ローカル管理者の設定方法 -Intuneで実現する権限付与・変更・削除の手順と運用注意点

「ローカル管理者の権限、どうやって付与・変更・削除すればいいんだろう……」「設定画面はわかったけど、どの手順で進めればいいか迷う」
この記事は、そんな疑問を持ち始めた方に向けて書いています。前回・前々回の記事でローカル管理者の基本・リスク・設計思想を解説しました。今回はいよいよ「実際にどう設定するか」——Microsoft Intune(以下Intune)を使ったローカル管理者の付与・変更・削除の手順と、運用時の注意点を整理します。「考え方はわかった、次は手を動かしたい」という方にぴったりの内容です。
この記事を読むと、以下の3つが理解できるようになります。
- Intuneを使ったローカル管理者の付与・変更・削除の基本手順がわかる
- 「誰に・いつ・どの方法で・どこまで」を判断する実務的な基準が持てる
- 設定時に陥りやすい落とし穴と、その回避策が理解できる
1. Intuneでローカル管理者を設定する2つの方法
IntuneでWindowsのローカル管理者を管理する方法は、大きく2つあります。

この2つは目的が異なります。「誰に管理者権限を持たせるか」を日常的に管理したい場合は①、「安全に一時アクセスできる仕組み」を整えたい場合は②、または両方を組み合わせて運用するケースが多いです。
2. 方法①
アカウント保護ポリシーによるローカル管理者グループ制御
Intuneの「エンドポイントセキュリティ」→「アカウント保護」ポリシーを使うと、MDM登録済みのWindows端末に対して、ローカル管理者グループのメンバーを一定条件下で制御できます(他のポリシーや設定との競合により意図通りに反映されない場合があります)
設定手順(ローカル管理者グループへの追加)
- Intune管理センター(https://intune.microsoft.com)にサインインする
- 左メニューから「エンドポイントセキュリティ」→「アカウント保護」を選択する
- 「+ポリシーの作成」をクリックし、プラットフォームに「Windows」、プロファイルに「ローカルユーザーグループメンバーシップ」を選択する
- ポリシー名・説明を入力し、「次へ」をクリックする
- 「構成設定」で以下を設定する
- グループ:「管理者」を選択
- グループとユーザーアクション:「追加(更新)」または「削除(更新)」を選択
- 手動で選択したユーザーとグループ:対象のMicrosoft Entra ID(以下Entra ID)ユーザーまたはグループを選択する
- 「割り当て」タブで、ポリシーを適用する端末グループを指定する(例:「開発者端末グループ」など)
- 内容を確認して「作成」をクリックする
【用語メモ】
MDM登録済み端末とは、IntuneのMDM(Mobile Device Management)に管理対象として登録された端末のことです。Intuneのポリシーはこの登録済み端末にのみ適用されます。未登録の端末にはポリシーが届かないため、まず端末の登録状況を確認することが設定の前提になります。
グループアクションの種類と違い
「グループとユーザーアクション」の選択肢は、動作が異なります。設定前に必ず確認してください。
| アクション | 動作の内容 | 注意点 |
| 追加(更新) | 指定したメンバーをグループに追加する。既存メンバーは残る | 既存メンバーの削除は行われない |
| 削除(更新) | 指定したメンバーをグループから削除する | 削除対象のみ外れ、他は残る |
| 追加(置換) | 指定したメンバーのみにグループを置き換える | 既存メンバーがすべて削除される。意図しない権限削除に注意 |
「追加(置換)」の扱いは特に注意
「追加(置換)」を選ぶと、ポリシー適用時に現在のローカル管理者グループのメンバー全員が入れ替わります。テナント全体に割り当てるポリシーで使用した場合、Intune管理に必要な組み込みアカウントが削除され、リモートからの復旧が不可能になるケースがあります。テナント全体への割り当てでは使用しないでください。 使用する場合は、限定した端末グループへの割り当てに絞り、事前に対象端末で動作を確認してから展開してください。
3. 方法②
LAPSによるローカル管理者パスワードの自動管理
LAPSを有効化すると、各端末の組み込みローカル管理者アカウントのパスワードが端末ごとに自動生成・定期ローテーションされ、Entra ID上に適切な権限管理のもとで安全に管理できます。管理者は必要なときだけIntune管理センターまたはEntra ID上でパスワードを確認できます。
LAPS有効化の手順
- Intune管理センターにサインインし、「エンドポイントセキュリティ」→「アカウント保護」を選択する
- 「+ポリシーの作成」で、プラットフォームに「Windows」、プロファイルに「ローカル管理者パスワードソリューション(Windows LAPS)」を選択する
- 「構成設定」で以下の主要項目を設定する
- バックアップディレクトリ:「Microsoft Entra ID」を選択(Entra IDにパスワードを保存)
- パスワードの有効期間:組織の要件に合わせて設定(例:30日)
- 管理対象アカウント名:変更する場合は対象のアカウント名を指定する
- 「割り当て」で適用する端末グループを指定し、「作成」をクリックする
パスワードの確認方法
LAPS有効化後にローカル管理者パスワードを確認するには、2つの方法があります。
| 確認場所 | 手順 |
| Intune管理センター | 「デバイス」→「すべてのデバイス」→ 対象端末を選択 →「ローカル管理者パスワード」タブ |
| Entra ID管理センター | 「デバイス」→「すべてのデバイス」→ 対象端末を選択 →「ローカル管理者パスワードの表示」 |
パスワードの確認操作自体が監査ログに記録されます。「誰がいつパスワードを確認したか」が追跡できる点も、LAPSの重要なセキュリティ上のメリットです。
4. 付与・変更・削除の判断基準
– 「誰に・いつ・どこまで」の考え方 –
設定の手順を覚えても、「誰に・どのタイミングで・どのレベルまで付与すべきか」という判断基準がなければ、設定が一人歩きしてしまいます。前回の記事で紹介した3層モデルを基本軸として、以下の判断フレームを使うと実務での迷いが減ります。

