本記事に記載の内容は、
「 Azure AD - Azure AD Joinを実行したユーザーアカウント以外でサインインした時に管理者権限を付与する」方法について説明しています。
Azure AD Joinをした端末は、マルチユーザーサポートされていますが
以外と盲点になるのが、Azure AD Joinを実行したMicrosoft 365 アカウント以外で Windows端末にサインインすると標準ユーザー権限となってしまい管理者権限が付与されていない点です。
せっかくマルチユーザー運用がサポートされているからと、情報システム部門などの端末を管理する方が、端末にサインインした際に 業務で利用するアプリケーションを入れようとしたら管理者権限がなく、アカウント情報を求められてしまった。 端末に問題が発生したためログ取得を行い原因調査しようとしたら、アカウント情報を求められてしまった。 なんてことが起きてしまいます・・・。
そんな状況を回避する手順ですっ
目次
Azure AD Joinを実施したMicrosoft 365アカウント以外にも端末の管理者権限を付与する
特定のユーザーにて どの Azure AD Join 済みデバイスにサインインしても管理者権限を持たせる設定は、Azure AD の設定にて可能です。
Azure AD Join を行う前に設定を行っている必要があります。
Hybrid Azure AD Join では適用されません。ADで設定されている権限に基づいて動作します。
Windows 端末のローカル管理者権限を付与する方法
以下に記載した3つの方法があります。
- Azure AD のグローバル管理者 (全体管理者権限)割り当て
- Azure AD参加済みデバイスのローカル管理者ロール 割り当て
- Azure AD 参加を実行したMicrosoft 365 ユーザーアカウントでサインイン
Azure AD参加済みデバイスのローカル管理者ロール 割り当て方法
本手順を実施することで、新たにWindows端末にサインインした時にローカル管理者権限を持つことが可能になります。
- Azure ポータル に全体管理者権限を付与されているMicrosoft 365アカウントでサインインします。
- Azure ポータル画面が表示されたら、画面左上にある[三]をクリックします。
- 画面左側にメニューが表示されるのでメニュー内の [Azure Active Directory] をクリックします。
![メニューが表示されるのでメニュー内の [Azure Active Directory] をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAMEAAAEsAQAAAABSlOrZAAAAAnRSTlMAAHaTzTgAAAAeSURBVFjD7cExAQAAAMKg9U9tB2+gAAAAAAAAAOA3HngAARco3ZkAAAAASUVORK5CYII=)
- 表示された画面の左側にある [デバイス]をクリックします。
![[デバイス]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAI8AAAEsAQAAAADS593KAAAAAnRSTlMAAHaTzTgAAAAcSURBVFjD7cGBAAAAAMOg+VNf4AhVAQAAAADANxZEAAGH/JARAAAAAElFTkSuQmCC)
- 更に表示された画面の左側にある [デバイスの設定]をクリックします。
![[デバイスの設定]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAJ0AAAEsAQAAAADxvIwfAAAAAnRSTlMAAHaTzTgAAAAdSURBVFjD7cExAQAAAMKg9U9tCy+gAAAAAAAAfgYYnAABiPgZjAAAAABJRU5ErkJggg==)
- [すべての Azure AD 参加済みデバイスに対する追加のローカル管理者]にある、
[管理すべてのAzure AD 参加済みデバイスに対する追加のローカル管理者]をクリックします。![[すべての Azure AD 参加済みデバイスに対する追加のローカル管理者]にある、 [管理すべてのAzure AD 参加済みデバイスに対する追加のローカル管理者]をクリック](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAA/IAAAMWAQAAAAB6zIABAAAAAnRSTlMAAHaTzTgAAAB4SURBVHja7cEBAQAAAIIg/69uSEABAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAG8Giw8AAXUbVh8AAAAASUVORK5CYII=)
- [Device Administrators | 割り当て]画面になるので、
画面内の[+割り当ての追加]をクリックし、セキュリティグループ or ユーザーを指定して割り当てて完了です。![[Device Administrators | 割り当て]画面になるので、 画面内の[+割り当ての追加]をクリックし、セキュリティグループ or ユーザーを指定して割り当てて完了](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAABAAAAAILAQAAAABecdPXAAAAAnRSTlMAAHaTzTgAAABYSURBVHja7cExAQAAAMKg9U9tDB+gAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA4GweaAAEqvSM0AAAAAElFTkSuQmCC)
![メニューが表示されるのでメニュー内の [Azure Active Directory] をクリック](https://kurataku.com/wp-content/uploads/2022/11/a64da55b617f1d7d456144283705f8a9-193x300.png)
![[デバイス]をクリック](https://kurataku.com/wp-content/uploads/2022/11/6f8faa5f7aa4af20a061405ce00e89e3-143x300.png)
![[デバイスの設定]をクリック](https://kurataku.com/wp-content/uploads/2022/11/2cfadf19561dce003758f72327c29bcf-157x300.png)
![[すべての Azure AD 参加済みデバイスに対する追加のローカル管理者]にある、 [管理すべてのAzure AD 参加済みデバイスに対する追加のローカル管理者]をクリック](https://kurataku.com/wp-content/uploads/2022/11/e90b6a14bf44b787e680d06e12137526.png)
![[Device Administrators | 割り当て]画面になるので、 画面内の[+割り当ての追加]をクリックし、セキュリティグループ or ユーザーを指定して割り当てて完了](https://kurataku.com/wp-content/uploads/2022/11/ca45e2f04b2f793c7f1dbcbf31dc318a-1024x523.png)
動的セキュリティグループを割り当てることはできません。
ADから同期したセキュリティグループは利用できず、クラウドで作成したセキュリティグループのみ利用可能です。
さいごに・・・
ここまで読んでいただきありがとうございます。
Azure AD Join はとても便利なので、利用されている方多くいらっしゃると思います。
しかし、各個人のユーザーアカウントでサインインさせていることが多いのも事実のため 管理者としてサインインが必要な方のMicrosoft 365アカウントのみ本設定をしておくと、運用時にスムーズに端末の操作が可能になりますよ。