Intune を使用して機能を許可または制限するように Windows 10/11 デバイスを設定する

注意

Intune では、この記事に記載されている設定よりも多くの設定がサポートされる場合があります。 すべての設定が文書化されているのではなく、文書化されません。 構成できる設定を表示するには、デバイス構成プロファイルを作成し、[カタログ] を設定 します。 詳細については、「設定カタログ」を参照してください。

この記事では、Windows クライアント デバイスで制御できるいくつかの設定について説明します。 モバイル デバイス管理 (MDM) ソリューションの一部として、これらの設定を使用して、機能の許可または無効化、パスワード ルールの設定、ロック画面のカスタマイズ、Microsoft Defender の使用などを行います。

これらの設定は以下に適用されます:

  • Windows 11
  • Windows 10

これらの設定は、Intune のデバイス構成プロファイルに追加されてから、Windows クライアント デバイスに割り当てまたは展開されます。

注意

一部の設定は、Enterprise などの特定の Windows エディションでのみ使用できます。 サポートされているエディションを確認するには、ポリシー CSP を参照してください (別の Microsoft Web サイトを開きます)。

Windows 10/11 デバイス制限プロファイルでは、ほとんどの構成可能な設定は、デバイス グループを使用してデバイス レベルで展開されます。 ユーザー グループに展開されたポリシーは、ターゲット ユーザーに適用されます。 ポリシーは、Intune ライセンスを持っているユーザー、およびそのデバイスにサインインしているユーザーにも適用されます。

始める前に

Windows 10/11 デバイス制限プロファイルを作成します

アプリ ストア

これらの設定では、サポートされている Windows エディションも一覧表示する ApplicationManagement ポリシー CSP を使用します。

  • アプリ ストア (モバイルのみ): [ブロック] は、ユーザーがモバイル デバイスでアプリ ストアにアクセスできないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザーにアプリ ストアへのアクセスを許可する場合があります。

  • ストアからのアプリの自動更新: [ブロック] により、Microsoft Store から更新が自動的にインストールされなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS により、Microsoft Store からインストールされたアプリを自動的に更新できる場合があります。

    ApplicationManagement/AllowAppStoreAutoUpdate CSP

  • 信頼できるアプリのインストール: Microsoft Store 以外のアプリをインストールできるかどうかを選択します。サイドローディングとも呼ばれます。 サイドローディングとは、Microsoft Store で認定されていないアプリをインストールしてから、実行またはテストすることです。 たとえば、会社の内部のみにあるアプリです。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。
    • ブロック: サイドローディングを防ぎます。 Microsoft Store 以外のアプリはインストールできません。
    • 許可: サイドローディングを許可します。 Microsoft Store 以外のアプリをインストールできます。
  • 開発者のロック解除: サイドロードされたアプリをユーザーが変更できるようにするなど、Windows 開発者の設定を許可します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。
    • ブロック: 開発者モードとアプリのサイドローディングを防ぎます。
    • 許可: 開発者モードとアプリのサイドローディングを許可します。

    デバイスの開発を有効にすると、この機能の詳細がわかります。

    ApplicationManagement/AllowAllTrustedApps CSP

  • 共有ユーザー アプリ データ: [許可] を選択して、同じデバイス上の異なるユーザー間およびそのアプリの他のインスタンスとアプリケーション データを共有します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は他のユーザーや同じアプリの他のインスタンスとのデータ共有を妨げる場合があります。

    ApplicationManagement/AllowSharedUserAppData CSP

  • プライベート ストアのみ使用: [許可] は、アプリをプライベート ストアからのみダウンロードできるようにし、小売カタログを含むパブリック ストアからはダウンロードできないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はアプリをプライベート ストアとパブリック ストアからダウンロードすることを許可する場合があります。

    ApplicationManagement/RequirePrivateStoreOnly CSP

  • ストアからのアプリの起動: [ブロック] は、デバイスにプリインストールされているか Microsoft Store からダウンロードされたすべてのアプリを無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこれらのアプリを開くことを許可する場合があります。

    ApplicationManagement/DisableStoreOriginatedApps CSP

  • システム ボリュームにアプリ データをインストールする: [ブロック] は、アプリがデバイスのシステム ボリュームにデータを保存するのを停止します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はアプリがシステム ディスク ボリュームにデータを保存することを許可する場合があります。

    ApplicationManagement/RestrictAppDataToSystemVolume CSP

  • システム ドライブにアプリをインストールする: [ブロック] は、アプリがデバイスのシステム ドライブにインストールされないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はアプリをシステム ドライブにインストールすることを許可する場合があります。

    ApplicationManagement/RestrictAppToSystemVolume CSP

  • ゲーム DVR (デスクトップのみ): [ブロック] は Windows ゲームの記録とブロードキャストを無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はゲームの記録とブロードキャストを許可する場合があります。

    ApplicationManagement/AllowGameDVR CSP

  • ストアからのアプリのみ: この設定は、ユーザーが Microsoft Store 以外の場所からアプリをインストールするときのユーザー エクスペリエンスを決定します。 USB デバイス、ネットワーク共有、またはその他の非インターネット ソースからのコンテンツのインストールを妨げることはありません。 信頼できるブラウザーを使用して、これらの保護が期待どおりに機能することを確認してください。

    次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 既定では、OS は、他のポリシー設定で定義されたアプリを含め、ユーザーが Microsoft Store 以外の場所からアプリをインストールすることを許可する場合があります。
    • 任意の場所: アプリの推奨事項をオフにし、ユーザーが任意の場所からアプリをインストールできるようにします。
    • ストアのみ: インターネットから実行可能コンテンツをダウンロードするときに、悪意のあるコンテンツがユーザー デバイスに影響を与えるのを防ぐことを目的としています。 ユーザーがインターネットからアプリをインストールしようとすると、インストールがブロックされます。 ユーザーには、Microsoft Store からアプリをダウンロードすることを推奨するメッセージが表示されます。
    • 推奨事項: Microsoft Store で利用可能な Web からアプリをインストールするときに、ユーザーにストアからダウンロードすることを推奨するメッセージが表示されます。
    • ストアを優先する: Microsoft Store 以外の場所からアプリをインストールするときにユーザーに警告します。

    SmartScreen/EnableAppInstallControl CSP

  • インストールのユーザー コントロール: [ブロック] は、ファイルをインストールするディレクトリの入力など、システム管理者用に通常準備されているインストール オプションをユーザーが変更できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、Windows インストーラーは、ユーザーがこれらのインストール オプションを変更できないようにする場合があり、Windows インストーラーのセキュリティ機能の一部はバイパスされます。

    ApplicationManagement/MSIAllowUserControlOverInstall CSP

  • 昇格された権限でアプリをインストールする: [ブロック] は、Windows インストーラーがシステムにプログラムをインストールするときに、昇格された権限を使用するように指示します。 これらの権限は、すべてのプログラムに拡張されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、システムは、システム管理者が展開または提供していないプログラムをインストールするときに、現在のユーザーのアクセス許可を適用する場合があります。

    ApplicationManagement/MSIAlwaysInstallWithElevatedPrivileges CSP

  • スタートアップ アプリ: ユーザーがデバイスにサインインした後に開くアプリのリストを入力します。 Windows アプリケーションのパッケージ ファミリ名 (PFN) のセミコロン区切りのリストを必ず使用してください。 このポリシーが機能するには、Windows アプリのマニフェストがスタートアップ タスクを使用する必要があります。

    ApplicationManagement/LaunchAppAfterLogOn CSP

携帯電話と接続性

これらの設定では、接続ポリシーWi-Fi ポリシーの CSP が使用され、サポートされている Windows エディションも一覧表示されます。

  • 携帯データネットワーク チャネル: ユーザーが携帯ネットワークに接続しているときに、Web の閲覧などのデータを使用できるかどうかを選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 ユーザーはそれをオフにすることができます。
    • ブロック: 携帯データネットワーク チャネルを許可しません。 ユーザーはそれをオンにすることはできません。
    • 許可 (編集不可): 携帯データネットワーク チャネルを許可します。 ユーザーはそれをオフにすることはできません。
  • データ ローミング: [ブロック] は、デバイスでの携帯データネットワーク ローミングを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、データにアクセスするときに、ネットワーク間のローミングが許可される場合があります。

  • 携帯ネットワークを介した VPN: [ブロック] は、携帯ネットワークに接続されているときにデバイスが VPN 接続にアクセスするのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は VPN が携帯を含むすべての接続を使用することを許可する場合があります。

  • 携帯ネットワークを介した VPN ローミング: [ブロック] は、携帯ネットワークでローミングするときにデバイスが VPN 接続にアクセスするのを停止します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はローミング時に VPN 接続を許可する場合があります。

  • 接続デバイス サービス: [ブロック] は、接続デバイス プラットフォーム (CDP) コンポーネントを無効にします。 CDP を使用すると、他のデバイスの検出と接続 (Bluetooth/LAN またはクラウド経由) が可能になり、リモート アプリの起動、リモート メッセージング、リモート アプリ セッション、およびその他のクロスデバイス エクスペリエンスがサポートされます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は接続デバイス サービスを許可する場合があります。これにより、他の Bluetooth デバイスの検出と接続が可能になります。

  • NFC: [ブロック] は近距離無線通信 (NFC) 機能を防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は、ユーザーがデバイスで NFC 機能を有効化および構成することを許可する場合があります。

  • Wi-Fi: [ブロック] は、ユーザーがデバイスで Wi-Fi 接続を有効化、構成、および使用することを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は Wi-Fi 接続を許可する場合があります。

  • Wi-Fi ホットスポットに自動的に接続する: [ブロック] は、デバイスが Wi-Fi ホットスポットに自動的に接続するのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS により、デバイスは無料の Wi-Fi ホットスポットに自動的に接続し、接続のご契約条件に自動的に同意する場合があります。

  • 手動 Wi-Fi 構成: [ブロック] は、デバイスが MDM サーバーにインストールされたネットワークの外部で Wi-Fi に接続するのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は、ユーザーが独自の Wi-Fi 接続ネットワーク SSID を追加および構成するのを許可する場合があります。

  • Wi-Fi スキャン間隔: デバイスが Wi-Fi ネットワークをスキャンする頻度を入力します。 1 (最も頻度が高い) から 500 (最も頻度が低い) までの値を入力します。 既定値は 0 (ゼロ) です。

Bluetooth

これらの設定では、サポートされている Windows エディションも一覧表示する Bluetooth ポリシー CSP を使用します。

  • Bluetooth: [ブロック] はユーザーが Bluetooth を有効にできないようにします。 [未構成] (既定) では、デバイスで Bluetooth が許可されます。

  • Bluetooth の検出可能性: [ブロック] は、デバイスが他の Bluetooth 対応デバイスによって検出可能になるのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は、ヘッドセットなどの他の Bluetooth 対応デバイスがデバイスを検出できるようにする場合があります。

    Bluetooth/AllowDiscoverableMode CSP

  • Bluetooth の事前ペアリング: [ブロック] は、特定の Bluetooth デバイスがホスト デバイスと自動的にペアリングされるのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はホスト デバイスとの自動ペアリングを許可する場合があります。

    Bluetooth/AllowPrepairing CSP

  • Bluetooth アドバタイズメント: [ブロック] は、デバイスが Bluetooth アドバタイズメントを送信するのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はデバイスが Bluetooth アドバタイズメントを送信するのを許可する場合があります。

    Bluetooth/AllowAdvertising CSP

  • Bluetooth 近位接続: [ブロック] は、デバイス ユーザーが Swift ペアおよびその他の近接ベースのシナリオを使用できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はデバイスが Bluetooth アドバタイズメントを送信するのを許可する場合があります。

    Bluetooth/AllowPromptedProximalConnections CSP

  • Bluetooth で許可されているサービス: 許可されている Bluetooth サービスとプロファイルのリストを {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF} などの 16 進数の文字列として 追加 します。

    ServicesAllowedList 使用ガイドには、サービス リストに関する詳細情報があります。

    Bluetooth/ServicesAllowedList CSP

クラウドとストレージ

これらの設定では、サポートされている Windows エディションも一覧表示するアカウント ポリシー CSP を使用します。

重要

これらの Microsoft アカウント設定をブロックまたは無効にすると、ユーザーが Azure AD にサインインする必要がある登録シナリオに影響を与える可能性があります。 たとえば、 Autopilot の事前プロビジョニング 済み (以前はホワイト グローブと呼ばれる) を使用しているとします。 通常、ユーザーには Azure AD サインイン ウィンドウが表示されます。 これらの設定が [ブロック] または [無効] に設定されている場合、Azure AD サインイン オプションが表示されない場合があります。 代わりに、ユーザーは EULA に同意し、ローカル アカウントを作成するように求められますが、これは希望するものではない場合があります。

