お問い合わせ
SECURITY NOTE — 003

Google WorkspaceでWindowsのローカル管理者権限を安全にコントロールする方法

PUBLISHED2026.04.20
READ7 分
CATEGORYSECURITY

Windowsを使っている社員から「このソフトをインストールしたいんですが、管理者権限がなくてできないんです」と言われ、しぶしぶ管理者権限を渡した経験はありませんか。一度渡してしまうと「誰がどのデバイスで管理者になっているか」の把握が難しくなり、気づけば社内の半数のPCで誰かが管理者権限を持っている、という状況になりがちです。

この記事では、Google Workspaceの管理コンソールを使ってWindowsデバイスのローカル管理者権限を一元管理する方法を、具体的な設定手順とともに解説します。

この記事を読んだほうが良い人

  • 100名前後の規模でGoogle WorkspaceとWindowsデバイスを併用している企業の情シス担当者
  • ローカル管理者権限の付与・剥奪を都度手動でやっていて、管理が追いつかない方
  • WindowsをADなしで管理できないか検討中の方

前提エディション:Google Workspace Business Plus以上、またはEnterprise/Education系エディション、Cloud Identity Premium

そもそも、ローカル管理者権限の何が問題なのか

Windowsのローカル管理者権限とは、そのPCに対してほぼすべての操作が可能な権限です。ソフトウェアのインストール、レジストリの変更、セキュリティ設定の上書き…と、情シスが「やってほしくないこと」はほぼ全部できてしまいます。

エンドユーザーに対してローカル管理者権限を与えると、次のようなリスクがあります。

  • 許可していないソフトウェアを自由にインストールできる(シャドーITの温床)
  • セキュリティソフトやWindowsのアップデート設定を無効化できる
  • マルウェア感染時の被害範囲が広がる

一方で、標準ユーザー権限のみに制限すると、「業務上必要なツールが入れられない」「ドライバが更新できない」といった現場の不満が生まれ、都度IT部門への申請が増えてしまう。この板挟みが、情シスにとってのローカル管理者権限問題の本質です。

Google WorkspaceによるWindowsデバイス管理の仕組み

Google Workspaceでは、GCPW(Google Credential Provider for Windows) というコンポーネントをWindowsにインストールすることで、Google WorkspaceアカウントでWindowsにログインできるようになります。Active Directoryがなくても、Google管理コンソールからポリシーや権限を一元管理できる点が大きな特徴です。

この仕組みを使うと、特定のOU(組織部門)やユーザーグループ単位で、ローカル管理者権限を持たせるかどうかを管理コンソールから制御できます。

ユーザー(GWSアカウント)
    ↓ GCPWでWindowsにログイン
    ↓ 管理コンソールのポリシーが適用される
Windowsデバイス(ローカル管理者 or 標準ユーザー)

設定前に確認すること(前提条件)

権限コントロールを始める前に、以下を満たしているか確認してください。

デバイス側 - Windows 10 または 11 の Pro / Enterprise / Education エディション(Home は非対応) - Google Chromeがインストール済みであること(GCPWの動作前提) - GCPWがインストール・登録済みであること

管理者側 - Google管理コンソールで「サービスとデバイスの管理者」権限を持つアカウントであること

本記事ではGCPWの導入は完了済みという前提で、権限コントロールの設定に絞って解説します。

管理コンソールでの設定手順

1. アカウント設定画面を開く

管理コンソール(admin.google.com)にログインし、左メニューから次の順に進みます。

デバイス → モバイルとエンドポイント → 設定 → Windows → アカウント設定

2. 適用範囲(OU)を選ぶ

画面左側の組織部門ツリーから、設定を適用したいOU(部門・チーム)を選択します。ここで選んだOUに所属するユーザーに設定が反映されるため、「開発部だけ管理者権限を付与したい」「全社員は標準ユーザーにしたい」といった細かいコントロールが可能です。全社共通の設定にしたい場合はルートOUを選べばOKです。

3. ユーザーアカウントタイプを設定する

「ユーザーアカウントの種類」という項目で、以下のいずれかを選択します。

設定値 意味
標準ユーザー そのOUのGCPWユーザーは、ローカル管理者権限なしでサインインする
ローカル管理者 そのOUのGCPWユーザーは、ローカル管理者としてサインインする

