ポリシー CSP - DeviceLock
DeviceLock ポリシー
- DeviceLock/AllowIdleReturnWithoutPassword
- DeviceLock/AllowSimpleDevicePassword
- DeviceLock/AllowScreenTimeoutWhileLockedUserConfig
- DeviceLock/英数字DevicePasswordRequired
- DeviceLock/DevicePasswordEnabled
- DeviceLock/DevicePasswordExpiration
- DeviceLock/DevicePasswordHistory
- DeviceLock/EnforceLockScreenAndLogonImage
- DeviceLock/MaxDevicePasswordFailedAttempts
- DeviceLock/MaxInactivityTimeDeviceLock
- DeviceLock/MinDevicePasswordComplexCharacters
- DeviceLock/MinDevicePasswordLength
- DeviceLock/MinimumPasswordAge
- DeviceLock/PreventEnablingLockScreenCamera
- DeviceLock/PreventLockScreenSlideShow
重要
DeviceLock CSP は、Exchange ActiveSync ポリシー エンジンを利用します。 パスワードの長さと複雑さの規則が適用されると、すべてのローカル ユーザーアカウントと管理者アカウントが、次のサインイン時にパスワードを変更するようにマークされ、複雑さの要件が満たされていることを確認します。 詳細については、「 アカウントの種類でサポートされているパスワードの長さと複雑さ」を参照してください。
DeviceLock/AllowIdleReturnWithoutPassword
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | いいえ | いいえ |
| Pro | いいえ | いいえ |
| Windows SE | いいえ | いいえ |
| Business | いいえ | いいえ |
| Enterprise | いいえ | いいえ |
| Education | いいえ | いいえ |
範囲:
- デバイス
注意
現在、このポリシーは、HoloLens 2、HoloLens (第 1 世代) Commercial Suite、および HoloLens (第 1 世代) 開発エディションでのみサポートされています。
デバイスがアイドル状態から再開するときに、ユーザーが PIN またはパスワードを入力する必要があるかどうかを指定します。
注意
このポリシーはアトミック コマンドでラップする必要があります。
サポートされている値は次のとおりです。
- 0 – 許可しない。
- 1 (既定値) – 許可する。
DeviceLock/AllowSimpleDevicePassword
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
"1111" や "1234" などの PIN またはパスワードを許可するかどうかを指定します。 デスクトップの場合、ピクチャ パスワードの使用も制御します。
注意
このポリシーはアトミック コマンドでラップする必要があります。
このポリシーの詳細については、「Exchange ActiveSync ポリシー エンジンの概要」を参照してください。
サポートされている値は次のとおりです。
- 0 (既定値) – ブロック済み
- 1 – 許可
DeviceLock/AllowScreenTimeoutWhileLockedUserConfig
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
サポートされている値は次のとおりです。
- 0 – 許可しない。
- 1 (既定値) – 許可する。
DeviceLock/英数字DevicePasswordRequired
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
必要な PIN の種類を決定します。 このポリシーは、 DeviceLock/DevicePasswordEnabled ポリシーが 0 (必須) に設定されている場合にのみ適用されます。
注意
このポリシーはアトミック コマンドでラップする必要があります。
デスクトップ エディション (ホーム、Pro、Enterprise、教育機関) のWindowsでは、このポリシーの代わりに [置換] コマンドを常に使用します。
注意
英数字DevicePasswordRequired が 1 または 2 に設定されている場合、MinDevicePasswordLength = 0、MinDevicePasswordComplexCharacters = 1 です。
英数字DevicePasswordRequired が 0 に設定されている場合、MinDevicePasswordLength = 4、MinDevicePasswordComplexCharacters = 2。
サポートされている値は次のとおりです。
- 0 – パスワードまたは英数字の PIN が必要です。
- 1 – パスワードまたは数値 PIN が必要です。
- 2 (既定値) – パスワード、数値 PIN、または英数字 PIN が必要です。
DeviceLock/DevicePasswordEnabled
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
デバイス ロックを有効にするかどうかを指定します。
注意