  • Microsoft アカウント: [ブロック] は、ユーザーが Microsoft アカウントをデバイスに関連付けることを防ぎます。 [ブロック] は、登録プロセスを完了するユーザーに依存する一部の登録シナリオにも影響を与える可能性があります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は Microsoft アカウントの追加と使用を許可する場合があります。
  • Microsoft 以外のアカウント: [ブロック] は、ユーザーがユーザー インターフェイスを使用して Microsoft 以外のアカウントを追加できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は、ユーザーが Microsoft アカウントに関連付けられていないメール アカウントを追加するのを許可する場合があります。
  • Microsoft アカウントの設定の同期: [ブロック] は、Microsoft アカウントに関連付けられているデバイスとアプリの設定がデバイス間で同期されるのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこの同期を許可する場合があります。
  • Microsoft アカウント サインイン アシスタント: この OS サービスを使用すると、ユーザーは Microsoft アカウントにサインインできます。 既定では、OS は、ユーザーが Microsoft アカウント サインイン アシスタント (wlidsvc) サービスを開始および停止するのを許可する場合があります。
    • 未構成 (既定): Intune では、この設定は変更または更新されません。 既定では、OS は、ユーザーが Microsoft アカウント サインイン アシスタント (wlidsvc) サービスを開始および停止するのを許可する場合があります。

    • 無効: Microsoft サインイン アシスタント サービス (wlidsvc) を無効に設定し、ユーザーが手動で開始できないようにします。

      [無効] は、登録を完了するユーザーに依存する一部の登録シナリオにも影響を与える可能性があります。 たとえば、 事前にプロビジョニングされた Autopilot を使用している場合などです。 通常、ユーザーには Azure AD サインイン ウィンドウが表示されます。 [無効] に設定すると、Azure AD のサインイン オプションが表示されない場合があります。 代わりに、ユーザーは EULA に同意し、ローカル アカウントを作成するように求められますが、これは希望するものではない場合があります。

クラウド プリンター

これらの設定では、サポートされている Windows エディションも一覧表示する EnterpriseCloudPrint ポリシー CSP を使用します。

  • プリンター検出の URL: クラウド プリンターを見つけるための URL を入力します。 たとえば、「https://cloudprinterdiscovery.contoso.com」と入力します。
  • プリンター アクセス権限の URL: 認証エンドポイントの URL を入力して、OAuth トークンを取得します。 たとえば、「https://azuretenant.contoso.com/adfs」と入力します。
  • Azure ネイティブ クライアント アプリの GUID: OAuthAuthority から OAuth トークンを取得することを許可されているクライアント アプリケーションの GUID を入力します。 たとえば、「E1CF1107-FF90-4228-93BF-26052DD2C714」と入力します。
  • プリント サービス リソースの URI: Azure portal で構成されているプリント サービスの OAuth リソース URI を入力します。 たとえば、「http://MicrosoftEnterpriseCloudPrint/CloudPrint」と入力します。
  • 照会するプリンターの最大数: 照会するプリンターの最大数を入力します。 既定値は 20 です。
  • プリンター検出サービス リソースの URI: Azure portal で構成されているプリンター検出サービスの OAuth リソース URI を入力します。 たとえば、「http://MopriaDiscoveryService/CloudPrint」と入力します。

ヒント

Windows Server ハイブリッド クラウド プリントをセットアップした後、これらの設定を構成して、Windows デバイスに展開できます。

コントロール パネルと設定

  • 設定アプリ: [ブロック] は、ユーザーが Windows 設定アプリにアクセスできないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザーがデバイスで設定アプリを開くことを許可する場合があります。
    • システム: [ブロック] は、設定アプリのシステム領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

      • 電源とスリープの設定の変更 (デスクトップのみ): [ブロック] は、ユーザーがデバイスの電源とスリープの設定を変更できないようにします。 [未構成] (既定) では、ユーザーは電源とスリープの設定を変更できます。
    • デバイス: [ブロック] は、デバイスの設定アプリのデバイス領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    • ネットワーク インターネット: [ブロック] は、デバイスの設定アプリのネットワークとインターネット領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    • 個人用設定: [ブロック] は、デバイスの設定アプリの個人用設定領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    • アプリ: [ブロック] は、デバイスの設定アプリのアプリ領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    • アカウント: [ブロック] は、デバイスの設定アプリのアカウント領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    • 時刻と言語: [ブロック] は、デバイスの設定アプリの時刻と言語領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

      • システム時刻の変更: [ブロック] は、ユーザーがデバイスの日付と時刻の設定を変更できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 ユーザーはこれらの設定を変更できます。

      • リージョン設定の変更 (デスクトップのみ): [ブロック] は、ユーザーがデバイスのリージョン設定を変更できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 ユーザーはこれらの設定を変更できます。

      • 言語設定の変更 (デスクトップのみ): [ブロック] は、ユーザーがデバイスの言語設定を変更できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 ユーザーはこれらの設定を変更できます。

        設定ポリシー CSP

    • ゲーム: [ブロック] は、デバイスの設定アプリのゲーム領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

      Settings/PageVisibilityList CSP

    • 簡単操作: [ブロック] は、デバイスの設定アプリの簡単操作領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    • プライバシー: [ブロック] は、デバイスの設定アプリのプライバシー領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    • 更新とセキュリティ: [ブロック] は、デバイスの設定アプリの更新とセキュリティ領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

ディスプレイ

これらの設定では、サポートされている Windows エディションも一覧表示するディスプレイ ポリシー CSP を使用します。

GDI DPI スケーリングにより、DPI を認識しないアプリケーションは、モニターごとに DPI を認識できるようになります。

  • アプリの GDI スケーリングをオンにする: GDI DPI スケーリングをオンにするレガシ アプリを 追加 します。 たとえば、「filename.exe」または「%ProgramFiles%\Path\Filename.exe」と入力します。

    GDI DPI スケーリングは、リスト内のすべてのレガシ アプリケーションに対してオンになっています。

  • アプリの GDI スケーリングをオフにする: GDI DPI スケーリングをオフにするレガシ アプリを 追加 します。 たとえば、「filename.exe」または「%ProgramFiles%\Path\Filename.exe」と入力します。

    GDI DPI スケーリングは、リスト内のすべてのレガシ アプリケーションに対してオフになっています。

アプリのリストを含む .csv ファイルを インポート することもできます。

一般

これらの設定では、サポートされている Windows エディションも一覧表示するエクスペリエンス ポリシー CSP を使用します。

  • スクリーンショット (モバイルのみ): [ブロック] は、ユーザーがデバイスでスクリーンショットを取得できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

  • コピーと貼り付け (モバイルのみ): [ブロック] は、ユーザーがデバイスのアプリ間でコピーと貼り付けを使用できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

  • 手動登録解除: [ブロック] は、ユーザーがデバイスの職場コントロール パネルを使用して職場アカウントを削除できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    このポリシー設定は、コンピューターが Azure AD に参加していて、自動登録が有効になっている場合は適用されません。

  • ルート証明書の手動インストール (モバイルのみ): [ブロック] は、ユーザーがルート証明書と中間 CAP 証明書を手動でインストールできないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

  • カメラ: [ブロック] は、ユーザーがデバイスでカメラを使用できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はデバイスのカメラへのアクセスを許可する場合があります。

    Intune は、デバイスのカメラへのアクセスのみを管理します。 写真やビデオにはアクセスできません。

    カメラ CSP

  • OneDrive ファイル同期: [ブロック] は、ユーザーがデバイスから OneDrive にファイルを同期できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    System/DisableOneDriveFileSync CSP

  • リムーバブル ストレージ: [ブロック] は、ユーザーが USB ドライブや SD カードなどの外部ストレージ デバイスをデバイスで使用できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    System/AllowStorageCard CSP

  • 位置情報: [ブロック] は、ユーザーがデバイスで位置情報サービスを有効にできないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    System/AllowLocation CSP

  • インターネット共有: [ブロック] は、デバイスでのインターネット接続の共有を防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

  • 電話のリセット: [ブロック] は、ユーザーがデバイスをワイプしたり、工場出荷時の状態にリセットしたりできないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

  • USB 接続: [ブロック] は、USB 接続または HoloLens デバイスの開発者ツールを使用した同期ファイルへのアクセスを防ぎます。 このポリシーを変更しても、USB の充電には影響しません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 USB の充電はこの設定の影響を受けません。

    Connectivity/AllowUSBConnection CSP

  • 盗難防止モード (モバイルのみ): [ブロック] は、ユーザーがデバイスで盗難防止モードの設定を選択できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

  • Cortana: [ブロック] は、デバイスで Cortana 音声アシスタントを無効にします。 Cortana がオフの場合でも、ユーザーはデバイス上のアイテムを検索して見つけることができます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は Cortana を許可する場合があります。

    Experience/AllowCortana CSP

  • 音声録音 (モバイルのみ): [ブロック] は、ユーザーがデバイスでデバイスのボイス レコーダーを使用できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はアプリの音声録音を許可する場合があります。

  • デバイス名の変更 (モバイルのみ): [ブロック] は、ユーザーがデバイスの名前を変更できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

  • プロビジョニング パッケージの追加: [ブロック] は、デバイスにプロビジョニング パッケージをインストールする実行時構成エージェントを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

  • プロビジョニング パッケージの削除: [ブロック] は、デバイスからプロビジョニング パッケージを削除する実行時構成エージェントを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

  • デバイスの検出: [ブロック] は、デバイスが他のデバイスによって検出されるのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    Experience/AllowDeviceDiscovery

  • タスク スイッチャー (モバイルのみ): [ブロック] は、デバイスでのタスク切り替えを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

  • SIM カード エラー ダイアログ (モバイルのみ): [ブロック] は、SIM カードが検出されない場合、エラー メッセージがデバイスに表示されないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はエラー メッセージを表示する場合があります。

  • インク ワークスペース: ユーザーがインク ワークスペースにアクセスするかどうか、およびアクセスする方法を選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 既定では、OS はインク ワークスペースを有効にする場合があり、ユーザーはロック画面の上でそれを使用できます。
    • ロック画面で無効: インク ワークスペースが有効になり、機能がオンになります。 ただし、ユーザーはロック画面の上からアクセスすることはできません。
    • 無効: インク ワークスペースへのアクセスが無効になっています。 機能はオフになっています。

    WindowsInkWorkspace policy CSP

  • Autopilot リセット: [許可] を選択すると、管理者権限を持つユーザーは、デバイスのロック画面で Ctrl + Win + R を使用してすべてのユーザー データと設定を削除できます。 デバイスは自動的に再構成され、管理に再登録されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこの機能を妨げる場合があります。

  • デバイスのセットアップ中にユーザーにネットワークへの接続を要求する: [必須] を選択して、Windows のセットアップ中に [ネットワーク] ページを通過する前にデバイスがネットワークに接続するようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は、ネットワークに接続されていない場合でも、ユーザーが [ネットワーク] ページを通過できるようにする場合があります。

    次回デバイスがワイプまたはリセットされたときに、この設定が有効になります。 他の Intune 構成と同様に、構成設定を受け取るには、デバイスを Intune で登録および管理する必要があります。 ただし、登録してポリシーを受信したら、デバイスをリセットすると、次の Windows セットアップ中に設定が適用されます。

    TenantLockdown CSP

  • 直接メモリ アクセス: [ブロック] は、ユーザーが Windows にサインインするまで、すべてのホット プラグ対応 PCI ダウンストリーム ポートの直接メモリ アクセス (DMA) を防ぎます。 [有効] (既定) は、ユーザーがサインインしていない場合でも、DMA へのアクセスを許可します。

    DataProtection/AllowDirectMemoryAccess CSP

  • タスク マネージャーからのプロセスの終了: この設定は、管理者以外がタスク マネージャーを使用してタスクを終了できるかどうかを決定します。 [ブロック] は、標準ユーザー (管理者以外) がタスク マネージャーを使用してデバイス上のプロセスまたはタスクを終了することを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は、標準ユーザーがタスク マネージャーを使用してプロセスまたはタスクを終了することを許可する場合があります。

    TaskManager/AllowEndTask CSP

ロック画面エクスペリエンス

  • アクション センターの通知 (モバイルのみ): [ブロック] は、アクション センターの通知がデバイスのロック画面に表示されないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は、ユーザーがロック画面に通知を表示するアプリを選択することを許可する場合があります。

    AboveLock/AllowActionCenterNotifications CSP

  • ロック済み画面の画像の URL (デスクトップのみ): Windows のロック画面の壁紙として使用される JPG、JPEG、または PNG 形式の画像の URL を入力します。 たとえば、「https://contoso.com/image.png」と入力します。 この設定は画像をロックし、後で変更することはできません。

