次の方法で共有


Microsoft Entra 参加済みデバイスのローカル管理者グループを管理する方法

Windows デバイスを管理するには、ローカル管理者グループのメンバーになる必要があります。 Microsoft Entra 参加プロセスの一環として、Microsoft Entra ID によってデバイスでのこのグループのメンバーシップが更新されます。 メンバーシップの更新方法は、ビジネス要件に応じてカスタマイズすることもできます。 メンバーシップの更新は、たとえば、デバイスへの管理者権限を要するタスクをヘルプデスク スタッフが実行できるようにするうえで役立ちます。

この記事では、Microsoft Entra 参加の間に、ローカル管理者のメンバーシップがどのように更新されるのか、およびそれをカスタマイズする方法について説明します。 この記事の内容は、Microsoft Entra ハイブリッド参加済みデバイスには適用されません。

しくみ

Microsoft Entra 参加時に、次のセキュリティ プリンシパルが、デバイスのローカル管理者グループに追加されます。

Note

これは、結合操作中にのみ行われます。 この時点以降に管理者が変更を加える場合は、デバイスのグループ メンバーシップを更新する必要があります。

Microsoft Entra 参加済みデバイスローカル管理者ロールにユーザーを追加することで、デバイス上で何も変更することなく、いつでも Microsoft Entra ID でデバイスを管理できるユーザーを更新できます。 Microsoft Entra 参加済みデバイスのローカル管理者ロールは、最小限の特権の原則をサポートするために、ローカル管理者グループに追加されます。

管理者ロールを管理する

管理者ロール ロールのメンバーシップを表示および更新するには、次を参照してください。

Microsoft Entra 参加済みデバイスのローカル管理者ロールを管理する

Microsoft Entra 参加済みデバイスローカル管理者 のロールは、デバイス設定から管理できます。

  1. Microsoft Entra 管理センター特権ロール管理者以上としてサインインします。
  2. ID>デバイス>すべてのデバイス>デバイス設定 を参照します。
  3. [Manage Additional local administrators on all Microsoft Entra joined devices] (すべての Microsoft Entra 参加済みデバイスで追加のローカル管理者を管理する) をオンにします。
  4. [Add assignments] (割り当ての追加) を選択し、追加するほかの管理者を選択して、[追加] を選択します。

Microsoft Entra 参加済みデバイスのローカル管理者ロールを変更するには、すべての Microsoft Entra 参加済みデバイス 追加のローカル管理者 を構成します。

Note

このオプションには、Microsoft Entra ID P1 または P2 ライセンスが必要です。

Microsoft Entra 参加済みデバイスのローカル管理者は、すべての Microsoft Entra 参加済みデバイスに割り当てられます。 デバイス管理者の対象範囲を特定のデバイス セットに限定することはできません。 Microsoft Entra 参加済みデバイスのローカル管理者ロールを更新しても、影響を受けるユーザーにすぐに影響を与えるわけではありません。 ユーザーが既にサインインしているデバイスでは、次の "両方の" アクションが発生したときに特権の昇格が行われます。

  • Microsoft Entra ID が適切な特権を持つ新しいプライマリ更新トークンを発行するのに、最大で 4 時間経過した。
  • ユーザーが、プロファイルを更新するために、ロックおよびロック解除ではなく、いったんログアウトした後でサインインした。

ユーザーはローカル管理者グループに直接リストされず、そのアクセス許可はプライマリ更新トークンを通じて受け取られます。

Note

上記のアクションは、関連するデバイスに以前にサインインしていないユーザーには適用されません。 この場合、管理者特権は、デバイスへの最初のサインインの直後に適用されます。

Microsoft Entra グループを使用して管理者特権を管理する (プレビュー)

Microsoft Entra グループを使用して、ローカル ユーザーとグループのモバイル デバイス管理 (MDM) ポリシーで Microsoft Entra 参加済みデバイスの管理者特権を管理できます。 このポリシーを使用すると、Microsoft Entra 参加済みデバイスのローカル管理者グループに個々のユーザーまたは Microsoft Entra グループを割り当てることができ、さまざまなデバイス グループに対して個別の管理者をきめ細かく構成できます。

