグAが付与されたデバイスを閲覧可能
    • 管理者BはスコープタグAが付与された端末を閲覧できない

スコープタグの作成とデバイスグループの割り当て

  1. Intune管理センターにサインインし、「テナント管理」をクリックします
  2. [ロール]をクリックします
  3. [スコープタグ]をクリックします
  4. [作成]をクリックします
  5. 名前に「スコープタグA」と入力します。

  6. スコープタグの「割り当て」で、管理者Aが管理するデバイスが含まれたデバイスグループとして「testgroup」を指定します。

デバイスを閲覧するためのIntune管理者ロールの作成

今回はIntuneでスコープタグで管理されているデバイスを閲覧するために、「拠点管理者A」と「拠点管理者B」にデバイス読み取り権限(Managed devices[Read])のIntune管理者ロールを作成しました。

※ なお、本記事ではロールについての詳細は割愛します

管理者Aで該当のデバイスを閲覧できることを確認する

  1. 管理者AでIntune管理センターにサインインします。

  2. [デバイス]>[すべてのデバイス]をクリックし、該当の端末が閲覧できることを確認します。

管理者Bで該当のデバイスが閲覧できないことを確認する

  1. 管理者BでIntune管理センターにサインインします。

  2. [デバイス]>[すべてのデバイス]をクリックし、該当のデバイスが閲覧できないことを確認します。

最後に

今回は、スコープタグを使用して、各拠点の管理者が閲覧できるデバイスを制限する方法を紹介しました。

今回はデバイスの閲覧に限って紹介しましたが、スコープタグは構成プロファイルやIntuneから配信するアプリにも付与する事が出来ます。

スコープタグの運用が必要になった場合は、本記事を参考にしていただけますと幸いです。

執筆担当者プロフィール
金山 翔太

金山 翔太(日本ビジネスシステムズ株式会社)

Microsoft製品(主にMicrosoft 365やIntune)などの設計に携わったことがあります。趣味はゲームとキャンプです。業務上で学んだことを発信していきます。

担当記事一覧