Windows PCの機能制限

MobiControl v14 Manual

セキュリティ対策を主目的として、Windows10 PCの挙動をリモート設定します。
ここで作成した構成プロファイルを端末グループに送ると、その端末グループに属する全てのエンドポイントPCの挙動は、 ここでの設定通りとなります。
(図1)の「構成プロファイルのメニュー」の画面を表示します。  
表示方法は、「構成プロファイルの作成」を参照ください。

(図1) 

 
(図1)の「端末機能制限」を選択すると、(図2)から(図8)が表示されます。 チェックボックスが表示されてない項目では、右端をプルダウンすると選択肢が表示されるので、選択値を選択します。
サブタイトルの左端にあるをクリックすると 当該セクションは折りたたまれます。(図2)の赤矢印部分。
を クリックすると広がります。
緑色セル内の機能の設定には、Windows Editionが、Pro、Business、Enterprise、又はEducationが必要です。
ピンクセル内の機能の設定には、Windows Editionが、Enterprise、又はEducationが必要です。

(図2) 

各項目を、以下、説明します。
ハードウェア
端末位置設定スイッチを無効化 該当PCで、「設定」-->「更新とセキュリティ」--> 「デバイスの検索」をオン/オフすることで 端末の地理的位置の把握をするかしないかを設定できる。チェックを入れると、この設定変更が不可能になる。
カメラを無効にする カメラの機能を停止する
アプリ
DVRおよびブロードキャストを無効にする Windows10では、アプリ画面を録画(DVR)し、それを友達へリアルタイムでブロードキャストすることが可能。 チェックを入れると、この機能が停止。
アプリインストール制御を無効化 Windowsストア以外からのアプリを、ユーザがインストールできるか否かを次の3択から選択
  • 無効
    (Windowsストア以外のアプリを、ユーザはインストール禁止)
  • 有効
    (Windowsストア以外のアプリを、ユーザはインストール許可)
  • ユーザによる制御
    (アドミンが、ユーザのインストールを「無効」か「有効」かを設定できる)
ストアに由来するアプリを無効にする Windowsストアからダウンロードし、インストールしたアプリまたは、これからインストールするアプリを利用禁止
インストールでのユーザーコントロールを無効にする アドミンしかインストールできないアプリを、アドミン以外でもインストールできるように変更することを禁止
インストールプログラムに対する高い特権を無効にします 特別な許可を必要とするプログラムをインストールするための特権を制限する。 アドミンが配布または提供してないプログラムをインストールする場合、現在のユーザーの権限でのインストールを認めます。
プライベートストアだけが必要 消費者用カタログのアプリのダウンロードを禁止。プライベート ストアのアプリは許可。 プライベートストアとは、Azure ADでサインインしたユーザへの企業向け、及び教育機関向けストア。
ストアアプリの自動更新を無効にする Windowsストアからのアプリの自動更新を可能にするか否かを、次の3択から選択
  • 無効(自動更新しない)
  • 有効(自動更新する)
  • ユーザによる制御 (自動更新をするか否かをユーザが設定できる)
バックグラウンドでアプリを実行可能 アプリがバックグラウンドで稼働することを認めるか否かを次の3択から選択
  • 強制的に許可(ユーザの意向に拘わらず稼働させる)
  • 強制的に拒否(ユーザの意向に拘わらず稼働させない)
  • ユーザによる制御(ユーザが設定を選択できる)
開発者によるロック解除を無効にする 開発者ロック解除に関し、次の3択から選択
  • 無効(禁止)
  • 有効(許可)
  • ユーザによる制御 (許可/禁止をユーザが設定できる)
共有されたユーザー アプリ データを無効にする 複数のユーザがデータを共有するアプリの使用を禁止
システム ボリュームにアプリ データを制限 アプリケーション データが保存先を、システムドライブに限定
システム ボリュームにアプリを制限 アプリのインストール先を、システムボリュームに限定

(図3) 

