こんにちは！駆け出しエンジニア市川です！   
リモートワークが増える中、IT管理者の皆さんはオフィス内外からのアクセス管理に頭を悩ませていることでしょう。特に、ローカル管理者権限を持つユーザーが多いと、システムの脆弱性が増し、内部からの不正アクセスのリスクも高まります。  
 
そこで、今回はIntuneを使って、Entra ID ユーザーのローカル管理者権限を簡単に削除・追加する方法をご紹介します！この設定により、システムの安定性とセキュリティを保ちつつ、必要な場合にのみ管理者権限を付与することができます。ぜひお試しください！ 

・常に固定された権限を持つ場合 

・必要に応じて権限を付与・削除する場合 

目次

• • 1．管理者権限を付与する

• • 　　　-権限の付与を確認・実行

• • • 2．管理者権限を削除する

• • • 　　　-権限の削除を確認・実行

• • • • 3．設定が反映されない場合の対処法

1．管理者権限を付与する

Entra ID ユーザー「山田次郎」に管理者権限を付与します。

1．Microsoft Intune 管理センターを開き、「エンドポイント セキュリティ」をクリックします。

2．管理タブの「アカウント保護」をクリックします。

3．「ポリシーの作成」をクリックします。

4．プラットフォームから「Windows」、プロファイルから「ローカル ユーザー グループ メンバーシップ」を選択し、「作成」をクリックします。

5．「Name」を入力し、「次へ」をクリックします。 
※ここでは「Localgroup」と入力します。

6．「追加」をクリックします。

7．ローカル グループより「管理者」にチェックを入れます。

8．グループとユーザーのアクションより「追加(置換)」を選択します。 

＜各オプションの詳細 ＞ 

・追加(更新)：新しいメンバーを追加します。既存のメンバーには影響を与えません。 

・削除(更新)：特定のメンバーを削除します。既存のメンバーには影響を与えません。 

・追加(置換)：既存のメンバーを新しいメンバーに完全に置き換えます。 

9．選択されたユーザーの「ユーザー/グループの選択」をクリックします。

10．「該当のユーザーやグループ」にチェックを入れ、「選択」をクリックします。

11．「次へ」をクリックします。

12．「次へ」をクリックします。

13．割り当てるグループを検索し、「該当のグループ」をクリックします。

14．「次へ」をクリックします。

15．設定内容を確認し、「保存」をクリックします。

16．ポリシーが正常に作成されました。

　
-権限の付与を確認・実行

管理者権限が正しく置き換えられたかを確認し、実際に管理者としてPowerShellを実行します。 

1．「スタートボタン」を右クリックし、「コンピューターの管理」をクリックします。

2．「ローカル ユーザーとグループ」をクリックし、「グループ」をクリックします。

3．「Administrators」をクリックします。

4．管理者グループに「山田次郎」が追加されていることが確認できます。 
※設定が反映されない場合は、再起動やデバイスの同期を試してみてください。 詳細はこちら　

5．管理者権限を付与する前は、「localadmin」が権限を持っていました。管理者権限が正しく置き換えられていることがわかります。

6．新しく管理者権限を得た山田次郎のPCで、PowerShellを管理者として実行します。

7．山田次郎は管理者権限を得たため、管理者として実行することができました。

2．管理者権限を削除する

「山田次郎」の管理者権限を削除します。 

1．既存のローカル ユーザー グループ メンバーシップポリシーを開き、構成設定横の「Edit(編集)」をクリックします。

2．グループとユーザーのアクションを「削除(更新)」に変更します。

3．「次へ」をクリックします。

4．設定内容を確認し、「保存」をクリックします。

5．設定が正しく変更されました。

　
-権限の削除を確認・実行

管理者権限が正しく削除されたかを確認し、実際に管理者としてPowerShellを実行できないことを確認します。 

1．管理者グループから「山田次郎」が削除されていることが確認できます。

2．管理者権限が削除された山田次郎のPCで、PowerShellを管理者として実行できるか試します。

3．管理者権限を持つユーザーの、ユーザー名とパスワードが求められます。

4．山田次郎のユーザー名とパスワードを入力し、実行を試みます。

5．「要求された操作には管理者特権が必要です。」と表示され、操作が拒否されました。これは、山田次郎の管理者権限が削除されたため、正しい挙動です。

3．設定が反映されない場合の対処法

ポリシーを作成した後、設定が反映されない場合は再起動やデバイスの同期を試してみてください。ここでは、デバイスの同期状態を確認する方法についてご紹介します。  

1．設定を開き、「アカウント」をクリックします。

2．「職場または学校にアクセスする」をクリックします。

3．「ユーザー名(jiroyamada@xxx.jp)によって接続済み」を展開し、「情報」をクリックします。

4．デバイスの同期状態の「同期」をクリックします。

5．同期が開始されます。

その他お困りごとも動画で解説！