Microsoft Intune 管理センターのロールベースのアクセス制御を使用して、組織のリソースにアクセスできるユーザー、およびそれらのリソースを使ってできることを管理します。
組み込みの役割
Windows Autopatch を使用すると、ロールベースのアクセス制御で最低特権アクセスを実現し、Microsoft Intune で Windows Update 管理を分散および委任することができます。
重要
Windows Autopatch を低い特権ロールとして正常に管理するには、Autopatch 管理アクセス許可とポリシーとプロファイル管理者アクセス許可の両方がユーザーに必要です。
Windows Autopatch 管理者または Windows Autopatch 閲覧者ロールで定義されているアクセス許可は、Autopatch グループ、サポート要求、Autopatch メッセージ、およびAutopatch レポートを管理するために使用されます。
更新ポリシーと Windows Update レポートを管理するには、デバイス構成アクセス許可が必要です。 このアクセス許可は、ポリシー ロールやプロファイル マネージャー ロールなどの組み込みロールで使用できます。
ポリシーとプロファイル マネージャーの役割
ポリシーとプロファイル マネージャーの役割には、次の更新ポリシーを含む Intune ポリシーを管理するためのデバイス構成アクセス許可が含まれます。
- リングを更新する
- 品質更新プログラム
- 機能更新プログラム
- ドライバーの更新
Windows Autopatch 管理者
Windows Autopatch 管理者ロールは、Windows Autopatch のすべての側面を管理します。
- Autopatch グループ
-
Autopatch レポート
- 品質と機能の更新の状態とトレンド レポート
- サポート要求とメッセージ
Windows Autopatch 閲覧者
Windows Autopatch 閲覧者は、Microsoft Intune で使用できる Windows Autopatch データを表示できますが、変更することはできません。
ポリシー ロールを更新する
Windows 品質更新プログラム、更新リング、Windows 機能更新プログラム、ドライバー更新プログラム、Microsoft 365 Apps、Microsoft Edge ポリシーを管理するには、ユーザーに完全なデバイス構成アクセス許可が必要です。 次の表は、更新管理ロールの完全な一覧です。
| Intune ロール | Update ポリシー |
|---|---|
| ポリシーおよびプロファイル マネージャー | 読み取り/書き込み |
| ヘルプデスク オペレーター | 読み取り |
| 読み取り専用オペレーター | 読み取り |
| Autopatch 管理者 | アクセス許可がありません |
| Autopatch 閲覧者 | アクセス許可がありません |
Windows Autopatch を低い特権ロールとして正常に管理するには、Autopatch 管理アクセス許可とポリシーとプロファイル管理者アクセス許可の両方がユーザーに必要です。
Microsoft Entra ロール
次の Microsoft Entra ロールは、Microsoft Intune ポータルから Windows Autopatch 機能にアクセスできます。
| Microsoft Entra ロール | すべての Windows Autopatch データ | Windows Autopatch > テナント管理 |
|---|---|---|
| グローバル管理者 | 読み取り/書き込み | 読み取り/書き込み |
| Intune サービス管理者 | 読み取り/書き込み | 読み取り/書き込み |
| グローバル閲覧者 | 読み取り | 読み取り |
| サービス サポート管理者 | アクセス許可がありません | 読み取り テナント管理/Windows Autopatch/All |
| セキュリティ管理者 | アクセス許可がありません | 読み取り テナント管理/Windows Autopatch/All |
| セキュリティ閲覧者 | アクセス許可がありません | 読み取り テナント管理/Windows Autopatch/All |
| 課金管理者 | アクセス許可がありません | 読み取り テナント管理/Windows Autopatch/All |
| ヘルプデスク管理者 | アクセス許可がありません | 読み取り テナント管理/Windows Autopatch/All |
カスタムの役割
特定のジョブ ロールに必要なアクセス許可を含む 2 つのカスタム ロールを作成できます。
すべての更新管理を実現するには、Autopatch カスタム ロールに割り当てられているグループも、 ポリシーおよびプロファイル マネージャー ロール のメンバーであるか、同等のアクセス許可を持つカスタム ロールであることを確認します。
[テナント管理]>[ロール]>[カスタム ロールの作成]>[Windows Autopatch] の順に移動して、カスタム ロールを作成します。
| 許可 | 説明 |
|---|---|