    Personalization/LockScreenImageUrl CSP

  • ユーザー設定可能な画面タイムアウト (モバイルのみ): [許可] により、ユーザーは画面タイムアウトを設定できます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザーにこのオプションを提供しない場合があります。

    DeviceLock/AllowScreenTimeoutWhileLockedUserConfig CSP

  • ロック済み画面の Cortana (デスクトップのみ): [ブロック] は、デバイスがロック画面にあるときにユーザーが Cortana を操作できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は Cortana の操作を許可する場合があります。

    AboveLock/AllowCortanaAboveLock CSP

  • ロック済み画面でのトースト通知: [ブロック] は、トースト通知がデバイスのロック画面に表示されないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこれらの通知を許可する場合があります。

    AboveLock/AllowToasts CSP

  • 画面タイムアウト (モバイルのみ): 画面がロックされてから画面がオフになるまでの時間 (秒単位) を設定します。 サポートされている値は 11 から 1800 までです。 たとえば、300 と入力して、このタイムアウトを 5 分に設定します。

    DeviceLock/ScreenTimeoutWhileLocked CSP

メッセージング

これらの設定では、サポートされている Windows エディションも一覧表示するメッセージング ポリシー CSP を使用します。

  • メッセージ同期 (モバイルのみ): [ブロック] は、テキスト メッセージのバックアップと復元、および Windows デバイス間のメッセージの同期を無効にします。 無効にすると、組織の管理外のサーバーに情報が保存されるのを防ぐことができます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザーがこれらの設定を変更し、メッセージを同期することを許可する場合があります。
  • MMS (モバイルのみ): [ブロック] は、デバイスの MMS 送受信機能を無効にします。 企業の場合、監査または管理要件の一部として、このポリシーを使用してデバイスの MMS を無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は MMS の送受信を許可する場合があります。
  • RCS (モバイルのみ): [ブロック] は、デバイスのリッチ コミュニケーション サービス (RCS) の送受信機能を無効にします。 企業の場合、監査または管理要件の一部として、このポリシーを使用してデバイスの RCS を無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は RCS の送受信を許可する場合があります。

Microsoft Edge 従来版 (バージョン 45 以前)

これらの設定では、サポートされている Windows エディションも一覧表示するブラウザー ポリシー CSP を使用します。

注意

ブラウザー ポリシー CSP の使用は、Microsoft Edge バージョン 45 以前に適用されます。 Microsoft Edge バージョン 77 以降については、「Microsoft Intune で Microsoft Edge ポリシー設定を構成する」を参照してください。

Microsoft Edge キオスク モードの使用

使用可能な設定は、選択した内容によって異なります。 次のようなオプションがあります。

  • いいえ (既定): Microsoft Edge はキオスク モードで実行されていません。 すべての Microsoft Edge 設定を使用して、変更および構成できます。
  • デジタル/インタラクティブ サイネージ (シングル アプリ キオスク): Windows 10/11 シングルアプリ キオスクのデジタル/インタラクティブ サイネージ Microsoft Edge キオスク モードに適用される Microsoft Edge 設定をフィルター処理します。 この設定を選択すると、URL が全画面表示され、その Web サイトのコンテンツのみが表示されます。 デジタル サインの設定では、この機能の詳細について説明しています。
  • InPrivate パブリック ブラウジング (シングル アプリ キオスク): Windows 10/11 シングルアプリ キオスクで使用する InPrivate パブリック ブラウジング Microsoft Edge キオスク モードに適用できる Microsoft Edge 設定をフィルター処理します。 マルチタブ バージョンの Microsoft Edge を実行します。
  • 通常モード (マルチアプリ キオスク): 通常の Microsoft Edge キオスク モードに適用できる Microsoft Edge 設定をフィルター処理します。 すべてのブラウジング機能を備えたフルバージョンの Microsoft Edge を実行します。
  • パブリック ブラウジング (マルチアプリ キオスク): Windows 10 マルチアプリ キオスクでのパブリック ブラウジングに適用できる Microsoft Edge 設定をフィルター処理します。 マルチタブ バージョンの Microsoft Edge InPrivate を実行します。

ヒント

これらのオプションの機能の詳細については、「Microsoft Edge キオスク モードの構成の種類」を参照してください。

このデバイス制限プロファイルは、Windows キオスク設定を使用して作成したキオスク プロファイルに直接関連しています。 要約すると、次のとおりです。

  1. Windows キオスク設定プロファイルを作成して、デバイスをキオスク モードで実行します。 アプリケーションとして Microsoft Edge を選択し、キオスク プロファイルで Microsoft Edge キオスク モードを設定します。

  2. この記事で説明されているデバイス制限プロファイルを作成し、Microsoft Edge で許可されている特定の機能と設定を構成します。 キオスク プロファイル (Windows キオスク設定) で選択したものと同じ Microsoft Edge キオスク モードの種類を選択してください。

    サポートされているキオスク モード設定は素晴らしいリソースです。

重要

この Microsoft Edge プロファイルは、キオスク プロファイルと同じデバイスに割り当ててください (Windows キオスク設定)。

ConfigureKioskMode CSP

Start experience

  • Microsoft Edge の起動に使用: Microsoft Edge の起動時に開くページを選択します。 次のようなオプションがあります。

    • カスタム スタート ページ: http://www.contoso.com などのスタート ページを入力します。 Microsoft Edge は、入力したスタート ページを読み込みます。
    • 新しいタブ ページ: Microsoft Edge は、[新しいタブの URL] 設定に入力されたものをすべて読み込みます。
    • 最後のセッションのページ: Microsoft Edge は最後のセッション ページを読み込みます。
    • ローカル アプリ設定のスタート ページ: Microsoft Edge は、OS によって定義された既定のスタート ページから開始します。
  • ユーザーにスタート ページの変更を許可する: [はい] (既定) は、ユーザーがスタート ページを変更できるようにします。 管理者は EdgeHomepageUrls を使用して、Microsoft Edge を開いたときにユーザーが既定で表示するスタート ページを入力できます。 [いいえ] は、ユーザーがスタート ページを変更するのを禁止します。

  • 新しいタブ ページで Web コンテンツを許可する: [はい] (既定) に設定すると、Microsoft Edge は [新しいタブの URL] 設定で入力した URL を開きます。 [新しいタブの URL] 設定が空白の場合、Microsoft Edge は Microsoft Edge の設定にリストされている新しいタブ ページを開きます。 ユーザーはそれを変更できます。 [いいえ] に設定すると、Microsoft Edge は空白のページで新しいタブを開きます。 ユーザーはそれを変更できません。

  • 新しいタブの URL: 新しいタブ ページで開く URL を入力します。 たとえば、「https://www.bing.com」または「https://www.contoso.com」と入力します。

  • ホーム ボタン: ホーム ボタンが選択されたときに何が起こるかを選択します。 次のようなオプションがあります。

    • スタート ページ: [Microsoft Edge の起動に使用] 設定で選択したオプションを開きます
    • 新しいタブ ページ: [新しいタブの URL] 設定で入力した URL を開きます。
    • ホーム ボタンの URL: 開く URL を入力します。 たとえば、「https://www.bing.com」または「https://www.contoso.com」と入力します。
    • ホーム ボタンを非表示: ホーム ボタンを非表示にします
  • ユーザーにホーム ボタンの変更を許可する: [はい] を選択すると、ユーザーはホーム ボタンを変更できます。 ユーザーの変更は、ホーム ボタンに対する管理者設定を上書きします。 [いいえ] (既定) は、管理者がホーム ボタンを構成する方法をユーザーが変更することを禁止します。

  • 最初の実行エクスペリエンス ページの表示 (モバイルのみ): [はい] (既定) は、Microsoft Edge の初回使用の紹介ページを表示します。 [いいえ] を選択すると、Microsoft Edge を初めて実行したときに紹介ページが表示されなくなります。 この機能により、ゼロ エミッション構成に登録している組織などの企業がこのページをブロックできます。

  • 最初の実行エクスペリエンスの URL リストの場所 (Windows 10 Mobile のみ): 最初の実行ページの URL を含む XML ファイルを指す URL を入力します。 たとえば、「https://www.contoso.com/sites.xml」と入力します。

  • アイドル時間後にブラウザーを更新する: ブラウザーが更新されるまでのアイドル分数を 0 - 1440 分で入力します。 既定値は 5 分です。 0 (ゼロ) に設定すると、アイドル状態になった後、ブラウザーは更新されません。

    この設定は、InPrivate パブリック ブラウジング (シングルアプリ キオスク) で実行している場合にのみ使用できます。

  • ポップアップを許可する (デスクトップのみ): [はい] (既定) は、Web ブラウザーのポップアップを許可します。 [いいえ] は、ブラウザーのポップアップ ウィンドウを防ぎます。

  • イントラネット トラフィックを Internet Explorer に送信する (デスクトップのみ): [はい] を選択すると、ユーザーは Microsoft Edge ではなく Internet Explorer でイントラネット Web サイトを開くことができます。 この設定は、下位互換性のためです。 [いいえ] (既定) は、ユーザーが Microsoft Edge を使用できるようにします。

  • エンタープライズ モード サイト リストの場所 (デスクトップのみ): エンタープライズ モードで開く Web サイトのリストを含む XML ファイルを指す URL を入力します。 ユーザーはこのリストを変更できません。 たとえば、「https://www.contoso.com/sites.xml」と入力します。

  • Internet Explorer でサイトを開くときのメッセージ: この設定を使用して、Internet Explorer 11 でサイトを開く前に通知を表示するように Microsoft Edge を構成します。 次のようなオプションがあります。

    • メッセージを表示しない: OS の既定の動作が使用され、メッセージが表示されない場合があります。
    • Internet Explorer 11 でサイトが開かれていることを示すメッセージを表示する: IE でサイトを開くときにメッセージを表示します。 IE でサイトを開きます。
    • Microsoft Edge でサイトを開くオプション付きのメッセージを表示する: Microsoft Edge でサイトを開くときにメッセージを表示します。 メッセージには、ユーザーが IE の代わりに Microsoft Edge を選択できるように、[Microsoft Edge で続行] リンクが含まれています。

    重要

    この設定では、[エンタープライズ モード サイト リストの場所] 設定、[イントラネット トラフィックを Internet Explorer に送信する] 設定、またはその両方の設定を使用する必要があります。

  • Microsoft 互換性リストを許可する: [はい] (既定) は、Microsoft 互換性リストの使用を許可します。 [いいえ] は、Microsoft Edge の Microsoft 互換性リストの使用を防ぎます。 Microsoft ではこのリストを利用して、既知の互換性の問題があるサイトを Microsoft Edge で正しく表示できるようにします。

  • スタート ページと新しいタブ ページのプリロード: [はい] (既定) はOS の既定の動作を使用します。これは、これらのページをプリロードする場合があります。 プリロードにより、Microsoft Edge を起動して新しいタブを読み込む時間が最小限に抑えられます。 [いいえ] は、Microsoft Edge がスタート ページと新しいタブ ページをプリロードするのを防ぎます。

  • スタート ページと新しいタブ ページの事前起動: [はい] (既定) はOS の既定の動作を使用します。これは、これらのページを事前起動する場合があります。 事前起動は、Microsoft Edge のパフォーマンスを向上させ、Microsoft Edge の起動に必要な時間を最小限に抑えます。 [いいえ] は、Microsoft Edge がスタート ページと新しいタブ ページを事前起動するのを防ぎます。

  • お気に入りバーを表示: Microsoft Edge ページのお気に入りバーをどうするかを選択します。 次のようなオプションがあります。

    • スタート ページと新しいタブ ページ: Microsoft Edge の起動時、およびすべてのタブ ページにお気に入りバーを表示します。 ユーザーはこの設定を変更できます。
    • すべてのページ: すべてのページにお気に入りバーを表示します。 ユーザーはこの設定を変更できません。
    • 非表示: すべてのページのお気に入りバーを非表示にします。 ユーザーはこの設定を変更できません。
  • お気に入りへの変更を許可する: [はい] (既定) は、ユーザーがリストを変更できる OS の既定を使用します。 [いいえ] は、ユーザーがお気に入りリストを追加、インポート、並べ替え、または編集できないようにします。

    • お気に入りリスト: URL のリストをお気に入りファイルに追加します。 たとえば、http://contoso.com/favorites.html を追加します。
  • Microsoft ブラウザー間でお気に入りを同期する (デスクトップのみ): [はい] を選択すると、Windows は Internet Explorer と Microsoft Edge の間でお気に入りを同期します。 お気に入りの追加、削除、変更、順序変更が、ブラウザー間で共有されます。 [いいえ] (既定) は OS の既定を使用します。これにより、ユーザーはブラウザー間でお気に入りを同期することができます。

