どうも、株式会社 ソフトクリエイト 戦略ビジネス部 情報屋の山口です。
Intune の機能で、ローカルの Administrators や Remote Desktop Users グループ等へのローカルユーザーまたは、Azure AD ユーザーの追加、置き換え、削除が可能となりました!簡単にではありますが、今回の投稿では、本機能の設定方法と動作についてご案内したいと思います。(^^
Microsoft Intune のポリシーで、Azure AD ユーザーのローカルの管理者権限を削除する。
今回ローカルの管理者権限をはく奪される 山田 花子さん(Azure AD ユーザー)
-1.png)
1.エンドポイントマネージャー( https://endpoint.microsoft.com )に全体管理者権限を持つユーザーでアクセスします。
2.エンドポイントマネージャーの「エンドポイントセキュリティ」-「アカウント保護」にアクセスします。
-2.png)
3.「+ポリシーの作成」 をクリックします。
4.プラットフォームの項目にて、「Windows 10 以降」を選択します。
5.プロファイルの種類の項目にて、「ローカル ユーザー グループ メンバーシップ」 選択し、「作成」をクリックします。
-3.png)
6.名前欄に任意のプロファイル名を入力し、「次へ」をクリックします。
-4.png)
7.ローカルグループ「管理者」のアクションにて、「削除(更新)」を選択し、「ユーザー/グループの選択」をクリックします。
-5.png)
8.ローカル管理者権限を削除するユーザーを選択します。
-6.png)
9.「次へ」をクリックします。
-7.png)
10.「次へ」をクリックします。
-8.png)
11.ポリシーを適用するグループを選択します。今回は、できるだけ、ポリシーを割り当てる対象を細かくせずに、ポリシー内のローカル権限グループ毎に対象ユーザーを制御したいので、すべてのデバイスとします。
-9.png)
12.ポリシーを割り当てるグループを確認し、「次へ」をクリックします。
-10.png)
13.「作成」をクリックします。
-11.png)
対象デバイスへのポリシーの適用とマシン再起動を行います。ユーザーの権限変更なので、サインアウト・サインインでも権限が切り替わります(^^
-12.png)
ポリシー適用後、Administrators グループから、山田 花子さんが無事削除されました。
-13.png)
アプリのインストール時に UAC の制御が入り、管理者ユーザーとパスワードの入力が求められます。
-14.png)