| ロールの割り当て/作成 | Autopatch リソースに対して実行される操作の Autopatch ロールを作成します。 |
| ロールの割り当て/更新 | Autopatch のロールを更新します。ここで、Autopatch リソースでの編集操作が実行されます。 |
| ロールの割り当て/削除 | Autopatch のロールを削除します。ここで、Autopatch リソースでの削除操作が実行されます。 |
| ロール/読み取り | Autopatch ロールのアクセス許可、ロール定義、ロールの割り当てを表示します。 操作またはアクションの表示は、Autopatch リソースにおいて実行されます。 |
| Autopatch グループ/読み取り | Autopatch グループとそのプロパティを読み取ります。 |
| Autopatch グループ/作成 | Autopatch グループを作成し、グループの割り当てを追加し、リリース設定を構成します。 |
| Autopatch グループ/編集 | Autopatch グループの編集、リリース設定の変更、グループの割り当ての管理を行います。 |
| Autopatch グループ/削除 | Autopatch グループを削除します。 |
| レポート/読み取り | Autopatch 品質レポートと機能更新レポートの読み取りとエクスポートを行います。 |
| Reports/DiscoverDevices | デバイス レポート アクションを許可して、デバイスを検出できるようにします。 |
| Reports/AssignRing | Autopatch グループへのデバイス リングの割り当てを許可します。 |
| Reports/ExcludeDevices | デバイス レポートでデバイスの除外アクションを実行します。 |
| Reports/RestoreExcludedDevices | デバイス レポートで復元アクションを実行します。 |
| サポート リクエスト/読み取り | 既存の Autopatch サポートのリクエストと応答を読み取ります。 |
| メッセージ/読み取り | 発行された Autopatch とサービス正常性ダッシュボードのメッセージを読み取ります。 |
スコープ
Windows Autopatch では、配布された更新管理に使用する Intune スコープ タグと、スコープを指定されたグループがサポートされています。 Microsoft Intune を使用して、スコープ タグを作成および管理します。
- Windows Autopatch では、Autopatch グループ、Autopatch ロールの割り当て、更新ポリシー、レポートの Intune スコープがサポートされています。
- Autopatch メッセージ、サポート、管理連絡先は、スコープをサポートしていません。
- スコープを指定された管理者によって作成された Autopatch グループは、ユーザーと同じスコープ タグに割り当てられます。
- 同じスコープ タグが割り当てられているスコープ管理者のみが、Autopatch グループを編集および管理できます。
- Autopatch グループを作成し、スコープ タグを割り当てると、作成された更新ポリシーは同じスコープ タグを継承します。
- Autopatch グループに割り当てられたデバイスは、Autopatch グループ スコープ タグを継承しません。 Intune を使用して、スコープ タグをデバイスに割り当てます。
Autopatch グループのアクセス許可
Autopatch グループは、Microsoft Entra グループを作成し、ポリシーを更新し、そのワークフローの一部としてグループにポリシーを割り当てます。 ワークフローを正常に完了するには、両方のアクセス許可が必要です。 Autopatch グループを作成するオプションは、ユーザーが両方のアクセス許可を有効にしている場合にのみ使用できます。
- デバイス構成、すべてのアクセス許可
- Windows Autopatch グループ、すべてのアクセス許可
スコープを指定されたタグが割り当てられている Windows Autopatch グループは、それらの正確なスコープ タグを持つユーザーにのみ表示されます。 これにより、IT 管理者は Autopatch グループを使用してリングベースのロールアウトを管理でき、スコープの不一致の影響を受けないようにします。
注
Autopatch グループ ワークフローでは、展開リングが作成され、更新ポリシーが割り当てられます。 Autopatch ロールにスコープ内のすべてのデバイスが含まれている場合、ポリシー管理ロールにはスコープ内のすべてのデバイスとすべてのユーザーが含まれている必要があります。
Microsoft Entra アクセス許可がないと、ログイン ユーザーがグループを作成できなくなる可能性があります。 ユーザーには、グループを作成するための十分なアクセス許可が必要です。 詳細については、「セルフサービス グループ管理を設定する方法」または「グループの作成のアクセス許可」を参照してください。
ユーザーにスコープを指定されたグループが割り当てられている場合、展開リングへの配布用のスコープを指定されたグループのみを割り当てることができます。