携帯電話回線でのデータ伝送とローミング
移動体通信でのVPNローミングを無効にする ローミングの状態の時、携帯電話回線経由でのVPN通信に関し、次の3択から選択
  • 無効(禁止)
  • 有効(許可)
  • ユーザによる制御 (許可/禁止をユーザが設定できる)
移動体通信でのVPNを無効にする 携帯電話回線経由でのVPN通信に関し、次の3択から選択
  • 無効(禁止)
  • 有効(許可)
  • ユーザによる制御 (許可/禁止をユーザが設定できる)
デバイスセルラーデータを無効にする デバイスのセルラー データ チャネルを無効にします
移動体通信データのローミングを無効にする ローミングの状態の時、携帯電話回線経由でのデータ通信に関し、次の3択から選択
  • 無効(禁止)
  • 有効(許可)
  • ユーザによる制御 (許可/禁止をユーザが設定できる)
エンタープライズ APN ユーザー コントロールを無効にする 携帯電話回線網のAPNアクセスプロファイルの変更禁止
無線LAN
WiFiホットスポットレポートを無効にする 当該PCをWiFiホットスポットにすると、そのSSID情報や地理的位置などの情報をMicrosoftへ通報されなくなる
Windows Phone8.1が必要
WiFi Senseホットスポットへの自動接続を無効にする 該当PCをWiFiホットスポットにすると、SkypeやFaceBookの連絡先に、SSIDのパスワードを教えるのがWiFi Sense。 交信相手が保有するPCは、パスワード入力なくして、該当PCをWiFiホットスポットとして使えなくなる。
Bluetooth
Bluetooth検出可能モードを無効にする Bluetoothを通じて、その端末名情報を該当PCが発信するのを禁止
Bluetooth端末名の設定 コンソールからリモートでBluetooth端末名を設定できる。右端をダブルクリックして空欄に文字列を入力。
Bluetooth機能の停止 該当PCからのBluetooth接続禁止
Bluetoothアドバタイズを無効にする 該当PCを、アドバタイズ元にさせない
Bluetoothプリペアリングを無効にする 該当PCが特定の周辺機器とBluetooth経由で自動接続するようになっている場合、それを切断し再接続を禁止する
 

(図4) 

 
データプロテクション
WiFi経由のインターネット共有を禁止 該当PCをホットスポットにさせない。 他のデバイスがWiFi経由で、該当PCに経由でインターネットにアクセスするのを禁止。
ダイレクトメモリアクセスを無効にします HDDなど周辺機器からCPUを経由せずに、メモリに書き込み読み取りを許すのがダイレクトメモリアクセス。 これを禁止。
デバイスアカウント
Microsoft アカウントの接続を無効にする ユーザのMicrosoftアカウントで、Microsoftサービスにサインインすることを禁止
Microsoft以外のアカウントの手動追加を無効にする ユーザがMicrosoft以外のアカウントを当該PCに登録することを禁止
Microsoft アカウントサインインアシスタントを無効にする インスタントメッセンジャー、「Microsoft Windows Live」のアプリの設定を 禁止。この禁止は、該当PCの再起動後に有効になる。
電子メール同期のためのドメイン名 右端をクリックして空き欄に電子メールのドメイン名を入力。
検索
位置情報を使用する検索を無効にする Bingに対し、該当PCの位置情報を参照しての検索をさせない
検索指示を無効にする検索インデックス サービスを実行しないようにする
エクスペリエンス
Windows コンシューマ機能を無効にする 起動提案、メンバーシップ通知、OOBE(Out of Box Experience)終了後のアプリ インストールおよびタイルをリダイレクトするなどの一般的に コンシューマ向けのエクスペリエンスを実施しないようにする
Windows ヒントを無効にする Windows ヒント/ソフト ランディングを表示しない
Cortanaを無効にする Cortana 個人デジタル アシスタントを無効にする
ユーザによるMDMからの登録解除を許可する 該当PCでの操作で、MobiControl登録を解除できるようにする
ロック画面では端末検出を無効にする ロック画面では、他のデバイス(例えばプロジェクタ)からは、該当PCを認識させない
マイ デバイス検索を無効にする クラウドにアクセスし、該当PCの位置を探す機能に関し、次の3択から選択
  • 無効(禁止)
  • 有効(許可)
  • ユーザによる制御 (許可/禁止をユーザが設定できる)
設定の同期を無効にする 該当PCによる、他のデバイスとの同期を禁止
フィードバック通知を無効にする Microsoft からのフィードバック質問を該当PCに表示させない
 