5. 筆者が最初に詰まったポイント
– ポリシーを適用してもすぐに反映されない –
アカウント保護ポリシーを作成・割り当てて保存したのに、対象端末のローカル管理者グループが変わっていない——最初はここで手が止まりました。「設定が失敗したのか、手順が間違っているのか」と焦りましたが、原因はポリシーの同期タイミングにありました。
Intuneのポリシーは、端末がIntuneに「チェックイン」することで適用されます。ポリシーを保存した直後は端末側にまだ届いていない状態のため、管理センターで設定を変更しても即座に反映されません。

6. 運用上の注意点
– 設定後に確認すべきこと –
設定が完了したら終わりではありません。「設定したら終わり」がセキュリティリスクの温床になることは前回までの記事で触れた通りです。設定後に必ず確認しておきたいポイントをまとめます。
① ポリシー競合が起きていないか確認する
複数のポリシーが同じ端末に適用されている場合、設定が競合することがあります。特に「追加(更新)」と「追加(置換)」が同一端末に両方適用されると、予期しない動作につながります。「デバイスの構成」タブでポリシーの適用状態を確認し、エラーや競合がないかを確認してください。
② 組み込み管理者アカウントの扱いを確認する
Windowsには「Administrator」という組み込みのローカル管理者アカウントがあります。LAPSで管理していない場合、このアカウントのパスワードが初期設定のまま放置されるリスクがあります。LAPSの適用対象として明示的に設定しておくか、アカウント保護ポリシーで無効化することを検討してください。
③ Entra IDグループのメンバー変更が設定に連動しているか確認する
アカウント保護ポリシーでEntra IDグループを対象に指定している場合、そのグループのメンバーが変わると権限も自動的に変わります。意図せずグループのメンバーが増減した場合に予期しない権限変更が起きることがあります。グループのメンバー変更は慎重に行い、変更後はIntune側への反映を確認する習慣をつけましょう。
やりがちなミス:LAPSとアカウント保護ポリシーを「どちらか一方」で完結させようとする
LAPSは「パスワードを安全に管理する」仕組みであり、「誰がローカル管理者グループに入るか」を制御するアカウント保護ポリシーとは目的が異なります。両方を組み合わせることで、より強固な統制が可能になります。組み合わせることが推奨されますが、組織の規模や運用体制によってはどちらか一方から始めることも現実的です。
まとめ
Intuneを使ったローカル管理者の設定は、「アカウント保護ポリシー(グループメンバー制御)」と「LAPS(パスワード自動管理)」の2つを組み合わせて運用することが基本です。「誰に・いつ・どの端末に・どの方法で」という判断基準を持ったうえで設定し、反映確認と定期的な棚卸しをセットで行うことが、安全で持続可能な管理体制につながります。
↓ この記事の続きを読む
↓ ガイドのトップを見る











