1.はじめに
本記事では、Windows PCにおいて、ローカル管理者権限を持つグループ(Administrators)に、Entra IDのユーザを追加する内容です。
初めて、Entra IDを利用した方向けのTipsです。
2.手動で、ローカル管理者にEntra ID ユーザを追加する方法
2-1.テスト構成
デバイスの構成は、以下となります。
- Hyper-V上に、Windows 11 PCを用意
- Windows 11 PCは、Entra IDに参加済み
ユーザ構成としては、以下となります。
- hiyoko : Entra ID ユーザ、ローカル管理者権限なし ★こちらのユーザを利用★
- niwatori : Entra ID ユーザ、ローカル管理者権限あり
2-2.状態の確認
Windows PCにおいて、検索窓で、「compmgmt.msc」と入力して、コンピュータの管理を起動します。そして、「コンピュータの管理 > ローカルユーザとグループ > グループ」を選択します。
グループには、Administratorsというグループがあり、こちらのグループに所属するとWindows PC内で管理者権限を有することが可能となります。
プロパティを確認すると、Entra ID のユーザが追加されており、niwatoriがいます。
そして、現在サインインしているユーザは、hiyokoとなり、こちらはローカル管理者権限がありません。
そのため、管理者権限が必要な作業のタイミングでは、管理者のユーザとパスワードを聞かれます。
2-3.ローカル管理者権限の付与
hiyokoに、ローカル管理者権限を付与しようと考えた場合は、先ほどのAdministoratorsグループに追加してあげればよいのですが、私が知る限りですが、GUIで追加ができませんでした...
後日気づきましたが、Microsoft Learnに、本記事の内容がありました。
ご参考までに、下記URLです。GUIでもできますね。
Windows 10 1709 リリース以降では、[設定] -> [アカウント] -> [その他のユーザー] からこのタスクを実行できます。 [職場または学校のアカウントの追加] を選択し、[ユーザー アカウント] でユーザーのユーザー プリンシパル名 (UPN) を入力し、[アカウントの種類] で [管理者] を選択します
本記事では、PoweShellコマンドで、Administoratorsグループに追加する手順を記載します。
管理者権限で、PowerShellを起動させます。
ここでは、niwatoriのローカル管理者権限を利用します。
ユーザ名に、AzureAD\[username]@[domain]を入れます。
例えば、AzureAD\niwatori@example.comのような形式で、パスワードはniwatoriのものを利用します。
PowerShellが起動したら、 whoami と入力すると、niwatori になっていることが分かります。
そして、以下コマンドを入力することで、ローカル管理者のグループに追加することができます。/add の後は、皆様のEntra ID Userに変換してください。
net localgroup "Administrators" /add "AzureAD\[username]@[domain]"
検索窓で、「compmgmt.msc」と入力して、コンピュータの管理に戻ります。
そして、「コンピュータの管理 > ローカルユーザとグループ > グループ」を選択し、「Administrators」のプロパティを開きます。
すると、hiyoko が無事追加されていました。これで、無事Entra ID ユーザのhiyokoが、ローカル管理者の権限を持つことができました。
※正常動作させるためには、再起動しておく必要がある場合もあります。
削除の場合
Windows PC内のAdministratorsからEntra ID ユーザを消す場合は、ユーザを選択して、「削除」をクリックすることで消すことができます。
もちろんPowerShellからも実行することも可能で、下記のように、/add ではなく、 /deleteとなります。
net localgroup "Administrators" /delete "AzureAD\[username]@[domain]"
3.おわりに
ユーザ名の入力フォーマットが、ローカルアカウントか、Entra IDのユーザか、ドメインユーザかで、微妙に違うことで、認証を突破できないことがあったりします。
Azure ADから、Entra IDに変わりましたが、まだまだこのあたりの入力は、Azure ADのままなので、注意をする必要がありますね。