(図5)

 
システム
OneDrive ファイル同期を無効化 アドミンが、アプリやPCの機能を、OneDriveのファイルにまでは適用させないようにする。
本設定を有効にするには、該当PCの再起動が必要。
ブート起動ドライバを無効にする PCを起動するときに使うドライバ群のカテゴリを選択し、マルウェア・ドライバの起動を抑止する。 右端をプルダウンし、次の4つの選択肢から選択。
  1. 良好のみ (下記のジャンルa.のみ)
  2. 全て重要クリティカル (下記のジャンルc-1のみ)
  3. 良好と不明 (下記のジャンルa.とc.の混合)
  4. 全て (下記のジャンルa. b. c.の混合)
1.を選択するのが望ましく、次善は2.です。

個別のドライバは、安全度の観点で、次の3つのジャンルに分類される。
  1. 良好
    製造メーカーによる署名付きで、改ざんされてないドライバ
  2. 悪質
    マルウェア検疫ソフトでマルウェアと判定されるドライバ
  3. 不明
    上記の a. でも b. でもない。これは更に2つに分類される。
    • c-1. クリティカル
      推奨されないが、当該PCで現用している
    • c-2. 不要
      当該PCで現用してない
マルウェア検疫ソフトが、ELAM(Early Launch Anti-Malware)ドライバを搭載している場合のみに、 上記の設定が有効になる。Windows DefenderはELAMドライバを搭載している。
企業認証プロキシーを無効にする Connected User Experience and Telemetry サービスを使うためにMicrosoftに接続する際に、プロキシによる自動認証をさせないようにする。 Connected User Experience and Telemetry サービスは、Windowsの使用状況をMicrosoftに報告するサービス。
システムのリストアを無効にする システムの復元ができないようにし、復元ウィザードも使えないようにする。復元ポイントの作成もさせない。
診断ログをローカルで保存する必要があります PCの診断ログをローカルPCに保存させる。社内でそれを調査するため。
Telemetry Data を制限する Windowsの使用状況を、もし、Microsoftに報告するとすれば、どのジャンルを報告するかを選択
  1. 最大
    下記の b. c. d. のジャンル全てを送る
  2. セキュリティ
    セキュリティ関係のデータのみ。Windows Defenderからの報告データを含む。
  3. ベーシック
    OSの品質に関連するデータ、アプリ互換性、アプリ使用データ、 セキュリティ レベルからのデータ
  4. 拡張
    アプリがどのように使用されるか、どのように実行されるか、高度な信頼性のあるデータおよび基本レベルと セキュリティ レベルの両方からのデータ スペックの低いPCだと、分析分野を広くするとPCの作動が遅くなる原因にもなる。
位置情報サービスを無効にする 該当PCの地理的位置を、どのアプリにも提供しない
SD カードの利用禁止 SDカードへの書込みまたは読取りを禁止
Windows プレビュー ビルドを無効にする Windows OSのプレビュー版(ビルド)のインストールの禁止
組み込みモードを無効にします 組み込みモードにはさせないようにする
Microsoft Experimentation を許可 ユーザーが、PC動作の勉強や、GUIの選好のための体験をすることに、次の3択から選択
  • 無効(禁止)
  • 限定(PC設定の勉強だけ)
  • 許可(体験を全許可)
フロント プロバイダを無効化 フォントのダウンロードを禁止
工場出荷時の状態へ戻すリセット機能停止 「設定」アプリまたはハードウェアのキーコードを使用して、PCを初期設定に戻すことを禁止
Telemetry プロキシー 右端の空欄に、プロキシサーバのFQDNまはIPアドレスを入力。 このプロキシは、Micorosoft にWindowsの使用状況を報告する接続に使う。
 

