Surface Hub でグローバル管理者以外のアカウントを構成する

Windows 10 Team 2020 更新プログラムでは、Azure AD ドメインに参加している Surface Hub デバイス上の設定アプリの管理にアクセス許可を制限するグローバル管理者アカウント以外の構成のサポートが追加されます。 これにより、Surface Hub のみに対する管理者アクセス許可のスコープを設定し、Azure AD ドメイン全体で望ましくない可能性がある管理者アクセスを防ぐことができます。

Windows 10 Team 2020 Update 2 では、LocalUsersAndGroups CSP のサポートが追加されました。 これが推奨される CSP です。 RestrictedGroups CSP は引き続きサポートされていますが、非推奨になりました。

注意

開始する前に、Surface Hub が Azure AD に参加していて、自動登録Intune確認してください。 そうでない場合は、 Surface Hub をリセット し、Azure AD に参加するオプションを選択して 、最初のすぐに使用できる (OOBE) セットアップ をもう一度完了する必要があります。 グローバル管理者ポリシー以外の構成では、 Azure AD 経由で認証 するアカウントのみがサポートされます。

要約

グローバル管理者以外のアカウントを作成するプロセスには、次の手順が含まれます。

  1. Microsoft Intuneで、Surface Hub の管理に指定された管理者を含むセキュリティ グループを作成します。
  2. PowerShell を使用して Azure AD グループ SID を取得します。
  3. Azure AD グループ SID を含む XML ファイルを作成します。
  4. グローバル管理者以外のセキュリティ グループが管理する Surface Hub デバイスを含むセキュリティ グループを作成します。
  5. Surface Hub デバイスを含むセキュリティ グループを対象とするカスタム構成プロファイルを作成します。

Azure AD セキュリティ グループを作成する

まず、管理者アカウントを含むセキュリティ グループを作成します。 次に、Surface Hub デバイス用に別のセキュリティ グループを作成します。

管理 アカウントのセキュリティ グループを作成する

  1. Microsoft エンドポイント マネージャー 管理センターからIntuneにサインインし、[グループ > の新しいグループ >] を選択し、[グループの種類] で [セキュリティ] を選択します

  2. グループ名 ( Surface Hub ローカル管理者 など) を入力し、[作成] を選択します

    ハブ管理者のセキュリティ グループを作成します。

  3. グループを開き、[ メンバー] を選択し、[ メンバーの追加] を選択して、Surface Hub のグローバル管理者以外として指定する管理者アカウントを入力します。 Intuneでグループを作成する方法の詳細については、「グループを追加してユーザーとデバイスを整理する」を参照してください。

Surface Hub デバイスのセキュリティ グループを作成する

  1. 前の手順を繰り返して、Hub デバイス用に別のセキュリティ グループを作成します。たとえば、 Surface Hub デバイスなどです。

    Hub デバイスのセキュリティ グループを作成します。

PowerShell を使用して Azure AD グループ SID を取得する

  1. 管理者特権 (管理者として実行) で PowerShell を起動し、PowerShell スクリプトを実行するようにシステムが構成されていることを確認します。 詳細については、「 実行ポリシーについて」を参照してください。

  2. Azure PowerShell モジュールをインストールします

  3. Azure AD テナントにサインインします。

    Connect-AzureAD
    
  4. テナントにサインインしたら、次のコマンドレットを実行します。 "Azure AD グループのオブジェクト ID を入力してください" というメッセージが表示されます。

    function Convert-ObjectIdToSid
    {    param([String] $ObjectId)   
         $d=[UInt32[]]::new(4);[Buffer]::BlockCopy([Guid]::Parse($ObjectId).ToByteArray(),0,$d,0,16);"S-1-12-1-$d".Replace(' ','-')
    
    }
    
  5. Intuneで、前に作成したグループを選択し、次の図に示すようにオブジェクト ID をコピーします。

    セキュリティ グループのオブジェクト ID をコピーします。

  6. 次のコマンドレットを実行して、セキュリティ グループの SID を取得します。

    $AADGroup = Read-Host "Please type the Object ID of your Azure AD Group"
    $Result = Convert-ObjectIdToSid $AADGroup
    Write-Host "Your Azure Ad Group SID is" -ForegroundColor Yellow $Result
    
  7. PowerShell コマンドレットにオブジェクト ID を貼り付け、 Enter キーを押して、 Azure AD グループ SID を テキスト エディターにコピーします。

Azure AD グループ SID を含む XML ファイルを作成する

  1. テキスト エディターに次をコピーします。

    <GroupConfiguration>
    <accessgroup desc = "S-1-5-32-544">
        <group action = "U" />
        <add member = "AzureAD\bob@contoso.com"/>
        <add member = "S-1-12-1-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX"/>
    </accessgroup>
    </GroupConfiguration>
    
  2. プレースホルダー SID (S-1-12-1 以降) を Azure AD グループ SID に置き換え、ファイルを XML として保存します。たとえば、 aad-local-admin.xml.

    注意

    グループは SID を使用して指定する必要がありますが、Azure ユーザーを直接追加する場合は、次の形式でユーザー プリンシパル名 (UPN) を指定します。 <member name = "AzureAD\user@contoso.com" />

カスタム構成プロファイルを作成する

  1. エンドポイント マネージャーで、[デバイス > 構成プロファイルの作成] プロファイルを > 選択します

  2. [プラットフォーム] でWindows 10以降を選択します。 [プロファイル] で、[テンプレート > のカスタム > 作成] を選択します

  3. 名前と説明を追加し、[次へ] を選択します。

  4. [構成設定 > **] の [OMA-URI 設定] で、[**追加] を選択します。

  5. [行の追加] ウィンドウで名前を追加し、 OMA-URI の下に次の文字列を追加します。

     ./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure
    

    注意

    RestrictedGroups/ConfigureGroupMembership ポリシー設定では、メンバー (ユーザーまたは AAD グループ) をWindows 10ローカル グループに構成することもできます。 ただし、既存のグループを新しいメンバーに完全に置き換えた場合にのみ許可されます。 メンバーを選択的に追加または削除することはできません。 Windows 10 Team 2020 Update 2 で使用できます。RestrictedGroups ポリシー設定の代わりに LocalUsersandGroups ポリシー設定を使用することをお勧めします。 両方のポリシー設定を Surface Hub に適用することはサポートされておらず、予期しない結果が生じる可能性があります。

  6. [データ型] で [文字列 XML ] を選択し、前の手順で作成した XML ファイルを参照して開きます。

    ローカル管理者 xml 構成ファイルをアップロードします。

  7. [保存] をクリックします。

  8. [ 含めるグループの選択] をクリックし、 前に作成したセキュリティ グループ (Surface Hub デバイス) を選択します。 [次へ] をクリックします。

  9. [適用規則] で、必要に応じてルールを追加します。 それ以外の場合 は、[次へ ] を選択し、[ 作成] を選択します。

OMA-URI 文字列を使用したカスタム構成プロファイルの詳細については、「IntuneでWindows 10 デバイスのカスタム設定を使用する」を参照してください。

Surface Hub を管理するグローバル管理者以外

Surface Hub ローカル管理者セキュリティ グループのメンバーは、Surface Hub の設定アプリにサインインし、設定を管理できるようになりました。

重要

設定アプリに対するグローバル管理者の既定のアクセス権は削除されます (この新しいセキュリティ グループのメンバーでもない限り)。