Microsoft Entra参加後にローカル管理者権限を持たせたくない場合の対応

はじめに

Autopilotは使えない、けどユーザのMicrosoft アカウントでEntra 参加後にユーザへデバイスの管理者権限を持たせたくないなーってときに丁度いい設定を見つけたので、設定方法について備忘録がてら記載したいと思います。
※従来のEntra 参加後に管理者権限の剥奪手法に関しては、こちらの記事が参考になるかなと思います。

設定箇所

• 「Microsoft Entra 管理センター」→「デバイス」→「すべてのデバイス」を選択します。

• 「管理」→「デバイスの設定」を選択し、「ローカル管理者設定」項目を確認します。　

• 「登録するユーザーは、Microsoft Entra 参加の間にそのデバイス上のローカル管理者として追加されます」を「なし」に変更します。

この設定を有効にしたあと、Windows 端末を初期化してユーザアカウントでログインしたところ、ローカル管理者(Administrators)グループに追加されていないことを確認しています。

モザイクは別設定で作成したローカルAdminユーザ

ちなみに、設定を有効にしていない場合は以下のように、登録したアカウント（TEST）がAdministratorsグループに含まれていました。

おわりに

プレビューらしいので将来的にどうなるかわかりませんが、地味に便利な機能ですね。自分の場合この設定確認したあとにDEMを利用することにしたのであんまり意味なかったですが、LAPSとか含めて管理者権限周りが運用しやすくなってるのはとてもいいなーと思います。