(図6)

 
設定
自動再生設定を無効にする ユーザーによる自動再生設定を変更禁止
言語の設定を無効にするユーザによる言語の設定変更を禁止
オンライン ヒント設定を無効にする アプリ設定用のオンライン ヒントとヘルプの検索を禁止
電源/スリープ設定を無効にする ユーザーによる電源およびスリープの設定変更の禁止
地域の設定を無効にする ユーザーによる地域の設定を禁止
サインイン オプションの設定を無効にする ユーザーによるサインイン オプションの変更禁止
ワークスペース設定を無効にする ユーザーによるワークスペース設定を禁止
データ使用の設定を無効にする ユーザーによるータ使用の設定を禁止
日付と時刻の設定を無効にする ユーザーによる日付と時刻の設定を禁止
デバイス名設定の編集を無効にする PCのデバイス名の編集を禁止
VPN の設定を無効にする ユーザーによるVPNの設定を変更を禁止
アカウントの設定を無効にする ユーザーによるアカウントの設定の変更禁止
認証
Azure アクティブディレクトリパスワードリセットを無効にする Azure ADに対するパスワードリセットを禁止
FIDO デバイスサインオンを無効にする FIDO(Fast Identity Online) デバイスがサインオンに使用できるかどうかを指定する。 このポリシーによって、FIDO 2.0 デバイスに対して Windows ログオン証明プロバイダーを有効にする。 FIDOは、生体情報による認証を指す。
EAP Fast Reconnect を無効にする EAP Method TLS に対して、EAP Fast Reconnectを試みることが許可する
二次的な認証デバイスを無効にする セカンダリ認証デバイスを使っての認証を許可
 

(図7)

