Entra参加デバイスは、参加ユーザーと特定のEntra IDロールにローカル管理者権限を自動的に付与します。この昇格された権限は、ローカルグループへの直接追加であるため、通常の管理インターフェースや監査ログでは表示されません。ユーザーは管理者リストに明示的に表示されず、サインイン時のプライマリリフレッシュトークンを通じてアクセスが付与されます。デバイスでこれを確認するには、ユーザーとしてサインインし、デバイスローカルの管理者SIDのグループメンバーシップを確認してください。この権限を更新するには、dsregcmd /refreshprtを実行した後、画面をロックするだけでは不十分なため、サインアウトして再度サインインする必要があります。この機能はEntra参加デバイス専用であり、ワークプレイス参加デバイスでは利用できません。「追加のローカル管理者の管理」設定は、同じデバイス管理者ロールに対するテナント全体のオプションであり、個別に適用することはできません。新規参加時のローカル管理者自動割り当てを防ぐには、「登録ユーザーをローカル管理者として追加する」を「なし」に設定してください。今後のローカル管理者管理は、Windows AutopilotまたはIntuneポリシーを通じて処理できますが、既存のデバイスは現在の設定を維持します。