Windows PCの機能制限
セキュリティ対策を主目的として、Windows10 PCの挙動をリモート設定します。
ここで作成した構成プロファイルを端末グループに送ると、その端末グループに属する全てのエンドポイントPCの挙動は、 ここでの設定通りとなります。
(図1)の「構成プロファイルのメニュー」の画面を表示します。
表示方法は、「構成プロファイルの作成」を参照ください。
(図1)
(図1)の「端末機能制限」を選択すると、(図2)から(図8)が表示されます。 チェックボックスが表示されてない項目では、右端をプルダウンすると選択肢が表示されるので、選択値を選択します。
サブタイトルの左端にあるをクリックすると 当該セクションは折りたたまれます。(図2)の赤矢印部分。
を クリックすると広がります。
緑色セル内の機能 の設定には、Windows Editionが、Pro、Business、Enterprise、又はEducationが必要です。 ピンクセル内の機能 の設定には、Windows Editionが、Enterprise、又はEducationが必要です。 (図2)
各項目を、以下、説明します。
ハードウェア | |
端末位置設定スイッチを無効化 | 該当PCで、「設定」-->「更新とセキュリティ」--> 「デバイスの検索」をオン/オフすることで 端末の地理的位置の把握をするかしないかを設定できる。チェックを入れると、この設定変更が不可能になる。 |
カメラを無効にする | カメラの機能を停止する |
アプリ | |
DVRおよびブロードキャストを無効にする | Windows10では、アプリ画面を録画(DVR)し、それを友達へリアルタイムでブロードキャストすることが可能。 チェックを入れると、この機能が停止。 |
アプリインストール制御を無効化 | Windowsストア以外からのアプリを、ユーザがインストールできるか否かを次の3択から選択
|
ストアに由来するアプリを無効にする | Windowsストアからダウンロードし、インストールしたアプリまたは、これからインストールするアプリを利用禁止 |
インストールでのユーザーコントロールを無効にする | アドミンしかインストールできないアプリを、アドミン以外でもインストールできるように変更することを禁止 |
インストールプログラムに対する高い特権を無効にします | 特別な許可を必要とするプログラムをインストールするための特権を制限する。 アドミンが配布または提供してないプログラムをインストールする場合、現在のユーザーの権限でのインストールを認めます。 |
プライベートストアだけが必要 | 消費者用カタログのアプリのダウンロードを禁止。プライベート ストアのアプリは許可。 プライベートストアとは、Azure ADでサインインしたユーザへの企業向け、及び教育機関向けストア。 |
ストアアプリの自動更新を無効にする | Windowsストアからのアプリの自動更新を可能にするか否かを、次の3択から選択
|
バックグラウンドでアプリを実行可能 | アプリがバックグラウンドで稼働することを認めるか否かを次の3択から選択
|
開発者によるロック解除を無効にする | 開発者ロック解除に関し、次の3択から選択
|
共有されたユーザー アプリ データを無効にする | 複数のユーザがデータを共有するアプリの使用を禁止 |
システム ボリュームにアプリ データを制限 | アプリケーション データが保存先を、システムドライブに限定 |
システム ボリュームにアプリを制限 | アプリのインストール先を、システムボリュームに限定 |
(図3)
携帯電話回線でのデータ伝送とローミング | |
移動体通信でのVPNローミングを無効にする | ローミングの状態の時、携帯電話回線経由でのVPN通信に関し、次の3択から選択
|
移動体通信でのVPNを無効にする | 携帯電話回線経由でのVPN通信に関し、次の3択から選択
|
デバイスセルラーデータを無効にする | デバイスのセルラー データ チャネルを無効にします |
移動体通信データのローミングを無効にする | ローミングの状態の時、携帯電話回線経由でのデータ通信に関し、次の3択から選択
|
エンタープライズ APN ユーザー コントロールを無効にする | 携帯電話回線網のAPNアクセスプロファイルの変更禁止 |
無線LAN | |
WiFiホットスポットレポートを無効にする | 当該PCをWiFiホットスポットにすると、そのSSID情報や地理的位置などの情報をMicrosoftへ通報されなくなる Windows Phone8.1が必要 |
WiFi Senseホットスポットへの自動接続を無効にする | 該当PCをWiFiホットスポットにすると、SkypeやFaceBookの連絡先に、SSIDのパスワードを教えるのがWiFi Sense。 交信相手が保有するPCは、パスワード入力なくして、該当PCをWiFiホットスポットとして使えなくなる。 |
Bluetooth | |
