【Intune/Windows】ローカル Admin 管理について
お久しぶりです、sukankです。
本記事はEnterprise Mobility + Security(EMS) Advent Calendar 2021の13日目に参加しています。
最近 Windows のローカルアカウント管理について考えをまとめる機会があったので、これをネタにしようと思います。
ローカル Admin 権限どうする?の話
まず前提とする考えとして、エンドユーザーが利用するアカウントに対して、ローカル Admin 権限を付与しない状態をゴールとして考えることにします。
注意)本稿の目的は、最終的にどう判断するかはさて置き、この状態の実現可能性について検討を勧めるものです。検討された上での決断を否定するものではありません。理由なく、ローカル Admin を付与する運用について、考え直すきっかけになればと思いました。
検討例)従業員規模や、ユーザーサポートの負荷を加味し、サポートコストと対比した結果として、エンドユーザーにローカル Admin を付与することにする。
ローカル Admin を付与したくない理由について、調べれば沢山あるのでしょうが、一般論としては “ユーザ操作によって悪意あるソフトウェアをインストールしないため” が多いでしょうか。
ここまで読んで、「でも既存の業務フローでローカル Admin を必要とするシーンがあって~」といった反応を思い出す方も多いのではないでしょうか。
個人的な経験談から回答すれば、「実際に業務フローを起こしてみると、平時にローカル Admin 権限を必要とする業務というのは、実際のところほとんど無い。」になります。
私の主張としては、平時においてはエンドユーザーがローカル Admin 権限を持たなくとも、特段困らないということです。
ではどういったシーンでローカル管理者を必要とするか、について話す必要があるのですが、
- 特別な業務を実行する(例:開発等)ユーザーが、理由込みで特定ソフトウェアのインストールをリクエストしてきた場合
- デバイスにて何らかのトラブルが生じてしまい、調査・対応に管理者権限を必要とした場合
こうした、エンドユーザーからすれば非平時となるユーザーリクエストについて、エンドユーザーに管理者 Admin を持たせておけば、サポートに掛かるコストを減らせるといった理由で茶を濁すパターンが多いのではないかと思います。
とは言え、これは非平時のために平時の安心を損なっていると思えるので、私の主張としては「ローカル Admin は基本として持たせない方が良い」になります。
次に、Microsoft Intune を用いた ローカル Admin の管理方法・上記 1,2 のようなユーザーリクエストへの対応策 について書こうと思います。
ローカル Admin の管理
【Windows Autopilot を利用している場合】
方法:
デプロイプロファイルを用いて、ユーザーアカウントを 標準ユーザー として設定します。
説明:
これにより、エンドユーザーは利用開始時点から標準ユーザーを使用します。
【Windows Autopilot を利用していない場合①】
方法:
構成プロファイル> カスタムプロファイルを用いて、Policy CSP > LocalUsersAndGroups を展開する。
説明:
これにより、Windows Autopilot を利用していなかったり、Intune 登録後のデバイスに対してもローカル Admin の権限を付与しない制御が可能となります。
【Windows Autopilot を利用していない場合②】
方法:
設定 > アカウント > その他のユーザー から、エンドユーザー自身の権限を標準ユーザーへ変更する。
説明:
何らかの理由により、【Windows Autopilot を利用していない場合①】を利用できない場合に使用します。これにより、Windows Autopilot を利用していなかったり、Intune 登録後のデバイスに対してもローカル Admin の権限から変更が可能となります。
ただし、手動操作かつエンドユーザーでの実行になるため、作業漏れなどが気になります。ですので、基本的には選択したくない方法になるかと思います。
ユーザーリクエストへの対応
【リモートヘルプ】
つい最近、Azure AD Join / Hybrid Azure AD Join したデバイス同士であればコントロール譲渡が可能となる機能が追加されました。
本機能の嬉しい点として、従来 3rd Party 製品でしかサポートされていなかった特権でのデバイスコントロールが可能なことが挙げられます。
これにより、先ほどご紹介したエンドユーザーリクエストに対応することが可能です。
※コントロールを譲渡してもらい必要な操作を実施(これにより生じる権限昇格や認証系含め)
ただし、前述した通りではありますが、導入によるサポートコストが見合うかどうか、という観点はしっかりとご検討いただければと思います。
【Team Viewer】
上記機能(Remote Help)の 3rd Party による有償版と考えていただければと思います。
Intune Portal デスクトップアプリと連携し、数ステップでエンドユーザーへのサポートを開始することが可能です。
これも上記同様、導入に見合うだけのメリットがあるかご検討いただければと思います。
その他の考慮事項
【他のローカル管理者】
本稿をお読みになる方はご存知かと思いますが、以下の Azure AD 権限を持つユーザーは、Azure AD Join したデバイスに対してデフォルトでローカル Admin 権限を持つことになります。
- グローバル管理者
- Azure AD 参加済みデバイスのローカル管理者ロール
上記についても、【Windows Autopilot を利用していない場合①】でご紹介した Policy CSP > LocalUsersAndGroups により制限が可能です。
必要に応じて設定を検討してください。
【ビルドインローカル管理者アカウント】
こちらも必要に応じて、Intune 構成プロファイルからブロックやユーザー名の変更が可能です。
構成プロファイル > Endpoint Protection > ローカル デバイスのセキュリティオプション > 管理者
終わり
ここまでお読みいただきありがとうございました、感想・ご意見等は Twitter までお願いいたします。ではまた。
