Windows 10 または 11 デバイスでアカウント権限を設定する

この機能に対応しているエディション: Frontline Starter、Frontline Standard、Frontline Plus、Business Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Endpoint Education Upgrade、Enterprise Essentials、Enterprise Essentials Plus、Cloud Identity Premium。  エディションの比較

管理者は、ユーザーが自分の Microsoft Windows 10 または 11 デバイスで持つことができるローカル管理者権限のレベルを変更できます。たとえば、制限付きの権限またはフルアクセス権を許可することができます。この権限レベルはユーザーの Google アカウントに付与されるものではなく、そのアカウントと関連付けられている Windows アカウントに付与されるものです。

別の既存 Windows アカウントに管理者権限を付与することもできます。 管理者権限を付与するアカウントは、対象のデバイスのローカル アカウントでも、Microsoft Active Directory のユーザーまたはグループでも構いません。そのデバイスにまだログインしたことがないアカウントに対しても、権限の付与は可能です。

始める前に

ローカル管理者権限を付与するには、対象のデバイスが Windows デバイス管理に登録されている必要があります。

管理者権限を設定する

始める前に: この設定に対する部門やチームを設定する必要がある場合は、組織部門を追加するをご覧ください。

この設定を使用すると、Windows 用 Google 認証情報プロバイダ(GCPW)ユーザーのローカル管理者アクセス権を管理できます。GCPW ユーザーは、標準ユーザーまたはローカル管理者です。

これらの権限設定を適用するために、デバイスの同期イベント中に Microsoft LocalUsersAndGroups 構成サービス プロバイダ(CSP)が使用されます。Google 管理コンソールで [デバイスへのローカル管理者アクセス権を管理する] がオンになっている場合、CSP は構成を処理して、[ローカル管理者アクセス権を持つアカウント] フィールドに含まれる GCPW ユーザーと既存の Active Directory ユーザー、グループ、またはローカル Windows ユーザーにローカル管理者権限を付与します。

  1. Google 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [モバイルとエンドポイント] 次に [設定] 次に [Windows] に移動します。

    アクセスするにはサービスとデバイスの管理者権限が必要です。

  2. [アカウント設定] をクリックします。
  3. (省略可)設定を部門やチームに適用するには、横で組織部門 を選択します。
  4. For [Value], select [Enabled].

  5. GCPW ユーザーのアカウント権限を設定します。

    • 管理者権限がない標準のユーザー アカウントをユーザーに割り当てるには、[ユーザー アカウント タイプ] で [標準ユーザー] を選択します。

    • ローカル管理者権限をユーザーに割り当てるには、[User account type] で [Local Administrator] を選択します。

      Windows の制限事項: GCPW ユーザーは、初めてログインしてデバイスが同期された後に管理者グループに追加されます。ただし、アカウント権限の設定は、次回のログイン後にのみ有効になります。

  6. (省略可)既存の Active Directory ユーザー、Active Directory グループ、またはローカル Windows ユーザー アカウントにローカル管理者権限を付与するには、[ローカル管理者アクセス権を持つアカウント] フィールドに追加します。複数の値を入力する場合は、カンマで区切って次の形式で入力します。

    • Active Directory ユーザー: [ドメイン名]\[ユーザー名] (例: [ドメイン名]\tanaka)
    • [Active Directory グループ]: [ドメイン名]\[グループ名] (例: [ドメイン名]\tanaka, [ドメイン名]\Win11admins)
    • [ローカル ユーザー]: [ユーザー名] (例: yamada, [ドメイン名]\tanaka, ogawa, [ドメイン名]\Win11admins, hayashi, kondo)

    存在しないアカウント名を入力した場合、デバイスで新しいアカウントが作成されることはありません。存在しないアカウントは無視され、残りの有効なアカウントが処理されます。[ローカル管理者アクセス権を持つアカウント] フィールドからユーザー名またはグループ名を削除しても、ローカル管理者グループから削除されることはありません。ただし、削除された名前は、今後のデバイスの同期時に追加されません。

    重要: [ローカル管理者アクセス権を持つアカウント] フィールドは使用しないことをおすすめします。このフィールドは過去の互換性のためにのみ存在し、必要になることはほとんどありません。

  7. [保存] をクリックします。または、組織部門の [オーバーライド] をクリックします。

    後で継承値を復元するには、[継承] をクリックします。

トラブルシューティング

管理設定が意図したとおりに適用されない場合は、Windows デバイスのデバイス管理イベント ログで詳細な診断情報を確認できます。

デバイス管理イベント ログを表示する手順は次のとおりです。

  1. 対象デバイスでイベント ビューア を開きます。イベント ビューアは、Windows の [スタート] メニューで検索して見つけることができます。
  2. [アプリケーションとサービスのログ] 次に [Microsoft] 次に [Windows] 次に [DeviceManagement-Enterprise-Diagnostics-Provider] 次に [管理者] に移動します。
  3. CSP LocalUsersAndGroups に関連するイベントを確認します。

ログの例:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

概要: Windows 向けの高度なデスクトップ セキュリティ


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。