スコープを指定された管理者と Autopatch グループ
スコープを指定された Intune 管理者、特定のスコープ タグとスコープを指定されたグループが割り当てられている管理者ユーザーのみが、スコープを指定されたグループにのみポリシーを割り当てることができます。
注
[すべてのデバイス] と [すべてのユーザー] スコープを持つ Intune 管理者または更新管理者は、保留中の割り当てワークフローを表示できません。これは、特定のスコープ グループを介して割り当てられたスコープを持つロールにのみ影響します。
スコープを指定された管理者と Autopatch グループ ワークフロー
Autopatch グループ作成ワークフローの一環として、Windows Autopatch は、選択した展開設定の Microsoft Entra グループと更新ポリシーを作成します。 新しく作成された展開リングに更新ポリシーを割り当てるには、デバイス構成のアクセス許可を含むロールに、スコープを指定されたグループとして Autopatch グループを含める必要があります。
注
スコープを指定された管理者が自動パッチ グループを使用するには、Intune 管理者またはロール管理者が、新しく作成した Windows Autopatch グループをスコープを指定されたグループとして割り当てる必要があります。
Autopatch グループが [保留中の割り当て] 状態でスコープを指定されたグループとして追加されると、スコープ付き管理者は、Autopatch グループがアクティブになる更新ポリシーを割り当てることができます。
次の表では、全体的なワークフローの概要について説明します。
| ステップ | 説明 | 誰が |
|---|---|---|
| 手順 1: Autopatch グループを作成する | Autopatch グループを作成します。
Autopatch グループを作成または編集すると、Autopatch グループはデバイスを Windows Autopatch サービスに登録します。 Autopatch グループ、展開リング、および更新ポリシーが作成されます。 [Windows 更新プログラム] で更新ポリシーを表示できます。 |
スコープを指定された管理者 |
| 手順 2: Intune 管理者またはロール管理者に問い合わせて、Autopatch 親グループをロールのスコープを指定されたグループとして割り当てる | 次の情報を含めます。
|
スコープを指定された管理者 |
| 手順 3: デバイス構成アクセス許可を持つロールのスコープを指定されたグループとして Autopatch 親グループを割り当てる | スコープを指定されたグループの割り当てを使用して、Autopatch の親をスコープを指定されたグループとして追加します。 | Intune 管理者またはIntune ロール管理者 |
| 手順 4: Autopatch グループを使用する準備が整うように、ポリシーの割り当てを完了する | Autopatch グループが [保留中の割り当て] 状態のままで、スコープを指定されたグループの割り当ての手順がまだ完了していない場合は、[グループの割り当ての完了] を選択します。 ポリシーの割り当てが成功すると、Autopatch グループが [アクティブ] に設定され、使用できる状態になります。 スコープを指定されたグループの割り当てがすぐには使用できない場合があります。 有効になるまでに最大 10 分かかる場合があります。 |
スコープを指定された管理者 |
Autopatch グループにスコープ タグを割り当てる
注
スコープ タグを既存の Autopatch グループに割り当てる場合、スコープ管理者は、Autopatch グループを管理するためのデバイス構成アクセス許可を持つスコープ グループとしてロールに含める必要があります。
Windows Autopatch は、Autopatch グループと展開リングを入れ子にする親グループを作成します。このグループは、スコープを指定されたグループとして追加できます。 親グループ名は、Autopatch グループのプロパティ内にあります。
- Microsoft Intune 管理センターで、[テナント管理]>[Autopatch グループ]>の順に移動し、グループを選択します。 Autopatch グループのすべてのリングとポリシーのスコープは同じです。
- [グループをリングに追加] のオプションで、Autopatch グループに割り当てる Microsoft Entra グループを選択します。 スコープ オブジェクトを持つグループのみを選択できます。
-
[プロパティ]>[スコープ (タグ)]>[編集]>[スコープ タグを選択]> の順に移動し、プロファイルに追加するタグを選択します。 オブジェクトには、最大 100 個のスコープ タグを割り当てることができます。
- ロールベースのアクセス制御の前に作成された Autopatch グループをサービスが検出すると、[スコープ グループ] セクションが表示されます。 これは、スコープ付きグループとして追加できる Microsoft Entra グループが作成されることを示しています。 スコープ管理者は、スコープに含まれている場合、この Autopatch グループを管理できます。
