端末の機能制限

Just another POL Helpサイト site

セキュリティ対策を主目的として、Windows10 以降のPC機能を制限します。
(図1)の「構成プロファイルのメニュー」の画面を表示します。
表示方法は、「構成プロファイルの作成」を参照ください。

(図1)


(図1)の「端末機能制限」を選択すると、(図2)が表示されます。

(図2)



主な項目を、以下、説明します。

(図2)-1


DVRおよびブロードキャストを無効にする Windows10では、アプリ画面を録画(DVR)し、それを友達へリアルタイムでブロードキャストすることが可能です。 チェックを入れるとこの機能が停止します。
ストアアプリの自動更新を無効にする Windows ストアからダウンロードしインストールしたアプリを自動更新について、次の3択から選びます。
  • 自動更新可能
  • 自動更新禁止
  • PCユーザがどちらかを選択
移動体通信データのローミングを無効にする チェックを入れると、ローミングの状態の時、携帯電話回線経由でのデータ通信を禁止します。
WiFiホットスポットレポートを無効にする チェックを入れないでおくと場合、当該PCをWiFiホットスポットにすると、そのSSID情報や地理的位置などが、Microsoftに通報されます。
WiFi Senseホットスポットへの自動接続を無効にする エンドポイントをWiFiホットスポットにすると、SkypeやFaceBookの連絡先に、SSIDのパスワードを教えるのがWiFi Sense。連絡先が保有するPCは、パスワード入力なくして、エンドポイントをWiFiホット スポットとして使える。但し、Windows10 Anniversary Update(2016)を施してないWindows10でないと、WiFi Senseは有効にならない。

(図2)-2


Bluetoothアドバタイズを無効にする チェックを入れると、エンドポイントがBluetoothを通じて、その端末名情報を発信するのを無効にします。
Bluetooth検出可能モードを無効にする チェックを入れると、他のデバイスからのBluetooth経由での検索に応答しなくなります。
Bluetooth端末名の設定 コンソールからリモートでBluetooth端末名を設定できます。ダブルクリックして空欄に文字列を入力します。
Bluetooth機能の停止 チェックを入れると、エンドポイント側からの能動的なBluetooth接続もできなくなります。
WiFi経由のインターネット共有を禁止 チェックを入れると、エンドポイントが、ホットスポットになるのを禁止します。
WiFi経由のインターネット共有を禁止 チェックを入れると、エンドポイントが、ホットスポットになるのを禁止します。
ダイレクトメモリアクセスを無効にします HDDなど周辺機器からCPUを経由せずに、メモリに書き込み読み取りを許すのがダイレクトメモリアクセス。
Cortanaを無効にする Cortanaは音声認識機能付きのアシスタント機能
手動によるMDMの登録解除を許可する MobiControlへの登録を端末側操作で解除できるようにする
ロック画面では端末検出を無効にする チェックを入れると、ロック画面で、他のデバイス(例えばプロジェクタ)の検出画面を表示できないようにする

