使用ガイド: ローカル管理者の権限を管理する

Manage local admin permission ライブラリパッケージは、ITチームに以下を可能にします:

• ローカル管理者権限の承認や取消しを自動化します。

• 管理者アクセスが一時的であることを保証することで、セキュリティ侵害のリスクを低減します。

• 手動の介入を最小限に抑えることで、ITの運用効率を向上させます。

• ITポリシーの自動化された記録と監査を通じて、コンプライアンスを強化します。

• 従業員に管理者権限を要求するためのシームレスかつ迅速なプロセスを提供します。

ライブラリパックは使用している

以下の目的のためにライブラリパックのコンテンツを使用します。

可視性

このライブラリパックはローカル管理者権限の管理ワークフローに焦点を当てています。 一時的なローカル管理者権限の付与および取消しのプロセスを合理化します。 すべてのアクションはITサービス管理(ITSM)のチケッティングシステムに記録され、コンプライアンスやセキュリティ目的のための完全な監査トレイルを保証します。

ワークフロートリガー

このワークフローは、従業員とのサポートコール中や一時的なローカル管理者権限の要求に応じて、特定のデバイスで開始されるよう設計されています。 このワークフローは、デバイスビュー（以下に示す）またはAmplifyからトリガーされることができます。 このワークフローでは、進捗を追跡するためにインシデント番号パラメータを使用します。

ユースケース

以下に挙げられた関連するユースケースに加えて、あなたの環境に特有のトラブルシューティングシナリオを見つけることがあります。

初期コンプライアンスチェック

ユーザーに一時的でもローカル管理者権限を付与することは、悪用される可能性があり、重大なリスクを伴います。 このような変更はITSMに報告され、ワークフローを開始する前に事前にチケットが作成されている必要があります。 ワークフローには、実行時にチケットIDを入力できるパラメーターが含まれています。

リクエストを行っているユーザーが実際にデバイスを使用している者であることを確認するためには、追加のステップが必要です。 ワークフローには実行時に記入が必要なユーザー名用のパラメーターが含まれています。 ワークフローは、このユーザー名を現在ログインしているユーザーと照合し、一致する場合のみ続行します。

最終チェックは、ユーザーのマネージャーによる承認です。 これは、MS Teamsメッセージを送信して取得します。

ローカル管理者権限の付与と遅延設定

すべてのコンプライアンスチェックが完了し、マネージャーの承認が得られると、ユーザーはデバイスでローカル管理者権限を有することができます。 これは、WindowsおよびmacOSデバイスの両方で異なるリモートアクションを使用して実現できます。 いずれの場合もリモートアクションの成功をチェックし、失敗した場合は、ITSMチケットが更新されます。

リモートアクションが成功した後、ITSMチケットが更新され、ユーザーに通知されます。これにより、チケット生成のきっかけとなったローカルアクションを行うことができます。 カスタム定義された時間遅延（デフォルトで30分）が開始されます。

ローカル管理者権限の削除

権限の昇格に伴うリスクを最小限に抑えるため、事前に定義された遅延の後、ワークフローは継続し、前述のオペレーションに対応したリモートアクションを使用してデバイスのローカル管理者権限を取り消します。

各リモートアクションの実行がチェックされ、失敗した場合は、ITSMに記録され、さらなる調査と手動での管理者権限取り消しが行われます。

プロセスが成功すれば、ITMSチケットが更新されて閉じられます。

関連トピック

• ワークフローの管理

• キャンペーンの管理

• リモートアクションの管理

• 構成ガイド: ローカル管理者権限の管理