Windows PCの機能制限
(図1)
(図1)の「端末機能制限」を選択すると、(図2)が表示されます。
(図2)
主な項目を、以下、説明します。(図2)-1
| DVRおよびブロードキャストを無効にする | Windows10では、アプリ画面を録画(DVR)し、それを友達へリアルタイムでブロードキャストすることが可能です。 チェックを入れるとこの機能が停止します。 |
| ストアアプリの自動更新を無効にする | Windows ストアからダウンロードしインストールしたアプリを自動更新について、次の3択から選びます。
|
| 移動体通信データのローミングを無効にする | チェックを入れると、ローミングの状態の時、携帯電話回線経由でのデータ通信を禁止します。 |
| WiFiホットスポットレポートを無効にする | チェックを入れないでおくと場合、当該PCをWiFiホットスポットにすると、そのSSID情報や地理的位置などが、Microsoftに通報されます。 |
| WiFi Senseホットスポットへの自動接続を無効にする | エンドポイントをWiFiホットスポットにすると、SkypeやFaceBookの連絡先に、SSIDのパスワードを教えるのがWiFi Sense。連絡先が保有するPCは、パスワード入力なくして、エンドポイントをWiFiホット スポットとして使える。但し、Windows10 Anniversary Update(2016)を施してないWindows10でないと、WiFi Senseは有効にならない。 |
(図2)-2
| Bluetoothアドバタイズを無効にする | チェックを入れると、エンドポイントがBluetoothを通じて、その端末名情報を発信するのを無効にします。 |
| Bluetooth検出可能モードを無効にする | チェックを入れると、他のデバイスからのBluetooth経由での検索に応答しなくなります。 |
| Bluetooth端末名の設定 | コンソールからリモートでBluetooth端末名を設定できます。ダブルクリックして空欄に文字列を入力します。 |
| Bluetooth機能の停止 | チェックを入れると、エンドポイント側からの能動的なBluetooth接続もできなくなります。 |
| WiFi経由のインターネット共有を禁止 | チェックを入れると、エンドポイントが、ホットスポットになるのを禁止します。 |
| WiFi経由のインターネット共有を禁止 | チェックを入れると、エンドポイントが、ホットスポットになるのを禁止します。 |
| ダイレクトメモリアクセスを無効にします | HDDなど周辺機器からCPUを経由せずに、メモリに書き込み読み取りを許すのがダイレクトメモリアクセス。 |
| Cortanaを無効にする | Cortanaは音声認識機能付きのアシスタント機能 |
| 手動によるMDMの登録解除を許可する | MobiControlへの登録を端末側操作で解除できるようにする |
| ロック画面では端末検出を無効にする | チェックを入れると、ロック画面で、他のデバイス(例えばプロジェクタ)の検出画面を表示できないようにする |
(図2)-3
Windows Defenderは、Windows10以降のOSに搭載されているプログラムで、ウィルスとスパイウェアなどのマルウェアのスキャン(検疫)と駆除を実施します。
ウィルスパターンの更新の前に、疑わしいファイルを受け取ったら、そのファイルをサンプルとしてMicrosoftに送り、ウィルスか否かを解析して貰えるのが特長です。
ウィルスパターンの更新の前に、疑わしいファイルを受け取ったら、そのファイルをサンプルとしてMicrosoftに送り、ウィルスか否かを解析して貰えるのが特長です。
| クラウドの保護を無効にする | Windows Protectionが発見した新しい問題をMicrosoftクラウドに送り、クラウドで分析して問題解決をします。 クラウドを利用するか、利用しないか、端末ユーザの選択にまかせるかの3択から選びます。 |
| 平均CPU負荷率(%) | Windows ProtectionがPC内をスキャン(検疫)するときの、CPUの平均負荷率を規定します。 |
| 取り除いたマルウェアを保持する日数 | 隔離したマルウェアの保存日数 |
| アーカイブのスキャンを無効にする | チェックを入れないでおくと、圧縮ファイル(*.zip *.cab *.rarなど)のファイルをスキャン(検疫)します。 |
| 動作の監視を無効にする | チェックを入れないでおくと、端末の疑わしい挙動に関する既知のパターンをチェックします。 既知のウィルスではないが、その挙動が、過去の既知の疑わしい挙動に類似かどうかの監視をします。未知のウィルスに対処。 |
| Eメールのスキャンを無効にする | チェックを入れないでおくと、メールの内容をスキャン(検疫)します。 |
| ネットワークドライブのフルスキャンを無効にする | チェックを入れないでおくと、仮想ドライブを割り当てられたネットワークドライブのフルスキャン(検疫)をします。 |
| リムーバルドライブのフルスキャンを無効にする | チェックを入れないでおくと、仮想ドライブを割り当てられたリムーバルドライブのフルスキャン(検疫)をします。 |
| 浸入防止システムを無効にする | チェックを入れないでおくと、マルウェア浸入防止機能を有効にします。 |
| IOAVP保護を無効にする | チェックを入れないでおくと、IOAV(IOffice Anti Virus) Protectionが有効になります。IEまたはOutlook Expressを使ってダウンロードしたファイルを 開く前にスキャン(検疫)します。 |
| アクセス時保護を無効にする | チェックを入れないでおくと、メールおよびインスタントメッセージの受信中にリアルタイムのスキャン(検疫)をします。 |
| リアルタイム監視を無効にする | PCで、「設定」--> 「更新とセキュリティ」--> 「Windows Defender」--> 「リアルタイム保護」で 有効/無効を選択できるか否かを設定します。 |
| ネットワークファイルのスキャンを無効にする | チェックを入れると、ネットワークドライブのスキャン(検疫)を無効にします。 |
| スクリプトのスキャンを無効にする | チェックを入れないでおくと、IEでのスクリプト(Java Script や ActiveX Scriptなど)をスキャン(検疫)します。 |