(図2)-3


Windows Defenderは、Windows10以降のOSに搭載されているプログラムで、ウィルスとスパイウェアなどのマルウェアのスキャン(検疫)と駆除を実施します。
ウィルスパターンの更新の前に、疑わしいファイルを受け取ったら、そのファイルをサンプルとしてMicrosoftに送り、ウィルスか否かを解析して貰えるのが特長です。
クラウドの保護を無効にする Windows Protectionが発見した新しい問題をMicrosoftクラウドに送り、クラウドで分析して問題解決をします。 クラウドを利用するか、利用しないか、端末ユーザの選択にまかせるかの3択から選びます。
平均CPU負荷率(%) Windows ProtectionがPC内をスキャン(検疫)するときの、CPUの平均負荷率を規定します。
取り除いたマルウェアを保持する日数 隔離したマルウェアの保存日数
アーカイブのスキャンを無効にする チェックを入れないでおくと、圧縮ファイル(*.zip *.cab *.rarなど)のファイルをスキャン(検疫)します。
動作の監視を無効にする チェックを入れないでおくと、端末の疑わしい挙動に関する既知のパターンをチェックします。
既知のウィルスではないが、その挙動が、過去の既知の疑わしい挙動に類似かどうかの監視をします。未知のウィルスに対処。
Eメールのスキャンを無効にする チェックを入れないでおくと、メールの内容をスキャン(検疫)します。
ネットワークドライブのフルスキャンを無効にする チェックを入れないでおくと、仮想ドライブを割り当てられたネットワークドライブのフルスキャン(検疫)をします。
リムーバルドライブのフルスキャンを無効にする チェックを入れないでおくと、仮想ドライブを割り当てられたリムーバルドライブのフルスキャン(検疫)をします。
浸入防止システムを無効にする チェックを入れないでおくと、マルウェア浸入防止機能を有効にします。
IOAVP保護を無効にする チェックを入れないでおくと、IOAV(IOffice Anti Virus) Protectionが有効になります。IEまたはOutlook Expressを使ってダウンロードしたファイルを 開く前にスキャン(検疫)します。
アクセス時保護を無効にする チェックを入れないでおくと、メールおよびインスタントメッセージの受信中にリアルタイムのスキャン(検疫)をします。
リアルタイム監視を無効にする PCで、「設定」--> 「更新とセキュリティ」--> 「Windows Defender」--> 「リアルタイム保護」で 有効/無効を選択できるか否かを設定します。
ネットワークファイルのスキャンを無効にする チェックを入れると、ネットワークドライブのスキャン(検疫)を無効にします。
スクリプトのスキャンを無効にする チェックを入れないでおくと、IEでのスクリプト(Java Script や ActiveX Scriptなど)をスキャン(検疫)します。
ユーザーのUIアクセスを無効にする チェックを入れると、ユーザが、Windows Defenderの画面を開けないようにします。
除外する拡張子 スキャン(検疫)をしないファイルの拡張子を指定します。拡張子と次の拡張子の間は|で分けます。
除外するパス スキャン(検疫)をしないフォルダへのパスを指定します。
除外するプロセス 指定するプロセスが開いたファイルをスキャン(検疫)しません。
リアルタイムスキャンの方向 メールなどのスキャンをするとして、その対象を送信のみ、受信のみ、または送受両方とするかを指定します。
スキャンの種類 クィックスキャンかフルスキャンかを選択します。
クィックスキャンのスケジュール(分) クィックスキャンの開始時刻を設定します。120なら、午前2時に開始します。
スキャン日のスケジュール スキャンする曜日または毎日スキャンするかを選択します
スキャン時刻のスケジュール(分) スキャンの開始時刻を設定します。120なら、午前2時に開始します。
署名の更新間隔(時間) Windowsの更新と共にDefender定義ファイルは更新されます。 これの更新間隔を時間で指定します。8だと8時間毎に更新があるかどうかを調べます。
サンプル送信の同意 Windows Defenderが疑わしいファイルを発見したら、その検体(=Sample)をMicrosoftに送ろうとします。 ここにチェックを入れると、送信前に、PCユーザの同意を求めるダイアログを表示をします。 そのダイアログは、次の4択です。
  1. 標本を送る前に送るべきか否かの同意を常に求める
  2. 安全な標本だけを送る
  3. いかなる標本でも送らない
  4. 全ての標本を送る
2.3.4.をユーザが選択したら、以降、ダイアログは表示されずに、その指示通りにDefenderは実行します。 標本を受け取ったMicrosoftはそれをDefenderの強化に役立てます。

