Microsoft Entra 参加済みデバイスのローカル管理者グループを管理する方法

2024-06-27

Windows デバイスを管理するには、ローカル管理者グループのメンバーになる必要があります。 Microsoft Entra 参加プロセスの一環として、Microsoft Entra ID によってデバイスでのこのグループのメンバーシップが更新されます。メンバーシップの更新方法は、ビジネス要件に応じてカスタマイズすることもできます。メンバーシップの更新は、たとえば、デバイスへの管理者権限を要するタスクをヘルプデスクスタッフが実行できるようにするうえで役立ちます。

この記事では、Microsoft Entra 参加の間に、ローカル管理者のメンバーシップがどのように更新されるのか、およびそれをカスタマイズする方法について説明します。この記事の内容は、 Microsoft Entra ハイブリッド参加済みデバイスには 適用されません。

しくみ

Microsoft Entra 参加時に、次のセキュリティプリンシパルが、デバイスのローカル管理者グループに追加されます。

Microsoft Entra 参加済みデバイスのローカル管理者ロールと、グローバル管理者ロール
Microsoft Entra の参加を実行するユーザー

メモ

これは、結合操作中にのみ行われます。この時点以降に管理者が変更を加える場合は、デバイスのグループメンバーシップを更新する必要があります。

ユーザーを Microsoft Entra 参加済みデバイスローカル管理者ロールに追加することで、そのデバイス上で何も変更することなく、デバイスを管理できるユーザーを Microsoft Entra ID 内でいつでも更新できます。 Microsoft Entra 参加済みデバイスローカル管理者ロールは、最小限の特権の原則をサポートするために、ローカル管理者グループに追加されます。

管理者ロールを管理する

管理者ロールロールのメンバーシップを表示および更新するには、次を参照してください。

Microsoft Entra 参加済みデバイスのローカル管理者ロールを管理する

Microsoft Entra 参加済みデバイスローカル管理者ロールは、デバイス設定から管理できます。

Microsoft Entra 管理センターに、少なくとも特権ロール管理者としてサインインします。
ID>デバイス>すべてのデバイス>デバイス設定 を参照します。
すべての Microsoft Entra 参加済みデバイスで [追加のローカル管理者の管理] を選択します。
[ 割り当ての追加] を選択し、追加する他の管理者を選択し、[追加] を選択 します。

Microsoft Entra 参加済みデバイスのローカル管理者ロールを変更するには、 すべての Microsoft Entra 参加済みデバイスで追加のローカル管理者を構成します。

メモ

このオプションには、Microsoft Entra ID P1 または P2 ライセンスが必要です。

Microsoft Entra 参加済みデバイスのローカル管理者は、すべての Microsoft Entra 参加済みデバイスに割り当てられます。このロールの対象範囲を特定のデバイスセットに限定することはできません。 Microsoft Entra 参加済みデバイスのローカル管理者ロールを更新しても、影響を受けるユーザーにすぐに影響を与えるわけではありません。ユーザーが既にサインインしているデバイスでは、次の "両方の" アクションが発生したときに特権の昇格が行われます。

Microsoft Entra ID が適切な特権を持つ新しいプライマリ更新トークンを発行するのに、最大で 4 時間経過した。
ユーザーはプロファイルを更新するために、ロック解除ではなく、一度サインアウトしてから再度サインインします。

ユーザーはローカル管理者グループに直接リストされず、そのアクセス許可はプライマリ更新トークンを通じて受け取られます。

メモ

上記のアクションは、関連するデバイスに以前にサインインしていないユーザーには適用されません。この場合、管理者特権は、デバイスへの最初のサインインの直後に適用されます。

Microsoft Entra グループを使用して管理者特権を管理する

Microsoft Entra グループを使用すると、ローカルユーザーおよびグループモバイルデバイス管理 (MDM) ポリシーを使用して、Microsoft Entra 参加済みデバイスの管理者特権を管理できます。このポリシーを使用すると、Microsoft Entra 参加済みデバイスのローカル管理者グループに個々のユーザーまたは Microsoft Entra グループを割り当てることができ、さまざまなデバイスグループに対して個別の管理者をきめ細かく構成できます。

