Surface Hub でグローバル以外の管理 アカウントを構成する

  • [アーティクル]
  • 適用対象:
    Surface Hub, Surface Hub 2S

Windows 10 Team 2020 Update では、Microsoft Entra ドメインに参加している Surface Hub デバイス上の設定アプリのみを管理するためのアクセス許可が制限されたグローバル以外の管理者アカウントを構成するためのサポートが導入されています。 これにより、IT 管理者は、管理者のアクセス許可を Surface Hub に限定してスコープを設定できるため、Microsoft Entra ドメイン全体で不要なアクセスが発生するリスクが軽減されます。

重要

Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 これにより、organizationのセキュリティが向上します。 グローバル管理者は高い特権を持つロールであり、既存のロールを使用できない場合の緊急シナリオに限定する必要があります。

Windows 10 Team 2020 Update 2 では、推奨される方法である LocalUsersAndGroups CSP のサポートが導入されています。 RestrictedGroups CSP は引き続きサポートされますが、非推奨です。

開始する前に、Surface Hub が Microsoft Entra に参加し、Intuneに自動登録されていることを確認します。 そうでない場合は、Surface Hub をリセットし、Microsoft Entra IDを使用してすぐに使用する (OOBE) セットアップを完了します。 グローバル以外の管理者構成を使用できるのは、Microsoft Entra ID経由で認証されたアカウントのみです。

要約

グローバル以外の管理 アカウントを作成するプロセスには、次の手順が含まれます。

  1. Intuneで、指定された Surface Hub 管理者を含むセキュリティ グループを作成します。
  2. PowerShell を使用して、Microsoft Entra グループの SID を取得します。
  3. Microsoft Entra グループ SID を使用して XML ファイルを作成します。
  4. グローバル管理者以外のセキュリティ グループが管理する Surface Hub デバイスを含むセキュリティ グループを作成します。
  5. Surface Hub デバイスを含むセキュリティ グループを対象とするカスタム構成プロファイルを作成します。

セキュリティ グループMicrosoft Entra作成する

まず、管理者アカウントを含むセキュリティ グループを作成します。 次に、Surface Hub デバイス用の別のセキュリティ グループを作成します。

管理 アカウントのセキュリティ グループを作成する

  1. Microsoft Intune管理センターからIntuneにサインインし、[グループ>新しいグループ] を選択し> [グループの種類] で [セキュリティ] を選択します。

  2. Surface Hub ローカル管理者などのグループ名を入力し、[作成] を選択します。

    ハブ管理者用のセキュリティ グループを作成します。

  3. グループを開き、[ メンバー] を選択し、[ メンバーの追加] を選択して、指定された管理者アカウントを追加します。 Intuneでのグループの作成の詳細については、「グループを追加してユーザーとデバイスを整理する」を参照してください。

Surface Hub デバイスのセキュリティ グループを作成する

  1. 前の手順を繰り返して、 Surface Hub デバイスなどのハブ デバイス用の別のセキュリティ グループを作成します。

    ハブ デバイスのセキュリティ グループを作成します。

PowerShell を使用してMicrosoft Entra グループ SID を取得する

  1. 管理者特権 (管理者として実行) を使用して PowerShell を起動し、PowerShell スクリプトを実行するようにシステムが構成されていることを確認します。 詳細については、「 実行ポリシーについて」を参照してください。

  2. モジュールAzure PowerShellインストールします

  3. Microsoft Entra テナントにサインインします。

    Connect-AzureAD

    Azure AD および MSOnline PowerShell モジュールは、2024 年 3 月 30 日の時点で非推奨となりました。 詳細については、 非推奨の更新プログラムに関するページを参照してください。 この日付以降、これらのモジュールのサポートは、Microsoft Graph PowerShell SDK への移行支援とセキュリティ修正に限定されます。 非推奨のモジュールは、2025 年 3 月 30 日まで引き続き機能します。

    Microsoft Entra ID (旧称 Azure AD) と対話するには、Microsoft Graph PowerShell に移行することをお勧めします。 移行に関する一般的な質問については、移行に関する FAQ を参照してください。

