特定のEntra IDグループに含まれる人のみ特定のWindows端末にログインできるようにしたいお話
概要
文字にすると難しいのでイラストにまずはしてみました(雑でごめんなさい)
Entra IDのメールアドレス・パスワードを使い、他の端末に簡単にログインができてしまいます
今回社内の要件で特定のグループに含まれるユーザーのみ特定のPCにログインできるようにしたいと要望があったので実装してみることにしました
(海外ブログだといくつか記事はありましたが、日本語ブログは見つからなかった)
懐かしいお話
オンプレADですと、ADの機能の一つでログイン先を指定することができます
弊社はオンプレADは存在せずフルクラウドになっているため、このためにAD構築してEntra ID Connectをやってと、というわけには行きません。なんとかIntuneでできるように頑張ってみます
事前準備
2つのセキュリティグループを作成する必要があります
| 項目 | 用途 |
|---|---|
| 1 | ログイン許可させるユーザーを含めたグループ |
| 2 | ログイン制限を行うデバイスを含めたグループ |
Intuneで設定(失敗した)
グループの作成・準備ができたら以下の手順で設定を進めます
- Intune管理センター > エンドポイントセキュリティ > アカウント保護 > ポリシーの作成
2.以下を選択し、作成ボタンを押します
| プラットフォーム | プロファイル |
|---|---|
| Windows | ローカル ユーザー グループ メンバーシップ |
3.名前・説明をいい感じに設定する
4.グループの構成画面になるため、以下のように設定します
| ローカルグループ | グループとユーザーのアクション | ユーザー選択の種類 | 選択されたユーザー |
|---|---|---|---|
| ユーザー | 追加(置換) | ユーザー/グループ | 事前準備で作成した1のグループ |
-
スコープタグは省略
-
アサイン先に、事前準備で作成した2のグループを追加し、作成する
動作確認
以下ケースで試してみました
事前準備で作成した1のグループに含まれるユーザーでログイン
→問題なくログインできた
事前準備で作成した1のグループに含まれないユーザーでログイン
→ログインできてしまった
ポリシーが効いていなさそうなのでいくつかパターンを作り検証してみました
テストシナリオ
<パターン1>
| ローカルグループ | グループとユーザーのアクション | ユーザー選択の種類 | 選択されたユーザー |
|---|---|---|---|
| ユーザー | 追加(置換) | ユーザー/グループ | ログインを許可したいユーザー |
→ログインを許可したいユーザー以外もログインができてしまったのでNG
<パターン2>
| ローカルグループ | グループとユーザーのアクション | ユーザー選択の種類 | 選択されたユーザー |
|---|---|---|---|
| ユーザー | 追加(置換) | ユーザー/グループ | 事前準備で作成した1のグループ+ログインを許可したいユーザー |
→選択されたユーザー以外のアドレスではログイン不可になった💮
ただ、人数多いとめんどくさいよね。毎回追加するのも面倒だし。
<パターン3>
| ローカルグループ | グループとユーザーのアクション | ユーザー選択の種類 | 選択されたユーザー |
|---|---|---|---|
| ユーザー | 追加(置換) | ユーザー/グループ | 事前準備で作成した1のグループのSID |
→管理者含め誰もログインできなくなった
(User Profile Serviceサービスによるサインインの処理に失敗しました。ユーザープロファイルを読み込みません のエラーになったためPC初期化せざるを得なかった)
結論
パターン2のグループとユーザーを個別に追加する形であれば問題なく適用ができ、本来やりたかったことが実現できました
(以下のようなイメージ、15人手動で入れる)
クライアント側で確認
Intuneで同期を行い、反映されていることを確認します
1.ログオンを許可させたいユーザーでログオンを行う
2.コマンドプロンプトを開き、以下入力する
net localgroups user
3.ユーザーが追加されていることを確認する
参考ドキュメント
Discussion