お世話になります。
AzureADに登録済みの特定ユーザーをPCにログオンさせない方法を検討しております。 【例】
・Aグループ
・Aユーザー(Aグループ所属のユーザーなので、PCログオンOK)
・Bユーザー(Aグループ所属のユーザーなので、PCログオンOK)
・Bグループ
・Aユーザー(Bグループ所属のユーザーなので、PCログオンNG)
・Bユーザー(Bグループ所属のユーザーなので、PCログオンNG) 上記のような制御を行うための手順等をお教え頂けないでしょうか。
よろしくお願いいたします。
以下にある Windows 10 2004 以降のプレビュー機能で実現できるものと思われます。
https://docs.microsoft.com/ja-jp/azure/active-directory/devices/assign-local-admin#manage-administrator-privileges-using-azure-ad-groups-preview
なお、Intune による設定がメインで書かれていますが、以下の記述が有るので Intune に関わらずデバイスのローカルグループのメンバーとして AzureAD グループがサポートされるのは、Windows 10 2004 以降だと思われます。
===========抜粋=============
制限されたグループ ポリシーは Windows 10 2004 更新プログラムより前から存在していましたが、デバイスのローカル管理者グループのメンバーとして Azure AD グループはサポートされていませんでした。
==========================
Lapivy様
コメントありがとうございます。
どのバージョンのWin10にするか、M365のどのサービスをどのように制限するかなど検討中で、このフォーラムに今後もお世話になるかと思います。
Windows 10 2004以降のプレビュー機能により実現できそうとのことで、リンクのご紹介ありがとうございます。
OMA-URIの設定など、学習しながら実践してみようと思います。
ありがとうございました。