  • 既定の検索エンジン: デバイスの既定の検索エンジンを選択します。 ユーザーはいつでもこの値を変更できます。 次のようなオプションがあります。

    • クライアント Microsoft Edge の検索エンジンの設定
    • Bing
    • Google
    • Yahoo
    • カスタム値: OpenSearch Xml URL に、少なくとも短い名前と検索エンジンへの URL を含む XML ファイルのある HTTPS URL を入力します。 たとえば、「https://www.contoso.com/opensearch.xml」と入力します。
  • 検索候補を表示する: [はい] (既定) では、アドレス バーに検索フレーズを入力すると、検索エンジンがサイトを提案します。 [いいえ] はこの機能を防ぎます。

  • 検索エンジンへの変更を許可する: [はい] (既定) を使用すると、ユーザーは新しい検索エンジンを追加したり、Microsoft Edge の既定の検索エンジンを変更したりできます。 ユーザーが検索エンジンをカスタマイズできないようにするには、[いいえ] を選択します。

    この設定は、通常モード (マルチアプリ キオスク) で実行している場合にのみ使用できます。

プライバシーとセキュリティ

  • InPrivate ブラウズを許可する: [はい] (既定) は、Microsoft Edge での InPrivate ブラウズを許可します。 すべての InPrivate タブを閉じた後、Microsoft Edge はデバイスから閲覧データを削除します。 [いいえ] は、ユーザーが InPrivate ブラウズ セッションを開くことを防ぎます。
  • 閲覧履歴の保存: [はい] (既定) では、Microsoft Edge に閲覧履歴を保存できます。 [いいえ] は、閲覧履歴の保存を防ぎます。
  • 終了時に閲覧データをクリアする (デスクトップのみ): [はい] は、ユーザーが Microsoft Edge を終了するときに履歴と閲覧データをクリアします。 [いいえ] (既定) は OS の既定を使用し、ブラウジング データをキャッシュする場合があります。
  • ユーザーのデバイス間でブラウザー設定を同期する: デバイス間でブラウザー設定を同期する方法を選択します。 次のようなオプションがあります。
    • 許可: ユーザーのデバイス間での Microsoft Edge ブラウザー設定の同期を許可します
    • ユーザー オーバーライドをブロックして有効にする: ユーザーのデバイス間の Microsoft Edge ブラウザー設定の同期をブロックします。 ユーザーはこの設定をオーバーライドできます。
    • ブロック: ユーザー デバイス間の Microsoft Edge ブラウザー設定の同期をブロックします。 ユーザーはこの設定をオーバーライドできません。

[ユーザー オーバーライドをブロックして有効にする] を選択すると、ユーザーは管理者指定をオーバーライドできます。

  • パスワード マネージャーを許可する: [はい] (既定) は、Microsoft Edge がパスワード マネージャーを自動的に使用できるようにします。これにより、ユーザーはデバイスにパスワードを保存および管理できます。 [いいえ] は、Microsoft Edge がパスワード マネージャーを使用できないようにします。
  • Cookie: Web ブラウザーでの Cookie の処理方法を選択します。 次のようなオプションがあります。
    • 許可: Cookie はデバイスに保存されます。
    • すべての Cookie をブロックする: Cookie はデバイスに保存されません。
    • サード パーティの Cookie のみをブロックする: サード パーティまたはパートナーの Cookie はデバイスに保存されません。
  • フォームのオートフィルを許可する: [はい] (既定) を使用すると、ユーザーはブラウザーのオートコンプリート設定を変更し、フォーム フィールドに自動的に入力できます。 [いいえ] は、Microsoft Edge のオートフィル機能を無効にします。
  • 追跡禁止ヘッダーの送信: [はい] は、追跡情報を要求する Web サイトに追跡禁止ヘッダーを送信します (推奨)。 [いいえ] (既定) は、Web サイトがユーザーを追跡できるようにするヘッダーを送信しません。 ユーザーはこの設定を構成できます。
  • WebRTC localhost IP アドレスの表示: [はい] (既定) では、このプロトコルを使用して電話をかけるときに、ユーザーの localhost IP アドレスを表示できます。 [いいえ] は、ユーザーの localhost IP アドレスが表示されないようにします。
  • ライブ タイル データ収集を許可する: [はい] (既定) により、Microsoft Edge はスタート メニューに固定されたライブ タイルから情報を収集できます。 [いいえ] は、この情報の収集を防ぎます。これにより、ユーザーのエクスペリエンスが制限される場合があります。
  • ユーザーは証明書エラーをオーバーライドできます: [はい] (既定) は、ユーザーが Secure Sockets Layer/Transport Layer Security (SSL/TLS) エラーのある Web サイトにアクセスできるようにします。 [いいえ] (セキュリティを強化するために推奨) は、ユーザーが SSL または TLS エラーのある Web サイトにアクセスできないようにします。

Additional

  • Microsoft Edge ブラウザーを許可する (モバイルのみ): [はい] (既定) は、モバイル デバイスで Microsoft Edge Web ブラウザーを使用することを許可します。 [いいえ] は、デバイスでの Microsoft Edge の使用を防ぎます。 [いいえ] を選択すると、他の個々の設定はデスクトップにのみ適用されます。

  • アドレス バーのドロップダウンを許可する: [はい] (既定) を使用すると、Microsoft Edge でアドレス バーのドロップダウンに候補のリストを表示できます。 [いいえ] は、入力時に Microsoft Edge がドロップダウン リストに候補のリストを表示しないようにします。 [いいえ] に設定すると、次のようになります:

    • Microsoft Edge と Microsoft サービス間のネットワーク帯域幅を最小限に抑えるのに役立ちます。
    • [Microsoft Edge] > [設定] で、[入力時に検索とサイトの候補を表示する] を無効にします。
  • 全画面表示モードを許可する: [はい] (既定) は、Microsoft Edge が全画面表示モードを使用できるようにします。全画面表示モードでは、Web コンテンツのみが表示され、Microsoft Edge UI は非表示になります。 [いいえ] は、Microsoft Edge の全画面表示モードを防ぎます。

  • フラグ ページについて許可する: [はい] (既定) は OS の既定を使用し、about:flags ページへのアクセスを許可する場合があります。 about:flags ページでは、ユーザーは開発者設定を変更し、実験的な機能を有効にすることができます。 [いいえ] は、ユーザーが Microsoft Edge の about:flags ページにアクセスできないようにします。

  • 開発者ツールを許可する: [はい] (既定) では、ユーザーは F12 開発者ツールを使用して既定で Web ページをビルドおよびデバッグできます。 [いいえ] は、ユーザーが F12 開発ツールを使用できないようにします。

  • JavaScript を許可する: [はい] (既定) は、JavaScript などのスクリプトを Microsoft Edge ブラウザーで実行できるようにします。 [いいえ] は、ブラウザーの Java スクリプトが実行されないようにします。

  • ユーザーは拡張機能をインストールできます: [はい] (既定) は、ユーザーがデバイスに Microsoft Edge 拡張機能をインストールできるようにします。 [いいえ] はインストールを防ぎます。

  • 開発者拡張機能のサイドローディングを許可する: [はい] (既定) は OS の既定を使用します。これにより、サイドローディングが許可される場合があります。 サイドローディングは、未確認の拡張機能をインストールして実行します。 [いいえ] は、Microsoft Edge が [拡張機能の読み込み] 機能を使用してサイドローディングするのを防ぎます。 PowerShell などの他の方法を使用した拡張機能のサイドローディングを防ぐことはできません。

  • 必須の拡張機能: Microsoft Edge のユーザーがオフにできない拡張機能を選択します。 パッケージ ファミリ名を入力し、[追加] を選択します。 アプリごとのパッケージ ファミリ名 (PFN) を検索する VPN はいくつかのガイダンスを提供します。

    パッケージ ファミリ名を含む CSV ファイルを インポート することもできます。 または、入力したパッケージ ファミリ名を エクスポート します。

ネットワーク プロキシ

これらの設定では、サポートされている Windows エディションも一覧表示する NetworkProxy ポリシー CSP を使用します。

  • プロキシ設定を自動的に検出する: [ブロック] は、デバイスがプロキシ自動設定 (PAC) スクリプトを自動的に検出することを無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS がこの機能を有効にしている場合があり、デバイスは PAC スクリプトへのパスを見つけようとします。

    [ブロック] に設定すると、ProxySettingsPerUser 設定は自動的に 0 に設定されます。

  • プロキシ スクリプトを使用する: [許可] を選択して、プロキシ サーバーを構成するための PAC スクリプトへのパスを入力します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS により PAC スクリプトへの URL を入力できない場合があります。

    • スクリプト アドレスのセットアップの URL: プロキシ サーバーの構成に使用する PAC スクリプトの URL を入力します。
  • 手動プロキシ サーバーを使用する: [許可] を選択して、プロキシ サーバーの名前または IP アドレス、および TCP ポート番号を手動で入力します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS によりプロキシ サーバーの詳細を手動で入力できない場合があります。

    • アドレス: プロキシ サーバーの名前または IP アドレスを入力します。
    • ポート番号: プロキシ サーバーのポート番号を入力します。
    • プロキシの例外: プロキシ サーバーを使用してはならない URL を入力します。 各項目を区切るには、セミコロン (;) を使用します。
    • ローカル アドレスのプロキシ サーバーをバイパスする: [許可] は、ローカル イントラネット アドレスのプロキシ サーバーを使用しません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はイントラネットのローカル アドレスにプロキシ サーバーを使用する場合があります。

Password

これらの設定では、サポートされている Windows エディションも一覧表示する DeviceLock ポリシー CSP を使用します。

  • パスワード: [必須] は、ユーザーがデバイスにアクセスするためにパスワードを入力することを強制します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はパスワードなしでデバイスへのアクセスを許可する場合があります。 ローカル アカウントにのみ適用されます。 ドメイン アカウントのパスワードは、Active Directory (AD) と Azure AD によって構成されたままになります。

    DeviceLock/DevicePasswordEnabled CSP

    • 必須のパスワードの種類: パスワードの種類を選択します。 次のようなオプションがあります:

      • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS はパスワードに数字と文字を含めることを許可する場合があります。
      • 英数字: パスワードは数字と文字を組み合わせたものでなければなりません。
      • 数値: パスワードは数字のみである必要があります。

      DeviceLock/AlphanumericDevicePasswordRequired CSP

    • パスワードの最小長: 必要な最小文字数 4 - 16 文字を入力します。 たとえば、パスワードの長さに 6 文字以上を要求するには、6 と入力します。 既定では、OS はそれを 4 に設定する場合があります。

      DeviceLock/MinDevicePasswordLength CSP

      重要

      Windows デスクトップでパスワード要件が変更されると、ユーザーは次にサインインするときに影響を受けます。これは、デバイスがアイドル状態からアクティブ状態になるときです。 要件を満たすパスワードを使用しているユーザーは、引き続きパスワードを変更するように求められます。

    • デバイスをワイプする前のサインイン失敗の数: デバイスがワイプされる前に許可される間違ったパスワードの数を最大 11 まで入力します。 入力する有効な数は、エディションによって異なります。 DeviceLock/MaxDevicePasswordFailedAttempts CSP は、サポートされている値を一覧表示します。 0 (ゼロ) は、デバイスのワイプ機能を無効にする場合があります。

      この設定も、エディションによって影響が異なります。 この設定の詳細については、DeviceLock/MaxDevicePasswordFailedAttempts CSP を参照してください。

    • 画面がロックされるまでの非アクティブの最大分数: 画面がロックされる前にデバイスがアイドル状態である必要がある時間の長さを入力します。 たとえば、5 と入力して、アイドル状態から 5 分後にデバイスをロックします。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はそれを 0 (ゼロ) に設定する場合がありますが、これはタイムアウトではありません。

      DeviceLock/MaxInactivityTimeDeviceLock CSP

    • パスワードの有効期限 (日数): デバイスのパスワードを変更する必要がある日数の長さを 1 - 365 日で入力します。 たとえば、90 と入力して、90 日後にパスワードを期限切れにします。 値が空白の場合、Intune はこの設定を変更または更新しません。 既定では、OS はそれを 0 (ゼロ) に設定する場合がありますが、これは有効期限ではありません。

      DeviceLock/DevicePasswordExpiration CSP

    • 以前のパスワードの再利用防止: 使用できない以前に使用されたパスワードの数、1 - 24 を入力します。 たとえば、5 と入力すると、ユーザーは新しいパスワードを現在のパスワードまたは以前の 4 つのパスワードのいずれにも設定できなくなります。 値が空白の場合、Intune はこの設定を変更または更新しません。

