割り当てられたアクセスとは

• 適用対象:

  ✅ Windows 11, ✅ Windows 10

割り当てられたアクセスとは、キオスク、または制限付きユーザー エクスペリエンスでデバイスを構成するために使用できる Windows 機能です。

キオスク エクスペリエンス を構成すると、ロック画面の上に全画面表示で 1 つのユニバーサル Windows プラットフォーム (UWP) アプリケーションまたは Microsoft Edge が実行されます。 ユーザーはそのアプリケーションのみを使用できます。 キオスク アプリが閉じられた場合、アプリが自動的に再起動します。 実際の例を次に示します。

• パブリック ブラウジング
• 対話型デジタル サイネージ

制限付きユーザー エクスペリエンス を構成する場合、ユーザーはカスタマイズされた [スタート] メニューとタスク バーを使用して、定義されたアプリケーションの一覧のみを実行できます。 さまざまなポリシー設定と AppLocker 規則が適用され、ロックダウン エクスペリエンスが作成されます。 ユーザーは、使い慣れた Windows デスクトップにアクセスしながら、アクセスを制限し、邪魔なものや偶発的な使用の可能性を減らすことができます。 共有デバイスに最適で、ユーザーごとに異なる構成を作成できます。 実際の例を次に示します。

• フロントライン ワーカー デバイス
• 学生向けデバイス
• 実験室用デバイス

注

制限付きユーザー エクスペリエンスを構成すると、デバイスに異なるポリシー設定が適用されます。 一部のポリシー設定は標準ユーザーにのみ適用され、一部は管理者アカウントにも適用されます。 詳細については、「割り当てられたアクセスのポリシー設定」を参照してください。

要件

割り当てられたアクセスの要件を次に示します。

• キオスク エクスペリエンスを使用するには、[ユーザー アカウント制御 (UAC)] を有効にする必要があります
• キオスク エクスペリエンスを使用するには、本体からサインインする必要があります。 キオスク エクスペリエンスは、リモート デスクトップ接続ではサポートされていません

Windows エディションとライセンスに関する要件

次の表に、割り当てられたアクセスをサポートする Windows エディションを示します。

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
はい	○	○	○

割り当てられたアクセスのライセンスの権利は、次のライセンスによって付与されます。

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
○	はい	○	はい	○

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

キオスク エクスペリエンスを構成する

キオスク エクスペリエンスを構成するには、いくつかのオプションがあります。 ローカル アカウントで 1 つのデバイスを構成する必要がある場合は、次を使用できます。

• PowerShell: Set-AssignedAccess PowerShell コマンドレットを使用して、ローカル標準アカウントを使用しながらキオスク エクスペリエンスを構成できます
• 設定: ローカル標準ユーザー アカウントを使用して単一のデバイスを構成する簡単な方法が必要な場合は、このオプションを使用します

高度なカスタマイズの場合は、[割り当てられたアクセス CSP] を使用してキオスク エクスペリエンスを構成してください。 CSP を使用すると、キオスク アプリ、ユーザー アカウント、キオスク アプリの動作を構成できます。 CSP を使用する場合は、キオスク アプリとユーザー アカウントを指定する XML 構成ファイルを作成する必要があります。 XML ファイルは、次のいずれかのオプションを使用してデバイスに適用されます。

• Microsoft Intune などのモバイル デバイス管理 (MDM) ソリューション
• プロビジョニング パッケージ
• MDM ブリッジ WMI プロバイダーでの PowerShell

シェル起動ツール XML ファイルを構成する方法については、「割り当てアクセス構成ファイルの作成」を参照してください。

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intune/CSP

[割り当てられたアクセス CSP] で カスタム ポリシー を使用してデバイスを構成できます。

• 設定:./Vendor/MSFT/AssignedAccess/Configuration
• 値: XML 構成ファイルの内容

構成するデバイスをメンバーとして含むグループにポリシーを割り当てます。

PPKG

プロビジョニング パッケージを作成 するには、次の設定を使用します。

• パス:AssignedAccess/AssignedAccessSettings
• 値: アプリの AUMID を使用して、割り当てられたアクセスに使用するアカウントとアプリケーションを入力します。 例:
  • {"Account":"domain\user", "AUMID":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"}

プロビジョニング パッケージ を構成するデバイスに適用します。

PowerShell

Windows PowerShell を使用してデバイスを構成するには、

1. 管理者としてサインインする

2. 割り当てられたアクセスの ユーザー アカウントを作成する

3. 割り当てられたアクセスのユーザー アカウントとしてサインインする

4. 必要な UWP アプリをインストールする

5. 割り当てられたアクセスのユーザー アカウントとしてサインアウトする

6. 管理者としてサインインし、管理者特権の PowerShell プロンプトから次のいずれかのコマンドを使用します。

   #Configure Assigned Access by AppUserModelID and user name
   Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
   
   #Configure Assigned Access by AppUserModelID and user SID
   Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
   