このポリシーはアトミック コマンドでラップする必要があります。
デスクトップ エディションのWindowsでは、このポリシーに対して [追加] ではなく [置換] コマンドを常に使用します。
重要
次のポリシー設定を有効にするには、 DevicePasswordEnabled 設定を 0 (デバイス パスワードが有効) に設定する必要があります。
- AllowSimpleDevicePassword
- MinDevicePasswordLength
- AlphanumericDevicePasswordRequired
- MaxDevicePasswordFailedAttempts
- MaxInactivityTimeDeviceLock
- MinDevicePasswordComplexCharacters
重要
DevicePasswordEnabled が 0 (デバイス パスワードが有効) に設定されている場合は、次のポリシーが設定されます。
- MinDevicePasswordLength が 4 に設定されている
- MinDevicePasswordComplexCharacters が 1 に設定されている
DevicePasswordEnabled が 1 に設定されている (デバイス パスワードが無効になっている) 場合、次の DeviceLock ポリシーは 0 に設定されます。
- MinDevicePasswordLength
- MinDevicePasswordComplexCharacters
重要
DEVICEPasswordEnabled は、WMI を使用して EAS DeviceLock ポリシーを設定するときに有効 (0) に設定しないでください。これは、ポリシー CSP で既定で有効になっているため、Windows 8.x を使用してバック 互換性を実現します。 DevicePasswordEnabled が Enabled(0) に設定されている場合、ポリシー CSP は DevicePasswordEnabled が既に存在することを示すエラーを返します。 Windows 8.x では DevicePassword ポリシーがサポートされていませんでした。 DevicePasswordEnabled (1) を無効にする場合は、次に示すポリシーの DeviceLock グループから設定された唯一のポリシーにする必要があります。
- DevicePasswordEnabled は、次の親ポリシーです。
- AllowSimpleDevicePassword
- MinDevicePasswordLength
- AlphanumericDevicePasswordRequired
- MinDevicePasswordComplexCharacters
- DevicePasswordExpiration
- DevicePasswordHistory
- MaxDevicePasswordFailedAttempts
- MaxInactivityTimeDeviceLock
サポートされている値は次のとおりです。
- 0 (既定) – 有効
- 1– 無効
DeviceLock/DevicePasswordExpiration
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
パスワードの有効期限 (日数) を指定します。
注意
このポリシーはアトミック コマンドでラップする必要があります。
すべてのポリシー値が 0 の場合は 0。それ以外の場合は、最小ポリシー値が最も安全な値です。
このポリシーの詳細については、「Exchange ActiveSync ポリシー エンジンの概要」を参照してください。
サポートされている値は次のとおりです。
- 0 <= X = 730 の整数 X <。
- 0 (既定値) - パスワードの有効期限が切れていない。
DeviceLock/DevicePasswordHistory
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
使用できない履歴に保存できるパスワードの数を指定します。
注意
このポリシーはアトミック コマンドでラップする必要があります。
この値には、ユーザーの現在のパスワードが含まれます。 この値は、1 の設定では、ユーザーが新しいパスワードを選択するときに現在のパスワードを再利用できないことを示し、5 の設定は、ユーザーが現在のパスワードまたは前の 4 つのパスワードのいずれかに新しいパスワードを設定できないことを意味します。
最大ポリシー値が最も制限されています。
このポリシーの詳細については、「Exchange ActiveSync ポリシー エンジンの概要」を参照してください。
サポートされている値は次のとおりです。
- 0 <= X = 50 の整数 X <。
- 0 (既定値)
DeviceLock/EnforceLockScreenAndLogonImage
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
ユーザーがサインインしていないときに表示される既定のロック画面とサインイン イメージを指定します。 また、既定のイメージを置き換える、すべてのユーザーに対して指定されたイメージを設定します。 ロック画面とサインイン画面の両方に同じイメージが使用されます。 ユーザーはこのイメージを変更できません。
注意
このポリシーは、Windows 10 Enterprise エディションと Education エディションでのみ適用され、Windows 10 HomeおよびProではサポートされていません。
値の型は文字列で、完全なイメージ ファイルパスとファイル名です。
DeviceLock/MaxDevicePasswordFailedAttempts
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
