概要
従来は、Microsoft Entra(旧 Azure AD)に参加したユーザーが、そのデバイスの ローカル管理者(Administrators)グループ に自動的に追加される仕様でした。しかし最近、Microsoft Entra 管理センター の設定を調整することで、この割り当て対象を任意のグループに限定し、不要な管理者権限の付与を制御できるようになりました。これにより、Windows AutoPilotなしでも、標準ユーザー権限でのセットアップが可能になります。
なぜこの設定が重要か
- セキュリティ強化:全ユーザーがローカル管理者になると、意図せぬ操作やマルウェアの影響が拡大する恐れがあります。
- 運用の合理化:管理者権限を持つユーザーを限定することで、権限管理を明確にし、トラブルシューティングや権限の見直しがしやすくなります。
- 柔軟性の向上:AutoPilotを使わない環境であっても、管理者権限の付与ルールを組織単位で制御できるようになります。
設定手順
以下の手順で、Microsoft Entra 参加時にローカル管理者に割り当てられる対象を制限できます。
- Microsoft Entra 管理センターにサインインする。
- 左メニューから 「デバイス」 → 「すべてのデバイス」 → 「デバイスの設定」 の順に移動。
- 「ローカル管理者の設定」セクションを探す。 「登録するユーザーは、Microsoft Entra 参加の間にそのデバイス上のローカル管理者として追加されます。」という項目があるはずです。
- 「ローカル管理者設定」を“選択(選択可能なグループを指定)”に変更し、「メンバーが選択されていません」のリンクをクリック。
- 「+追加」 ボタンを押し、あらかじめ組織内で定義してある セキュリティグループ を選ぶ。個人単位で指定することもできるが、運用とセキュリティの観点でグループ管理が望ましい。
- 選択したグループを確認し、「OK」をクリック。
- 最後に「保存」して設定を反映させる。
実際の動作確認
設定後、一般ユーザー(例:山田花子さん)が Entra 参加でサインインしても、そのユーザーは Administrators グループ には含まれなくなります。これにより、標準ユーザーモードとしての動作が担保されます。
