IT 担当者向けの構成サービス プロバイダー

適用対象

• Windows 10
• Windows 11

この記事では、IT 担当者とシステム管理者が、構成サービス プロバイダー (CSP) を通じて利用できる多くの設定を利用して、組織でクライアントWindows実行しているデバイスを構成する方法について説明します。 CSP は、Windows クライアントでデバイス構成設定を公開します。 CSP はモバイル デバイス管理 (MDM) サービス プロバイダーによって使用され、ハードウェア デベロッパー センターに記載されています。

CSP とは

クライアント オペレーティング システムでは、CSP は、プロビジョニング ドキュメントで指定されている構成設定とデバイス上の構成設定の間のインターフェイスです。 CSP は、特定の機能の構成設定を読み取り、設定、変更、または削除するためのインターフェイスを提供するという点で、クライアント側拡張機能グループ ポリシーに似ています。 通常、これらの設定はレジストリ キー、ファイル、またはアクセス許可にマップされます。 これらの設定の一部は構成可能で、一部は読み取り専用です。

Windows クライアント プラットフォームでは、デスクトップの管理アプローチでは CSP を使用して、クライアントを実行しているすべてのデバイスWindows構成および管理します。

各 CSP では、特定の設定にアクセスできます。 たとえば、Wi-Fi CSP には Wi-Fi プロファイルを作成する設定が含まれます。

CSP は、Microsoft Intuneと Microsoft 以外の MDM サービス プロバイダーの両方で、Windows クライアントの多くの管理タスクとポリシーの背後にあります。 たとえば Intune では、Microsoft Edge のアドレス バーへの検索候補の表示を許可するポリシーは、ポリシー CSP の Browser/AllowSearchSuggestionsinAddressBar を使用しています。

CSP は、MICROSOFT INTUNEなどの MDM 準拠管理サーバーからプッシュされた、XML ベースの同期マークアップ言語 (SyncML) 形式の構成ポリシーを受け取ります。 Microsoft Endpoint Configuration Managerなどの従来のエンタープライズ管理システムでは、クライアント側のWindows管理インストルメンテーション (WMI) から CSP へのブリッジを使用して CSP をターゲットにすることもできます。

同期マークアップ言語 (SyncML)

Open Mobile Alliance デバイス管理 (OMA-DM) プロトコルは、準拠しているサーバーとクライアント間のデータ交換に XML ベースの SyncML を使用します。 SyncML にはオープンな標準が用意されており、ベンダー固有の管理ソリューション (WMI など) の代わりに使うことができます。 業界標準の管理プロトコルを採用する企業にとってのメリットは、1 つのプラットフォーム (Microsoft Intune など) で広範なベンダーのデバイスを管理できるという点です。 VPN 接続プロファイルを含むデバイス ポリシーは、SyncML の形式でクライアント デバイスに配信されます。 ターゲットの CSP はこの情報を読み取り、必要な構成を適用します。

WMI と CSP 間のブリッジ

WMI から CSP へのブリッジは、スクリプトと従来のエンタープライズ管理ソフトウェア (WMI を使用したConfiguration Managerなど) を使用して、Windows クライアント CSP を構成できるコンポーネントです。 ブリッジでは WMI コマンドを読み取り、コモン デバイス コンフィギュレーターと呼ばれるコンポーネント経由して、これらのコマンドをデバイス上にあるアプリケーションの CSP に渡します。

PowerShell で WMI ブリッジ プロバイダーを使用する方法について確認してください。

CSP について理解する理由

一般に、企業はグループ ポリシーまたは MDM を利用してデバイスの構成と管理を行います。 Windows を実行しているデバイスでは、MDM サービスは CSP を使用してデバイスを構成します。

また、管理対象外のデバイスや、管理に登録する前に構成するデバイスが多数ある場合もあります。 MDM サービスでは使用できないカスタム設定を適用することもできます。 設定の構成とクエリについては「CSP のドキュメント」をご覧ください。 また、使用可能なすべての構成設定について学習することもできます。

Windows 構成デザイナーの CSP

Windows構成デザイナーを使用すると、プロビジョニング パッケージを作成して、既定のエクスペリエンス (OOBE) の間、およびデバイスのセットアップ後にデバイスに設定を適用できます。 プロビジョニング パッケージを使用して、デバイスの接続を構成し、MDM にデバイスを登録することもできます。 Windows 構成デザイナーの実行時の設定の多くは、CSP に基づいています。

多くの Windows 構成デザイナーの設定では、中央のウィンドウに設定のドキュメントが表示され、設定が CSP を使用している場合には、CSP への参照を示します。次のように表示されます。

Windows クライアントのプロビジョニング パッケージでは、Windows構成デザイナー ツールを使用してランタイム プロビジョニング パッケージを作成する方法について説明します。

MDM の CSP

すべてではありませんが、ほとんどの CSP は MDM サービスで表示されます。 使用する機能を CSP が提供しており、その機能がお使いの MDM サービスで見つからない場合には、MDM プロバイダーにお問い合わせください。 この名前は、想定した名前とは異なる場合があります。 MDM がサポートする CSP について詳しくは、「構成サービス プロバイダーのリファレンス」をご覧ください。

CSP を利用できるが、お使いの MDM ソリューションに明示的に含まれていない場合、OMA URI 設定を使用して CSP を使用できる場合があります。 たとえば、Intune では カスタム ポリシー設定 を使用して設定を展開できます。 Intune のドキュメント「設定の一部の一覧」では、MDM サービスがその拡張機能を提供している場合に、カスタム ポリシーの [OMA URI 設定] セクションに入力できる内容を示しています。 この一覧では有効な値と既定の値の意味が説明されていません。それらの情報については「CSP リファレンス ドキュメント」をご覧ください。

