IntuneでWindows10のユーザーアカウントから管理者権限を剥奪する方法を検証してみた
なぜやるのか
会社によっては「従業員にPCの管理者権限を付与しないこと」といったルールがあると思います。現職も例外ではないので、キッティングで一手間加える必要があります。
そこで、Intuneで「ローカル ユーザー グループ メンバーシップ」のポリシーを使用して、ローカルのアカウントから管理者権限を剥奪する方法を試してみました。
(個人的には、どうせMDMで色々制御するんだから管理者権限を剥奪する必要なくない?初期化だけはルールで禁止としておき、初期化した場合はコンプラ違反として処罰でもすればいいんじゃないかと思ってます)
前提条件
Windows 10 で検証しています。
今回はMicrosoft 365 Business Premiumを使用しました。ライセンスはユーザー分だけあれば実装できます。
Windowsを利用する従業員のMicrosoft365アカウントを、ユーザーグループで管理しています。ここではグループ名は「Windows Users」とします。
設定手順
①ローカルの管理者アカウントをMicrosoft 365で作成する
Microsoft 365 管理センター>[ユーザー]で、ローカルの管理者アカウントを作成します。
このアカウントではMicrosoft365にログインしません。ライセンスも不要です。
②MEM管理センターでポリシーを作成する
1.MEM管理センター>[エンドポイント セキュリティ]>[アカウント保護]で[ポリシーの作成]をクリックします。
2.「プロファイル」で「ローカル ユーザー グループ メンバーシップ」を選択し、[作成]をクリックします。
3.「①基本」でプロファイル名を設定します。
4.「②構成」で以下の通り設定します。
1. 管理者アカウントの追加
ローカルグループ:管理者
グループとユーザーのアクション:追加(更新)
ユーザー選択の種類:ユーザー/グループ
選択されたユーザー:手順①で作成したローカルの管理者アカウント
2. 従業員のローカルアカウントをUsersグループに追加
ローカルグループ:ユーザー
グループとユーザーのアクション:追加(置換)
ユーザー選択の種類:ユーザー/グループ
選択されたユーザー:PCを利用する従業員のMicrosoft 365アカウント
3. 従業員のローカルアカウントをAdministratorsグループから削除
ローカルグループ:管理者
グループとユーザーのアクション:削除(更新)
ユーザー選択の種類:ユーザー/グループ
選択されたユーザー:PCを利用する従業員のMicrosoft 365アカウント
5.「③スコープ タグ」はそのままで次に進みます。
6.「④割り当て」で、Windows Usersを選択します。
7.「⑤確認および作成」で設定内容を確認し[作成]をクリックします。
設定後の操作
PCを初期化しておき、利用者が「組織用に設定」でセットアップします。
キッティング方法としてAutoPilotも考えたのですが、方法を調べる中でこちらの記事を見つけまして、AutoPilotは使わずセットアップできるようにしました。
初回ログイン後、従業員のアカウントはAdministratorsグループに参加している状態のため、即再起動します。
サインアウトでもいけそうな気はしますが、再起動の方が確実かと思います(なお、サインアウトは未検証です)
再起動後、上記のポリシー設定が反映されます。
検証してみて
今までは、PCを起動して手動でローカルのアカウントを作成する必要があったのですが、この方法によって自動化されるので、ゼロタッチデプロイの実現に役立ちそうです。