      DeviceLock/DevicePasswordHistory CSP

    • デバイスがアイドル状態から戻ったときにパスワードを要求する (モバイルおよびホログラフィック): [必須] は、ユーザーがアイドル状態の後にデバイスのロックを解除するためにパスワードを入力することを強制します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はアイドル状態の後に PIN またはパスワードを要求しない場合があります。

      DeviceLock/AllowIdleReturnWithoutPassword CSP

    • 単純なパスワード: [ブロック] は、ユーザーが 1234 または 1111 などの単純なパスワードを作成できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザーに単純なパスワードの作成を許可する場合があります。 この設定は、画像パスワードの使用も禁止します。

      DeviceLock/AllowSimpleDevicePassword CSP

  • AADJ 中の自動暗号化: [ブロック] は、デバイスが最初に使用する準備ができているとき、およびデバイスが Azure AD に参加しているときに、BitLocker デバイスの自動暗号化を防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は暗号化を有効にしている場合があります。

    BitLocker デバイスの暗号化の詳細。

    Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices CSP

  • Federal Information Processing Standards (FIPS) ポリシー: [許可] は、暗号化、ハッシュ、および署名に関する米国政府の標準である Federal Information Processing Standards (FIPS) ポリシーを使用します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は FIPS を許可しない場合があります。

    Cryptography/AllowFipsAlgorithmPolicy CSP

  • Windows Hello デバイス認証: ユーザーが電話、フィットネス バンド、IoT デバイスなどの Windows Hello コンパニオン デバイスを使用して、Windows 10/11 コンピューターにサインインすることを 許可 します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は Windows Hello コンパニオン デバイスの認証を妨げる場合があります。

    Authentication/AllowSecondaryAuthenticationDevice CSP

  • 優先 Azure AD テナント ドメイン: Azure AD 組織に既存のドメイン名を入力します。 このドメインのユーザーがサインインするときに、ドメイン名を入力する必要はありません。 たとえば、「contoso.com」と入力します。 contoso.com ドメインのユーザーは、abby@contoso.com の代わりに abby などのユーザー名を使用してサインインできます。

    Authentication/PreferredAadTenantDomainName CSP

アプリごとのプライバシーの例外

[既定のプライバシー] で定義したものとは異なるプライバシー動作をする必要があるアプリを 追加 します。

  • パッケージ名: アプリ パッケージ ファミリ名。
  • アプリ名: アプリの名前。

例外

  • アカウント情報: このアプリがユーザー名、画像、その他の連絡先情報にアクセスできるかどうかを定義します。
  • バックグラウンド アプリ: このアプリをバックグラウンドで実行できるかどうかを定義します。
  • 予定表: このアプリが予定表にアクセスできるかどうかを定義します。
  • 通話履歴: このアプリが自分の通話履歴にアクセスできるかどうかを定義します。
  • カメラ: このアプリがカメラにアクセスできるかどうかを定義します。
  • 連絡先: このアプリが連絡先にアクセスできるかどうかを定義します。
  • メール: このアプリがメールにアクセスして送信できるかどうかを定義します。
  • 場所: このアプリが場所情報にアクセスできるかどうかを定義します。
  • メッセージング: このアプリがテキストまたは MMS メッセージを読み取ったり送信したりできるかどうかを定義します。
  • マイク: このアプリがマイクを使用できるかどうかを定義します。
  • モーション: このアプリがデバイスのモーション情報にアクセスできるかどうかを定義します。
  • 通知: このアプリが通知にアクセスできるかどうかを定義します。
  • 電話: このアプリが電話にアクセスできるかどうかを定義します。
  • 無線: 一部のアプリは、デバイスで無線 (Bluetooth など) を使用してデータを送受信し、これらの無線をオンまたはオフにする必要があります。 このアプリがこれらの無線を制御できるかどうかを定義します。
  • タスク: このアプリがタスクにアクセスできるかどうかを定義します。
  • 信頼できるデバイス: このアプリが信頼できるデバイスを使用できるかどうかを選択します。 信頼できるデバイスとは、既に接続しているハードウェア、またはデバイスに付属しているハードウェアです。 たとえば、信頼できるデバイスとして、テレビやプロジェクターなどを使用します。
  • フィードバックと診断: このアプリが診断情報にアクセスできるかどうかを定義します。
  • デバイスとの同期: このアプリが、デバイスと明示的にペアリングされていないワイヤレス デバイスと情報を自動的に共有および同期できるかどうかを選択します。

カスタマイズ

これらの設定では、サポートされている Windows エディションも一覧表示するカスタマイズ ポリシー CSP を使用します。

  • デスクトップの背景画像の URL (デスクトップのみ): Windows のデスクトップの壁紙として使用する画像の URL を .jpg、.jpeg、または .png 形式で入力します。 ユーザーは画像を変更できません。 たとえば、「https://contoso.com/logo.png」と入力します。

    空白のままにすると、Intune はこの設定を変更または更新しません。

Printer

  • プリンター: ネットワーク ホスト名 (DNS 名) を使用してプリンターを追加します。 OS は、デバイス上の各プリンターに一致するプリンター ドライバーを検索してインストールします。 値を入力しない場合、Intune はこの設定を変更または更新しません。

    Education/PrinterNames CSP

  • 既定のプリンター: 既定のプリンターとして使用するインストール済みプリンターのネットワーク ホスト名 (DNS 名) を入力します。 値を入力しない場合、Intune はこの設定を変更または更新しません。

    Education/DefaultPrinterName CSP

  • 新しいプリンターの追加: [ブロック] は、ユーザーが新しいプリンターを追加できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は新しいプリンターの追加を許可する場合があります。

    Education/PreventAddingNewPrinters CSP

プライバシー

これらの設定では、サポートされている Windows エディションも一覧表示するプライバシー ポリシー CSP を使用します。

  • プライバシー エクスペリエンス: [ブロック] は、ユーザーがサインインしたときにプライバシー エクスペリエンスが開かないようにし、新規およびアップグレードされたユーザーが開くことを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    Privacy/DisablePrivacyExperience

  • 入力のカスタマイズ: [ブロック] は、ディクテーションに音声を使用したり、Microsoft クラウドベースの音声認識を使用する Cortana やその他のアプリと通信したりすることを防ぎます。 これは無効になっており、ユーザーは設定を使用してオンライン音声認識を有効にすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザーに選択を許可する場合があります。 これらのサービスを許可すると、Microsoft はサービスを改善するために音声データを収集する場合があります。

    Privacy/AllowInputPersonalization CSP

  • ペアリングとプライバシーのユーザー同意プロンプトの自動受け入れ: [許可] を選択すると、Windows がアプリの実行時にペアリングとプライバシーの同意メッセージを自動的に受け入れることができます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は自動受け入れを妨げる場合があります。

    Privacy/AllowAutoAcceptPairingAndPrivacyConsentPrompts CSP

  • ユーザー アクティビティの公開: [ブロック] は、アプリと OS がユーザー アクティビティを公開できないようにします。 また、アクティビティ フィードで最近使用されたリソースの共有エクスペリエンスや検出を防ぎます。 ユーザー アクティビティは、アプリまたは OS でのユーザーのタスクの状態を追跡します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこの機能を有効にして、アプリがユーザー アクティビティを公開できるようにする場合があります。

    Privacy/PublishUserActivities CSP

  • ローカル アクティビティのみ: [ブロック] は、ローカル アクティビティのみに基づいて、タスク スイッチャーで共有エクスペリエンスと最近使用されたリソースの検出を防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

デバイス上のすべてのアプリがアクセスできる情報を構成できます。 また、[アプリごとのプライバシー例外] を使用して、アプリごとに例外を定義します。

例外

  • アカウント情報: このアプリがユーザー名、画像、その他の連絡先情報にアクセスできるかどうかを定義します。
  • バックグラウンド アプリ: このアプリをバックグラウンドで実行できるかどうかを定義します。
  • 予定表: このアプリが予定表にアクセスできるかどうかを定義します。
  • 通話履歴: このアプリが自分の通話履歴にアクセスできるかどうかを定義します。
  • カメラ: このアプリがカメラにアクセスできるかどうかを定義します。
  • 連絡先: このアプリが連絡先にアクセスできるかどうかを定義します。
  • メール: このアプリがメールにアクセスして送信できるかどうかを定義します。
  • 場所: このアプリが場所情報にアクセスできるかどうかを定義します。
  • メッセージング: このアプリがテキストまたは MMS メッセージを読み取ったり送信したりできるかどうかを定義します。
  • マイク: このアプリがマイクを使用できるかどうかを定義します。
  • モーション: このアプリがデバイスのモーション情報にアクセスできるかどうかを定義します。
  • 通知: このアプリが通知にアクセスできるかどうかを定義します。
  • 電話: このアプリが電話にアクセスできるかどうかを定義します。
  • 無線: 一部のアプリは、デバイスで無線 (Bluetooth など) を使用してデータを送受信し、これらの無線をオンまたはオフにする必要があります。 このアプリがこれらの無線を制御できるかどうかを定義します。
  • タスク: このアプリがタスクにアクセスできるかどうかを定義します。
  • 信頼できるデバイス: このアプリが信頼できるデバイスを使用できるかどうかを選択します。 信頼できるデバイスとは、既に接続しているハードウェア、またはデバイスに付属しているハードウェアです。 たとえば、信頼できるデバイスとして、テレビやプロジェクターなどを使用します。
  • フィードバックと診断: このアプリが診断情報にアクセスできるかどうかを選択します。
  • デバイスとの同期 - このアプリが、この PC、タブレット、またはスマートフォンと明示的にペアリングしていないワイヤレス デバイスと情報を自動的に共有および同期できるかどうかを定義します。

プロジェクション

これらの設定では、サポートされている Windows エディションも一覧表示する WirelessDisplay ポリシー CSP を使用します。

  • ワイヤレス ディスプレイ レシーバーからのユーザーによる入力: [ブロック] は、ワイヤレス ディスプレイ レシーバーからのユーザーによる入力を防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は、ワイヤレス ディスプレイがキーボード、マウス、ペン、およびタッチ入力をソース デバイスに送り返すことを許可する場合があります。

    WirelessDisplay/AllowUserInputFromWirelessDisplayReceiver CSP

  • この PC へのプロジェクション: [ブロック] は、他のデバイスがプロジェクションするデバイスを見つけるのを防ぎ、他のデバイスへのプロジェクションを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はデバイスを検出可能にし、ロック画面上のデバイスにプロジェクトできる場合があります。

    WirelessDisplay/AllowProjectionFromPC CSP

  • ペアリングに PIN を要求する: [必須] は、プロジェクション デバイスに接続するときに常に PIN の入力を求めます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はデバイスをペアリングするために PIN を要求しない場合があります。

    WirelessDisplay/RequirePinForPairing CSP

レポートとテレメトリ

Windows テレメトリの最近の変更については、「Windows 診断データ収集の変更」を参照してください。

  • 使用状況データの共有: 送信する診断データのレベルを選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 設定は強制されません。 ユーザーは送信するレベルを選択します。 既定では、OS はデータを共有しない場合があります。
    • 診断データ オフ: (推奨されません)。 この設定の詳細については、CSP System/AllowTelemetry を確認してください。
    • 必須: デバイスを安全で最新の状態に保つために、品質関連データ、アプリの互換性、およびその他の同様のデータを含む、基本的なデバイス情報を送信します。
    • 拡張 (1903 以前): Windows、Windows Server、System Center、およびアプリの使用方法、パフォーマンス、高度な信頼性データ、[必須] レベルのデータなど、追加の分析情報。 このオプションを Windows 1909 以降を実行しているデバイスに展開すると、デバイスは [必須] に設定されます。
    • オプション: 問題の特定と修正に必要なすべてのデータに加えて、[必須] および [拡張] レベルのデータ。

    System/AllowTelemetry CSP

  • Microsoft Edge 閲覧データを Microsoft 365 Analytics に送信する: この機能を使用するには、[使用状況データの共有] 設定を [拡張] または [完全] に設定します。 この機能は、構成された商用 ID を持つエンタープライズ デバイス用に Microsoft Edge が Microsoft 365 Analytics に送信するデータを制御します。 次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 既定では、OS は閲覧履歴データを収集または送信しない場合があります。
    • イントラネット データのみを送信する: 管理者がイントラネット データの履歴を送信できるようにします。
    • インターネット データのみを送信する: 管理者がインターネット データの履歴を送信できるようにします。
    • イントラネットおよびインターネット データの送信: 管理者がイントラネットおよびインターネット データの履歴を送信できるようにします。