 
Windows Defenderは、Windows10以降のOSに搭載されているプログラムで、ウィルスとスパイウェアなどのマルウェアのスキャン(検疫)と駆除を実施する。
Defender
クラウドの保護を無効にする Windows Defenderが発見した新しい問題をMicrosoftクラウドに送り、クラウドで分析して問題解決をさせるか否かの設定。 3択から選択。
  • クラウドを利用する
  • クラウドを利用しない
  • 端末ユーザの選択にまかせる
平均CPU負荷率(%) Windows DefenderがPC内をスキャン(検疫)するときの、CPUの平均負荷率を規定。右端の空欄に入力。
取り除いたマルウェアを保持する日数 隔離したマルウェアの保存日数
アーカイブのスキャンを無効にする 圧縮ファイル(*.zip *.cab *.rarなど)の中のファイルをスキャン(検疫)しないようにする
動作の監視を無効にする 端末の疑わしい挙動の監視を止める。
チェックを入れないでおくと、 既知のウィルスではないが、その挙動が、過去の既知の疑わしい挙動に類似かどうかの監視をする。未知のウィルスに対処。
Eメールのスキャンを無効にする メールの内容をスキャン(検疫)をしない
ネットワークドライブのフルスキャンを無効にする 仮想ドライブを割り当てられたネットワークドライブのフルスキャン(検疫)をしない
リムーバルドライブのフルスキャンを無効にする 仮想ドライブをとして、割り当てられたリムーバルドライブのフルスキャン(検疫)をしない
侵入防止システムを無効にする チェックを入れないでおくと、マルウェア侵入防止機能を無効にする
IOAVP保護を無効にする チェックを入れないでおくと、IOAV(IOffice Anti Virus) Protectionが有効になる。IEまたはOutlook Expressを使ってダウンロードしたファイルを 開く前にスキャン(検疫)する。
アクセス時保護を無効にする チェックを入れないでおくと、メールおよびインスタントメッセージの受信中にリアルタイムのスキャン(検疫)をする
リアルタイム監視を無効にする PCで、「設定」--> 「更新とセキュリティ」--> 「Windows Defender」--> 「リアルタイム保護」で 有効/無効を設定できるようにするか否かを、次の3択から選択
  • 無効(禁止)
  • 有効(許可)
  • ユーザによる制御 (許可/禁止をユーザが設定できる)
ネットワークファイルのスキャンを無効にする ネットワークファイルのスキャン(検疫)をやめる
スクリプトのスキャンを無効にする IEでのスクリプト(Java Script や ActiveX Scriptなど)をスキャン(検疫)を止める
ユーザーのUIアクセスを無効にする ユーザが、Windows Defenderの画面を開けさせない。 無効にすると、Defenderからの通知が表示されなくなる。
除外する拡張子 スキャン(検疫)をしないファイルの拡張子を入力する。拡張子と次の拡張子の間は|で分けます。
除外するパス スキャン(検疫)をしないフォルダへのパスを入力
除外するプロセス スキャン(検疫)をしないプロセスを入力
リアルタイムスキャンの方向 メールなどのスキャンをするとして、その対象を送信のみ、受信のみ、または送受両方とするかを指定
スキャンの種類 クィックスキャンかフルスキャンかを選択
クィックスキャンのスケジュール(分) クィックスキャンの開始時刻を入力。120なら、午前2時に開始。
スキャン日のスケジュール スキャンする曜日または毎日スキャンするかを選択
スキャン時刻のスケジュール(分) スキャンの開始時刻を設定。120なら、午前2時に開始。
署名の更新間隔(時間) 「シグネチャ」を更新する時間間隔を時間で指定。8だと8時間毎に実施。最も頻繁には1時間毎に実施できる。
シグネチャとは、マルウェアを特定する一連のバイト列(バイトシーケンス)。エンドポイントは、Microsoft Update(クラウド)または WSUSに定期的にアクセスして更新する。エンドポイントでは、更新したシグネチャをデータベース化しており、ウィルスサンプリングの 照合に使う。
サンプル送信の同意 Windows Defenderが疑わしいファイルを発見したら、その検体(=Sample)をMicrosoftに送ろうとする。 どのような検体を送信するかの同意を次の4択から指定する。
  1. 標本を送る前に送るべきか否かの同意プロンプトを毎回表示する
  2. 安全な標本だけを自動的に送る
  3. いかなる標本でも送らない
  4. 全ての標本を自動的に送る
2.3.4.を選択したら、以降、プロンプトは表示されずに、その指示通りにDefenderは実行する。 標本を受け取ったMicrosoftはそれをDefenderの強化に役立てる。
シェルでSmarkScreenを無効化 アドミンによるWindowsのSmartScreen の構成に関し、次の3択から選択
  • 無効(禁止)
  • 有効(許可)
  • ユーザによる制御 (許可/禁止をユーザが設定できる)
SmartScreen 警告を無視 悪意の可能性があるファイルが見つかり、SmartScreen警告がでても、 ユーザがそれを無視することを許可する
 

(図8)

