デフォルトの設定ですと、ユーザーがEntraに参加した際、そのデバイス上でローカル管理者の権限が付与されます。この設定を変更することにより、ユーザー・グループ、デバイスに応じてローカル管理者の権限を制御することができます。
- 操作環境:
- OS:Windows 11
- Webブラウザー:Edge
- 使用プラン:Microsoft 365 Business Premium
- 管理デバイス環境:Windows 11
- Entraユーザーのローカル管理者権限の制御方法について
- 方法1. Entra管理C Entra参加時のローカル管理者設定
- 方法2. Entra管理C Entra参加後のローカル管理者設定
- 方法3. Intune管理C アカウント保護ポリシーによるローカル管理者設定
- おわりに
Entraユーザーのローカル管理者権限の制御方法について
Entraユーザーへのローカル管理者権限付与の方法はいくつかあります。
| 設定方法 | タイミング | デバイス指定 | Autopilotのみ適用 |
|---|---|---|---|
| 方法1.Entraローカル管理者設定(Entra参加時) | Entra参加時 | 不可 | いいえ(両方) |
| 方法2.Entraローカル管理者設定(Entra参加後) | Entra参加時/後 | 不可 | いいえ(両方) |
| 方法3.Intuneアカウント保護ポリシー | Entra参加時/後 | 可 | いいえ(両方) |
| 方法4.IntuneAutopilotデプロイプロファイル(*1) | Entra参加時/後(*2) | 可 | はい |
方法1はこの記事の投稿時点(2025年6月)ではプレビュー機能となります。また、方法4は以前の記事の工程7で紹介済のため、今回は割愛します。
- 方法1,2 Entraローカル管理者設定に関する公式記事:
Microsoft Entra 参加済みデバイスのローカル管理者を管理する方法 - Microsoft Entra ID | Microsoft Learn
- 方法3. Intuneアカウント保護ポリシーによる設定に関する公式記事:
Microsoft Intuneのエンドポイント セキュリティ ポリシーを使用してアカウント保護設定を管理する | Microsoft Learn
方法1. Entra管理C Entra参加時のローカル管理者設定
ユーザーがEntraに参加した時、そのデバイスのローカル管理者権限を追加するかどうかを設定できます(デフォルトは追加する設定)。
デバイス指定はできないため、組織で共通的にローカル管理者権限を付与したい場合に使用します。
WebブラウザーよりMicrosoft Entra管理センターにアクセスし、左メニューの[デバイス>すべてのデバイス]を選択し、サブメニューの[管理>デバイスの設定]を選択します。[ローカル管理者設定]の二項目を設定し、[保存]を選択します。この例では、以下の通りとしました。
- グローバル管理者ロールを持つユーザー:はい(追加する)
- 登録ユーザー:なし(追加しない)(*)
*グローバル管理者ロールを持たないユーザーにローカル管理者権限を付与したい場合は、登録ユーザーの方に設定します
グローバル管理者ロールを持つユーザー(この例ではシステム管理者)で、新たなデバイスにEntra参加し、ローカル管理者権限が付与されているか確認します。
ローカルユーザーでPCにサインインした状態で、設定メニューの[アカウント>組織または学校にアクセスする]を選択し、[接続]を選択します。
[このデバイスをMicrosoft Entra IDに参加させる]を選択します。
Entraユーザーのアカウント名(この例ではシステム管理者のメールアドレス)を入力し、[次へ]を選択します。
Entraユーザーのパスワードを入力し、[サインイン]を選択します。
多要素認証を求められたら、認証アプリに番号を入力し、認証を進めます。
確認メッセージが表示されたら、[参加する]を選択します。
接続できた旨のメッセージが表示されたら、[完了]を選択します。
Entraユーザーで接続できた旨のメッセージが表示されたら、ローカルユーザーからサインアウトし、Entraユーザーでサインインし直します。
設定メニューの[アカウント]を選択すると、アカウント名の下に[管理者]と表示されていました。
