デバイス管理アクセス許可を Microsoft Entra ID のカスタム ロール定義で使うと、次のようなきめ細かいアクセス権を付与できます。
- デバイスを有効または無効にする
- デバイスの削除
- BitLocker 回復キーの読み取り
- BitLocker メタデータの読み取り
- デバイス登録ポリシーの読み取り
- デバイス登録ポリシーの更新
この記事では、さまざまなデバイス管理シナリオのカスタム ロールで使用できるアクセス許可の一覧を示します。 カスタム ロールを作成する方法については、「Microsoft Entra IDでカスタム ロールを作成する」を参照してください。
デバイスを有効または無効にする
デバイスの状態を切り替えるには、次のアクセス許可を使用できます。
- microsoft.directory/devices/enable
- microsoft.directory/devices/disable
BitLocker 回復キーの読み取り
次のアクセス許可を使用して、BitLocker メタデータと回復キーを読み取ることができます。 この 1 つのアクセス許可で、BitLocker メタデータと回復キーの両方の読み取りができることに注意してください。
- microsoft.directory/bitlockerKeys/key/read
BitLocker 回復キーを見るには、[すべてのデバイス] ページでデバイスを選択して、[回復キーを表示する] を選択します。 BitLocker 回復キーの読み取りの詳細については、「BitLocker キーを表示またはコピーする」を参照してください。
注
Windows Autopilot を利用するデバイスが Entra に参加するために再利用され、新しいデバイス所有者がいる場合、その新しいデバイス所有者は管理者に連絡して、そのデバイスの BitLocker 回復キーを取得する必要があります。 カスタム役割または管理単位スコープの管理者は、デバイス所有権の変更が行われたデバイスの BitLocker 回復キーにアクセスできなくなります。 これらのスコープの管理者は、スコープ外の管理者に連絡して回復キーを取得する必要があります。 詳細については、「Intune デバイスのプライマリ ユーザーを検索する」の記事を参照してください。
BitLocker メタデータの読み取り
次のアクセス許可を使用して、すべてのデバイスの BitLocker メタデータを読み取ることができます。
- microsoft.directory/bitlockerKeys/metadata/read
すべてのデバイスの BitLocker メタデータを読み取ることはできますが、BitLocker 回復キーを読み取ることはできません。
デバイス登録ポリシーの読み取り
次のアクセス許可を使用して、テナント全体のデバイス登録設定を読み取ることができます。
- microsoft.directory/deviceRegistrationPolicy/standard/read
デバイスの設定は、Microsoft Entra 管理センターで確認できます。
![Azure portal の [デバイス設定] ページを示すスクリーンショット。](media/custom-device-permissions/device-settings.png)
デバイス登録ポリシーの更新
次のアクセス許可を使用して、テナント全体のデバイス登録設定を更新することができます。
- microsoft.directory/deviceRegistrationPolicy/basic/update
アクセス許可の全一覧
お読みください
| 権限 | 説明 |
|---|---|
| microsoft.directory/devices/createdFrom/read | モノのインターネット (IoT) デバイス テンプレート リンクから作成されたものを読み取る |
| microsoft.directory/devices/registeredOwners/read | デバイスの登録済み所有者を読み取る |
| microsoft.directory/devices/registeredUsers/read | デバイスの登録済みユーザーを読み取る |
| microsoft.directory/devices/standard/read | デバイスで基本プロパティを読み取る |
| microsoft.directory/bitlockerKeys/key/read | デバイス上の bitlocker メタデータとキーを読み取る |
| microsoft.directory/bitlockerKeys/metadata/read | デバイスの BitLocker キー メタデータを読み取る |
| microsoft.directory/deviceRegistrationPolicy/standard/read | デバイス登録ポリシーの標準プロパティの読み取り |
更新
| 権限 | 説明 |
|---|---|
| microsoft.directory/devices/registeredOwners/update | デバイスの登録済み所有者を更新する |
| microsoft.directory/devices/registeredUsers/update | デバイスの登録済みユーザーを更新する |
| microsoft.directory/devices/enable | Microsoft Entra ID でデバイスを有効にする |
| microsoft.directory/devices/disable | Microsoft Entra ID でデバイスを無効にする |
| microsoft.directory/deviceRegistrationPolicy/basic/update | デバイス登録ポリシーの基本プロパティを更新する |
削除
| 権限 | 説明 |
|---|---|
| microsoft.directory/devices/delete | Microsoft Entra ID からデバイスを削除する |
次のステップ
- Microsoft Entra ID でカスタム ロールを作成する
- Microsoft Entra ロールの割り当てを一覧表示する