Bluetooth検出可能モードを無効にする | Bluetoothを通じて、その端末名情報を該当PCが発信するのを禁止 |
Bluetooth端末名の設定 | コンソールからリモートでBluetooth端末名を設定できる。右端をダブルクリックして空欄に文字列を入力。 |
Bluetooth機能の停止 | 該当PCからのBluetooth接続禁止 |
Bluetoothアドバタイズを無効にする | 該当PCを、アドバタイズ元にさせない |
Bluetoothプリペアリングを無効にする | 該当PCが特定の周辺機器とBluetooth経由で自動接続するようになっている場合、それを切断し再接続を禁止する |
(図4)
データプロテクション | |
WiFi経由のインターネット共有を禁止 | 該当PCをホットスポットにさせない。 他のデバイスがWiFi経由で、該当PCに経由でインターネットにアクセスするのを禁止。 |
ダイレクトメモリアクセスを無効にします | HDDなど周辺機器からCPUを経由せずに、メモリに書き込み読み取りを許すのがダイレクトメモリアクセス。 これを禁止。 |
デバイスアカウント | |
Microsoft アカウントの接続を無効にする | ユーザのMicrosoftアカウントで、Microsoftサービスにサインインすることを禁止 |
Microsoft以外のアカウントの手動追加を無効にする | ユーザがMicrosoft以外のアカウントを当該PCに登録することを禁止 |
Microsoft アカウントサインインアシスタントを無効にする | インスタントメッセンジャー、「Microsoft Windows Live」のアプリの設定を 禁止。この禁止は、該当PCの再起動後に有効になる。 |
電子メール同期のためのドメイン名 | 右端をクリックして空き欄に電子メールのドメイン名を入力。 |
検索 | |
位置情報を使用する検索を無効にする | Bingに対し、該当PCの位置情報を参照しての検索をさせない |
検索指示を無効にする | 検索インデックス サービスを実行しないようにする |
エクスペリエンス | |
Windows コンシューマ機能を無効にする | 起動提案、メンバーシップ通知、OOBE(Out of Box Experience)終了後のアプリ インストールおよびタイルをリダイレクトするなどの一般的に コンシューマ向けのエクスペリエンスを実施しないようにする |
Windows ヒントを無効にする | Windows ヒント/ソフト ランディングを表示しない |
Cortanaを無効にする | Cortana 個人デジタル アシスタントを無効にする |
ユーザによるMDMからの登録解除を許可する | 該当PCでの操作で、MobiControl登録を解除できるようにする |
ロック画面では端末検出を無効にする | ロック画面では、他のデバイス(例えばプロジェクタ)からは、該当PCを認識させない |
マイ デバイス検索を無効にする | クラウドにアクセスし、該当PCの位置を探す機能に関し、次の3択から選択
|
設定の同期を無効にする | 該当PCによる、他のデバイスとの同期を禁止 |
フィードバック通知を無効にする | Microsoft からのフィードバック質問を該当PCに表示させない |
(図5)
システム | |
OneDrive ファイル同期を無効化 |
アドミンが、アプリやPCの機能を、OneDriveのファイルにまでは適用させないようにする。 本設定を有効にするには、該当PCの再起動が必要。 |
ブート起動ドライバを無効にする |
PCを起動するときに使うドライバ群のカテゴリを選択し、マルウェア・ドライバの起動を抑止する。
右端をプルダウンし、次の4つの選択肢から選択。
|
企業認証プロキシーを無効にする | Connected User Experience and Telemetry サービスを使うためにMicrosoftに接続する際に、プロキシによる自動認証をさせないようにする。 Connected User Experience and Telemetry サービスは、Windowsの使用状況をMicrosoftに報告するサービス。 |
システムのリストアを無効にする | システムの復元ができないようにし、復元ウィザードも使えないようにする。復元ポイントの作成もさせない。 |
診断ログをローカルで保存する必要があります | PCの診断ログをローカルPCに保存させる。社内でそれを調査するため。 |
Telemetry Data を制限する |
Windowsの使用状況を、もし、Microsoftに報告するとすれば、どのジャンルを報告するかを選択
|
位置情報サービスを無効にする | 該当PCの地理的位置を、どのアプリにも提供しない |
SD カードの利用禁止 | SDカードへの書込みまたは読取りを禁止 |
Windows プレビュー ビルドを無効にする | Windows OSのプレビュー版(ビルド)のインストールの禁止 |
組み込みモードを無効にします | 組み込みモードにはさせないようにする |