デバイスがワイプされる前に許可される認証エラーの数。 値 0 を指定すると、デバイス ワイプ機能が無効になります。
注意
このポリシーはアトミック コマンドでラップする必要があります。
クライアント デバイスでは、ユーザーがこのポリシーによって設定された値に達しても、ワイプされません。 代わりに、デスクトップは BitLocker 回復モードに設定されます。これにより、データにアクセスできなくなりますが、回復可能になります。 BitLocker が有効になっていない場合は、ポリシーを適用できません。
失敗した試行の制限に達する前に、ユーザーはロック画面に送信され、失敗した試行が多いほどコンピューターがロックされることを警告します。 ユーザーが制限に達すると、デバイスが自動的に再起動し、BitLocker 回復ページが表示されます。 このページでは、BitLocker 回復キーの入力を求めるメッセージが表示されます。
すべてのポリシー値が 0 の場合、最も安全な値は 0 です。それ以外の場合は、最小ポリシー値が最も安全な値です。
このポリシーの詳細については、「Exchange ActiveSync ポリシー エンジンの概要」を参照してください。
サポートされている値は次のとおりです。
- クライアント デバイスの場合、4 <= X = 16 の整数 X <。
- 0 (既定値) - 正しくない PIN またはパスワードが入力された後、デバイスがワイプされることはありません。
DeviceLock/MaxInactivityTimeDeviceLock
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
デバイスがアイドル状態になった後に許容される最大時間 (分単位) を指定します。これにより、デバイスが PIN またはパスワードロックされます。 ユーザーは、設定 アプリで指定された最大時間未満の既存のタイムアウト値を選択できます。
HoloLensでは、このポリシーによって設定された値に関係なく、このタイムアウトはデバイスのシステム スリープ タイムアウトによって制御されます。
注意
このポリシーはアトミック コマンドでラップする必要があります。
このポリシーの詳細については、「Exchange ActiveSync ポリシー エンジンの概要」を参照してください。
サポートされている値は次のとおりです。
- 0 <= X = 999 の整数 X <。
- 0 (既定値) - タイムアウトは定義されていません。
DeviceLock/MinDevicePasswordComplexCharacters
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
強力な PIN またはパスワードに必要な複雑な要素の種類 (大文字と小文字、数字、句読点) の数。
注意
このポリシーはアトミック コマンドでラップする必要があります。
デスクトップ エディションのWindowsでは、このポリシーに対して [追加] ではなく [置換] コマンドを常に使用します。
PIN では、クライアント デバイスに対して次の動作が適用されます。
- 1 - 数字のみ
- 2 - 数字と小文字が必要です
- 3 - 数字、小文字、大文字が必要です。 デスクトップ Microsoft アカウントとドメイン アカウントではサポートされていません。
- 4 - 数字、小文字、大文字、特殊文字が必要です。 デスクトップまたはHoloLensではサポートされていません。
既定値は 1 です。 次の一覧は、サポートされている値と実際の強制値を示しています。
| アカウントの種類 | サポートされている値 | 実際の適用値 |
|---|---|---|
| ローカル アカウント | 1,2,3 | 3 |
| Microsoft アカウント | 1,2 | <p2 |
| ドメイン アカウント | サポートされていません | サポートされていません |
ローカル アカウントと Microsoft アカウントに適用される値:
ローカル アカウントは 1、2、3 の値をサポートしますが、常に値 3 が適用されます。
ローカル アカウントのパスワードは、次の最小要件を満たしている必要があります。
連続する 2 文字を超えるユーザーのアカウント名またはユーザーの完全な名前の一部を含まない
長さが 6 文字以上である
次の 4 つのカテゴリのうち 3 つの文字を含めます。
- 英語の大文字 (A ~ Z)
- 英語の小文字 (a ~ z)
- 10 進法の数字 (0 - 9)
- 特殊文字 (!、$、#、%など)
Microsoft アカウントのポリシーの適用はサーバー上で行われ、サーバーにはパスワードの長さが 8、複雑さが 2 である必要があります。 3 または 4 の複雑さの値はサポートされておらず、サーバーでこの値を設定すると、Microsoft アカウントは非準拠になります。
このポリシーの詳細については、「Exchange ActiveSync ポリシー エンジンの概要と KB に関する記事」を参照してください。
DeviceLock/MinDevicePasswordLength
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
PIN またはパスワードに必要な最小文字数を指定します。
注意
このポリシーはアトミック コマンドでラップする必要があります。
デスクトップ エディションのWindowsでは、このポリシーに対して [追加] ではなく [置換] コマンドを常に使用します。
最大ポリシー値が最も制限されています。
このポリシーの詳細については、「Exchange ActiveSync ポリシー エンジンの概要と KB に関する記事」を参照してください。
サポートされている値は次のとおりです。
- クライアント デバイスの場合、4 <= X = 16 の整数 X <。 ただし、ローカル アカウントでは、常にパスワードの最小長は 6 が適用されます。