「とりあえず全員を標準ユーザーにして、必要な人だけ個別に権限を付与したい」という場合は、標準ユーザーを選ぶのが基本方針です。

4. 特定のアカウントに管理者権限を付与する

標準ユーザーを選んだ場合でも、特定のWindowsアカウントにはローカル管理者権限を与えたい場面があります。そのときは「ローカル管理者によるデバイスへのアクセスを管理する」をオンにして、「ローカル管理アクセス権を持つアカウント」フィールドに対象アカウントを追加します。

追加できるアカウントの種類は以下の通りです。

  • デバイスのローカルアカウント(例:DEVICE_NAME\user
  • Active Directoryのユーザー(ADと連携している場合)
  • Active Directoryのグループ

なお、GCPWユーザー自身のアカウントタイプは「ユーザーアカウントの種類」の設定が優先されます。このフィールドは、GCPW 以外の既存 Windows アカウントへの権限付与に使う枠だと覚えておきましょう。

5. 設定の反映タイミング

設定を保存した後、変更が実際に適用されるのはユーザーが次回サインインしたときです。すぐには反映されないため、「今日中に権限を剥奪したい」という緊急対応には向いていません。その点は事前に頭に入れておいてください。

実例:特定ユーザーへの一時的な管理者権限付与

たとえば「経理部のAさんが月次の会計ソフト更新のため、今月だけ管理者権限が必要」という状況を考えてみます。

従来であれば、AさんのPCに直接ログインして手動で権限変更し、作業後に元に戻す、という流れになりがちです。しかし管理コンソールで管理していれば、次のように対応できます。

  1. 「ローカル管理アクセス権を持つアカウント」フィールドにAさんのアカウントを追加する(OU設定を「ローカル管理者」に変更するとOU全員が管理者になってしまうため、一人だけ付与したい場合は個別指定を優先)
  2. Aさんに「次回サインイン時から権限が反映される」旨を伝える
  3. 作業が終わったら、対象アカウントをフィールドから削除する

この操作はすべて管理コンソール上で完結するため、物理的にPCのそばに行く必要がありません。また、操作ログが管理コンソールに残るため、「誰がいつ権限を変更したか」の記録も自然と取れます。

2026年2月のアップデート:権限付与の挙動が改善

2026年2月17日に公開されたアップデートで、ローカル管理アクセスの処理挙動に変更が加わりました。

以前の挙動では、「ローカル管理アクセス権を持つアカウント」を設定すると、既存の管理者グループメンバーが一括削除(Replace)されてから新しいアカウントが追加される、という動作でした。これにより、意図せず既存の管理者アカウントを消してしまうリスクがありました。

今回のアップデートでこの挙動が改善され、既存メンバーを残しながら柔軟に管理できるようになっています。以前の動作を前提にした設定をしている場合は、最新のヘルプドキュメントで挙動を再確認することをお勧めします。

注意点とデメリット

この機能を使う上で、いくつか知っておくべき制限があります。

OU単位の管理が基本であること:設定の粒度はOU単位です。「同じOUの中でAさんだけ管理者にしたい」という場合は、Aさんだけを別のOUに移動させるか、「ローカル管理アクセス権を持つアカウント」フィールドで個別対応する必要があります。

対応Windowsエディションの制限:Windows Home は非対応です。支給PCにHomeエディションが混在している場合は注意が必要です。

GCPWが必須:この機能はGCPW経由でのログインが前提です。ローカルアカウントのみ、またはADアカウントのみで運用している端末は対象外です。

設定反映に時間差がある:変更は次回サインイン時に適用されます。緊急の権限剥奪には、別途PCへの直接操作が必要になるケースがあります。

まとめ

Google WorkspaceのWindowsデバイス管理を活用すると、ローカル管理者権限の付与・剥奪をコンソール上で一元管理できるようになります。

特に有効なのは「部門ごとに権限レベルを分けたい」「一時的な権限付与を物理的な PC 操作なしでやりたい」という場面です。100 名規模の企業であれば、AD がない環境でもこの仕組みで相当の管理業務を効率化できます。

ただし、効果を発揮するためにはGCPWの展開が前提になります。まだGCPWを導入していない環境では、まずそこから整備を始めることになります。GCPWの展開自体は管理コンソールからのプッシュ配信が可能なので、ハードルはそれほど高くありませんが、テスト端末での動作確認は必ずしてから本番展開に臨んでください。

権限管理は「制限のための制限」ではなく、「現場が困らない範囲で最小限の権限にする」というバランスが肝心です。管理コンソールで細かくコントロールできるようになった分、その設計に時間をかける価値が生まれました。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。