    バージョン 1.0 に注意してください。x of MSOnline では、2024 年 6 月 30 日以降に中断が発生する可能性があります。

  4. テナントにサインインしたら、次のコマンドレットを実行します。 "Microsoft Entra グループのオブジェクト ID を入力してください" というメッセージが表示されます。

    function Convert-ObjectIdToSid
{    param([String] $ObjectId)   
     $d=[UInt32[]]::new(4);[Buffer]::BlockCopy([Guid]::Parse($ObjectId).ToByteArray(),0,$d,0,16);"S-1-12-1-$d".Replace(' ','-')

}

  5. Intuneで、前に作成したグループを選択し、次の図に示すようにオブジェクト ID をコピーします。

    セキュリティ グループのオブジェクト ID をコピーします。

  6. 次のコマンドレットを実行して、セキュリティ グループの SID を取得します。

    $AADGroup = Read-Host "Please type the Object ID of your Azure AD Group"
$Result = Convert-ObjectIdToSid $AADGroup
Write-Host "Your Azure Ad Group SID is" -ForegroundColor Yellow $Result

  7. オブジェクト ID を PowerShell コマンドレットに貼り付け、Enter キーを押して、Microsoft Entra グループ SID をテキスト エディターにコピーします。

グループ SID を含む XML ファイルMicrosoft Entra作成する

  1. 次のコードをテキスト エディターにコピーします。

    <GroupConfiguration>
<accessgroup desc = "S-1-5-32-544">
    <group action = "U" />
    <add member = "AzureAD\bob@contoso.com"/>
    <add member = "S-1-12-1-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX"/>
</accessgroup>
</GroupConfiguration>

  2. プレースホルダー SID (S-1-12-1 以降) を Microsoft Entra グループ SID に置き換え、ファイルを XML として保存します(たとえば、 Microsoft Entra ID-local-admin.xml)。

    ユーザーは、ユーザー プリンシパル名 (UPN) を使用して直接追加することもできます。
    <member name="AzureAD\user@contoso.com" />

カスタム構成プロファイルを作成する

  1. エンドポイント マネージャーで、[ デバイス>構成プロファイル>プロファイルの作成] に移動します。

  2. プラットフォームとして [Windows 10 以降] を選択します。 プロファイルで、[ テンプレート>Custom>Create] を選択します。

  3. 名前と説明を入力し、[ 次へ] を選択します。

  4. [ 構成設定>OMA-URI 設定] で、[追加] を選択 します

  5. 名前を追加し、次の OMA-URI を使用します。

     ./Device/Vendor/MSFT/Policy/Config/LocalUsersAndGroups/Configure

    RestrictedGroups/ConfigureGroupMembership ポリシー設定を使用すると、ローカル グループ メンバーを追加または置換できます。 ただし、グループ全体を置き換えずに、メンバーを選択的に追加または削除することはできません。 Windows 10 Team 2020 Update 2 では、LocalUsersAndGroups が推奨される設定です。 両方のポリシー設定を Surface Hub に適用することはサポートされていないため、予期しない結果が生じる可能性があります。

  6. [データ型] で [ 文字列 XML ] を選択し、前の手順で作成した XML ファイルを参照して開きます。

    ローカル管理者 xml 構成ファイルをアップロードします。

  7. [保存] を選びます。

  8. [ 含めるグループの選択 ] を選択し、 前に作成したセキュリティ グループ (Surface Hub デバイス) を選択します。 [次へ] を選択します。

  9. [適用性ルール] で、必要に応じて [規則] を追加します。 それ以外の場合は、[ 次へ ] を選択し、[ 作成] を選択します。

OMA-URI 文字列を使用したカスタム構成プロファイルの詳細については、「IntuneでWindows 10 デバイスのカスタム設定を使用する」を参照してください。

Surface Hub を管理している非グローバル管理者

新しく構成された Surface Hub Local Admins セキュリティ グループのメンバーは、Surface Hub の設定アプリにサインインし、設定を管理できるようになりました。

重要

LocalUsersAndGroups CSP が適用されている場合、"U" アクションを使用して明示的に構成されていない限り、グローバル管理者による設定アプリへのアクセスは削除されます。