Azure AD 参加済みデバイスのローカル管理者グループの管理方法

  • [アーティクル]

Windows デバイスを管理するには、ローカル管理者グループのメンバーになる必要があります。 Azure Active Directory (Azure AD) では、Azure AD の参加プロセス時に、デバイス上でのこのグループのメンバーシップが更新されます。 メンバーシップの更新方法は、ビジネス要件に応じてカスタマイズすることもできます。 メンバーシップの更新は、たとえば、デバイスへの管理者権限を要するタスクをヘルプデスク スタッフが実行できるようにするうえで役立ちます。

この記事では、Azure AD 参加中のローカル管理者メンバーシップの更新のしくみと、そのカスタマイズ方法について説明します。 この記事の内容は、ハイブリッド Azure AD 参加済みデバイスには適用されません。

しくみ

Azure AD 参加を使用して Windows デバイスを Azure AD に接続すると、Azure AD によって、デバイスのローカル管理者グループに次のセキュリティ プリンシパルが追加されます。

  • Azure AD のグローバル管理者ロール
  • Azure AD 参加済みデバイスのローカル管理者ロール
  • Azure AD 参加を実行するユーザー

ローカル管理者グループに Azure AD ロールを追加すれば、デバイスに一切変更を加えることなく、デバイスの管理ユーザーを Azure AD でいつでも更新できます。 また、Azure AD では、最小権限の原則 (PoLP) をサポートするために、Azure AD 参加済みデバイスのローカル管理者ロールもローカル管理者グループに追加されます。 グローバル管理者ロールを持つユーザーに加えて、Azure AD 参加済みデバイスのローカル管理者ロールのみが割り当てられているユーザーがデバイスを管理できるようにすることもできます。

グローバル管理者ロールを管理する

グローバル管理者ロールのメンバーシップを表示する方法や更新する方法については、次の記事をご覧ください:

Azure AD 参加済みデバイスのローカル管理者ロールを管理する

Azure AD 参加済みデバイスのローカル管理者ロールは [デバイスの設定] から管理できます。

  1. Microsoft Entra 管理センター に少なくとも クラウド アプリケーション管理者 としてサインインします。
  2. ID>デバイス>すべてのデバイス>デバイス設定 を参照します。
  3. [Manage Additional local administrators on all Azure AD joined devices] (すべての Azure AD 参加済みデバイスの追加のローカル管理者) を選択します。
  4. [Add assignments] (割り当ての追加) を選択し、追加するほかの管理者を選択して、[追加] を選択します。

Azure AD 参加済みデバイスのローカル管理者ロールを変更するには、すべての Azure AD 参加済みデバイスの追加のローカル管理者を構成します。

Note

このオプションを使用するには、Azure AD Premium ライセンスが必要です。

Azure AD 参加済みデバイスのローカル管理者は、すべての Azure AD 参加済みデバイスに割り当てられます。 デバイス管理者の対象範囲を特定のデバイス セットに限定することはできません。 Azure AD 参加済みデバイスのローカル管理者ロールを更新しても、影響対象のユーザーにすぐに影響を与えるわけではありません。 ユーザーが既にサインインしているデバイスでは、次の "両方の" アクションが発生したときに特権の昇格が行われます。

  • Azure AD が適切な特権を備える新しいプライマリ更新トークンを発行するために最大 4 時間が経過した。
  • ユーザーが、プロファイルを更新するために、ロックおよびロック解除ではなく、いったんログアウトした後でサインインした。

ユーザーはローカル管理者グループに一覧表示されません。アクセス許可は、プライマリ更新トークンを通じて受信されます。

注意

上記のアクションは、関連するデバイスに以前にサインインしていないユーザーには適用されません。 この場合、管理者特権は、デバイスへの最初のサインインの直後に適用されます。

Azure AD グループを使用して管理者特権を管理する (プレビュー)

