1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

【Tips】PoweShellで、ローカル管理者にEntra ID ユーザを追加する方法

Last updated at Posted at 2024-07-15

1.はじめに

本記事では、Windows PCにおいて、ローカル管理者権限を持つグループ(Administrators)に、Entra IDのユーザを追加する内容です。

初めて、Entra IDを利用した方向けのTipsです。

2.手動で、ローカル管理者にEntra ID ユーザを追加する方法

2-1.テスト構成

デバイスの構成は、以下となります。

  • Hyper-V上に、Windows 11 PCを用意
  • Windows 11 PCは、Entra IDに参加済み

ユーザ構成としては、以下となります。

  • hiyoko : Entra ID ユーザ、ローカル管理者権限なし ★こちらのユーザを利用★
  • niwatori : Entra ID ユーザ、ローカル管理者権限あり

2-2.状態の確認

Windows PCにおいて、検索窓で、「compmgmt.msc」と入力して、コンピュータの管理を起動します。そして、「コンピュータの管理 > ローカルユーザとグループ > グループ」を選択します。

グループには、Administratorsというグループがあり、こちらのグループに所属するとWindows PC内で管理者権限を有することが可能となります。

image.png

プロパティを確認すると、Entra ID のユーザが追加されており、niwatoriがいます。

image.png

そして、現在サインインしているユーザは、hiyokoとなり、こちらはローカル管理者権限がありません。

image.png

そのため、管理者権限が必要な作業のタイミングでは、管理者のユーザとパスワードを聞かれます。

image.png

2-3.ローカル管理者権限の付与

hiyokoに、ローカル管理者権限を付与しようと考えた場合は、先ほどのAdministoratorsグループに追加してあげればよいのですが、私が知る限りですが、GUIで追加ができませんでした...

後日気づきましたが、Microsoft Learnに、本記事の内容がありました。
ご参考までに、下記URLです。GUIでもできますね。

Windows 10 1709 リリース以降では、[設定] -> [アカウント] -> [その他のユーザー] からこのタスクを実行できます。 [職場または学校のアカウントの追加] を選択し、[ユーザー アカウント] でユーザーのユーザー プリンシパル名 (UPN) を入力し、[アカウントの種類] で [管理者] を選択します

https://learn.microsoft.com/ja-jp/entra/identity/devices/assign-local-admin#manually-elevate-a-user-on-a-device

本記事では、PoweShellコマンドで、Administoratorsグループに追加する手順を記載します。
管理者権限で、PowerShellを起動させます。

image.png

ここでは、niwatoriのローカル管理者権限を利用します。

ユーザ名に、AzureAD\[username]@[domain]を入れます。
例えば、AzureAD\niwatori@example.comのような形式で、パスワードはniwatoriのものを利用します。

image.png

PowerShellが起動したら、 whoami と入力すると、niwatori になっていることが分かります。
そして、以下コマンドを入力することで、ローカル管理者のグループに追加することができます。/add の後は、皆様のEntra ID Userに変換してください。

net localgroup "Administrators" /add "AzureAD\[username]@[domain]"

image.png

検索窓で、「compmgmt.msc」と入力して、コンピュータの管理に戻ります。
そして、「コンピュータの管理 > ローカルユーザとグループ > グループ」を選択し、「Administrators」のプロパティを開きます。
すると、hiyoko が無事追加されていました。これで、無事Entra ID ユーザのhiyokoが、ローカル管理者の権限を持つことができました。
※正常動作させるためには、再起動しておく必要がある場合もあります。

image.png

削除の場合
Windows PC内のAdministratorsからEntra ID ユーザを消す場合は、ユーザを選択して、「削除」をクリックすることで消すことができます。

もちろんPowerShellからも実行することも可能で、下記のように、/add ではなく、 /deleteとなります。

net localgroup "Administrators" /delete "AzureAD\[username]@[domain]"

3.おわりに

ユーザ名の入力フォーマットが、ローカルアカウントか、Entra IDのユーザか、ドメインユーザかで、微妙に違うことで、認証を突破できないことがあったりします。
Azure ADから、Entra IDに変わりましたが、まだまだこのあたりの入力は、Azure ADのままなので、注意をする必要がありますね。

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?