| ユーザーのUIアクセスを無効にする | チェックを入れると、ユーザが、Windows Defenderの画面を開けないようにします。 |
| 除外する拡張子 | スキャン(検疫)をしないファイルの拡張子を指定します。拡張子と次の拡張子の間は|で分けます。 |
| 除外するパス | スキャン(検疫)をしないフォルダへのパスを指定します。 |
| 除外するプロセス | 指定するプロセスが開いたファイルをスキャン(検疫)しません。 |
| リアルタイムスキャンの方向 | メールなどのスキャンをするとして、その対象を送信のみ、受信のみ、または送受両方とするかを指定します。 |
| スキャンの種類 | クィックスキャンかフルスキャンかを選択します。 |
| クィックスキャンのスケジュール(分) | クィックスキャンの開始時刻を設定します。120なら、午前2時に開始します。 |
| スキャン日のスケジュール | スキャンする曜日または毎日スキャンするかを選択します |
| スキャン時刻のスケジュール(分) | スキャンの開始時刻を設定します。120なら、午前2時に開始します。 |
| 署名の更新間隔(時間) | Windowsの更新と共にDefender定義ファイルは更新されます。 これの更新間隔を時間で指定します。8だと8時間毎に更新があるかどうかを調べます。 |
| サンプル送信の同意 | Windows Defenderが疑わしいファイルを発見したら、その検体(=Sample)をMicrosoftに送ろうとします。
ここにチェックを入れると、送信前に、PCユーザの同意を求めるダイアログを表示をします。
そのダイアログは、次の4択です。
|
(図2)-3
| IMEログを無効にする | チェックを入れないでおくと、単語変換の結果を履歴に残し、次回の単語変換の効率をよくします。 |
| IMEネットワークアクセスを無効にする | チェックを入れないでおくと、オープン拡張辞書や PC内の辞書にはないがネット上にある入力示唆を利用します。 |
| 日本語IMEサロゲートペア文字を無効にする | チェックを入れないでおくと、サロゲートペア文字の入力を可能にする。サロゲート文字は、Unicode番号で 16進数で10000以上の文字。 |
| 日本語IVS文字を無効にする | チェックを入れないでおくと、異体字の入力を可能にする。IVS(Ideographic Variation Sequence)は、本字のコードの後に Variation Selectorと呼ばれるコードを付加しして異体字を表現する。 |
| 日本語非出版標準グリフを無効にする | チェックを入れないでおくと、印刷標準字体でない文字の入力を可能にする。 印刷標準字体は、常用漢字以外ながら指定された1022字。 |
| 日本語ユーザー辞書を無効にする | チェックを入れないでおくと、ユーザー辞書を使えます。ユーザー辞書は、 ユーザが登録した単語を含みます。 |
| 韓国語拡張漢字を無効にする | チェックを入れないでおくと、朝鮮製漢字が表示できる。 |
| JIS0208以外の日本語IMEを除外 | チェックを入れるとJIS X 0208 (英数字、ひらがな、カタカナ他、第1水準/第2水準漢字)以外の 日本語文字を入力できなくします。 |
| JIS0208またはEUDC以外の日本語IMEを除外 | JIS0208及びEUDC以外の日本語文字を入力できなくします。 EUDC(End User Defined Character)は、外字エディターなどで作成した文字。 |
| Shift JIS以外の日本語IMEを除外 | チェックを入れると、Shift JIS規定書以外の日本語文字は表示できなくなります。 |
(図2)-4
| 自動更新の設定 | Windows Protectorのマルウェア定義を含むWindowsの更新に関して、下記の6択から選択します。
|
| Microsoftの署名がない更新プログラムを無効にする | WSUS(Windows Server Update Services =社内版Microsoft Updateサーバ)により、社内PCの更新を行うときにチェックを入れます。 |
| 更新サービスを無効にする | WSUSを利用しないときにチェックを入れます。 |
| インストール予定時間(0-23時) | Windowsの更新のインストール開始時刻を定めます。3なら午前3時。23なら午後11時。 |
| カスタム更新WSUSサーバURL | WSUSを利用する場合、WSUSサーバのURLを指定します。 |
| インストール予定日 | Windowsの更新のインストール曜日を選択するか、毎日を選択します。 |
| プロビジョニング パッケージの追加を無効にする | エンドポイントにプロビジョニングパッケージを適用できないようにする。 |
| プロビジョニング パッケージの削除を無効にする | エンドポイントに適用済のプロビジョニングパッケージを削除できないようにする。 |
| プロビジョニング パッケージ シグネチャーを必要とする | 署名証明書つきのプロビジョニングパッケージでないと適用できようにする。 |
プロビジョニングパッケージは、Windows10を搭載したデバイスの「イメージングと構成を設定する
ファイル」です。拡張子は、*.ppkg です。Microsoftが無償提供するツールであるICD(イメージング
および構成デザイナー)を使って作成します。
プロビジョニングパッケージの設定要素の中には、MobiControlによるリモート設定項目と 同じものがあり、競合する恐れがあります。例えばVPNの設定など。
(図2)に入力が終われば、「OK」を押します。
この後は、構成プロファイルの適用対象となる端末グループまたは 端末の割り当ての画面になりますから、適用対象となる端末グループまたはPCを選択してください。
プロビジョニングパッケージの設定要素の中には、MobiControlによるリモート設定項目と 同じものがあり、競合する恐れがあります。例えばVPNの設定など。
(図2)に入力が終われば、「OK」を押します。
この後は、構成プロファイルの適用対象となる端末グループまたは 端末の割り当ての画面になりますから、適用対象となる端末グループまたはPCを選択してください。