Windows 10 または 11 デバイスでアカウント権限を設定する

この機能に対応しているエディション: Frontline Starter、Frontline Standard、Frontline Plus、Business Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Endpoint Education Upgrade、Enterprise Essentials、Enterprise Essentials Plus、Cloud Identity Premium。  エディションを比較する

管理者は、ユーザーが自分の Microsoft Windows 10 または 11 デバイスで持つことができるローカル管理者権限のレベルを設定できます。たとえば、制限付きの権限またはフルアクセス権を許可することができます。この権限レベルはユーザーの Google アカウントに付与されるものではなく、そのアカウントと関連付けられている Windows アカウントに付与されるものです。

別の既存 Windows アカウントに管理者権限を付与することもできます。管理者権限を付与するアカウントは、対象のデバイスのローカル アカウントでも、Active Directory のユーザーまたはグループでも構いません。そのデバイスにまだログインしたことがないアカウントに対しても、権限の付与は可能です。

始める前に

ローカル管理者権限を付与するには、対象のデバイスが Windows デバイス管理に登録されている必要があります。

管理者権限を設定する

始める前に: この設定に対する部門やチームを設定する必要がある場合は、組織部門を追加するをご覧ください。

この設定は、Windows 用 Google 認証情報プロバイダ(GCPW)ユーザーのローカル管理者アクセスを管理するのに役立ちます。GCPW ユーザーは、標準ユーザーまたはローカル管理者です。

これらの権限設定を適用するために、デバイスの同期イベント中に Microsoft LocalUsersAndGroups 構成サービス プロバイダ(CSP)が使用されます。Google 管理コンソールで [デバイスへのローカル管理者のアクセス権を管理する] がオンになっている場合、CSP は構成を処理して、[ローカル管理者のアクセス権を持つアカウント] フィールドで指定された GCPW ユーザーと既存の Active Directory ユーザー、グループ、またはローカル Windows ユーザーにローカル管理者権限を付与します。

  1. Google 管理コンソールで、メニュー 次に [デバイス] 次に [モバイルとエンドポイント] 次に [設定] 次に [Windows] の順に移動します。

    アクセスするには、サービスとデバイスの管理者権限が必要です。

  2. [アカウント設定] をクリックします。
  3. (省略可)設定を部門やチームに適用するには、横で組織部門を選択します。
  4. [ローカル管理者によるデバイスへのアクセスの管理] の下にある項目のリストから [有効] を選択します。

  5. GCPW ユーザーのアカウント権限を設定するには:

    • [ユーザー アカウントの種類] で [標準ユーザー] を選択して、管理者権限のない標準アカウントをユーザーに割り当てます。

    • [ユーザー アカウントの種類] で [ローカル管理者] を選択して、ユーザーにローカル管理者権限を割り当てます。

      Windows の制限事項: GCPW ユーザーには、2 回目のデバイス ログイン時にローカル管理者権限が付与されます。初回ログイン後のデバイスの同期によってユーザーは管理者グループに追加されますが、変更が有効になるのは次のログイン時のみです。

  6. (省略可)既存の Active Directory ユーザー、Active Directory グループ、またはローカル Windows ユーザー アカウントにローカル管理者権限を付与するには、[ローカル管理者権限を持つアカウント] フィールドに追加します。次の形式を使用し、複数の値を入力する場合はカンマで区切ります。

    • Active Directory ユーザー: [ドメイン名]\[ユーザー名]
    • Active Directory グループ: [ドメイン名]\[グループ名]
    • ローカル ユーザー: ユーザー名

    存在しないアカウント名を指定した場合、デバイスに新しいアカウントは作成されません。存在しないアカウントは無視され、残りの有効なアカウントが処理されます。フィールドからユーザー名またはグループ名を削除しても、ローカル管理者グループから削除されるわけではありませんが、削除された名前は今後のデバイスの同期時に追加されなくなります。

    重要: このフィールドは、過去の継続性のために存在しており、必要になる可能性は低いので、使用しないことをおすすめします。

  7. [保存] をクリックします。または、組織部門の [オーバーライド] をクリックします。

    後で継承した値を復元するには、[継承] をクリックします。

トラブルシューティング

管理設定が意図したとおりに適用されない場合は、Windows デバイスのデバイス管理イベントログで詳細な診断情報を確認できます。

  1. Windows の [スタート] メニューで「イベント ビューアー」を検索して、ターゲット デバイスでイベント ビューアーを開きます。
  2. [アプリケーションとサービスログ] 次に[Microsoft] 次に[Windows] 次に[DeviceManagement-Enterprise-Diagnostics-Provider] 次に[管理者] に移動します。
  3. CSP LocalUsersAndGroups に関連するイベントを確認します。

ログの例:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

概要: Windows 向けの高度なデスクトップ セキュリティ


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。