組織では、Intune を使用して、カスタム OMA-URI 設定またはアカウント保護ポリシーを使用してこれらのポリシーを管理できます。このポリシーを使用する際の考慮事項は次のとおりです。

ポリシーを使用して Microsoft Entra グループを追加するには、Microsoft Graph API for Groups を実行して取得できるグループのセキュリティ識別子 (SID) が必要です。 SID は、API 応答の securityIdentifier プロパティと同等です。
このポリシーを使う管理者特権は、Windows 10 以降のデバイスの既知のグループ (Administrators、Users、Guests、Power Users、Remote Desktop Users、Remote Management Users) に対してのみ評価されます。
Microsoft Entra グループを使用したローカル管理者の管理は、Microsoft Entra ハイブリッド参加済みデバイスまたは Microsoft Entra 登録済みデバイスには適用されません。
このポリシーを使用してデバイスに展開された Microsoft Entra グループは、リモートデスクトップ接続には適用されません。 Microsoft Entra 参加済みデバイスに対するリモートデスクトップのアクセス許可を制御するには、個々のユーザーの SID を適切なグループに追加する必要があります。

重要

Microsoft Entra ID による Windows サインインでは、最大 20 グループについての管理者権限の評価がサポートされています。管理者権限が正しく割り当てられるように、各デバイスで 20 個を超える Microsoft Entra グループを作成しないことをお勧めします。この制限は、入れ子になったグループにも適用されます。

通常のユーザーの管理

Microsoft Entra ID では既定で、Microsoft Entra 参加を実行するユーザーはデバイスの管理者グループに追加されます。通常のユーザーがローカル管理者になることを防ぐ必要がある場合は、次のオプションで対応できます。

Windows Autopilot - Windows Autopilot には、 Autopilot プロファイルを作成することで、参加を実行するプライマリユーザーがローカル管理者になることを防ぐオプションが用意されています。
一括登録 - 一括登録のコンテキストで実行される Microsoft Entra の結合は、自動生成されたユーザーのコンテキストで行われます。デバイスの参加後にサインインしたユーザーは、管理者グループに追加されません。

デバイスのユーザーを手動で昇格させる

Microsoft Entra 参加プロセスの使用に加えて、通常のユーザーを手動で昇格させて、特定のデバイスのローカル管理者にすることもできます。この手順を実行するには、既にローカル管理者グループのメンバーになっている必要があります。

Windows 10 1709 リリース以降では、設定>Accounts>その他のユーザーからこのタスクを実行できます。 [職場または学校のユーザーの追加] を選択し、[ユーザー アカウント] にユーザーのユーザープリンシパル名 (UPN) を入力し、[アカウントの種類] で [管理者] を選択します

また、コマンドプロンプトを使用してユーザーを追加することもできます。

テナントユーザーがオンプレミスの Active Directory から同期された場合は、net localgroup administrators /add "Contoso\username" を使用します。
テナントユーザーが Microsoft Entra ID で作成された場合は、net localgroup administrators /add "AzureAD\UserUpn" を使用します

考慮事項

ロールベースのグループは、Microsoft Entra 参加済みデバイスローカル管理者ロールにのみ割り当てることができます。
Microsoft Entra 参加済みデバイスのローカル管理者ロールは、すべての Microsoft Entra 参加済みデバイスに割り当てられます。このロールを特定のデバイスセットに限定することはできません。
Windows デバイスのローカル管理者権限は、 Microsoft Entra B2B ゲストユーザーには適用されません。
Microsoft Entra 参加済みデバイスローカル管理者ロールからユーザーを削除しても、変更はすぐには行われません。ユーザーは、デバイスにサインインしている限り、ローカルの管理者特権を持っています。特権は、次回サインイン中に、新しいプライマリ更新トークンが発行されるときに失効します。この失効は、特権の昇格と同様に、最大で 4 時間かかる場合があります。

次のステップ

デバイスを管理する方法の概要については、「デバイス ID の管理」を参照してください。
デバイスベースの条件付きアクセスの詳細については、「条件付きアクセス: 準拠している必要があります」または「Microsoft Entra ハイブリッド参加済みデバイス」を参照してください。