🖥️

Entra参加ユーザーの管理者権限を抑制する方法 ~IntuneでのPCキッティング②

に公開2
Intune
Microsoft Entra
tech

Microsoft Entraを使用して、Windows PCにおけるユーザー管理を行う際、特定のユーザーが管理者権限になってしまうことを気にする企業はそれなりにあると思います。

この記事では、Microsoft Intuneで、PCキッティング時にEntraに参加するユーザーの管理者権限を抑制し、管理者権限を持つユーザーを別途グループに追加する方法を具体的に解説します。

Entra・Intuneでの管理者権限抑制設定

Microsoft EntraとIntuneを使用することで、PCキッティング時に自動的にユーザーに管理者権限が付与されるのを防ぎ、特定のユーザーやグループにのみ管理者権限を与えることが可能です。以下の手順で、設定を行います。

1.Entra参加時の管理者権限付与の抑制

通常、EntraへJoinさせた場合には、Joinさせたユーザーは自動的にローカル管理者の権限を持ちます。これを抑制するため、ローカル管理者の設定を行います。
ただし2025年1月時点ではプレビューの機能となりますのでご注意ください。

Microsoft 365の管理ポータルにアクセスし、Entra管理画面に移動します。
すべてのデバイス>デバイスの設定に移動し、ローカル管理者設定の項目までスクロールします。
ここに「登録するユーザーは、Microsoft Entra 参加の間にそのデバイス上のローカル管理者として追加されます (プレビュー)」という項目があり、初期では「すべて」となっています。

How_to_suppress_administrator_privileges_for_Entra_participating_users1.png

これを「なし」へ変更し、「保存」で設定を保存します。
ちなみに画像では、グローバル管理者のローカル管理者への参加も不要であったため、そちらも「いいえ」に変更しています。

How_to_suppress_administrator_privileges_for_Entra_participating_users2.png

これで設定は完了です。

2.各デバイス上でのローカル管理者アカウントの登録

上記だけでは、デバイスの設定変更ができなくなるため、デバイスのAdministratorグループにローカル管理者になるアカウント(グループ)を追加します。

まずIntune管理画面へ移動します。
エンドポイントセキュリティ>アカウント保護>ポリシーの作成へと進みます。
How_to_suppress_administrator_privileges_for_Entra_participating_users3.png

すると右側に新たな入力項目が表示されるので
プラットフォーム:Windows
プロファイル:ローカルユーザー グループ メンバーシップ
と選択し、「作成」を押します。
How_to_suppress_administrator_privileges_for_Entra_participating_users4.png

プロファイルの作成画面に入ります。
名前と説明を入力し、「次へ」を押します。
How_to_suppress_administrator_privileges_for_Entra_participating_users5.png

ローカルグループ:管理者
グループとユーザーのアクション:追加(置換)
ユーザー選択の種類:ユーザー/グループ
とします。

How_to_suppress_administrator_privileges_for_Entra_participating_users6.png

その後、「ユーザー/グループの選択」をクリックすると、グループを指定できますので、管理者権限を付与したいアカウントが所属するグループを指定します。
How_to_suppress_administrator_privileges_for_Entra_participating_users7.png

グループを指定したら、構成設定の画面に戻るので「次へ」
スコープタグの画面では標準の内容で「次へ」

割り当ての画面では、対象となるデバイスを割り当てます。
標準では何も表示されていないのですが、検索枠にフォーカスすると、割り当て候補のグループが表示されます。
ここでは「すべてのデバイス」を選択します。
How_to_suppress_administrator_privileges_for_Entra_participating_users8.png

選択が完了すると以下のような画面になりますので、「次へ」
How_to_suppress_administrator_privileges_for_Entra_participating_users9.png

最後は内容を確認し、問題がなければ「作成」をクリックします。
How_to_suppress_administrator_privileges_for_Entra_participating_users10.png

管理者用のポリシーが作成されました。
How_to_suppress_administrator_privileges_for_Entra_participating_users11.png

ポリシーを適用したら

ポリシーが反映された後のPCでコンピューターの管理>システムツール>ローカルユーザーとグループ>グループに入った後、「Administrators」を見てみると、Administrator以外に新しいグループが追加されています。
これは仕様で追加したグループ名とは違うIDのようなものが表示されてしまうのですが、これが追加されればポリシーの反映はうまくいっています。

How_to_suppress_administrator_privileges_for_Entra_participating_users11.png

あとは実際に管理者権限が必要な操作を行って、IDに権限が割り振られているか確認しましょう!

まとめ

今回はIntuneで管理者アカウントを制御する方法を書きました。
過去にはもっと手間のかかる形で設定を行っていたようで、その当時Intuneの設定調査を記事にされていた方々には頭があがりません。
またMicrosoft様側も日々アップデートを繰り返すことで、今後ますます管理しやすい形になっていくでしょうね。

それでは以上となります。

本記事が役に立ったら、いいねしていってもらえると嬉しいです。

一人でも多くの人が楽に情シス業務ができることを祈っています。

【参考】
Microsoft Intune のポリシーで、Azure AD ユーザーのローカルの管理者権限を削除する。
https://www.softcreate.co.jp/rescue/microsoft/yamaguchi/363

Microsoft Entra参加後にローカル管理者権限を持たせたくない場合の対応
https://note.com/machii_kuro/n/n985490e707bd

【Intune】アカウント保護メニューからローカル管理者のカスタマイズ
https://azuread.net/archives/12016

Discussion

dum0785dum0785

こんにちは!
本記事の管理者権限抑制設定はEntra hybrid Join環境でも適用されるのでしょうか?
ユーザに勝手にアプリをインストールさせてないように管理者権限を制御したいと考えています。

なべやんのTechブログなべやんのTechブログ

こんばんは
コメント&ご質問ありがとうございます。
Entra hybrid Join環境で上記の設定を行った場合の権限制御の詳細な動作については未確認です。
こちら時間があれば調査してみます。

ただもし現在すべてのユーザーにローカル管理者権限が振られている場合、おそらくAD側で管理者権限を配布するポリシーが設定されていると推察します。
※以下ADの管理者権限ポリシーの参考記事です。(昔作成して放置してしまっている私のWebサイトになります(汗)
https://earngineer.hateblo.jp/entry/2019/11/05/Administrator

hybrid Join時のユーザーやデバイスの管理主幹はADとなるため、順当に考えればそちらの制御を優先する可能性が高いです。
また反映が可能であったとしても相反するポリシーを適用することになるため、トラブル発生の確率もあがります。

そのため状況が許すのであれば、AD側のポリシーを見直す対応をおすすめします。
併せてご検討ください。