Today, you can use the role-based access control (RBAC) built-in role ‘Endpoint Security Manager’ to manage policies and features within the Endpoint security node or, you can limit admin actions by using the custom role with the ‘Security baselines’ permission.

In an upcoming release, we will be adding new permissions for each endpoint security workload to allow for additional granularity. The ‘Security baselines’ permission previously included all security policies and now, it will only include security workloads that do not have their own permission.

Stay tuned to What’s new in Intune for the release!

[How this will affect your organization:]

There is no change in functionality for the built-in role ‘Endpoint Security Manager’, you will see the additional new permissions listed in ‘Properties’.

If you are using custom roles with the ‘Security baselines’ permission, the new permissions will automatically be assigned to ensure your admins continue to have the same permissions they have today. As an example, if an admin has been assigned a custom role with ‘Security baselines/Read’ permission, that role would include the new permissions, such as Attack surface reduction/Read’. The ‘Security baselines/Read’ would still be applicable for viewing Security baselines, Firewall, Antivirus, and other security policies that do not have a designated permission. Note: All security workloads are expected to eventually have their own permission.

[What you need to do to prepare:]

No action is required as Intune will make a service-side update to assign the new permissions for admins with a ‘Security baselines’ permission as they become available. If you use these permissions and have documented guides on role-based access, you will want to make a note of these changes and update your administrative guidelines.

If you want to take advantage of the new permissions to add granularity to your roles, stay tuned to What’s new in Intune for the release.

現在、ロールベースのアクセス制御 (RBAC) 組み込みロール “Endpoint Security Manager” を使用して、エンドポイント セキュリティ ノード内のポリシーと機能を管理したり、”セキュリティ ベースライン” アクセス許可を持つ カスタム ロール を使用して管理者アクションを制限したりできます。

今後のリリースでは、エンドポイント セキュリティ ワークロードごとに新しいアクセス許可を追加して、さらに細分化できるようにする予定です。”セキュリティ ベースライン” アクセス許可には、以前はすべてのセキュリティ ポリシーが含まれていましたが、現在は、独自のアクセス許可を持たないセキュリティ ワークロードのみが含まれます。

リリースの Intune の新機能 にご期待ください。

[これが組織に及ぼす影響:]

組み込みロール “Endpoint Security Manager” の機能に変更はなく、追加の新しいアクセス許可が [プロパティ] に一覧表示されます。

「セキュリティ ベースライン」権限を持つカスタムロールを使用している場合は、新しい権限が自動的に割り当てられるため、管理者は現在と同じ権限を引き続き持つことができます。たとえば、管理者に “セキュリティ ベースライン/読み取り” アクセス許可を持つカスタム ロールが割り当てられている場合、そのロールには、攻撃面の縮小/読み取りなどの新しいアクセス許可が含まれます。「セキュリティ ベースライン/読み取り」は、セキュリティ ベースライン、ファイアウォール、ウイルス対策、およびアクセス許可が指定されていないその他のセキュリティ ポリシーを表示する場合にも適用できます。 手記： すべてのセキュリティ ワークロードは、最終的に独自のアクセス許可を持つことが期待されます。

[準備に必要なこと:]

Intune では、”セキュリティ ベースライン” アクセス許可を持つ管理者に新しいアクセス許可を割り当てるために、サービス側の更新プログラムが使用可能になるため、アクションは必要ありません。これらのアクセス許可を使用し、ロールベースのアクセスに関するドキュメント化されたガイドがある場合は、これらの変更をメモし、管理ガイドラインを更新する必要があります。

新しいアクセス許可を利用してロールに粒度を追加する場合は、リリースの 「Intune の新機能 」にご注目ください。