Windows 10 または 11 デバイスでアカウント権限を設定する

この機能に対応しているエディション: Frontline Starter、Frontline Standard、Frontline Plus、Business Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Endpoint Education Upgrade、Enterprise Essentials、Enterprise Essentials Plus、Cloud Identity Premium。  エディションを比較する

管理者は、ユーザーが Microsoft Windows 10 または 11 デバイスで持つことができるローカル管理者権限レベルの設定を変更できます。たとえば、制限付きの権限またはフルアクセス権を許可することができます。この権限レベルはユーザーの Google アカウントに付与されるものではなく、そのアカウントと関連付けられている Windows アカウントに付与されるものです。

別の既存 Windows アカウントに管理者権限を付与することもできます。管理者権限を付与するアカウントは、対象のデバイスのローカル アカウントでも、Microsoft Active Directory のユーザーまたはグループでも構いません。そのデバイスにまだログインしたことがないアカウントに対しても、権限の付与は可能です。

始める前に

ローカル管理者権限を付与するには、デバイスが Windows デバイス管理に登録されている必要があります。

管理者権限を設定する

始める前に: この設定に対する部門やチームを設定する必要がある場合は、組織部門を追加するをご覧ください。

この設定は、Windows 用 Google 認証情報プロバイダ(GCPW)ユーザーのローカル管理者アクセスを管理するのに役立ちます。GCPW ユーザーは、標準ユーザーまたはローカル管理者です。

これらの権限設定を適用するために、システムはデバイスの同期イベント中に Microsoft LocalUsersAndGroups 構成サービス プロバイダ(CSP)を使用します。Google 管理コンソールで [デバイスへのローカル管理者アクセス権を管理する] がオンになっている場合、CSP は構成を処理して、GCPW ユーザーと、[ローカル管理者アクセス権を持つアカウント] フィールドに含まれる既存の Active Directory ユーザー、グループ、ローカル Windows ユーザーにローカル管理者権限を付与します。

  1. Google 管理コンソールで、メニュー アイコン 次に [デバイス] 次に [モバイルとエンドポイント] 次に [設定] 次に [Windows] に移動します。

    アクセスするには、サービスとデバイスの管理者権限が必要です。

  2. [アカウント設定] をクリックします。
  3. (省略可)設定を部門やチームに適用するには、横で組織部門を選択します。
  4. [] で [有効] を選択します。

  5. GCPW ユーザーのアカウント権限を設定します。

    • 管理者権限のない標準のアカウントをユーザーに割り当てるには、[ユーザー アカウントの種類] で [標準ユーザー] を選択します。

    • ユーザーにローカル管理者権限を割り当てるには、[ユーザー アカウントの種類] で [ローカル管理者] を選択します。

      Windows の制限事項: GCPW ユーザーは、初めてログインしてデバイスが同期された後に管理者グループに追加されます。ただし、アカウント権限の設定は、次回ログイン後にのみ有効になります。

  6. (省略可)既存の Active Directory ユーザー、Active Directory グループ、またはローカル Windows ユーザー アカウントにローカル管理者権限を付与するには、[ローカル管理者権限を持つアカウント] フィールドに追加します。次の形式を使用し、複数の値を指定する場合はカンマで区切ります。

    • Active Directory ユーザー: [ドメイン名]\[ユーザー名](例: [ドメイン名]\tanaka)
    • Active Directory グループ: [ドメイン名]\[グループ名](例: [ドメイン名]\tanaka、[ドメイン名]\Win11admins)
    • ローカル ユーザー: ユーザー名(例: lrayes、YourDomain\jsmith、rnguyen、YourDomain\Win11admins、hcampbell、bkwan)

    存在しないアカウント名を指定した場合、デバイスで新しいアカウントは作成されません。存在しないアカウントは無視され、残りの有効なアカウントが処理されます。[ローカル管理者アクセス権を持つアカウント] フィールドからユーザー名またはグループ名を削除しても、ローカル管理者グループから削除されるわけではありません。ただし、削除された名前は、今後のデバイスの同期時に追加されません。

    重要: [ローカル管理者権限を持つアカウント] フィールドは使用しないことをおすすめします。このフィールドは過去の目的でのみ存在し、必要になることはほとんどありません。

  7. [保存] をクリックします。または、組織部門の [オーバーライド] をクリックします。

    後で継承した値を復元するには、[継承] をクリックします。

トラブルシューティング

管理設定が意図したとおりに適用されない場合は、Windows デバイスのデバイス管理イベントログで詳細な診断情報を確認できます。

デバイス管理のイベントログを表示するには:

  1. ターゲット デバイスで、イベント ビューアーを開きます。イベント ビューアーは、Windows の [スタート] メニューで検索して見つけることができます。
  2. [アプリケーションとサービスのログ] 次に [Microsoft] 次に [Windows] 次に [DeviceManagement-Enterprise-Diagnostics-Provider] 次に [管理者] に移動します。
  3. CSP LocalUsersAndGroups に関連するイベントを確認します。

ログの例:

MDM PolicyManager: Set policy string, Policy: (Configure), Area: (LocalUsersAndGroups), EnrollmentID requesting set: (<Enrollment GUID>), Current User: (Device), String: (<GroupConfiguration><accessgroup desc="<Target Group>"<group action="U" /><add member="TEST_DEVICE\test1"/></accessgroup></GroupConfiguration>), Enrollment Type: (0x0), Scope: (0x0), Result: (0x80070534) No mapping between account names and security IDs was done.

概要: Windows 向けの高度なデスクトップ セキュリティ


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。