ドメイン・コントローラーを使用して管理者権限を付与または取り消す

管理者はドメイン・コントローラーから複数のドメインに参加しているデバイスに対して 1 回限りの管理アクセスを付与できます。管理者権限を使用すると、デバイスを無線で .ppkg ファイル経由登録できます。デバイス登録後、ドメイン管理者はデバイス・ユーザーの管理者アクセス権限を取り消し、MDM からすべてのデバイスの 再起動をトリガーできます。

A. ドメイン・コントローラーからデバイス・ユーザーに管理者権限を付与する

1. ドメイン・コントローラーにドメイン管理者としてログインします。
2. 「スタート」メニューから、「管理ツール」 > 「Active Directory ユーザーとコンピューター」をクリックします。
3. 管理者権限のないユーザーに管理者権限を付与するには、以下のように操作します。
   1. 「ユーザー」に移動し、「ドメイン・ユーザー」を選択して、右クリックし、「Add to a group」を選択します。

   2. 「Select Groups」ポップアップの「Enter the object names to select」テキスト・ボックスに「Domain Admins」と入力します。

   3. 「名前の確認」をクリックし、確認して「OK」をクリックします。

これでドメイン・ユーザー・グループのすべてのユーザーに管理者権限が付与されます。変更内容を有効にするには、ユーザーのデバイスを再始動します。ユーザーのデバイスからユーザーに管理者権限があるかどうかを確認するには、「職場または学校にアクセス」 > 「ユーザーの情報」で確認します。

B. ユーザーによる登録を実行する

1. Firefox などのサポートされているブラウザーを開き、アドレス・バーに登録 URL を入力します。例えば、https://mdmserver.demo.com
2. 有効な AD 資格情報を入力して、認証します。

3. 認証が成功すると、ユーザーは「OK」 > 「はい」 > 「はい、それを追加します」を後に続く画面でクリックして .ppkg ファイルをダウンロードできます。
   

C. ドメイン・コントローラーからユーザーの管理者権限を取り消す

1. ドメイン・コントローラーにドメイン管理者としてログインします。
2. 「スタート」メニューから、「管理ツール」 > 「Active Directory ユーザーとコンピューター」をクリックします。
3. ドメイン・ユーザーから管理者権限を取り消すには、以下のように操作します。
   1. 「ユーザー」に移動し、「ドメイン管理者」をダブルクリックします。
   2. 「メンバー」タブに移動し、「ドメイン・ユーザー」を選択し、「削除」をクリックし、「はい」をクリックして確定します。

   3. 「適用」 > 「OK」をクリックします。

      これでドメイン・ユーザー・グループのすべてのユーザーの管理者権限が取り消されます。変更内容を有効にするには、MDM からユーザーのデバイスを再始動します。ユーザーのデバイスからユーザーに管理者権限があるかどうかを確認するには、「職場または学校にアクセス」 > 「ユーザーの情報」で確認します。

      これでユーザーは管理者権限のない MDM を使用してデバイスを管理できるようになります。管理者権限のないユーザーの場合、職場または学校のアカウントは引き続き残ります。ただし、MDM からデバイスの登録を解除できるのは管理者のみです。