Microsoft Entra Join実行時にローカル管理者権限が付与されるユーザー

Microsoft Entra 参加デバイスにおけるローカル管理者権限付与動作

Microsoft Entra 参加デバイスでは、以下 3つの Microsoft Entra ID 管理者ロールをもつユーザーにローカル管理者権限を付与する動作をします。

①Microsoft Entra 参加の操作を実行したEntra IDユーザー

② グローバル管理者​ロール(EntraID上のロール名)

③ Microsoft Entra 参加済みデバイスのローカル管理者ロール(EntraID上のロール名)

今回は、①について以下調査しました(②③については、未調査であり今回の記事の対象外です)

①Microsoft Entra 参加の操作を実行したEntra IDユーザーから、ローカル管理者権限をはく奪する方法

対象の Microsoft Entra joined 端末を Intune の MDM にデバイス登録することで実現が可能です。
対象端末を Intune に登録するためには、Microsoft Intune ライセンスが必要となります。


また具体的には以下の手順で Microsoft Entra joined 端末でのローカル管理者権限をはく奪することが可能です。

<新規のポリシーを作成する手順>
—————————————–
1. Microsoft Intune 管理センター (https://endpoint.microsoft.com) に管理者アカウントでサインインします。
2. [エンドポイント セキュリティ]> [アカウント保護]> [ポリシーの作成] にアクセスします。
3. [プラットフォーム :Windows]、[ローカル ユーザー グループ メンバーシップ] を選択し、[作成] します。
4. [ポリシーの作成] 画面で以下のように構成し [保存] します。
    ・ [Basics] タブ : [名前] 、[説明] に任意の内容を入力します。
    ・ [Configuration settings] タブ :  [追加] を押下して、以下のように設定します。
        ・ [ローカル グループ] : 管理者
        ・ [グループとユーザーのアクション] : 削除 (更新)
        ・ [ユーザー選択の種類] : ユーザー / グループ 
        ・ [選択されたユーザー] : [ユーザー/グループの選択] を押下し、ローカル Administrators グループから削除したいユーザーを選択します。
    ・ [Assignments] タブ : ローカル管理者を削除したいデバイスが含まれるグループを選択します。
—————————————–
上記ポリシーが適用されると、指定したユーザーが指定したデバイスのローカル管理者グループから削除されます。
本機能の概要については以下公開情報にて案内されております。

*** 公開情報 ***
Title: Microsoft Entra グループを使用して管理者特権を管理する
URL: https://learn.microsoft.com/ja-jp/entra/identity/devices/assign-local-admin#manage-administrator-pr…

/// 一部抜粋 ///
Microsoft Entra グループを使用すると、 ローカル ユーザーおよび グループ モバイル デバイス管理 (MDM) ポリシーを使用して、Microsoft Entra 参加済みデバイスの管理者特権を管理できます。 このポリシーを使用すると、Microsoft Entra 参加済みデバイスのローカル管理者グループに個々のユーザーまたは Microsoft Entra グループを割り当てることができ、さまざまなデバイス グループに対して個別の管理者をきめ細かく構成できます。

組織では、Intune を使用して 、カスタム OMA-URI 設定 または アカウント保護ポリシーを使用してこれらのポリシーを管理できます。
****************

そもそも、①Microsoft Entra 参加の操作を実行したEntra IDユーザーにローカル管理者権限を付与させない方法

Windows Autopilot やプロビジョニング パッケージを利用した一括登録を用いて Microsoft Entra joined を構成することで実現できます。

Microsoft Entra joined 端末におけるローカル管理者の管理の概要については以下公開情報に記載されています。

*** 公開情報 ***
Title: Microsoft Entra 参加済みデバイスのローカル管理者グループを管理する方法
URL: https://learn.microsoft.com/ja-jp/entra/identity/devices/assign-local-admin
****************

補足)

現時点でプレビュー状態であり、詳細は未調査ですが、以下の設定項目を使えば、ローカル管理者権限を付与させないようにできるかもしれないです。

Entra

Posted by MITSUAKI TSURUTA