組織は、Intune のカスタム OMA-URI 設定またはアカウント保護ポリシーを使用してこれらのポリシーを管理することができます。 このポリシーを使用する際の考慮事項は次のとおりです。

  • ポリシーを使用して Microsoft Entra グループを追加するには、グループのセキュリティ ID (SID) が必要です。これはグループに対して Microsoft Graph API を実行して取得できます。 SID は、API 応答の securityIdentifier プロパティと同等です。

  • このポリシーを使う管理者特権は、Windows 10 以降のデバイスの既知のグループ (Administrators、Users、Guests、Power Users、Remote Desktop Users、Remote Management Users) に対してのみ評価されます。

  • Microsoft Entra グループを使用したローカル管理者の管理は、Microsoft Entra ハイブリッド参加済みデバイスまたは Microsoft Entra 登録済みデバイスには適用されません。

  • このポリシーを使用してデバイスに展開された Microsoft Entra グループは、リモート デスクトップ接続には適用されません。 Microsoft Entra 参加済みデバイスに対するリモート デスクトップのアクセス許可を制御するには、個々のユーザーの SID を適切なグループに追加する必要があります。

重要

Microsoft Entra ID による Windows サインインでは、最大 20 グループについての管理者権限の評価がサポートされています。 管理者権限が正しく割り当てられるように、各デバイスで 20 個を超える Microsoft Entra グループを作成しないことをお勧めします。 この制限は、入れ子になったグループにも適用されます。

通常のユーザーの管理

Microsoft Entra ID では既定で、Microsoft Entra 参加を実行するユーザーはデバイスの管理者グループに追加されます。 通常のユーザーがローカル管理者になることを防ぐ必要がある場合は、次のオプションで対応できます。

  • Windows Autopilot - Windows Autopilot には、参加を実行するプライマリ ユーザーがローカル管理者になるのを防ぐオプションがあります。そのためには、Autopilot プロファイルを作成します。
  • 一括登録 - 一括登録のコンテキストで実行される Microsoft Entra 参加は、自動作成されたユーザーのコンテキストで発生します。 デバイスの参加後にサインインしたユーザーは、管理者グループに追加されません。

デバイスのユーザーを手動で昇格させる

Microsoft Entra 参加プロセスの使用に加えて、通常のユーザーを手動で昇格させて、特定のデバイスのローカル管理者にすることもできます。 この手順を実行するには、既にローカル管理者グループのメンバーになっている必要があります。

Windows 10 1709 リリース以降では、[設定] -> [アカウント] -> [その他のユーザー] からこのタスクを実行できます。 [職場または学校のアカウントの追加] を選択し、[ユーザー アカウント] でユーザーのユーザー プリンシパル名 (UPN) を入力し、[アカウントの種類][管理者] を選択します

また、コマンド プロンプトを使用してユーザーを追加することもできます。

  • テナント ユーザーがオンプレミスの Active Directory から同期された場合は、net localgroup administrators /add "Contoso\username" を使用します。
  • テナント ユーザーが Microsoft Entra ID で作成された場合は、net localgroup administrators /add "AzureAD\UserUpn" を使用します

考慮事項

  • ロール ベースのグループは、Microsoft Entra 参加済みデバイスローカル管理者ロールにのみ割り当てることができます。
  • Microsoft Entra 参加済みデバイスのローカル管理者ロールは、すべての Microsoft Entra 参加済みデバイスに割り当てられます。 このロールを特定のデバイス セットに限定することはできません。
  • Windows デバイスのローカル管理者権限は、Microsoft Entra B2B のゲスト ユーザーには適用されません。
  • Microsoft Entra 参加済みデバイスローカル管理者ロールからユーザーを削除しても、変更はすぐには行われません。 ユーザーは、デバイスにサインインしている限り、ローカルの管理者特権を持っています。 特権は、次回サインイン中に、新しいプライマリ更新トークンが発行されるときに失効します。 この失効は、特権の昇格と同様に、最大で 4 時間かかる場合があります。

次のステップ