 
テキスト入力
IMEログを無効にする チェックを入れないでおくと、単語変換の結果を履歴に残し、次回の単語変換の効率をよくする
IMEネットワークアクセスを無効にする チェックを入れないでおくと、オープン拡張辞書や PC内の辞書にはないがネット上にある入力示唆を利用する。
日本語IMEサロゲートペア文字を無効にする チェックを入れないでおくと、サロゲートペア文字の入力を可能にする。サロゲート文字は、Unicode番号で 16進数で10000以上の文字。
日本語IVS文字を無効にする チェックを入れないでおくと、異体字の入力を可能にする。IVS(Ideographic Variation Sequence)は、本字のコードの後に Variation Selectorと呼ばれるコードを付加しして異体字を表現する。
日本語非出版標準グリフを無効にする チェックを入れないでおくと、印刷標準字体でない文字の入力を可能にする。 印刷標準字体は、常用漢字以外ながら指定された1022字。
日本語ユーザー辞書を無効にする チェックを入れないでおくと、ユーザー辞書を使える。ユーザー辞書は、 ユーザが登録した単語を含む。
韓国語拡張漢字を無効にする チェックを入れないでおくと、朝鮮製漢字が表示できる
JIS0208以外の日本語IMEを除外 チェックを入れるとJIS X 0208 (英数字、ひらがな、カタカナ他、第1水準/第2水準漢字)以外の 日本語文字を入力できない。
JIS0208またはEUDC以外の日本語IMEを除外 JIS0208及びEUDC以外の日本語文字の入力を禁止。 EUDC(End User Defined Character)は、外字エディターなどで作成した文字。
Shift JIS以外の日本語IMEを除外 チェックを入れると、Shift JIS規定書以外の日本語文字は表示できなくなる
更新
自動更新の設定 Windowsの更新に関して、下記の6択から選択
  1. ユーザーに通知 
    Windowsの更新をダウンロードしてよいかをユーザーに通知する。ユーザーがコントロールパネルを 操作して、ダウンロードしインストールする。
  2. インストール後通知 
    Windowsの更新のダウンロードとインストールを自動的に行う。そして、ユーザに再起動をいつ行うかのプロンプトを出す。
    ダウンロードとインストールは、「自動メンテナンス」時間で、且つ、PCが使われてなく、バッテリで駆動してない時間に実行される。
    「自動メンテナンス」の開始時刻は、デフォルトでは、午前2時。 この時刻は、「コントロールパネル」-->「システムとセキュリティ」-->「セキュリティとメインテナンス」で変更できる。
    「自動メンテナンス」時間帯にインストールが実行できない場合、ダウンロード後2日後に強制的に自動インストールされる。
    再起動をいつ行うかのスケジュール設定のプロンプトに対して、最大7日間の猶予がある。
  3. インストール後再起動 
    これがデフォルト。Windowsの更新のインストールまでの手順は2.と同じ。
    しかし、ユーザーへのプロンプトなしに、ユーザーが使用していない時間帯に、 再起動する。保存してないファイルは無くなる。
  4. インストール後特定時間に再起動 
    Windowsの更新のインストールまでの手順は、2.と同じ。 但し、再起動の時刻は、この構成プロファイルの、以下の設定項目で、曜日と時刻を指定する。 その指定をしないと、デフォルトでは、翌日の午前3時に再起動する。
    再起動時刻に、ユーザがログインをしている状態だと、15分間のカウントダウン猶予を与えられる。
  5. インストール後、ユーザー介入なしに再起動 
    再起動実行まで、3.と同じ。但し、コントロールパネルでの「自動メンテナンス」が、Read Onlyになり、 ユーザは、「自動メンテナンス」の開始時刻などの設定を変更できない。
  6. 自動更新なし 
    ユーザーが、手動でWindowsのダウンロード、インストール、そして再起動をすることとする
Microsoftの署名がない更新プログラムを無効にする Microsoft Updateを利用せず、WSUSにより、社内PCの更新を行うときにチェックを入れる
更新サービスを無効にする WSUSを用意しているときに、チェックを入れる
インストール予定時間(0-23時) Windowsの更新のインストール開始時刻を定める。3なら午前3時。23なら午後11時。デフォルトは3。
前述の「自動更新の設定」-->「4. インストール後特定時間に再起動」を選択したときに、有効になる。
カスタム更新WSUSサーバURL WSUSを設定していた場合、そのWSUSサーバのURLを入力
インストール予定日 Windowsの更新のインストール曜日を選択します。デフォルトは「毎日」。 前述の「自動更新の設定」-->「4. インストール後特定時間に再起動」を選択したときに、有効になる。
セキュリティ
準備できてない場合は、TPMをクリアする TPM(Trusted Platform Module)が未準備の場合、TPMをクリアするべきとのプロンプトが表示される。 アドミン権限を持つユーザにクリアさせる。このプロンプトは再起動直後に表示される。
このプロンプトを無視しても、次回の再起動直後に、また表示される。
TPMは、BitLockerが使う暗号化/復号鍵などが保存される。
Windowsパスワードを設定する Editionが、Windows SモードのPCで、パスワードの使用を設定させる
Azure AD参加済みデバイスで自動デバイス暗号化を防止 PCが、Azure AD に参加した後に実施されるOOBE(Out of Box Experience) 実行中には、デバイスの暗号化の自動実行をさせない
プロビジョニング パッケージの追加を無効にする ランタイム構成エージェントに、プロビジョニング パッケージをインストールさせない
プロビジョニング パッケージの削除を無効にする ランタイム構成エージェントに、プロビジョニング パッケージを削除させない
プロビジョニング パッケージ シグネチャーを必要となります プロビジョニングパッケージが、 「Device Trusted Authority」の署名付きの証明書を持っていることを必須とする
プロビジョニングパッケージは、Microsoft Storeから無償ダウンロードできるWindows構成デザイナーというソフトで作成します。 作成したパッケージの拡張子は、*.ppkg です。このファイルをUSBデバイスなどを使って、PCに読み込ませて、Windowsの構成を実現します。
 

