割り当てられたアクセスとは

• 適用対象:

  ✅ Windows 11, ✅ Windows 10

割り当てアクセスは、キオスクまたは制限されたユーザー エクスペリエンスでデバイスを構成するために使用できる Windows 機能です。

キオスク エクスペリエンスを構成すると、ロック画面の上にある 1 つのユニバーサル Windows プラットフォーム (UWP) アプリケーションまたは Microsoft Edge が全画面表示で実行されます。 ユーザーはそのアプリケーションのみを使用できます。 キオスク アプリが閉じられた場合、自動的に再起動します。 実用的な例を次に示します。

• パブリック ブラウジング
• 対話型デジタル サイネージ

制限付きユーザー エクスペリエンスを構成する場合、ユーザーは、カスタマイズされた [スタート] メニューとタスク バーを使用して、定義されたアプリケーションの一覧のみを実行できます。 さまざまなポリシー設定と AppLocker 規則が適用され、ロックダウン エクスペリエンスが作成されます。 ユーザーは、使い慣れた Windows デスクトップにアクセスしながら、アクセスを制限し、気を散らし、不注意による使用の可能性を減らすことができます。 共有デバイスに最適で、ユーザーごとに異なる構成を作成できます。 実用的な例を次に示します。

• 現場担当者デバイス
• 学生用デバイス
• ラボ デバイス

注

制限付きユーザー エクスペリエンスを構成すると、デバイスに異なるポリシー設定が適用されます。 一部のポリシー設定は標準ユーザーにのみ適用され、一部は管理者アカウントにも適用されます。 詳細については、「 割り当てられたアクセス ポリシー設定」を参照してください。

要件

割り当てられたアクセスの要件を次に示します。

• キオスク エクスペリエンスを使用するには、 ユーザー アカウント制御 (UAC) を有効にする必要があります
• キオスク エクスペリエンスを使用するには、コンソールからサインインする必要があります。 キオスク エクスペリエンスは、リモート デスクトップ接続ではサポートされていません

Windows エディションとライセンスに関する要件

次の表に、割り当て済みアクセスをサポートする Windows エディションを示します。

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
はい	はい	はい	はい

割り当てられたアクセス ライセンスの権利は、次のライセンスによって付与されます。

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
はい	はい	はい	はい	はい

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

キオスク エクスペリエンスを構成する

キオスク エクスペリエンスを構成するには、いくつかのオプションがあります。 ローカル アカウントで 1 つのデバイスを構成する必要がある場合は、次を使用できます。

• PowerShell: PowerShell コマンドレットを Set-AssignedAccess 使用して、ローカル標準アカウントを使用してキオスク エクスペリエンスを構成できます
• 設定: ローカル標準ユーザー アカウントを使用して単一のデバイスを構成する簡単な方法が必要な場合は、このオプションを使用します

高度なカスタマイズの場合は、 割り当てられたアクセス CSP を使用してキオスク エクスペリエンスを構成できます。 CSP を使用すると、キオスク アプリ、ユーザー アカウント、キオスク アプリの動作を構成できます。 CSP を使用する場合は、キオスク アプリとユーザー アカウントを指定する XML 構成ファイルを作成する必要があります。 XML ファイルは、次のいずれかのオプションを使用してデバイスに適用されます。

• Microsoft Intuneなどのモバイル デバイス管理 (MDM) ソリューション
• プロビジョニング パッケージ
• MDM ブリッジ WMI プロバイダーを使用した PowerShell

シェル 起動ツール XML ファイルを構成する方法については、「 割り当てられたアクセス構成ファイルを作成する」を参照してください。

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intune/CSP

AssignedAccess CSP でカスタム ポリシーを使用してデバイスを構成できます。

• 設定：./Vendor/MSFT/AssignedAccess/Configuration
• 値: XML 構成ファイルの内容

構成するデバイスをメンバーとして含むグループにポリシーを割り当てます。

PPKG

プロビジョニング パッケージを作成するには、次の設定を使用します。

• パス：AssignedAccess/AssignedAccessSettings
• 値： アプリの AUMID を使用して、割り当てられたアクセスに使用するアカウントとアプリケーションを入力します。 例:
  • {"Account":"domain\user", "AUMID":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"}

プロビジョニング パッケージを 構成するデバイスに適用します。

PowerShell

Windows PowerShellを使用してデバイスを構成するには:

1. 管理者としてサインインする

2. 割り当て済みアクセスのユーザー アカウントを作成する

3. 割り当て済みアクセス ユーザー アカウントとしてサインインする

4. 必要な UWP アプリをインストールする

5. 割り当て済みアクセス ユーザー アカウントとしてサインアウトする

6. 管理者としてサインインし、管理者特権の PowerShell プロンプトから次のいずれかのコマンドを使用します。

   #Configure Assigned Access by AppUserModelID and user name
   Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
   
   #Configure Assigned Access by AppUserModelID and user SID
   Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
   
