今回は、Intuneにおける RBAC(Role Base Access Control)について考えていきます。正直なところ、なかなかわかりづらいところだったので、なるべく簡単に説明できるように頑張ります。
そもそも RBAC って何?
ロールベースのアクセス制御という意味です。ロール(役割)を定義してそれをユーザーに割り当てます。ロール(役割)には権限を割り当てます。
つまりユーザーに対して直接権限を付与するのではなく、ロールに対して付与して、ユーザーにロールを割り当てることで、そのユーザーは権限を行使できる、とする方式になります。
なぜ間にロールを挟むのか、ということですが、以下のようなメリットがあります。
- 一貫性・簡潔性の向上…ユーザーAに権限abc, ユーザーBに権限bcd...と個別に権限を与えるよりも「ポリシー○○の付与権限」というロール1を定義してそれをユーザーA,Bに与える…としたほうが簡潔になりやすいです。
- 最小権限の原則の維持…ロールごとに必要最小限の権限だけを与えておけば、これを維持しやすくなる。余計な権限を与えづらくなります。
- 監査が容易になる…だれがいつどの権限で何をしたか、というのが追跡しやすくなります。
- 組織変更への対応…ユーザーAが異動した際にロール1をはく奪するほうが、権限abcをそれぞれはく奪するよりも容易になります。また、ユーザーDが、ユーザーAの空いたポジションに移る場合、ロール1だけを付与すればよくなります。
セキュリティとメンテナンス性を考えて、ロールベースのアクセス制御(RBAC)という考え方が浸透してきています。(これはIntuneに限った話ではありません)
Intune における権限について
とはいうものの「なんでもできる人」がいないと、そもそもロールを作成したり、それを割り当てたりすることができなかったりします。Intuneでは「Intune管理者」という何でもできる人が存在します。これはMicrosoft 管理者センターで特定のユーザーに付与できます。また、グローバル管理者もIntune管理者と同様に何でもできる人、になります。それは大変強い権限になってしまうので、適切に権限を委任していく必要があるということです。
ロールを知る前に知っておかないといけない「スコープタグ」
これからロールを作って割り当てをする…という内容のご紹介をするのですが、その前に「スコープタグ」を知っておく必要があります。タグというのは分類のことで、Intuneで定義するポリシーやプロファイルにはほとんど「スコープタグ」というものがついています。タグを割り当てると、そのタグに対するスコープを持たない人はそのポリシーやプロファイルを見ることができなくなります。見ることができないので当然ポリシーを変えるとか適用するとかといったこともできなくなります。
とりあえず、何か適当にタグを作ってみましょう。テナント管理からロールを選択します。
スコープタグをクリックすると以下のように表示されます。
デフォルトでは「既定」というタグが用意されており、ポリシーやプロファイルを作ると既定で割り当てられています。
では「+作成」をクリックして新しいタグを作ってみましょう。名前と説明を入力して「次へ」をクリックします。
「割り当て」でグループを選択できます。これはこのタグ自体を使ったり見たりすることができるユーザー(管理者)を限定することができます。適切なグループがあれば追加します、なければいったんはそのままでも大丈夫です。
これでスコープタグが作れました。後で使用します。
ロールの作成場所
ややこしいのですが、[テナント管理]→[ロール]から作成できます。
すべてのロールから作成→「Intune の役割」でロールを作成できます。
ロールの構成
名前と説明
まずはロールの名前と説明を入力します。
アクセス許可
ここでいろいろなアクセス許可を設定できます。
非常にたくさんありますが、一部紹介させていただきます(すべての説明は上記のリンクを参照ください)
Device Configuration
デバイス管理の構成プロファイルについて
- Assign は割り当てられる権限
- Create は作成できる権限
- Delete は削除できる権限
- View Reports はレポートを確認できる権限
- Update は更新できる権限
- Read はポリシーを確認(閲覧)できる権限
- Update Windows Backup and Restore は更新プログラムに関する権限
Managed Apps
マネージドアプリに関する権限。Create, Update, Delete, Read, Assigin にくわえて Wipeがある。
スコープタグ
次に「スコープタグ」を割り当てます。このロール自体に対するアクセス権限があるかないかをタグで分類できます。「既定」もしくは先ほどつくったスコープタグを設定します。
すると、「確認および作成」ができ、カスタムロールが追加できます。
作成したカスタムロールを見てみると、「割り当て」という項目がありますね。これで作ったロールを人に割り当てるのでしょうか…ちょっと見てみます。
何やら複雑そうですね。つぎに「割り当て」を見ていきましょう
割り当て
ロールは「アクセス許可」をいくつかひとまとめにしておくことができるもの、とわかりました。
ではこれを誰に(何に)割り当てるのかを決めるのが「割り当て」になります。
先ほどと同様、名前と説明を書いて次に進みます。
管理グループ
管理者グループという項目で実際にアサインする人(=管理者)を定義できます。が、特定の「人」ではなくて「グループ」になります。
「グループ」はセキュリティグループになります。M365グループではないことに注意。
スコープグループ
管理グループで定義した「管理者」が管理の対象とする人やデバイスを指定します。こちらもグループで指定しますが、「すべてのユーザー」「すべてのデバイス」といった広い範囲で指定することも可能です。
これにより「営業部管理者は営業部のデバイスだけ管理できる」「営業部管理者は営業部のメンバーだけ管理できる」といったことが可能になります。
スコープタグ
ここで、スコープタグを設定します。すると、そのタグが付いているポリシーやプロファイルが管理できる、という状態になります。
これによって「営業部管理者は営業部のタグがついたポリシーしか見れない(=定義したアクセス許可で与えた権限を行使できるのはタグがついているものだけ)ということになります。
これでロールに対する割り当てができました。
スコープタグをつけておく
忘れてはならないのが、今まで作った or これから作るポリシーやプロファイルにタグを追加することです。
既存のコンプライアンスポリシーを例に見てみます。
既定(Default)のタグが付いていますね。ポリシーをクリックして編集してみます。
もとからあった「既定」タグは削除します。
これでこのコンプライアンスポリシーは、このスコープタグが割り当てられている管理者じゃないと見たり変えたりできなくなりました。
いままでなにをしたのか
ここまでの設定をすると何ができるようになったのかを見てみます。
- ロールを定義…これによって特定の権限が実行できるロールを作成したことになります。
- 割り当て…そのロールの対象を作成しました。
- 管理者グループに含まれる人がこの権限を実行できます。
- スコープグルーブに含まれるユーザー・デバイスに対して権限を行使できます。
- スコープタグが付いているポリシー・プロファイルを操作できます。
ちなみにロールに対してもスコープタグを付与できるので、「営業部の人はそもそも開発部にどんなロールがあるのか知る由もない」という状態にすることができます。
まとめ
Intune にはデバイスやアプリに対して様々なポリシーやプロファイルを作成できます。そして同じテナント(会社)内でも運用方針が異なればそれだけポリシーを作成する必要があります。それらをすべてIntune管理者/Global管理者が管理するとなると、大変です。したがって、適切に役割(ロール)を切り出して管理者を指名して権限を付与する必要があります。そして、それらは必要最低限の権限である必要があります。(例:営業部の人が開発部のデバイスを操作できちゃダメ)
適切にロールを作成・割り当て・運用していきましょう。