Microsoftは今週、2026年のIntuneにおけるより重要な変更の1つを静かにリリースしました — ほとんどの組織はまだ気づいていません。5月26日の週から、テナント内のすべてのIntune RBACロールは、Intuneがデータソースとして有効化されている場合、Security Copilotアクセスを自動的に継承します。別のロール割り当ては不要。追加のプロビジョニングステップも不要。ただアクセスが付与されます。

これはAI駆動のエンドポイント管理が環境に届く方法の意味のある変化であり — 利便性をはるかに超える意味合いを持ちます。


何が変更されたか

この更新以前、 Intune管理者にSecurity Copilot機能へのアクセスを提供するには、Security Copilotでの明示的なロール割り当て、またはIntune Administratorのような広範なMicrosoft Entra IDロールが必要でした。実際には、この2段階モデルはほとんどのIntune管理者 — 特にヘルプデスクスタッフ、Tier-1サポート、スコープ付きエンドポイントエンジニア — にIntuneでのAI支援への道がまったくないことを意味しました。IntuneのCopilotは事実上、すでにSecurity Copilotアクセスのプロビジョニングに投資している者だけのものだったのです。

2026年5月26日の週以降、 これが自動的に変わります:

  • Microsoft Entra ID Intune Administratorロールは、Copilot in Intune用にSecurity Copilot Ownerアクセスを自動的に継承
  • その他すべての組み込みおよびカスタムIntune RBACロールは、Security Copilot Contributorアクセスを自動的に継承

トリガー: IntuneがSecurity Copilotのデータソースとして有効化されている必要があります。それが構成されると、継承は自動です — 追加のロールプロビジョニングは不要です。


エンタープライズITにとってなぜ重要か

導入の障壁がなくなった

権限の摩擦は、Copilot in Intuneがほとんどの組織で広く普及しなかった最大の理由でした。大規模にIntuneを実行するITチーム — 数百のデバイスを管理し、複雑なRBAC構造と厳格な変更管理を持つ — は、エンドポイントチームのためにSecurity Copilotロールを一つずつプロビジョニングし始めようとはしませんでした。

Microsoftはその障壁を取り除きました。組織がSecurity CopilotでIntuneデータソースを有効にすると、Intune管理者全体がAI支援を得られます。つまり、Vulnerability Remediation Agent、デバイス調査サマリー、PowerShellスクリプト用のChange Review Agent、その他のCopilot機能が、実際にエンドポイント管理作業を行っている人々 — 特権を持つ一部の人々だけでなく — にアクセス可能になります。

Copilot in Intuneが実際に何をするか

IntuneのSecurity Copilotは管理センターにボルトオンされたチャットボットではありません。埋め込まれたワークフロー固有のAI機能のセットです:

  • Vulnerability Remediation Agent: 管理対象デバイス全体のCVEを分析し、深刻度と露出度で優先順位付けし、Intuneポリシーと構成プロファイルに直接マッピングされるステップバイステップの修復ガイダンスを生成します。定期的に実行され、時間の経過とともに修復進捗を追跡します。
  • Change Review Agent: Windows PowerShellスクリプト用のMulti Admin Approvalエクスペリエンスで直接、リスクベースの推奨を提供 — My requestsおよびAll requestsタブでインラインで利用可能になりました。
  • デバイス調査サマリー: デバイスコンプライアンス、リスク、構成状態の自然言語サマリー — 非準拠デバイスの診断に要する時間を削減します。
  • Security Storeエージェント: インシデントトリアージからConditional Access最適化まで、特定のセキュリティワークフローを自動化できるMicrosoft Security StoreのモジュラーAIエージェント。

これはエンドポイント管理のための実用的なAIです。単なる「ポリシー説明を生成する」アシスタントではなく、脆弱性の滞留時間を削減し調査サイクルを短縮する種類のものです。


組織が今取るべき対応

1. Intune RBAC割り当てを監査 — 今日

これが最も重要な即時対応です。この変更以前、過度に広範なIntune RBAC割り当ては管理上の不便でした。今はSecurity Copilotアクセスの付与でもあります。

必要以上に広いIntune RBACロールを持つユーザー — 例えば完全なデバイス管理権限を持つヘルプデスクスタッフ — は、組織がIntuneデータソースを有効にした際、Security Copilot Contributorアクセスを自動的に継承します。データソースを有効にする前に、最小特権の原則に対してロール割り当てを見直してください。

答えるべき主要な質問:

  • Microsoft Entra IDでIntune Administratorロールを持つのは誰か? その人たちはSecurity Copilot Ownerアクセスを得ます。
  • テナントにどのカスタムRBACロールが存在するか? それらはすべてContributorアクセスを継承します。
  • サービスアカウントや自動化IDにIntune RBACロールが割り当てられているか? それらもCopilotアクセスを継承します。

2. Intuneデータソースを有効にするか決定

自動継承は、IntuneがSecurity Copilotでデータソースとして有効化されている場合にのみアクティブになります。組織がSecurity Copilotをまったく構成していない — またはSecurity Compute Units(SCU)をプロビジョニングしていない — 場合、この変更は今日のテナントに影響しません。

Security Copilotのライセンスを持つ組織にとって、これが決定ポイントです: Intuneデータソースを有効にしてエンドポイントチーム全体のAI機能をアンロックするか、RBACの整備が完了するまで保留するか。

3. 機密操作のMulti Admin Approvalを有効化

MicrosoftはIntuneでMulti Admin Approval(MAA)を構築しており、拡張された管理者機能 — AI推奨の修復を含む — のリスクから保護するためのものです。組織がデバイス構成ポリシー、PowerShellスクリプト、デバイスコンプライアンスポリシーにまだMAAを使用していない場合、今が有効化の時です。MAAは、AI推奨アクションが実行前に2人目の人間のレビューを必要とすることを保証します。

4. Security Copilot使用ログを監視

データソースが有効になったら、予期しない使用パターンについてSecurity Copilot監査ログを確認します。すべてのRBAC保持者がアクセスを自動的に得るため、予想されるCopilot使用のベースラインを設定し、異常に対するアラートを設定してください。

5. SCU消費を監視

Security CopilotはSecurity Compute Units(SCU)でライセンスされます。Intune管理者全体にアクセスを拡大するとSCU消費が増加する可能性が高い — 計画的に対応し、Security Copilotポータルの使用状況ダッシュボードを監視してください。


変更されていないこと

  • Security Copilotは引き続き有料ライセンスが必要 — Intuneをデータソースとして有効にする前にSCUをプロビジョニングする必要があります。この変更自体は意外なコストを生みません。
  • Intuneの機能は変更なし — 既存のポリシー、構成、ワークフローは同一に動作します。Copilot機能は代替ではなく追加です。
  • RBACのスコープ付き権限は影響なし — Intuneで最近導入されたScoped permissionsパブリックプレビューは、従来のデバイス管理操作を引き続き支配します。Copilotアクセスの継承は別の層です。
  • Multi Admin Approvalは引き続き適用 — ポリシーや構成に触れるAI推奨アクションは、構成済みの場合MAAを経由します。

全体像

この変更はMicrosoftのAI戦略の明確なパターンに合致します: 権限モデルを統合し、AIアクセスを既存の管理信頼に従わせ、明示的な有効化キャンペーンではなく摩擦の除去を通じて導入を推進する。

Microsoft EntraのConditional Access Optimization Agent、IntuneのVulnerability Remediation Agent、PowerShellスクリプトのChange Review Agent — すべて同じモデルに従います。既存のRBACによって統轄される、既存の管理ワークフローに埋め込まれたAI機能であり、別個のAIアクセスシステムではありません。

2026年以降についてこれが示すもの: エンドポイント管理のAI支援は「オプトインパイロット」から「デフォルトのインフラ」へ移行しています。Intune RBAC構造を第一級のガバナンス成果物 — 定期的な見直し、最小特権の強制、監査証跡 — として扱う組織は、これらの機能を安全に採用できる位置にあります。RBACの放置を許してきた組織は、AIアクセスが放置とともに拡大することに気づくでしょう。

良いニュース: Microsoftはこれに対応するツールにも投資しています。Scoped Permissionsパブリックプレビュー、Multi Admin Approval、Permissions Assessment Reportはすべて、AI機能が広くアクセス可能な環境で安全に運用するために必要なガバナンスの足場を提供します。


Intuneの変更についてサポートが必要ですか?

Big Hat Groupは組織のMicrosoft Intune環境の設計、展開、管理を支援します — 初期展開から継続的なガバナンス、RBAC設計、Security Copilot統合まで。この変更のテナントへの影響を評価する場合も、完全なRBAC監査が必要な場合もお手伝いできます。

Intune環境についてお問い合わせください →


Big Hat Groupはモダンエンドポイント管理、Microsoft Intune、Microsoft 365展開を専門とするMicrosoftパートナーです。