   #Configure Assigned Access by app name and user name
   Set-AssignedAccess -AppName <CustomApp> -UserName <username>
   
   #Configure Assigned Access by app name and user SID**:
   Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
   
   

注

を使用して割り当てアクセスを -AppName設定するには、割り当てられたアクセスに入力したユーザー アカウントが少なくとも 1 回サインインしている必要があります。

詳しくは、次のトピックをご覧ください。

• インストール済みアプリのアプリケーション ユーザー モデル ID の検索
• Set-AssignedAccess

PowerShell を使用して割り当てられたアクセスを削除するには、次のコマンドレットを実行します。

Clear-AssignedAccess

XML 構成ファイルを使用する高度なカスタマイズの場合は、 MDM Bridge WMI プロバイダーを使用して PowerShell スクリプトを使用できます。

重要

すべてのデバイス設定では、WMI Bridge クライアントを SYSTEM (LocalSystem) アカウントとして実行する必要があります。

PowerShell スクリプトをテストするには、次の操作を行います。

1. psexec ツールをダウンロードする
2. 管理者特権のコマンド プロンプトを開き、次を実行します。 psexec.exe -i -s powershell.exe
3. PowerShell セッションでスクリプトを実行する

$shellLauncherConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Shell Launcher configuration"

詳細については、「 WMI ブリッジ プロバイダーで PowerShell スクリプトを使用する」を参照してください。

設定

設定アプリを使用してキオスクを構成する手順を次に示します。

1. 設定アプリを開き、デバイスをキオスクとして表示および構成します。 [設定>アカウント] [その他の>ユーザー] に移動するか、次のショートカットを使用します。

   その他のユーザー

2. [キオスクのセットアップ] で、[作業の開始] を選択します。

3. [アカウントの作成] ダイアログで、アカウント名を入力し、[次へ] を選択します。

   注

   ローカルの標準ユーザー アカウントが既にある場合は、[アカウントの作成] ダイアログで [既存のアカウントを選択する] オプションが表示されます

4. キオスク アカウントのサインイン時に実行するアプリケーションを選択します。 選択できるアプリの一覧には、ロック画面の上で実行できるアプリのみが表示されます。 キオスク アプリとして [Microsoft Edge ] を選択した場合は、次のオプションを構成します。

   • Microsoft Edge が Web サイトを全画面表示 (デジタル 署名) で表示するか、一部のブラウザー コントロールを使用できるか (パブリック ブラウザー)
   • キオスク アカウントがサインインするときに開く URL
   • 非アクティブな期間が経過した後に Microsoft Edge を再起動する場合 (パブリック ブラウザーとして実行することを選択した場合)

5. [閉じる] を選択します

デバイスが Active Directory ドメインまたはMicrosoft Entra IDに参加していない場合、キオスク アカウントの自動サインインが自動的に構成されます。

• キオスク アカウントが自動的にサインインし、デバイスの再起動時にキオスク アプリが起動する場合は、何もする必要はありません
• デバイスの再起動時にキオスク アカウントを自動的にサインインさせたくない場合は、デバイスをキオスクとして構成する前に、既定の設定を変更する必要があります。 キオスク アカウントとして使用するアカウントでサインインします。 [設定>アカウント]サインイン オプションを>開きます。 [ サインイン情報を使用して、更新後にデバイスの設定を自動的に完了する] または [再起動 ] 設定を [オフ] に設定します。 設定を変更した後、キオスク構成をデバイスに適用できます

ヒント

実際の例については、「 クイック スタート: 割り当てられたアクセスを使用してキオスクを構成する」を参照してください。

制限付きユーザー エクスペリエンスを構成する

割り当て済みアクセスで制限付きユーザー エクスペリエンスを構成するには、目的のエクスペリエンスの設定を含む XML 構成ファイルを作成する必要があります。 XML ファイルは、次のいずれかのオプションを使用して、 割り当てられたアクセス CSP を介してデバイスに適用されます。

• Microsoft Intuneなどのモバイル デバイス管理 (MDM) ソリューション
• プロビジョニング パッケージ
• MDM ブリッジ WMI プロバイダーを使用した PowerShell

割り当てアクセス XML ファイルを構成する方法については、「割り 当てられたアクセス構成ファイルを作成する」を参照してください。

次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。

Intune/CSP

AssignedAccess CSP でカスタム ポリシーを使用してデバイスを構成できます。

• 設定：./Vendor/MSFT/AssignedAccess/ShellLauncher
• 値: XML 構成ファイルの内容

構成するデバイスをメンバーとして含むグループにポリシーを割り当てます。

PPKG

プロビジョニング パッケージを作成するには、次の設定を使用します。

• パス：AssignedAccess/MultiAppAssignedAccessSettings
• 値: XML 構成ファイルの内容

プロビジョニング パッケージを 構成するデバイスに適用します。

PowerShell

MDM Bridge WMI プロバイダーを使用して PowerShell スクリプトを使用してデバイスを構成します。

重要

すべてのデバイス設定では、WMI Bridge クライアントを SYSTEM (LocalSystem) アカウントとして実行する必要があります。

PowerShell スクリプトをテストするには、次の操作を行います。

1. psexec ツールをダウンロードする
2. 管理者特権のコマンド プロンプトを開き、次を実行します。 psexec.exe -i -s powershell.exe
3. PowerShell セッションでスクリプトを実行する

$assignedAccessConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Assigned Access configuration"

詳細については、「 WMI ブリッジ プロバイダーで PowerShell スクリプトを使用する」を参照してください。

設定

このオプションは、[設定] を使用して使用することはできません。

ヒント

実際の例については、「クイック スタート: 割り当てられたアクセスを使用して制限付きユーザー エクスペリエンスを構成する」を参照してください。

ユーザー エクスペリエンス

キオスクまたは制限付きユーザー エクスペリエンスを検証するには、構成ファイルで指定したユーザー アカウントでサインインします。

割り当てられたアクセス構成は、次に対象ユーザーがサインインした時点で有効になります。 構成を適用するときにそのユーザー アカウントがサインインしている場合は、サインアウトしてサインインし直してエクスペリエンスを検証します。

注

Windows 11以降、制限付きユーザー エクスペリエンスでは、複数のモニターの使用がサポートされています。

オートトリガー タッチ キーボード

タッチ キーボードは、必要な入力があり、タッチ対応デバイスに物理キーボードが接続されていない場合に自動的にトリガーされます。 この動作を適用するために、他の設定を構成する必要はありません。

ヒント

タッチ キーボードは、テキスト ボックスをタップするときにのみトリガーされます。 マウスをクリックしてもタッチ キーボードはトリガーされません。 この機能をテストする場合は、タッチ キーボードが VM でトリガーされないため、仮想マシン (VM) ではなく物理デバイスを使用します。

割り当てられたアクセスからのサインアウト

既定では、キオスク エクスペリエンスを終了するには、CtrlAlt + Delキーを押します + 。キオスク アプリは自動的に終了します。 割り当てられたアクセス アカウントとしてもう一度サインインするか、サインイン画面のタイムアウトを待つと、キオスク アプリが再起動します。 既定のタイムアウトは 30 秒ですが、レジストリ キーを使用してタイムアウトを変更できます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

割り当てられたアクセスが再開される既定の時刻を変更するには、 IdleTimeOut (DWORD) を追加し、値データをミリ秒単位で 16 進数で入力します。

注

IdleTimeOut は Microsoft Edge キオスク モードには適用されません。

Ctrl Alt + + Del のブレークアウト シーケンスは既定ですが、このシーケンスは別のキー シーケンスに構成できます。 ブレークアウト シーケンスでは、書式 修飾子とキーが使用されます。 ブレークアウト シーケンスの例としては 、Ctrl + Alt + A があり、 Ctrl + Alt は修飾子、 A はキー値です。 詳細については、「 割り当てられたアクセス構成 XML ファイルを作成する」を参照してください。

キーボード ショートカット

割り当てられたアクセス権を持つユーザー アカウントでは、次のキーボード ショートカットがブロックされます。

キーボード ショートカット	操作
Ctrl + シフト + Esc キー	タスク マネージャーを開く
勝つ + 、 (コンマ)	デスクトップを一時的にプレビューする
勝つ + A	アクション センターを開く
勝つ + Alt + D	デスクトップで日付と時刻を表示または非表示にする
勝つ + Ctrl + F	Active Directory でコンピューター オブジェクトを検索する
勝つ + D	デスクトップを表示または非表示にする
勝つ + E	エクスプローラーを開く
勝つ + F	フィードバック Hub を開く
勝つ + G	ゲームの実行中にゲーム バーを開く
勝つ + 私	[設定] を開く
勝つ + J	使用可能な場合に Windows ヒントにフォーカスを設定する
勝つ + O	デバイスの向きをロックする
勝つ + Q	検索を開く
勝つ + R	[ファイル名を指定して実行] ダイアログ ボックスを開く
勝つ + S	検索を開く
勝つ + シフト + C	Cortana を聞き取りモードで開く
勝つ + X	[クイック リンク] メニューを開く
LaunchApp1	このキーに割り当てられているアプリを開く
LaunchApp2	このキーに割り当てられているアプリを開きます。 多くの Microsoft キーボードでは、アプリは電卓です
LaunchMail	既定のメール クライアントを開く

割り当てられたアクセスを削除する

制限付きユーザー エクスペリエンスを削除すると、ユーザーに関連付けられているポリシー設定は削除されますが、すべての構成を元に戻すことはできません。 たとえば、[スタート] メニューの構成は維持されます。

次のステップ

割り当て済みアクセスをデプロイする前に、推奨事項を確認します。

割り当てられたアクセスに関する推奨事項