    Browser/ConfigureTelemetryForMicrosoft365Analytics CSP

  • テレメトリ プロキシ サーバー: プロキシ サーバーの完全修飾ドメイン名 (FQDN) または IP アドレスを入力して、Secure Sockets Layer (SSL) 接続を使用して、接続されたユーザー エクスペリエンスとテレメトリ要求を転送します。 この設定の形式は server:port です。 名前付きプロキシに障害が発生した場合、またはプロキシが入力されていない場合、接続されたユーザー エクスペリエンスとテレメトリ データは送信されません。 ローカル デバイスに残ります。

    値を入力しない場合、Intune はこの設定を変更または更新しません。 既定では、OS は既定のプロキシ構成を使用して接続されたユーザー エクスペリエンスとテレメトリ データを Microsoft に送信する場合があります。

    フォーマットの例:

    IPv4: 192.246.246.106:100
    IPv6: [2001:4898:4010:4013:95c1:a8b2:953c:c633]:100
    FQDN: www.contoso.com:345
    

    System/TelemetryProxy CSP

これらの設定では、サポートされている Windows エディションも一覧表示する検索ポリシー CSP を使用します。

  • セーフ サーチ (モバイルのみ): Cortana が検索結果のアダルト コンテンツをフィルター処理する方法を制御します。 次のようなオプションがあります。

    • ユーザー定義: Intune では、この設定は変更または更新されません。 設定は強制されません。 ユーザーは独自の設定を選択します。
    • : アダルト コンテンツに対する最も高度なフィルター処理
    • : アダルト コンテンツに対する中程度のフィルター処理。 有効な検索結果はフィルター処理されません。
  • 検索での Web 結果の表示: [ブロック] により、ユーザーは Windows Search を使用してインターネットを検索できなくなり、Web 結果は Search に表示されません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザーが Web を検索するのを許可する場合があり、結果はデバイスに表示されます。

  • 発音区別符号: [ブロック] は、発音区別符号が Windows Search に表示されないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は発音区別符号を表示する場合があります。

    Search/AllowUsingDiacritics CSP

  • 自動言語検出: [ブロック] は、コンテンツまたはプロパティのインデックスを作成するときに Windows Search が言語を自動的に検出しないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこの機能を許可する場合があります。

    Search/AlwaysUseAutoLangDetection CSP

  • 検索場所: [ブロック] は、Windows Search が場所を使用できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこの機能を許可する場合があります。

    Search/AllowSearchToUseLocation CSP

  • インデクサー バックオフ: [ブロック] は、検索インデクサー バックオフ機能を無効にします。 システム アクティビティが高い場合でも、インデックス作成はフル スピードで続行されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は、システム アクティビティが高いときに、バックオフ ロジックを使用してインデックス作成アクティビティを抑制する場合があります。

    Search/DisableBackoff CSP

  • リムーバブル ドライブのインデックス作成: [ブロック] は、リムーバブル ドライブ上の場所がライブラリに追加されたり、インデックスが作成されたりするのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこの機能を許可する場合があります。

    Search/DisableRemovableDriveIndexing CSP

  • 低ディスク領域のインデックス作成: [有効] にすると、ディスク領域が少ない場合でも自動インデックス作成が可能になります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、ハード ディスク領域が 600 MB 以下の場合、OS は自動インデックス作成をオフにする場合があります。 組織内のデバイスのハード ドライブ空間が限られている場合は、[未構成] に設定します。

    Search/PreventIndexingLowDiskSpaceMB CSP

  • リモート クエリ: [有効] にすると、デバイスのインデックスのリモート クエリが可能になります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS により、ユーザーがデバイスのインデックスをリモートでクエリできない場合があります。

    Search/PreventRemoteQueries CSP

開始

これらの設定では、サポートされている Windows エディションも一覧表示するスタート ポリシー CSP を使用します。

注意

カスタマイズされたスタート画面とタスク バーの操作環境を提供する管理機能は、現在 Windows 11 で制限されています。 詳細については、「Windows 11 スタート メニューでサポートされる構成サービス プロバイダー (CSP) ポリシー」を参照してください。

  • スタート メニューのレイアウト: アプリがリストされている順序など、カスタマイズを含む XML ファイルをアップロードします。 XML ファイルは、既定のスタート レイアウトを上書きします。 ユーザーは、入力したスタート メニューのレイアウトを変更することはできません。

    [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    Start/StartLayout CSP

  • スタート メニューのタイルに Web サイトをピン留めする: Microsoft Edge から画像をインポートします。 これらの画像は、デスクトップ デバイスの Windows スタート メニューにリンクとして表示されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    Start/ImportEdgeAssets CSP

  • タスク バーからアプリのピン留めを外す: [ブロック] は、ユーザーがタスク バーからアプリのピン留めを外すことができないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は、ユーザーがタスク バーからアプリのピン留めを外すことを許可する場合があります。

    Start/NoPinningToTaskbar CSP

  • 高速ユーザー切り替え: [ブロック] は、ログオフせずに同時にログオンしているユーザー間の切り替えを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザー タイルに 切り替えユーザー を表示する場合があります。

    Start/HideSwitchAccount CSP

  • 最も使用されているアプリ: [ブロック] は、最も使用されているアプリがスタート メニューに表示されないようにします。 また、設定アプリで対応するトグルを無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は最も使用されているアプリを表示する場合があります。

    Start/HideFrequentlyUsedApps CSP

  • 最近追加されたアプリ: [ブロック] は、スタート メニューで最近追加されたアプリを非表示にします。 また、設定アプリで対応するトグルを無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は最近追加されたアプリをスタート メニューに表示する場合があります。

    Start/HideRecentlyAddedApps CSP

  • スタート画面モード: スタート画面のサイズを選択します。 次のようなオプションがあります。

    • ユーザー定義: Intune では、この設定は変更または更新されません。 設定は強制されません。 ユーザーはサイズを設定できます。
    • 全画面表示: 全画面表示サイズの開始を強制します。
    • 全画面表示以外: 全画面表示以外のサイズの開始を強制します。

    Start/ForceStartSize CSP

  • ジャンプ リストで最近開いたアイテム: [ブロック] は、最近のジャンプ リストがスタート メニューとタスク バーに表示されないようにします。 また、設定アプリで対応するトグルを無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はジャンプ リストに最近開いたアイテムを表示する場合があります。

    Start/HideRecentJumplists CSP

  • アプリ リスト: すべてのアプリ リストの表示方法を選択します。 次のようなオプションがあります。

    • ユーザー定義: Intune では、この設定は変更または更新されません。 設定は強制されません。 ユーザーは、アプリ リストの表示方法を選択します。
    • 折りたたみ: すべてのアプリ リストを非表示にします。
    • 設定アプリを折りたたんで無効にする: すべてのアプリ リストを非表示にし、設定アプリの [スタート メニューでアプリ リストを表示] を無効にします。
    • 設定アプリを削除して無効にする: すべてのアプリ リストを非表示にし、[すべてのアプリ] ボタンを削除し、設定アプリの [スタート メニューでアプリ リストを表示] を無効にします。

    Start/HideAppList CSP

  • 電源ボタン: [ブロック] は、スタート メニューの電源ボタンを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は電源ボタンを表示する場合があります。

    Start/HidePowerButton CSP

  • ユーザー タイル: [ブロック] は、スタート メニューのユーザー タイルを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザー タイルを表示する場合があります。 以下の設定を構成します。

    • ロック: [ブロック] は、スタート メニューのユーザー タイルの [ロック] オプションを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は [ロック] オプションを表示する場合があります。
    • サインアウト: [ブロック] は、スタート メニューのユーザー タイルの [サインアウト] オプションを非表示にします。 [未構成] (既定) は、[サインアウト] オプションを表示します。

    Start/HideUserTile CSP

  • シャットダウン: [ブロック] は、スタート メニューの電源ボタンの [更新とシャットダウン] および [シャットダウン] オプションを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    Start/HideShutDown CSP

  • スリープ: [ブロック] は、スタート メニューの電源ボタンの [スリープ] オプションを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    Start/HideSleep CSP

  • 休止状態: [ブロック] は、スタート メニューの電源ボタンの [休止状態] オプションを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    Start/HideHibernate CSP

  • アカウントの切り替え: [ブロック] は、スタート メニューのユーザー タイルで [アカウントの切り替え] を非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    Start/HideSwitchAccount CSP

  • 再起動オプション: [ブロック] は、スタート メニューの電源ボタンの [更新と再起動] および [再起動] オプションを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

    Start/HideRestart CSP

  • スタート時のドキュメント: Windows のスタート メニューで [ドキュメント] フォルダーを表示または非表示にします。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 設定は強制されません。 ユーザーはショートカットの表示または非表示を選択します。
    • 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
    • 表示: ショートカットが表示され、設定アプリで設定が無効になります。

    Start/AllowPinnedFolderDocuments CSP

  • スタート時のダウンロード: Windows のスタート メニューで [ダウンロード] フォルダーを表示または非表示にします。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 設定は強制されません。 ユーザーはショートカットの表示または非表示を選択します。
    • 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
    • 表示: ショートカットが表示され、設定アプリで設定が無効になります。

    Start/AllowPinnedFolderDownloads CSP

  • スタート時のエクスプローラー: Windows のスタート メニューでエクスプローラーを表示または非表示にします。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 設定は強制されません。 ユーザーはショートカットの表示または非表示を選択します。
    • 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
    • 表示: ショートカットが表示され、設定アプリで設定が無効になります。

    Start/AllowPinnedFolderFileExplorer CSP

  • スタート時のホームグループ: Windows のスタート メニューで [ホームグループ] ショートカットを表示または非表示にします。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 設定は強制されません。 ユーザーはショートカットの表示または非表示を選択します。
    • 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
    • 表示: ショートカットが表示され、設定アプリで設定が無効になります。

    Start/AllowPinnedFolderHomeGroup CSP

  • スタート時のミュージック: Windows のスタート メニューで [ミュージック] フォルダーを表示または非表示にします。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 設定は強制されません。 ユーザーはショートカットの表示または非表示を選択します。
    • 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
    • 表示: ショートカットが表示され、設定アプリで設定が無効になります。

    Start/AllowPinnedFolderMusic CSP

  • スタート時のネットワーク: Windows のスタート メニューで [ネットワーク] を表示または非表示にします。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 設定は強制されません。 ユーザーはショートカットの表示または非表示を選択します。
    • 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
    • 表示: ショートカットが表示され、設定アプリで設定が無効になります。

    Start/AllowPinnedFolderNetwork CSP

  • スタート時の個人用フォルダー: Windows のスタート メニューで個人用フォルダーを表示または非表示にします。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 設定は強制されません。 ユーザーはショートカットの表示または非表示を選択します。
    • 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
    • 表示: ショートカットが表示され、設定アプリで設定が無効になります。

    Start/AllowPinnedFolderPersonalFolder CSP

  • スタート時の画像: Windows のスタート メニューで画像のフォルダーを表示または非表示にします。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 設定は強制されません。 ユーザーはショートカットの表示または非表示を選択します。
    • 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
    • 表示: ショートカットが表示され、設定アプリで設定が無効になります。

    Start/AllowPinnedFolderPictures CSP

  • スタート時の設定: Windows のスタート メニューで [設定] ショートカットを表示または非表示にします。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 設定は強制されません。 ユーザーはショートカットの表示または非表示を選択します。
    • 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
    • 表示: ショートカットが表示され、設定アプリで設定が無効になります。

    Start/AllowPinnedFolderSettings CSP

  • スタート時のビデオ: Windows のスタート メニューでビデオのフォルダーを表示または非表示にします。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 設定は強制されません。 ユーザーはショートカットの表示または非表示を選択します。
    • 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
    • 表示: ショートカットが表示され、設定アプリで設定が無効になります。

    Start/AllowPinnedFolderVideos CSP

Microsoft Defender SmartScreen

  • Microsoft Edge の SmartScree: [必須] は Microsoft Defender SmartScreen をオンにし、ユーザーがオフにできないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は SmartScreen をオンにし、ユーザーが SmartScreen をオンまたはオフにできるようにする場合があります。

    Microsoft Edge は、Microsoft Defender SmartScreen (オン) を使用して、潜在的なフィッシング詐欺や悪意のあるソフトウェアからユーザーを保護します。

    Browser/AllowSmartScreen CSP

  • 悪意のあるサイト アクセス: [ブロック] は、ユーザーが Microsoft Defender SmartScreen フィルターの警告を無視することを防ぎ、ユーザーがサイトにアクセスすることをブロックします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザーが警告を無視して、サイトに進むことを許可する場合があります。