   #Configure Assigned Access by app name and user name
   Set-AssignedAccess -AppName <CustomApp> -UserName <username>
   
   #Configure Assigned Access by app name and user SID**:
   Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
   
   

注

-AppName を使用して割り当てられたアクセスを設定するには、割り当てられたアクセスに入力したユーザー アカウントが少なくとも 1 回サインインしている必要があります。

詳しくは、次のトピックをご覧ください。

• インストール済みアプリのアプリケーション ユーザー モデル ID の検索
• Set-AssignedAccess

割り当てられたられたアクセスを削除するには、PowerShell で次のコマンドレットを実行します。

Clear-AssignedAccess

XML 構成ファイルを使用する高度なカスタマイズの場合は、[MDM ブリッジ WMI プロバイダー] を使用して PowerShell スクリプトを使用できます。

重要

すべてのデバイス設定で、WMI ブリッジ クライアントをシステム (LocalSystem) アカウントとして実行する必要があります。

PowerShell スクリプトをテストするには、次の操作を行うことができます。

1. psexec ツールをダウンロード
2. 管理者特権のコマンド プロンプトを開き、次を実行します: psexec.exe -i -s powershell.exe
3. PowerShell セッションでスクリプトを実行する

$shellLauncherConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Shell Launcher configuration"

詳細については、「WMI ブリッジ プロバイダーで PowerShell スクリプトを使用する」を参照してください。

設定

設定アプリを使用して、キオスクを構成する手順を次に示します。

1. 設定アプリを開き、デバイスをキオスクとして表示および構成します。 設定、>アカウント、>その他のユーザーの順に移動するか、次のショートカットを使用します。

   他のユーザー

2. キオスクのセットアップ で、[作業の開始] を選択します。

3. [アカウントの作成] ダイアログで、アカウント名を入力し、[次へ] を選択します。

   注

   ローカルの標準ユーザー アカウントが既にある場合は、[アカウントの作成] ダイアログで [既存のアカウントを選択する] オプションが表示されます

4. キオスク アカウントのサインイン時に実行するアプリケーションを選択します。 ロック画面上で実行できるアプリのみが、選択するアプリの一覧に表示されます。 キオスク アプリとして [Microsoft Edge] を選択した場合は、次のオプションを構成します。

   • Microsoft Edge で Web サイトを全画面表示 (デジタル 署名) で表示するか、一部のブラウザー コントロールを使用できるか (パブリック ブラウザー)
   • キオスク アカウントがサインインするときに開く URL
   • 非アクティブな期間が経過した後に Microsoft Edge を再起動する場合 (パブリック ブラウザーとして実行することを選択した場合)

5. [閉じる] を選択します。

デバイスが Active Directory ドメイン、または Microsoft Entra ID に参加していない場合、キオスク アカウントの自動サインインが自動的に構成されます。

• デバイスの再起動時にキオスク アカウントで自動的にサインインし、キオスク アプリを起動する場合は、何も変更する必要はありません。
• デバイスの再起動時にキオスク アカウントでサインインすることが望ましくない場合は、デバイスをキオスクとして構成する前に既定の設定を変更する必要があります。 キオスク アカウントとして使用するアカウントでサインインします。 [設定]>[アカウント]>[サインイン オプション] の順に開きます。 [更新後にサインイン情報を使ってデバイスのセットアップを自動的に完了するか、再起動] 設定を [オフ] に設定します。 設定を変更した後、デバイスにキオスクの構成を適用できます。

ヒント

実際の例については、「クイック スタート: 割り当てられたアクセスを使用してキオスクを構成する」を参照してください。

制限付きユーザー エクスペリエンスを構成する

割り当てられたアクセスで制限付きユーザー エクスペリエンスを構成するには、目的のエクスペリエンスの設定を含む XML 構成ファイルを作成する必要があります。 XML ファイルは、次のいずれかのオプションを使用して、割り当てられたアクセス CSP からデバイスに適用されます。

• Microsoft Intune などのモバイル デバイス管理 (MDM) ソリューション
• プロビジョニング パッケージ
• MDM ブリッジ WMI プロバイダーでの PowerShell

割り当てられたアクセス XML ファイルを構成する方法については、「割り当てられたアクセス構成ファイルの作成」を参照してください。

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intune/CSP

[割り当てられたアクセス CSP] で カスタム ポリシー を使用してデバイスを構成できます。

• 設定:./Vendor/MSFT/AssignedAccess/ShellLauncher
• 値: XML 構成ファイルの内容

構成するデバイスをメンバーとして含むグループにポリシーを割り当てます。

PPKG

プロビジョニング パッケージを作成 するには、次の設定を使用します。

• パス:AssignedAccess/MultiAppAssignedAccessSettings
• 値: XML 構成ファイルの内容

プロビジョニング パッケージ を構成するデバイスに適用します。

PowerShell

MDM ブリッジ WMI プロバイダー から PowerShell スクリプトを使用してデバイスを構成します。

重要

すべてのデバイス設定で、WMI ブリッジ クライアントをシステム (LocalSystem) アカウントとして実行する必要があります。

PowerShell スクリプトをテストするには、次の操作を行うことができます。

1. psexec ツールをダウンロード
2. 管理者特権のコマンド プロンプトを開き、次を実行します: psexec.exe -i -s powershell.exe
3. PowerShell セッションでスクリプトを実行する

$assignedAccessConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Assigned Access configuration"

詳細については、「WMI ブリッジ プロバイダーで PowerShell スクリプトを使用する」を参照してください。

設定

このオプションは、[設定] を使用することはできません。

ヒント

実際の例については、「クイック スタート: 割り当てられたアクセスを使用して制限付きユーザー エクスペリエンスを構成する」を参照してください。

ユーザー エクスペリエンス

キオスクまたは制限付きユーザー エクスペリエンスを検証するには、構成ファイルで指定したユーザー アカウントでサインインします。

割り当てられたアクセス構成は、次に対象ユーザーがサインインした時点で有効になります。 構成を適用するときにそのユーザー アカウントがサインインしている場合、サインアウトしてからサインインし直してエクスペリエンスを検証してください。

注

Windows 11以降、制限付きユーザー エクスペリエンスでは、複数のモニターの使用がサポートされています。

自動トリガー タッチ キーボード

入力が必要だがタッチ対応デバイスに物理的なキーボードが接続されていない場合、タッチ キーボードが自動的にトリガーされます。 この動作を適用するために他の設定を構成する必要はありません。

ヒント

タッチ キーボードは、テキスト ボックスをタップするときにのみトリガーされます。 マウスをクリックしても、タッチ キーボードはトリガーされません。 この機能をテストする場合は、タッチ キーボードが VM でトリガーされないため、仮想マシン (VM) ではなく物理デバイスを使用します。

割り当てられたアクセスからのサインアウト

既定では、キオスク エクスペリエンスを終了するには、Ctrl + Alt + Del を押します。キオスク アプリは自動的に終了します。 割り当てられたアクセスのアカウントとしてもう一度サインインするか、またはサインイン画面のタイムアウトを待機すると、キオスク アプリが再起動されます。 既定のタイムアウトは 30 秒ですが、次のレジストリ キーでタイムアウトを変更できます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

割り当てられたアクセスが再開するまでの既定の時間を変更するには、IdleTimeOut (DWORD) を追加し、ミリ秒単位の値データを 16 進数で入力します。

注

IdleTimeOut は Microsoft Edge キオスク モードには適用されません。

Ctrl + Alt + Del のブレイクアウト シーケンスは既定ですが、このシーケンスは別のキー シーケンスに構成できます。 ブレイクアウト シーケンスでは、書式設定 modifiers + keys を使用します。 ブレイクアウト シーケンスの例としては CTRL + ALT + A があり、CTRL + ALT は修飾子、A はキーの値です。 詳細については、「割り当てられたアクセス構成 XML ファイルの作成」を参照してください。

キーボード ショートカット

割り当てられたアクセスがあるユーザー アカウントでは、次のキーボード ショートカットが禁止されています。

キーボード ショートカット	操作
Ctrl + Shift + Esc	タスク マネージャーを開く
WIN + 、 (コンマ)	デスクトップを一時的にプレビューする
WIN + A	アクション センターを開く
WIN + Alt + D	デスクトップで日付と時刻を表示または非表示にする
WIN + Ctrl + F	Active Directory 内のコンピューター オブジェクトを検索する
WIN + D	デスクトップを表示または非表示にする
WIN + E	エクスプローラーを開く
WIN + F	フィードバック Hub を開く
WIN + G	ゲームの実行中にゲーム バーを開く
WIN + I	[設定] を開く
WIN + J	利用可能な場合は、Windows のヒントにフォーカスを設定する
WIN + O	デバイスの向きをロックする
WIN + Q	検索を開く
WIN + R	[ファイル名を指定して実行] ダイアログ ボックスを開く
WIN + S	検索を開く
WIN + Shift + C	Cortana を聞き取りモードで開く
WIN + X	[クイック リンク] メニューを開く
LaunchApp1	このキーに割り当てられたられているアプリを開く
LaunchApp2	このキーに割り当てられたられているアプリを開きます。 Microsoft キーボードのほとんどで、そのアプリは電卓です
LaunchMail	既定のメール クライアントを開く

割り当てられたアクセスを削除する

制限付きユーザー エクスペリエンスを削除すると、ユーザーに関連付けられているポリシー設定は削除されますが、すべての構成を元に戻すことはできません。 たとえば、[スタート] メニューの構成は維持されます。

次のステップ

推奨事項を確認してから、割り当てられたアクセスを展開します。

割り当てられたアクセスに関する推奨事項