Microsoft Experimentation を許可 |
ユーザーが、PC動作の勉強や、GUIの選好のための体験をすることに、次の3択から選択
|
フロント プロバイダを無効化 | フォントのダウンロードを禁止 |
工場出荷時の状態へ戻すリセット機能停止 | 「設定」アプリまたはハードウェアのキーコードを使用して、PCを初期設定に戻すことを禁止 |
Telemetry プロキシー | 右端の空欄に、プロキシサーバのFQDNまはIPアドレスを入力。 このプロキシは、Micorosoft にWindowsの使用状況を報告する接続に使う。 |
(図6)
設定 | |
自動再生設定を無効にする | ユーザーによる自動再生設定を変更禁止 |
言語の設定を無効にする | ユーザによる言語の設定変更を禁止 |
オンライン ヒント設定を無効にする | アプリ設定用のオンライン ヒントとヘルプの検索を禁止 |
電源/スリープ設定を無効にする | ユーザーによる電源およびスリープの設定変更の禁止 |
地域の設定を無効にする | ユーザーによる地域の設定を禁止 |
サインイン オプションの設定を無効にする | ユーザーによるサインイン オプションの変更禁止 |
ワークスペース設定を無効にする | ユーザーによるワークスペース設定を禁止 |
データ使用の設定を無効にする | ユーザーによるータ使用の設定を禁止 |
日付と時刻の設定を無効にする | ユーザーによる日付と時刻の設定を禁止 |
デバイス名設定の編集を無効にする | PCのデバイス名の編集を禁止 |
VPN の設定を無効にする | ユーザーによるVPNの設定を変更を禁止 |
アカウントの設定を無効にする | ユーザーによるアカウントの設定の変更禁止 |
認証 | |
Azure アクティブディレクトリパスワードリセットを無効にする | Azure ADに対するパスワードリセットを禁止 |
FIDO デバイスサインオンを無効にする | FIDO(Fast Identity Online) デバイスがサインオンに使用できるかどうかを指定する。 このポリシーによって、FIDO 2.0 デバイスに対して Windows ログオン証明プロバイダーを有効にする。 FIDOは、生体情報による認証を指す。 |
EAP Fast Reconnect を無効にする | EAP Method TLS に対して、EAP Fast Reconnectを試みることが許可する |
二次的な認証デバイスを無効にする | セカンダリ認証デバイスを使っての認証を許可 |
(図7)
Windows Defenderは、Windows10以降のOSに搭載されているプログラムで、ウィルスとスパイウェアなどのマルウェアのスキャン(検疫)と駆除を実施する。
Defender | |
クラウドの保護を無効にする | Windows Defenderが発見した新しい問題をMicrosoftクラウドに送り、クラウドで分析して問題解決をさせるか否かの設定。
3択から選択。
|
平均CPU負荷率(%) | Windows DefenderがPC内をスキャン(検疫)するときの、CPUの平均負荷率を規定。右端の空欄に入力。 |
取り除いたマルウェアを保持する日数 | 隔離したマルウェアの保存日数 |
アーカイブのスキャンを無効にする | 圧縮ファイル(*.zip *.cab *.rarなど)の中のファイルをスキャン(検疫)しないようにする |
動作の監視を無効にする | 端末の疑わしい挙動の監視を止める。 チェックを入れないでおくと、 既知のウィルスではないが、その挙動が、過去の既知の疑わしい挙動に類似かどうかの監視をする。未知のウィルスに対処。 |
Eメールのスキャンを無効にする | メールの内容をスキャン(検疫)をしない |
ネットワークドライブのフルスキャンを無効にする | 仮想ドライブを割り当てられたネットワークドライブのフルスキャン(検疫)をしない |
リムーバルドライブのフルスキャンを無効にする | 仮想ドライブをとして、割り当てられたリムーバルドライブのフルスキャン(検疫)をしない |
侵入防止システムを無効にする | チェックを入れないでおくと、マルウェア侵入防止機能を無効にする |
IOAVP保護を無効にする | チェックを入れないでおくと、IOAV(IOffice Anti Virus) Protectionが有効になる。IEまたはOutlook Expressを使ってダウンロードしたファイルを 開く前にスキャン(検疫)する。 |
アクセス時保護を無効にする | チェックを入れないでおくと、メールおよびインスタントメッセージの受信中にリアルタイムのスキャン(検疫)をする |
リアルタイム監視を無効にする | PCで、「設定」--> 「更新とセキュリティ」--> 「Windows Defender」--> 「リアルタイム保護」で
有効/無効を設定できるようにするか否かを、次の3択から選択
|
ネットワークファイルのスキャンを無効にする | ネットワークファイルのスキャン(検疫)をやめる |