ロックダウン XML の CSP

CSP ドキュメントの使用方法

すべての CSP については、 Configuration サービス プロバイダーのリファレンスに記載されています。

CSP リファレンスは、Windowsの各エディションでサポートされている CSP と、個々の CSP のドキュメントへのリンクを示します。

各 CSP のドキュメントは、同じ構造になっています。 CSP の目的を説明する概要と、CSP の構成要素をツリー形式で示す図があります。

特定の構成設定への完全なパスは、その設定の Open Mobile Alliance - Uniform Resource Identifier (OMA-URI) によって表されます。 URI は、デバイスのルート ノード (たとえば MSFT) を基準とする相対的なパスとなります。 特定の CSP でサポートされる機能は、完全な OMA URI パスをアドレス指定することによって設定できます。

AssignedAccess CSP の図の例を次に示します。 図は、その CSP の XML にマップされます。 図のさまざまな図形に注目してください。丸め要素はノードであり、四角形の要素は値を指定する必要がある設定またはポリシーです。

ツリー図のルート ノードの後の要素は、CSP の名前を示します。 この構造を理解することで、CSP の URI パスの構成要素を XML で認識できるようになります。この構造を XML として見た場合に、どの CSP リファレンスを検索すればよいかがわかります。 たとえば、キオスク モードのアプリ設定の次の OMS-URI パスでは、 AssignedAccess CSP が使用されていることがわかります。

./Vendor/MSFT/AssignedAccess/KioskModeApp

図の要素が 斜体 フォントを使用する場合、次の例のテナント ID など、特定の情報のプレースホルダーを示します。

ドキュメントでは、図に続いて各要素を説明しています。 ポリシーまたは設定ごとに、有効な値が示されています。

たとえば、「AssignedAccess CSP」では、設定は [KioskModeApp] です。 このドキュメントでは、[KioskModeApp] の値は、ユーザー アカウント名とキオスク モードのアプリのアプリケーション ユーザー モデル ID (AUMID) を含む JSON 文字列であることがわかります。

ほとんどの CSP のドキュメントには、XML の例も含まれています。

CSP の例

CSP は、企業に役立つ多くの設定へのアクセスを提供します。 このセクションでは、企業が役に立つ可能性がある CSP について説明します。

• Policy CSP

  Policy CSP を使用すると、企業はWindows クライアントでポリシーを構成できます。 これらのポリシー設定の中にはグループ ポリシーを使用して適用できるものもあります。CSP のドキュメントには、同等のグループ ポリシー設定の一覧が示されています。

  ポリシーの CSP で利用可能な設定の一部を次に示します。

  • Microsoft 以外のアカウントをデバイスに追加できるかどうかなど、アカウント。
  • アプリケーション管理 (Microsoft Store アプリのみを許可するかどうかなど)。
  • Bluetooth(使用が許可されているサービスなど)。
  • InPrivate の参照を制限するなど、ブラウザー。
  • デバイスを USB でコンピューターに接続できるかどうかなど、接続。
  • Defender (デスクトップのみ) (スキャンする日時など)。
  • デバイスロック (デバイスのロック解除に必要な PIN またはパスワードの種類など)。
  • Cortanaを許可するなど、エクスペリエンス。
  • プロビジョニング パッケージを許可するかどうかなど、セキュリティ。
  • ユーザーが VPN 設定を変更できるようにするなどの設定。
  • 標準のスタート 画面レイアウトを適用するなど、開始します。
  • ユーザーがデバイスをリセットできるようにするなど、システム。
  • デバイスが匿名化されたユーザー テキスト入力データ サンプルを Microsoft に送信できるようにするなどのテキスト入力。
  • デバイスで Microsoft Update、Windows Server Update Services (WSUS)、Microsoft Storeを使用できるかどうかなど、更新プログラム。
  • インターネット共有が有効になっているかどうかなど、WiFi。

Windows 10 Enterpriseでサポートされている CSP の一覧を次に示します。

• ActiveSync CSP
• Application CSP
• AppLocker CSP
• AssignedAccess CSP
• Bootstrap CSP
• BrowserFavorite CSP
• CellularSettings CSP
• CertificateStore CSP
• ClientCertificateInstall CSP
• CM_CellularEntries CSP
• CM_ProxyEntries CSP
• CMPolicy CSP
• Defender CSP
• DevDetail CSP
• DeviceInstanceService CSP
• DeviceLock CSP
• DeviceStatus CSP
• DevInfo CSP
• DiagnosticLog CSP
• DMAcc CSP
• DMClient CSP
• Email2 CSP
• EnterpriseAPN CSP
• EnterpriseAssignedAccess CSP
• EnterpriseDesktopAppManagement CSP
• EnterpriseExt CSP
• EnterpriseModernAppManagement CSP
• FileSystem CSP
• HealthAttestation CSP
• HotSpot CSP
• Maps CSP
• NAP CSP
• NAPDEF CSP
• NodeCache CSP
• PassportForWork CSP
• Policy CSP
• PolicyManager CSP
• Provisioning CSP
• Proxy CSP
• PXLOGICAL CSP
• Registry CSP
• RemoteFind CSP
• RemoteWipe CSP
• Reporting CSP
• RootCATrustedCertificates CSP
• SecurityPolicy CSP
• Storage CSP
• SUPL CSP
• UnifiedWriteFilter CSP
• Update CSP
• VPN CSP
• VPNv2 CSP
• Wi-Fi CSP
• WindowsLicensing CSP
• WindowsSecurityAuditing CSP