- 適用されません。
- クライアント デバイスの既定値は 4 です。
次の例は、パスワードの最小長を 4 文字に設定する方法を示しています。
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>4</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
このセキュリティ設定は、ユーザーがパスワードを変更する前にパスワードを使用する必要がある期間 (日数) を決定します。 1 ~ 998 日の値を設定することも、日数を 0 に設定することで変更をすぐに許可することもできます。
パスワードの有効期限の上限が 0 に設定されている場合を除き、パスワードの有効期間の最小値は[パスワードの最大有効期間]より小さくする必要があります。 パスワードの最大有効期間が 0 に設定されている場合、パスワードの最小有効期間は 0 ~ 998 の任意の値に設定できます。
パスワード履歴の適用を有効にする場合は、パスワードの最小有効期間を 0 以上に構成します。 パスワードの有効期間が最小でなければ、ユーザーは古いお気に入りに到達するまでパスワードを繰り返し切り返すことができます。 既定の設定はこの推奨事項に従っていないため、管理者はユーザーのパスワードを指定し、ユーザーがログオンするときに管理者定義のパスワードを変更するようにユーザーに要求できます。 パスワード履歴が 0 に設定されている場合、ユーザーは新しいパスワードを選択する必要はありません。 このため、パスワード履歴の適用は既定で 1 に設定されています。
GP 情報:
- GP フレンドリ名: パスワードの最小有効期間
- GP パス: Windows 設定/セキュリティ 設定/アカウント ポリシー/パスワード ポリシー
DeviceLock/PreventEnablingLockScreenCamera
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | いいえ | いいえ |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
PC 設定でロック画面カメラのトグル スイッチを無効にし、ロック画面でカメラが呼び出されないようにします。
既定では、ユーザーはロック画面で使用可能なカメラの呼び出しを有効にすることができます。
この設定を有効にした場合、ユーザーは PC 設定でロック画面のカメラ アクセスを有効または無効にすることができなくなり、ロック画面でカメラを呼び出すことはできません。
ヒント
これは ADMX でバックアップされたポリシーであり、有効または無効にするには特別な SyncML 形式が必要です。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。
SyncML でデータ型を Format>chr/Format> として<指定する<必要があります。 SyncML の例については、「ポリシーの 有効化」を参照してください。
SyncML のペイロードは XML エンコードする必要があります。この XML エンコードには、使用できるさまざまなオンライン エンコーダーがあります。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。
ADMX の情報:
- GP フレンドリ名: ロック画面カメラを有効にしないようにする
- GP 名: CPL_Personalization_NoLockScreenCamera
- GP パス: コントロール パネル/パーソナル化
- GP ADMX ファイル名: ControlPanelDisplay.admx
DeviceLock/PreventLockScreenSlideShow
| エディション | Windows 10 | Windows 11 |
|---|---|---|
| ホーム | はい | はい |
| Pro | はい | はい |
| Windows SE | いいえ | はい |
| Business | はい | はい |
| Enterprise | はい | はい |
| Education | はい | はい |
範囲:
- デバイス
PC 設定でロック画面のスライドショー設定を無効にし、スライド ショーがロック画面で再生されないようにします。
既定では、ユーザーは、マシンをロックした後に実行されるスライド ショーを有効にすることができます。
この設定を有効にすると、ユーザーは PC 設定でスライド ショーの設定を変更できなくなり、スライド ショーは開始されなくなります。
ヒント
これは ADMX でバックアップされたポリシーであり、有効または無効にするには特別な SyncML 形式が必要です。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。
SyncML でデータ型を Format>chr/Format> として<指定する<必要があります。 SyncML の例については、「ポリシーの 有効化」を参照してください。
SyncML のペイロードは XML エンコードする必要があります。この XML エンコードには、使用できるさまざまなオンライン エンコーダーがあります。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。
ADMX の情報:
- GP フレンドリ名: ロック画面のスライド ショーを有効にしないようにする
- GP 名: CPL_Personalization_NoLockScreenSlideshow
- GP パス: コントロール パネル/パーソナル化
- GP ADMX ファイル名: ControlPanelDisplay.admx
関連トピック
フィードバック
フィードバックの送信と表示