Windows 10 バージョン 20H2 以降では、Azure AD グループを使用して、ローカル ユーザーとグループ の MDM ポリシーで Azure AD 参加済みデバイスの管理者特権を管理できます。 このポリシーを使用すると、Azure AD 参加済みデバイスのローカル管理者グループに個々のユーザーまたは Azure AD グループを割り当てることができ、さまざまなデバイス グループに対して個別の管理者をきめ細かく構成できます。

組織は、Intune のカスタム OMA-URI 設定またはアカウント保護ポリシーを使用してこれらのポリシーを管理することができます。 このポリシーを使用する際の考慮事項は次のとおりです。

  • ポリシーを使用して Azure AD グループを追加するには、Microsoft Graph API for Groups を実行して取得できるグループの SID が必要です。 SID は、API 応答の securityIdentifier プロパティと同等です。

  • このポリシーを使用する管理者特権は、Windows 10 以降のデバイスの既知のグループ (Administrators、Users、Guests、Power Users、Remote Desktop Users、Remote Management Users) に対してのみ評価されます。

  • Azure AD グループを使用したローカル管理者の管理は、Hybrid Azure AD Join を使用したデバイスまたは Azure AD 登録済みデバイスには適用されません。

  • このポリシーを使用してデバイスに展開された Azure AD グループは、リモート デスクトップ接続には適用されません。 Azure AD 参加済みデバイスのリモート デスクトップ アクセス許可を制御するには、個々のユーザーの SID を適切なグループに追加する必要があります。

重要

Azure AD による Windows サインインでは、管理者権限に対して最大 20 グループの評価がサポートされています。 管理者権限が正しく割り当てられるように、各デバイスに 20 個を超える Azure AD グループを指定しないことが推奨されます。 この制限は、入れ子になったグループにも適用されます。

通常のユーザーの管理

既定では、Azure AD 参加を実行するユーザーはデバイスの管理者グループに追加されます。 通常のユーザーがローカル管理者になることを防ぐ必要がある場合は、次のオプションで対応できます。

  • Windows Autopilot - Windows Autopilot には、参加を実行するプライマリ ユーザーがローカル管理者になるのを防ぐオプションがあります。そのためには、Autopilot プロファイルを作成します。
  • 一括登録 - 一括登録のコンテキストで実行される Azure AD 参加は、自動作成されたユーザーのコンテキストで発生します。 デバイスの参加後にサインインしたユーザーは、管理者グループには追加されません。

デバイスのユーザーを手動で昇格させる

Azure AD の参加プロセスを使用するのではなく、通常のユーザーを手動で昇格させて、特定のデバイスのローカル管理者にすることもできます。 この手順を実行するには、既にローカル管理者グループのメンバーになっている必要があります。

Windows 10 1709 リリース以降では、[設定] - [アカウント] - [その他のユーザー] からこのタスクを実行できます。 [職場または学校のユーザーを追加] を選択し、 [ユーザー アカウント] でユーザーの UPN を入力し、 [管理者] および [アカウントの種類] を選択します

また、コマンド プロンプトを使用してユーザーを追加することもできます。

  • テナント ユーザーがオンプレミスの Active Directory から同期された場合は、net localgroup administrators /add "Contoso\username" を使用します。
  • テナント ユーザーが Azure AD で作成された場合は、net localgroup administrators /add "AzureAD\UserUpn" を使用します

考慮事項

  • ロール ベースのグループは、Azure AD 参加済みデバイスのローカル管理者ロールにのみ割り当てることができます。
  • Azure AD 参加済みデバイスのローカル管理者ロールは、すべての Azure AD 参加済みデバイスに割り当てられます。 このロールを特定のデバイス セットに限定することはできません。
  • Windows デバイスのローカル管理者権限は、Azure AD B2B のゲスト ユーザーには適用されません。
  • Azure AD 参加済みデバイスのローカル管理者ロールからユーザーを削除しても、変更はすぐには行われません。 ユーザーは、デバイスにサインインしている限り、ローカルの管理者特権を持っています。 特権は、次回サインイン中に、新しいプライマリ更新トークンが発行されるときに失効します。 この失効は、特権の昇格と同様に、最大 4 時間かかる場合があります。

次のステップ