スクリプトのスキャンを無効にする | IEでのスクリプト(Java Script や ActiveX Scriptなど)をスキャン(検疫)を止める |
ユーザーのUIアクセスを無効にする | ユーザが、Windows Defenderの画面を開けさせない。 無効にすると、Defenderからの通知が表示されなくなる。 |
除外する拡張子 | スキャン(検疫)をしないファイルの拡張子を入力する。拡張子と次の拡張子の間は|で分けます。 |
除外するパス | スキャン(検疫)をしないフォルダへのパスを入力 |
除外するプロセス | スキャン(検疫)をしないプロセスを入力 |
リアルタイムスキャンの方向 | メールなどのスキャンをするとして、その対象を送信のみ、受信のみ、または送受両方とするかを指定 |
スキャンの種類 | クィックスキャンかフルスキャンかを選択 |
クィックスキャンのスケジュール(分) | クィックスキャンの開始時刻を入力。120なら、午前2時に開始。 |
スキャン日のスケジュール | スキャンする曜日または毎日スキャンするかを選択 |
スキャン時刻のスケジュール(分) | スキャンの開始時刻を設定。120なら、午前2時に開始。 |
署名の更新間隔(時間) | 「シグネチャ」を更新する時間間隔を時間で指定。8だと8時間毎に実施。最も頻繁には1時間毎に実施できる。 シグネチャとは、マルウェアを特定する一連のバイト列(バイトシーケンス)。エンドポイントは、Microsoft Update(クラウド)または WSUSに定期的にアクセスして更新する。エンドポイントでは、更新したシグネチャをデータベース化しており、ウィルスサンプリングの 照合に使う。 |
サンプル送信の同意 | Windows Defenderが疑わしいファイルを発見したら、その検体(=Sample)をMicrosoftに送ろうとする。
どのような検体を送信するかの同意を次の4択から指定する。
|
シェルでSmarkScreenを無効化 | アドミンによるWindowsのSmartScreen の構成に関し、次の3択から選択
|
SmartScreen 警告を無視 | 悪意の可能性があるファイルが見つかり、SmartScreen警告がでても、 ユーザがそれを無視することを許可する |
(図8)
テキスト入力 | |
IMEログを無効にする | チェックを入れないでおくと、単語変換の結果を履歴に残し、次回の単語変換の効率をよくする |
IMEネットワークアクセスを無効にする | チェックを入れないでおくと、オープン拡張辞書や PC内の辞書にはないがネット上にある入力示唆を利用する。 |
日本語IMEサロゲートペア文字を無効にする | チェックを入れないでおくと、サロゲートペア文字の入力を可能にする。サロゲート文字は、Unicode番号で 16進数で10000以上の文字。 |
日本語IVS文字を無効にする | チェックを入れないでおくと、異体字の入力を可能にする。IVS(Ideographic Variation Sequence)は、本字のコードの後に Variation Selectorと呼ばれるコードを付加しして異体字を表現する。 |
日本語非出版標準グリフを無効にする | チェックを入れないでおくと、印刷標準字体でない文字の入力を可能にする。 印刷標準字体は、常用漢字以外ながら指定された1022字。 |
日本語ユーザー辞書を無効にする | チェックを入れないでおくと、ユーザー辞書を使える。ユーザー辞書は、 ユーザが登録した単語を含む。 |
韓国語拡張漢字を無効にする | チェックを入れないでおくと、朝鮮製漢字が表示できる |
JIS0208以外の日本語IMEを除外 | チェックを入れるとJIS X 0208 (英数字、ひらがな、カタカナ他、第1水準/第2水準漢字)以外の 日本語文字を入力できない。 |
JIS0208またはEUDC以外の日本語IMEを除外 | JIS0208及びEUDC以外の日本語文字の入力を禁止。 EUDC(End User Defined Character)は、外字エディターなどで作成した文字。 |
Shift JIS以外の日本語IMEを除外 | チェックを入れると、Shift JIS規定書以外の日本語文字は表示できなくなる |
更新 | |
自動更新の設定 | Windowsの更新に関して、下記の6択から選択
|
Microsoftの署名がない更新プログラムを無効にする | Microsoft Updateを利用せず、WSUSにより、社内PCの更新を行うときにチェックを入れる |
更新サービスを無効にする | WSUSを用意しているときに、チェックを入れる |
インストール予定時間(0-23時) | Windowsの更新のインストール開始時刻を定める。3なら午前3時。23なら午後11時。デフォルトは3。 前述の「自動更新の設定」-->「4. インストール後特定時間に再起動」を選択したときに、有効になる。 |
カスタム更新WSUSサーバURL | WSUSを設定していた場合、そのWSUSサーバのURLを入力 |
