業務用PCにおいて、「ユーザーには管理者権限を付与したくない」「ユーザーを標準権限で運用したい」といった声を聞くことが多くあります。ただ、実際には理想通りの運用が難しいケースがほとんどです。
理由はシンプルで、アプリのインストールや設定変更など、現場で管理者権限が必要になる場面が頻繁にあるためです。その結果、やむを得ず管理者権限を付与し続けるという運用に戻ってしまいます。
この課題を解決するアプローチとして注目されているのが、本記事でご紹介する EPM(Endpoint Privilege Management)です。
EPM(Endpoint Privilege Management)とは
EPM(Endpoint Privilege Management)は、Microsoft Intune により提供される特権管理機能で、ユーザーを標準権限のまま運用しつつ、アプリケーションのインストールや設定変更など、管理者権限が必要な操作に対して必要な時だけ権限を昇格させる仕組みです。
ポリシーに基づいた制御により、不要な常時管理者権限の付与を防止し、セキュリティリスクを低減するとともに、ユーザーの生産性向上にも寄与します。
EPM を利用するためのライセンス
EPM を利用するには、以下の構成のライセンスが必要です。
※Microsoft 365 E5 / E7 をご利用中のお客様は、2026年7月以降は本機能が無償で利用可能となります。
【パターン1】
Microsoft Intune P1 + Microsoft Intune Endpoint Privilege Management
【パターン2】
Microsoft Intune P1 + Intune Suite(EPMを含むフル機能)
EPM の設定方法
1. Intune 設定箇所
EPM の設定は、Intune 管理センターの「エンドポイント セキュリティ」>「エンドポイント特権の管理」より、管理者権限を持つアカウントで設定します。
EPM は、以下の2種類のポリシーにて構成されます。これらのポリシーは、アプリ(インストーラー)ごとに、許可 または ブロックの設定が可能です。
2. 各アプリの識別方法
各アプリの識別のために Intune へアプリ(インストーラー)を登録する方法には、大きく分けて2種類の方法があります。下図のどちらかの方法で、Intune へアプリ(インストーラー)情報を登録し、個別に昇格動作を設定します。
3. 昇格動作に関する設定
ユーザーの権限の昇格動作は、「自動昇格」「ユーザー確認」「サポート承認済み」「拒否」の4種類です。それぞれ以下のような画面となります。
① 自動昇格
インストーラーをダブルクリックするだけで、インストールが開始します。最もエンドユーザーへの負担がない方法です。
② ユーザー確認(ユーザーが確認しました)
ユーザーは、「業務上の理由」を記載し、「Windows 認証」をすることで、アプリのインストールを開始することができます。
(1) インストーラーファイルを右クリックし、「管理者特権で実行」をクリック
(2) 「業務上の理由」を記載し、「続行」をクリック
(3) 「Windows 認証」を行うと、インストールが開始される
③ サポート承認済み
Microsoft 365 テナントの管理者 や Intune 管理者の承認を以って、インストールさせる方法です。管理者による承認の手順が追加になりますので、運用負荷は高い方法です。
(1) ユーザーにてアプリを管理者として実行する許可を要求
(2) 管理者が Intune 管理センターから「昇格要求」を確認して「承認」する
(3) ユーザーの PC に通知が届いたら、再度インストーラーを右クリックし、「管理者特権で実行」をクリックするとインストールが開始される
④ 拒否
インストールをブロックします。ユーザーはアプリのインストールができないように設定されます。
まとめ
EPM の機能を活用することで、ユーザーに不要な管理者権限を持たせることなく、セキュリティリスクを抑えながらも、現場の業務を止めない柔軟な運用を実現することができます。必要な操作に応じた権限昇格やアプリ単位での制御により、セキュリティ強化と運用負荷軽減を両立できるソリューションです。
本機能に関するご質問やご不明点、導入に関するご相談などございましたら、お気軽にお問い合わせください。