方法2. Entra管理C Entra参加後のローカル管理者設定
図表2-1と同じ画面にある、Entra参加後のデバイスへのローカル管理者の追加設定を行います。
Microsoft Entra管理センターの左メニューの[デバイス>すべてのデバイス]を選択し、サブメニューの[管理>デバイスの設定]を選択します。[管理Microsoft Entraに参加済みのすべてのデバイスの追加のローカル管理者]リンクを選択します。
[割り当ての追加]を選択します。
ローカル管理者として追加したいユーザーを検索し、見つかったらチェックをつけ、[追加]を選択します。
この例では、[User Aaa]ユーザーを追加しています。
割り当てが追加された旨のメッセージが表示されたら、工程2で使用したPCに[User Aaa]ユーザーでサインインしてみます。
設定メニューの[アカウント]を選択すると、アカウント名の下に[管理者]と表示されていました。
方法3. Intune管理C アカウント保護ポリシーによるローカル管理者設定
準備
方法3の挙動確認を分かりやすくするため、Intuneの設定を進める前に、図表2-1,図表3-1の設定を無効化します。
方法1,2で使用したPCもIntuneでリタイヤを実行し、Entraに誰も参加していない状態にしました。
Intune管理C ポリシー設定
Intuneのアカウント保護ポリシーを使い、Entraユーザーのローカル管理者権限付与を行います。
WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[エンドポイントセキュリティ]を選択し、サブメニューの[管理>アカウント保護]を選択し、[ポリシーの作成]を選択します。
以下の通り設定し、[作成]を選択します。
- プラットフォーム:Windows
- プロファイル:ローカルユーザーグループメンバーシップ
[基本情報]ステップでポリシーの名前を適宜入力し、[次へ]を選択します。
この例では、システム管理者と[User Aaa]ユーザーにローカル管理者権限を追加します。
[構成]ステップで以下の通り設定し、[次へ]を選択します。
- ローカルグループ:管理者
- グループとユーザーのアクション:追加(更新)
*追加(置換)を選択すると、既にローカル管理者権限を保持しているユーザーがクリアされ、新しい設定に置き換わります。既存の設定がクリアされるので設定ミスに注意!
- ユーザー選択の種類:ユーザー/グループ
- 選択されたユーザー:システム管理者、[User Aaa]ユーザー
[スコープタグ]ステップは何も指定せず [次へ]を選択します。
[割り当て]ステップでこのポリシーの適用対象にしたいデバイスグループを選択します。この例では組織内の全Windowsデバイスを包含するグループを選択していますが、一部のデバイスに絞ったグループを選択することもできます。
[割り当て]ステップの[ターゲットの種類]で[含める]を選択し、[次へ]を選択します。
[確認して作成]ステップで設定内容を確認し、問題なければ[保存]を選択します。
Intune管理C 適用確認
追加したポリシーの適用状況を確認します。
サブメニューの[アカウント保護]の一覧で、追加したポリシー(この例では[WindowsPCローカル管理者権限制御])を選択します。
成功/エラー等の件数画面が表示されたら、[レポートの表示]を選択します。
対象のデバイスやログインユーザーの行を選択すると、さらに詳細を確認できます。
ユーザーPC 動作確認
工程2と同じ手順でシステム管理者のアカウントでEntraに参加しました。
設定メニューの[アカウント>その他のユーザー]を選択したところ、システム管理者と[User Aaa]がローカル管理者権限が付与された状態で追加されていることを確認できました。
おわりに
ユーザーがEntraに参加した際、Entraのデフォルト設定ではそのデバイスのローカル管理者権限が付与されるようになっています。しかし、一般ユーザーにはローカル管理者権限を付与させたくないニーズも多いかと思います。この記事で紹介した複数の方法と挙動が参考になれば幸いです。
方法3の図表4-5の[グループとユーザーのアクション]で[追加(置換)]を選択すると、既存のローカル管理者権限設定がクリアされ、新しい設定に置き換わりますので、設定ミスにご注意ください(誤って必要な設定を削除しないように!)。
当ブログの関連記事