- スコープを指定されたグループを割り当てるには、「スコープを指定された管理者と Autopatch グループ ワークフロー」セクションの手順に従います。
- [レビューと保存] を選択します。
既知の問題
Windows 365 Enterprise では、IT 管理者は、Windows 365 プロビジョニング ポリシーの作成の一環として、Windows Autopatch にデバイスを登録するオプションを提供します。 このアクションを完了するには、Intune サービス管理者である必要があります。
一般的なトラブルシューティング
| シナリオ | メッセージ | 原因 | 解決策 |
|---|---|---|---|
| Autopatch グループを作成、編集、または削除しようとすると、エラー メッセージが表示されます。 | この Autopatch グループを変更するための十分なアクセス許可がありません。 変更できるのは、割り当て済みのスコープに一致する Autopatch グループのみです。 この Autopatch グループには、ロールの割り当てと一致しない追加のスコープ タグが割り当てられています。 または Autopatch グループの申請に失敗し、ログインしたユーザーにスコープ タグが割り当てられています。 |
この問題は、Autopatch グループを編集し、サービスがスコープ タグの不一致を検出したときに発生します。 | Autopatch グループとポリシー割り当てロールに割り当て済みのスコープ タグを確認します。 ポリシー割り当てロールには、より多くのスコープ タグがある場合がありますが、Autopatch グループに割り当て済みのすべてのスコープ タグを含める必要があります。 |
| デバイスを選択するとエラー メッセージが表示され、Autopatch グループ メンバーシップ レポートでリング デバイスの割り当てアクションが表示されます。 | 十分なアクセス許可がない、またはデバイスを割り当てるために必要なスコープがありません。 | この問題は、スコープ タグが一致しないため、Autopatch が Autopatch グループ リストを事前設定できない場合に発生します。 | Autopatch グループとロールのスコープ タグを確認します。 少なくとも 1 つのスコープ タグを共有していることを確認します。 |
| デバイスを選択するとエラー メッセージが表示され、Autopatch グループ メンバーシップ レポートでリング デバイスの割り当てアクションが表示されます。 | このアクションを完了するための十分な Autopatch グループのアクセス許可がありません。 最小の Autopatch グループの読み取りアクセス許可が必要です。 | Autopatch 展開リング間でデバイスを移動するには、Autopatch グループを読み取るアクセス許可が必要です。 | ロールに [Autopatch グループ/読み取りアクセス許可] が含まれていることを確認します。 [テナント管理] > [ロール] > [アクセス許可] の順に移動します。 |
| Autopatch グループ メンバーシップ レポートでデバイスを選択すると、エラー メッセージが表示されます。 | アクセスが拒否されました | デバイスのプロパティを表示するための Intune へのアクセス許可がありません。 | ロールに [マネージド デバイス/読み取りアクセス許可] が含まれていることを確認します。 [テナント管理] > [ロール] > [アクセス許可] の順に移動します。 |
| [リリース]、[リングの更新]、[監視] タブは、委任された Windows Autopatch 管理者としてログインした場合にのみ表示されます。 | Windows Update を表示するために必要なすべてのアクセス許可がありません。 | ロールに [組織/読み取りアクセス許可] が含まれていることを確認します。 [テナント管理] > [ロール] > [アクセス許可] の順に移動します。 | |
| スコープ タグが新しく割り当てられた既存の Autopatch グループを編集しようとすると、エラー メッセージが表示されます。 ポリシー割り当てロールに、親スコープ グループが正常に追加されました。 | この Autopatch グループを変更するための十分なアクセス許可がありません。 変更できるのは、割り当て済みのスコープに一致する Autopatch グループのみです。 この Autopatch グループには、ロールの割り当てと一致しない追加のスコープ タグが割り当てられています。 | この問題は、ログインしているユーザーである "割り当て済みの Entra グループ" が Autopatch 管理者ロール向けにスコープを指定されたグループに含まれていないことをサービスが検出したときに発生します。 これは、既存の Autopatch グループで発生します。 | スコープを指定されたグループとして割り当てられた Entra グループを、Autopatch 管理者ロールに追加します。 |