インストール予定日 | Windowsの更新のインストール曜日を選択します。デフォルトは「毎日」。 前述の「自動更新の設定」-->「4. インストール後特定時間に再起動」を選択したときに、有効になる。 |
セキュリティ | |
準備できてない場合は、TPMをクリアする |
TPM(Trusted Platform Module)が未準備の場合、TPMをクリアするべきとのプロンプトが表示される。
アドミン権限を持つユーザにクリアさせる。このプロンプトは再起動直後に表示される。 このプロンプトを無視しても、次回の再起動直後に、また表示される。 TPMは、BitLockerが使う暗号化/復号鍵などが保存される。 |
Windowsパスワードを設定する | Editionが、Windows SモードのPCで、パスワードの使用を設定させる |
Azure AD参加済みデバイスで自動デバイス暗号化を防止 | PCが、Azure AD に参加した後に実施されるOOBE(Out of Box Experience) 実行中には、デバイスの暗号化の自動実行をさせない |
プロビジョニング パッケージの追加を無効にする | ランタイム構成エージェントに、プロビジョニング パッケージをインストールさせない |
プロビジョニング パッケージの削除を無効にする | ランタイム構成エージェントに、プロビジョニング パッケージを削除させない |
プロビジョニング パッケージ シグネチャーを必要となります | プロビジョニングパッケージが、 「Device Trusted Authority」の署名付きの証明書を持っていることを必須とする |
プロビジョニングパッケージは、Microsoft Storeから無償ダウンロードできるWindows構成デザイナーというソフトで作成します。
作成したパッケージの拡張子は、*.ppkg です。このファイルをUSBデバイスなどを使って、PCに読み込ませて、Windowsの構成を実現します。
(図9)
スタートメニュー スタートメニュー(画面左下の「スタート」ボタンを押して得られるメニュー) | |
アカウント設定変更を非表示 | チェックを入れると、「スタート」ボタンを起動して表示される「アカウント設定の変更」を非表示にする |
頻繁に使用されるアプリを非表示 | チェックを入れると、 「よく使うアプリ」を非表示にする |
ハイパーネートを非表示 | チェックを入れると 電源メニューの「休止状態(ハイバネート)」を非表示 |
ロックを非表示 | チェックを入れると「アカウント」をクリックしても「ロック」の画面を非表示 |
電源ボタンを非表示 | 電源ボタンを非表示 |
最近のジャンプリストを非表示 | 「最近使ったもの」「よくアクセスするサイト」などを非表示。 これらは、通常、スタートメニューやタスクバーのアプリアイコンを右クリックすると表示される |
最近追加したアプリを非表示 | チェックを入れると 最近追加したアプリのアイコンを非表示 |
再起動を非表示 | チェックを入れると 電源メニューで「再起動」を非表示 |
シャットボタンを非表示 | 電源メニューで「シャットダウン」が非表示 |
サインアウトを非表示 | 電源メニューで「サインアウト」が非表示 |
スリープを非表示 | 電源メニューで「スリープ」を非表示 |
ユーザタイルを非表示 | スタートメニューから、タイルを非表示 |
タスクバーに固定しない | 「タスクバーからピン留めを外す」と「タスクバーにピン留めをする」を禁止 |
通信環境 | |
HTTPでの印刷を無効にする | このクライアントから HTTP での印刷をユーザーができないようにする |
HTTPでプリントドライバのダウンロードを無効にする | HTTP でプリント ドライバ パッケージのダウンロードをユーザーにさせないようにする |
オンラインウィザードのダウンロードを無効にする | Windows にプロバイダのダウンロードをさせないようにし、ローカル レジストリでキャッシュされるサービス プロバイダだけが表示させる |
ネットワーク接続性アクティブテストを無効にする | NCSI アクティブ プローブを無効にし、www.msftconnecttest.com へのネットワーク接続を防止 |
ネットワークブリッジの構成を無効にする | ユーザーにネットワーク ブリッジのインストールおよび構成をさせない |
接続されたデバイスを無効にする | Connected Devices Platform (CDP) コンポーネントを無効にする |
「OK」ボタンを押すと、構成プロファイルの作成は終わりです。
構成プロファイルの作成が終わると、これを対象とする端末グループやAD(Active Directory)の
グループに割り当てます。そして、それを当該グループの端末に配布し、インストールします。詳しくは、
「Windows PCの構成プロファイルの作成」
のページの「D. 構成プロファイルの端末グループへの割り当て」以下を参照ください。