(図2)-3


IMEログを無効にする チェックを入れないでおくと、単語変換の結果を履歴に残し、次回の単語変換の効率をよくします。
IMEネットワークアクセスを無効にする チェックを入れないでおくと、オープン拡張辞書や PC内の辞書にはないがネット上にある入力示唆を利用します。
日本語IMEサロゲートペア文字を無効にする チェックを入れないでおくと、サロゲートペア文字の入力を可能にする。サロゲート文字は、Unicode番号で 16進数で10000以上の文字。
日本語IVS文字を無効にする チェックを入れないでおくと、異体字の入力を可能にする。IVS(Ideographic Variation Sequence)は、本字のコードの後に Variation Selectorと呼ばれるコードを付加しして異体字を表現する。
日本語非出版標準グリフを無効にする チェックを入れないでおくと、印刷標準字体でない文字の入力を可能にする。 印刷標準字体は、常用漢字以外ながら指定された1022字。
日本語ユーザー辞書を無効にする チェックを入れないでおくと、ユーザー辞書を使えます。ユーザー辞書は、 ユーザが登録した単語を含みます。
韓国語拡張漢字を無効にする チェックを入れないでおくと、朝鮮製漢字が表示できる。
JIS0208以外の日本語IMEを除外 チェックを入れるとJIS X 0208 (英数字、ひらがな、カタカナ他、第1水準/第2水準漢字)以外の 日本語文字を入力できなくします。
JIS0208またはEUDC以外の日本語IMEを除外 JIS0208及びEUDC以外の日本語文字を入力できなくします。 EUDC(End User Defined Character)は、外字エディターなどで作成した文字。
Shift JIS以外の日本語IMEを除外 チェックを入れると、Shift JIS規定書以外の日本語文字は表示できなくなります。

(図2)-4


自動更新の設定 Windows Protectorのマルウェア定義を含むWindowsの更新に関して、下記の6択から選択します。
  1. ユーザーに通知
    Windowsの更新をダウンロードしてよいかをユーザーに通知する。ユーザーがコントロールパネルを 操作してダウンロードしインストールします。
  2. インストール後通知
    Windowsの更新のダウンロードは自動的に行い、インストールを行う。 ダウンロードには携帯電話回線は使いません。インストールはPCがバッテリーだけでの稼動でないときであり、且つ ユーザがPCを使用していないときに行います。
    ユーザにはいつ再起動するかを問うプロンプトを表示します。
  3. インストール後再起動
    これがデフォルトです。Windowsの更新のインストールまでの手順は2.と同じ。 しかし、ユーザーへのプロンプトなしに再起動をします。ただし、ユーザーが使用していない時間帯に 再起動します。ユーザーがファイルを保存してないと、ファイルは無くなります。
  4. インストール後特定時間に再起動
    Windowsの更新のインストールまでの手順は、2.と同じ。再起動する時間はユーザーが コントロールパネルで設定しておきます。
  5. インストール後ユーザー介入なしに再起動
    バッテリーだけでの稼動などが続き、3が実行できない状態が2日間続くと、強制的にインストールをし 再起動を行います。
  6. 自動更新なし
    ユーザーがマニュアルでWindowsの更新をします。
Microsoftの署名がない更新プログラムを無効にする WSUS(Windows Server Update Services =社内版Microsoft Updateサーバ)により、社内PCの更新を行うときにチェックを入れます。
更新サービスを無効にする WSUSを利用しないときにチェックを入れます。
インストール予定時間(0-23時) Windowsの更新のインストール開始時刻を定めます。3なら午前3時。23なら午後11時。
カスタム更新WSUSサーバURL WSUSを利用する場合、WSUSサーバのURLを指定します。
インストール予定日 Windowsの更新のインストール曜日を選択するか、毎日を選択します。
プロビジョニング パッケージの追加を無効にする エンドポイントにプロビジョニングパッケージを適用できないようにする。
プロビジョニング パッケージの削除を無効にする エンドポイントに適用済のプロビジョニングパッケージを削除できないようにする。
プロビジョニング パッケージ シグネチャーを必要とする 署名証明書つきのプロビジョニングパッケージでないと適用できようにする。

プロビジョニングパッケージは、Windows10を搭載したデバイスの「イメージングと構成を設定する ファイル」です。拡張子は、*.ppkg です。Microsoftが無償提供するツールであるICD(イメージング および構成デザイナー)を使って作成します。
プロビジョニングパッケージの設定要素の中には、MobiControlによるリモート設定項目と 同じものがあり、競合する恐れがあります。例えばVPNの設定など。

(図2)に入力が終われば、「OK」を押します。
この後は、構成プロファイルの適用対象となる端末グループまたは 端末の割り当ての画面になりますから、適用対象となる端末グループまたはPCを選択してください。