(図9) 

 
スタートメニュー
スタートメニュー(画面左下の「スタート」ボタンを押して得られるメニュー)
アカウント設定変更を非表示 チェックを入れると、「スタート」ボタンを起動して表示される「アカウント設定の変更」を非表示にする
頻繁に使用されるアプリを非表示 チェックを入れると、 「よく使うアプリ」を非表示にする
ハイパーネートを非表示 チェックを入れると 電源メニューの「休止状態(ハイバネート)」を非表示
ロックを非表示 チェックを入れると「アカウント」をクリックしても「ロック」の画面を非表示
電源ボタンを非表示 電源ボタンを非表示
最近のジャンプリストを非表示 「最近使ったもの」「よくアクセスするサイト」などを非表示。 これらは、通常、スタートメニューやタスクバーのアプリアイコンを右クリックすると表示される
最近追加したアプリを非表示 チェックを入れると 最近追加したアプリのアイコンを非表示
再起動を非表示 チェックを入れると 電源メニューで「再起動」を非表示
シャットボタンを非表示 電源メニューで「シャットダウン」が非表示
サインアウトを非表示 電源メニューで「サインアウト」が非表示
スリープを非表示 電源メニューで「スリープ」を非表示
ユーザタイルを非表示 スタートメニューから、タイルを非表示
タスクバーに固定しない 「タスクバーからピン留めを外す」と「タスクバーにピン留めをする」を禁止
通信環境
HTTPでの印刷を無効にする このクライアントから HTTP での印刷をユーザーができないようにする
HTTPでプリントドライバのダウンロードを無効にする HTTP でプリント ドライバ パッケージのダウンロードをユーザーにさせないようにする
オンラインウィザードのダウンロードを無効にする Windows にプロバイダのダウンロードをさせないようにし、ローカル レジストリでキャッシュされるサービス プロバイダだけが表示させる
ネットワーク接続性アクティブテストを無効にする NCSI アクティブ プローブを無効にし、www.msftconnecttest.com へのネットワーク接続を防止
ネットワークブリッジの構成を無効にする ユーザーにネットワーク ブリッジのインストールおよび構成をさせない
接続されたデバイスを無効にする Connected Devices Platform (CDP) コンポーネントを無効にする

(図9)に入力が終われば、「OK」を押します。 
「OK」ボタンを押すと、構成プロファイルの作成は終わりです。

構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。詳しくは、 「Windows PCの構成プロファイルの作成」 のページの「D. 構成プロファイルの端末グループへの割り当て」以下を参照ください。