    Browser/PreventSmartScreenPromptOverride CSP

  • 未確認ファイルのダウンロード: [ブロック] は、ユーザーが Microsoft Defender SmartScreen フィルターの警告を無視することを防ぎ、未確認ファイルのダウンロードをブロックします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザーが警告を無視して、未確認ファイルをダウンロードし続けることを許可する場合があります。

    Browser/PreventSmartScreenPromptOverrideForFiles CSP

Windows スポットライト

これらの設定では、サポートされている Windows エディションも一覧表示するエクスペリエンス ポリシー CSP を使用します。

  • Windows スポットライト: [ブロック] は、ロック画面の Windows スポットライト、Windows のヒント、Microsoft コンシューマー機能、およびその他の関連機能をオフにします。 デバイスからのネットワーク トラフィックを最小限に抑えることが目標の場合は、[はい] を選択します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は Windows スポットライト機能を許可し、ユーザーによって制御される場合があります。

    Experience/AllowWindowsSpotlight CSP

    [未構成] に設定すると、次の設定を許可またはブロックすることもできます。

    • ロック画面の Windows スポットライト: [ブロック] は、Windows スポットライトがデバイスのロック画面に情報を表示しないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はロック画面に Windows スポットライト情報を表示する場合があります。

      Experience/ConfigureWindowsSpotlightOnLockScreen CSP

    • Windows スポットライトでのサードパーティの提案: [ブロック] は、Windows スポットライトが Microsoft によって公開されていないコンテンツを提案するのを停止します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はパートナーからのアプリとコンテンツの提案を許可し、スタート メニューと Windows のヒントに提案されたアプリを表示する場合があります。

      Experience/AllowThirdPartySuggestionsInWindowsSpotlight CSP

    • コンシューマー機能: [ブロック] は、開始の提案、メンバーシップ通知、アウトオブボックス エクスペリエンス アプリのインストール、タイルのリダイレクトなど、通常はコンシューマー向けのエクスペリエンスをオフにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

      Experience/AllowWindowsConsumerFeatures CSP

    • Windows のヒント: [ブロック] はポップアップの Windows のヒントを無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は Windows のヒントを表示することを許可する場合があります。

      Experience/AllowWindowsTips CSP

    • アクション センターの Windows スポットライト: [ブロック] は、Windows スポットライト通知がアクション センターに表示されないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は、ユーザーが Windows でより生産的になるのに役立つアプリまたは機能を提案する通知をアクション センターに表示する場合があります。

      Experience/AllowWindowsSpotlightOnActionCenter CSP

    • Windows スポットライトのカスタマイズ: [ブロック] は、Windows が診断データを使用してユーザーにカスタマイズされたエクスペリエンスを提供することを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は、Microsoft が診断データを使用して、ユーザーのニーズに合わせて Windows を調整するためのパーソナライズされた推奨事項、ヒント、およびオファーを提供することを許可する場合があります。

      Experience/AllowTailoredExperiencesWithDiagnosticData CSP

    • Windows ウェルカム エクスペリエンス: [ブロック] は、Windows スポットライト Windows ウェルカム エクスペリエンス機能をオフにします。 Windows とそのアプリに更新や変更があった場合、Windows ウェルカム エクスペリエンスは表示されません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は、新機能または更新された機能に関する情報をユーザーに表示する Windows ウェルカム エクスペリエンスを許可する場合があります。

      Experience/AllowWindowsSpotlightWindowsWelcomeExperience CSP

Microsoft Defender ウイルス対策

これらの設定では、サポートされている Windows エディションも一覧表示する防御側ポリシー CSP を使用します。

  • リアルタイム監視: [有効] は、マルウェア、スパイウェア、およびその他の不要なソフトウェアのリアルタイム スキャンをオンにします。 ユーザーはそれをオフにすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこの機能をオンにし、ユーザーが変更できるようにします。

    この設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

    Intune はこの機能をオフにしません。 無効にするには、カスタム URI を使用します。

    Defender/AllowRealtimeMonitoring CSP

  • 動作の監視: [有効] は動作の監視をオンにし、デバイス上の疑わしいアクティビティの特定の既知のパターンをチェックします。 ユーザーは動作の監視をオフにすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は動作の監視をオンにし、ユーザーがそれを変更できるようにする場合があります。

    設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

    Intune はこの機能をオフにしません。 無効にするには、カスタム URI を使用します。

    Defender/AllowBehaviorMonitoring CSP

  • ネットワーク検査システム (NIS): NIS は、ネットワークベースの悪用からデバイスを保護するのに役立ちます。 Microsoft Endpoint Protection Center から既知の脆弱性のシグネチャを使用して、悪意のあるトラフィックを検出およびブロックします。

    • 有効: ネットワーク保護とネットワーク ブロッキングをオンにします。 ユーザーはそれをオフにすることはできません。 有効にすると、ユーザーは既知の脆弱性への接続をブロックされます。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 既定では、OS は NIS をオンにし、ユーザーが変更できるようにします。

    設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

    Intune はこの機能をオフにしません。 無効にするには、カスタム URI を使用します。

    Defender/EnableNetworkProtection CSP

  • すべてのダウンロードをスキャン: [有効] はこの設定をオンにし、Defender はインターネットからダウンロードされたすべてのファイルをスキャンします。 ユーザーはこの設定をオフにすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこの設定をオンにし、ユーザーがそれを変更できるようにする場合があります。

    設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

    Intune はこの機能をオフにしません。 無効にするには、カスタム URI を使用します。

    Defender/AllowIOAVProtection CSP

  • Microsoft Web ブラウザーに読み込まれたスクリプトのスキャン: [有効] を使用すると、Defender は Internet Explorer で使用されるスクリプトをスキャンできます。 ユーザーはこの設定をオフにすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこの設定をオンにし、ユーザーがそれを変更できるようにする場合があります。

    設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

    Intune はこの機能をオフにしません。 無効にするには、カスタム URI を使用します。

    Defender/AllowScriptScanning CSP

  • Defender へのエンド ユーザー アクセス: [ブロック] は、Microsoft Defender ユーザー インターフェイスをユーザーから非表示にします。 すべての Microsoft Defender 通知も抑制されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はユーザーに Microsoft Defender UI へのアクセスを許可し、ユーザーがそれを変更できるようにする場合があります。

    設定をブロックしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

    Intune はこの機能をオフにしません。 無効にするには、カスタム URI を使用します。

    この設定を変更すると、次にデバイスを再起動したときに有効になります。

    Defender/AllowUserUIAccess CSP

  • セキュリティ インテリジェンスの更新間隔 (時間単位): Defender が新しいセキュリティ インテリジェンスをチェックする間隔を 0 - 24 で入力します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 オペレーティング システムの既定では、8 時間ごとに更新をチェックする場合があります。
    • チェックしない: Defender は新しいセキュリティ インテリジェンスの更新をチェックしません。
    • 1 - 24: 1 は 1 時間ごとにチェックし、2 は 2 時間ごとにチェックし、24 は毎日チェックするなどです。

    Defender/SignatureUpdateInterval CSP

  • ファイルとプログラムのアクティビティを監視する: Defender がデバイス上のファイルとプログラムのアクティビティを監視できるようにします。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 オペレーティング システムの既定では、すべてのファイルを監視する場合があります。
    • 監視が無効
    • すべてのファイルを監視する
    • 受信ファイルのみを監視する
    • 送信ファイルのみを監視する

    Defender/RealTimeScanDirection CSP

  • 検疫されたマルウェアを削除する前の日数: 入力した日数の間、解決されたマルウェアの追跡を継続して、以前に影響を受けたデバイスを手動で確認できるようにします。

    この設定を構成しない場合、または 0 日に設定しない場合、マルウェアは [検疫] フォルダーに残り、自動的に削除されません。 90 に設定すると、検疫アイテムはシステムに 90 日間保存され、その後削除されます。

    Defender/DaysToRetainCleanedMalware CSP

  • スキャン中の CPU 使用制限: スキャンで使用できる CPU の量を、0 から 100 パーセントまで制限します。 既定では、OS はそれを 50% に設定する場合があります。

  • アーカイブ ファイルのスキャン: [有効] は Defender をオンにして、Zip ファイルや Cab ファイルなどのアーカイブ ファイルをスキャンします。 ユーザーはこの設定をオフにすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこのスキャンをオンにし、ユーザーがそれを変更できるようにする場合があります。

    設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

    Intune はこの機能をオフにしません。 無効にするには、カスタム URI を使用します。

    Defender/AllowArchiveScanning CSP

  • 受信メール メッセージのスキャン: [有効] を使用すると、Defender はデバイスに到着したメール メッセージをスキャンできます。 有効にすると、エンジンはメールボックスとメール ファイルを解析して、メール本文と添付ファイルを分析します。 .pst (Outlook)、. dbx、.mbx、MIME (Outlook Express)、および BinHex (Mac) 形式をスキャンできます。

    [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこのスキャンをオフにし、ユーザーが変更できるようにします。

    設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

    Intune はこの機能をオフにしません。 無効にするには、カスタム URI を使用します。

    Defender/AllowEmailScanning CSP

  • フル スキャン中にリムーバブル ドライブをスキャン: [有効] は、フル スキャン中に Defender リムーバブル ドライブ スキャンをオンにします。 ユーザーはこの設定をオフにすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は Defender に USB スティックなどのリムーバブル ドライブをスキャンさせ、ユーザーがこの設定を変更できるようにする場合があります。

    設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

    クイック スキャン中に、リムーバブル ドライブがスキャンされる場合があります。

    Intune はこの機能をオフにしません。 無効にするには、カスタム URI を使用します。

    Defender/AllowFullScanRemovableDriveScanning CSP

  • フル スキャン中にマップされたネットワーク ドライブをスキャン: [有効] にすると、Defender はマップされたネットワーク ドライブでファイルをスキャンします。 ドライブ上のファイルが読み取り専用の場合、Defender はそれらのファイルで見つかったマルウェアを削除できません。 ユーザーはこの設定をオフにすることはできません。

    [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこの機能をオンにし、ユーザーが変更できるようにします。

    設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

    クイック スキャン中も、マップされたネットワーク ドライブがスキャンされる場合があります。

    Intune はこの機能をオフにしません。 無効にするには、カスタム URI を使用します。

    Defender/AllowFullScanOnMappedNetworkDrives CSP

  • ネットワーク フォルダーから開かれたファイルのスキャン: [有効] にすると、Defender は、UNC パスからアクセスされたファイルなど、ネットワーク フォルダーまたは共有ネットワーク ドライブから開かれたファイルをスキャンします。 ユーザーはこの設定をオフにすることはできません。 ドライブ上のファイルが読み取り専用の場合、Defender はそれらのファイルで見つかったマルウェアを削除できません。

    [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はネットワーク フォルダーから開かれたファイルをスキャンし、ユーザーがそれを変更できるようにします。

    設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

    Intune はこの機能をオフにしません。 無効にするには、カスタム URI を使用します。

    Defender/AllowScanningNetworkFiles CSP

  • クラウド保護: [有効] は、Microsoft Active Protection Service をオンにして、管理しているデバイスからマルウェア アクティビティに関する情報を受信します。 ユーザーはこの設定を変更できません。

    [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は Microsoft Active Protection Service が情報を受信することを許可し、ユーザーがこの設定を変更できるようにします。

    設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

    Intune はこの機能をオフにしません。 無効にするには、カスタム URI を使用します。

    Defender/AllowCloudProtection CSP

  • サンプル送信前にユーザーにプロンプトを表示する: さらに分析が必要になる場合がある潜在的に悪意のあるファイルを Microsoft に自動的に送信するかどうかを制御します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 オペレーティング システムの既定では、安全なサンプルが自動的に送信される場合があります。
    • 常にプロンプトを表示する
    • 個人データを送信する前にプロンプトを表示する
    • データを送信しない
    • プロンプトなしですべてのデータを送信する: データは自動的に送信されます。

    Defender/SubmitSamplesConsent CSP

  • 毎日のクイック スキャンを実行する時間: 毎日のクイック スキャンを実行する時間を選択します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこのスキャンを午前 2 時に実行する場合があります。

    さらにカスタマイズが必要な場合は、[実行するシステム スキャンの種類] 設定を構成します。

    Defender/ScheduleQuickScanTime CSP

  • 実行するシステム スキャンの種類: スキャンのレベル、スキャンを実行する日時など、システム スキャンをスケジュールします。 次のようなオプションがあります:

    • [未構成]: Intune では、この設定は変更または更新されません。 設定は強制されません。 ユーザーは、デバイス上で必要に応じて、手動でスキャンを実行できます。
    • 無効: デバイスでのシステム スキャンを無効にします。 デバイスをスキャンするパートナーのウイルス対策ソリューションを使用している場合は、このオプションを選択します。
    • クイック スキャン: レジストリ キーや既知の Windows スタートアップ フォルダーなど、マルウェアが登録されている可能性のある一般的な場所を調べます。
      • スケジュールされた日: スキャンを実行する日を選択します。
      • スケジュールされた時間: スキャンを実行する時間を選択します。
    • フル スキャン: マルウェアが登録されている可能性のある一般的な場所を調べ、デバイス上のすべてのファイルとフォルダーもスキャンします。
      • スケジュールされた日: スキャンを実行する日を選択します。
      • スケジュールされた時間: スキャンを実行する時間を選択します。

    ヒント

    この設定は、[毎日のクイック スキャンを実行する時間] 設定と競合する場合があります。 いくつかの推奨事項:

    • 毎日のクイック スキャンと毎週のフル スキャンをスケジュールする場合は、次のようにします:

      1. [毎日のクイック スキャンを実行する時間] 設定を構成します。
      2. フル スキャンを実行するには、[実行するシステム スキャンの種類] を構成します。
    • 毎日 1 回のクイック スキャンのみ (フル スキャンなし) が必要な場合は、[毎日のクイック スキャンを実行する時間] または [実行するシステム スキャンの種類] のいずれかの設定を使用します。 たとえば、毎週火曜日の午前 6 時にクイック スキャンを実行するには、[実行するシステム スキャンの種類] 設定を構成します。

    • [クイック スキャン] に設定された [実行するシステム スキャンの種類] と同時に [毎日のクイック スキャンを実行する時間] 設定を構成しないでください。 これらの設定が競合し、スキャンが実行されない場合があります。

    Defender/ScanParameter CSP
    Defender/ScheduleScanDay CSP
    Defender/ScheduleScanTime CSP

  • 不要な可能性のあるアプリケーションの検出: この機能は、不要な可能性のあるアプリケーション (PUA) を識別し、ネットワークにダウンロードしてインストールすることをブロックします。 これらのアプリケーションは、ウイルス、マルウェア、またはその他の種類の脅威とは見なされません。 ただし、パフォーマンスや使用に影響を与える場合のあるアクションをエンドポイントで実行できます。 Windows が PUA を検出するときの保護レベルを選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 既定では、Microsoft Defender はこの機能を無効にする場合があります。
    • オフ または 無効: PUA 保護がオフ。
    • 有効: Microsoft Defender が PUA を検出し、検出されたアイテムがブロックされます。 これらのアイテムは、他の脅威とともに履歴に表示されます。
    • 監査: Microsoft Defender は PUA を検出しますが、アクションを実行しません。 Microsoft Defender がアクションを実行するアプリケーションに関する情報を確認できます。 たとえば、イベント ビューアーで Microsoft Defender によって作成されたイベントを検索します。

    [エンドポイント セキュリティ] > [ウイルス対策] > [Microsoft Defender ウイルス対策] > [修復] では、この設定は [不要な可能性のあるアプリケーションに対して実行するアクション] と呼ばれます。

    不要な可能性のあるアプリの詳細については、「不要な可能性のあるアプリケーションの検出とブロック」を参照してください。

    Defender/PUAProtection CSP

  • サンプル送信の同意: 現在、この設定は影響を与えません。 この設定は使用しないでください。 将来のリリースで削除される可能性があります。

  • アクセス保護時: [ブロック] は、アクセスまたはダウンロードされたファイルのスキャンを防止します。 ユーザーはそれをオンにすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS はこの機能を有効にし、ユーザーが変更できるようにする場合があります。

    設定をブロックしてから [未構成] に戻すと、Intune は設定を以前に OS で構成された状態のままにします。

    Intune はこの機能をオンにしません。 有効にするには、カスタム URI を使用します。

    Defender/AllowOnAccessProtection CSP

  • 検出されたマルウェアの脅威に対するアクション: [有効] を選択して、検出した脅威レベル (低、中、高、および重大) ごとに Defender に実行させるアクションを選択します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 既定では、OS は Microsoft Defender に最適なオプションを選択させる場合があります。

    [有効] に設定されている場合は、アクションを選択します。

    • Clean
    • 検疫
    • Remove
    • 許可
    • ユーザー定義
    • Block

    アクションが不可能な場合、Microsoft Defender は、脅威を確実に修正するための最適なオプションを選択します。

    Defender/ThreatSeverityDefaultAction CSP

Microsoft Defender ウイルス対策の除外

除外リストを変更することにより、Microsoft Defender ウイルス対策スキャンから特定のファイルを除外できます。 通常、除外を適用する必要はありません。 Microsoft Defender ウイルス対策には、既知の OS の動作と、エンタープライズ管理、データベース管理、およびその他のエンタープライズ シナリオや状況で使用されるものなど、一般的な管理ファイルに基づく、多数の自動除外が含まれています。

警告

除外を定義すると、Microsoft Defender ウイルス対策によって提供される保護が低下します。 除外の実装に関連するリスクを常に評価してください。 悪意のないことがわかっているファイルのみを除外します。

  • スキャンとリアルタイム保護から除外するファイルとフォルダー: C:\Path%ProgramFiles%\Path\filename.exe などの 1 つ以上のファイルとフォルダーを除外リストに追加します。 これらのファイルとフォルダーは、リアルタイム スキャンまたはスケジュールされたスキャンには含まれません。
  • スキャンとリアルタイム保護から除外するファイル拡張子: jpgtxt などの 1 つ以上のファイル拡張子を除外リストに追加します。 これらの拡張子を持つファイルは、リアルタイム スキャンまたはスケジュールされたスキャンには含まれません。
  • スキャンとリアルタイム保護から除外するプロセス: 種類 .exe.com、または .scr の 1 つ以上のプロセスを除外リストに追加します。 これらのプロセスは、リアルタイム スキャンまたはスケジュールされたスキャンには含まれません。

電源設定

これらの設定では、サポートされている Windows エディションも一覧表示する電源ポリシー CSP を使用します。

バッテリー

  • エナジー セーバーをオンにするバッテリー レベル: デバイスがバッテリー電源を使用している場合は、エナジー セーバーをオンにするのにバッテリー充電レベル、0 - 100 を入力します。 バッテリー充電レベルを示すパーセンテージ値を入力します。 たとえば、80 に設定すると、バッテリーの充電量が 80% 以下になると、エナジー セーバーがオンになります。

    値を入力しない場合、Intune はこの設定を変更または更新しません。 既定では、OS はそれを 70% に設定する場合があります。

    Power/EnergySaverBatteryThresholdOnBattery CSP

  • ふたを閉じる (モバイルのみ): デバイスがバッテリー電源を使用している場合、ふたを閉じたときに起こることを選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 既定では、OS はユーザーがこの設定を制御できるようにする場合があります。
    • アクションなし: デバイスはオンのままで、バッテリー電源を使用し続けます。
    • スリープ: デバイスはスリープ モードになり、少量のバッテリー充電を使用します。 コンピューターはまだオンになっており、開いているアプリとファイルはランダム アクセス メモリ (RAM) に保存されます。
    • 休止状態: デバイスは休止状態モードになります。 開いているアプリやファイルはハード ディスクに保存され、デバイスの電源がオフになります。
    • シャットダウン: デバイスがシャットダウンします。 開いているアプリやファイルは保存せずに閉じます。

    Power/SelectLidCloseActionOnBattery CSP

  • 電源ボタン: デバイスがバッテリー電源を使用している場合、電源ボタンが選択されたときに起こることを選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 既定では、OS はユーザーがこの設定を制御できるようにする場合があります。
    • アクションなし: デバイスはオンのままで、バッテリー電源を使用し続けます。
    • スリープ: デバイスはスリープ モードになり、少量のバッテリー充電を使用します。 コンピューターはまだオンになっており、開いているアプリとファイルはランダム アクセス メモリ (RAM) に保存されます。
    • 休止状態: デバイスは休止状態モードになります。 開いているアプリやファイルはハード ディスクに保存され、デバイスの電源がオフになります。
    • シャットダウン: デバイスがシャットダウンします。 開いているアプリやファイルは保存せずに閉じます。

    Power/SelectPowerButtonActionOnBattery CSP

  • スリープ ボタン: デバイスがバッテリー電源を使用している場合、スリープ ボタンが選択されたときに起こることを選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 既定では、OS はユーザーがこの設定を制御できるようにする場合があります。
    • アクションなし: デバイスはオンのままで、バッテリー電源を使用し続けます。
    • スリープ: デバイスはスリープ モードになり、少量のバッテリー充電を使用します。 コンピューターはまだオンになっており、開いているアプリとファイルはランダム アクセス メモリ (RAM) に保存されます。
    • 休止状態: デバイスは休止状態モードになります。 開いているアプリやファイルはハード ディスクに保存され、デバイスの電源がオフになります。
    • シャットダウン: デバイスがシャットダウンします。 開いているアプリやファイルは保存せずに閉じます。

    Power/SelectSleepButtonActionOnBattery CSP

  • ハイブリッド スリープ: デバイスがバッテリー電源を使用している場合、ハイブリッド スリープ モードを許可するか無効にするかを選択します。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 既定では、OS はユーザーがこの設定を制御できるようにする場合があります。
    • 有効: デバイスはハイブリッド スリープ モードに入ることができます。 開いているアプリとファイルは、ランダム アクセス メモリ (RAM) とハード ディスクに保存されます。 少量のバッテリー充電を使用します。
    • 無効: デバイスがハイブリッド スリープ モードに入らないようにします。

    Power/TurnOffHybridSleepOnBattery CSP

PluggedIn

  • エナジー セーバーをオンにするバッテリー レベル: デバイスが接続されているときに、エナジー セーバーをオンにするのにバッテリー充電レベル、0 - 100 を入力します。 バッテリー充電レベルを示すパーセンテージ値を入力します。 たとえば、80 に設定すると、バッテリーの充電量が 80% 以下になると、エナジー セーバーがオンになります。

    値を入力しない場合、Intune はこの設定を変更または更新しません。 既定では、OS はそれを 70% に設定する場合があります。

    Power/EnergySaverBatteryThresholdPluggedIn CSP

  • ふたを閉じる (モバイルのみ): デバイスが接続されている場合、ふたを閉じたときに起こることを選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。

    • アクションなし: デバイスはオンのままです。

    • スリープ: デバイスはスリープ モードになります。 コンピューターはまだオンになっており、開いているアプリとファイルはランダム アクセス メモリ (RAM) に保存されます。

    • 休止状態: デバイスは休止状態モードになります。 開いているアプリやファイルはハード ディスクに保存され、デバイスの電源がオフになります。

    • シャットダウン: デバイスがシャットダウンします。 開いているアプリやファイルは保存せずに閉じます。

      Power/SelectLidCloseActionPluggedIn CSP

  • 電源ボタン: デバイスが接続されている場合、電源ボタンが選択されたときに起こることを選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。
    • アクションなし: デバイスはオンのままです。
    • スリープ: デバイスはスリープ モードになります。 コンピューターはまだオンになっており、開いているアプリとファイルはランダム アクセス メモリ (RAM) に保存されます。
    • 休止状態: デバイスは休止状態モードになります。 開いているアプリやファイルはハード ディスクに保存され、デバイスの電源がオフになります。
    • シャットダウン: デバイスがシャットダウンします。 開いているアプリやファイルは保存せずに閉じます。

    Power/SelectPowerButtonActionPluggedIn CSP

  • スリープ ボタン: デバイスが接続されている場合、スリープ ボタンが選択されたときに起こることを選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。
    • アクションなし: デバイスはオンのままです。
    • スリープ: デバイスはスリープ モードになります。 コンピューターはまだオンになっており、開いているアプリとファイルはランダム アクセス メモリ (RAM) に保存されます。
    • 休止状態: デバイスは休止状態モードになります。 開いているアプリやファイルはハード ディスクに保存され、デバイスの電源がオフになります。
    • シャットダウン: デバイスがシャットダウンします。 開いているアプリやファイルは保存せずに閉じます。

    Power/SelectSleepButtonActionPluggedIn CSP

  • ハイブリッド スリープ: デバイスが接続されている場合、ハイブリッド スリープ モードを許可するか無効にするかを選択します。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。 既定では、OS はユーザーがこの設定を制御できるようにする場合があります。
    • 有効: デバイスはハイブリッド スリープ モードに入ることができます。 開いているアプリとファイルは、ランダム アクセス メモリ (RAM) とハード ディスクに保存されます。
    • 無効: デバイスがハイブリッド スリープ モードに入らないようにします。

    Power/TurnOffHybridSleepPluggedIn CSP

次の手順

各設定の技術的な詳細とサポートされている Windows のエディションについては、「Windows 10/11 ポリシー CSP リファレンス」を参照してください

プロファイルを割り当てその状態を監視する