割り当てられたアクセス ポリシー設定
割り当てられたアクセス構成がデバイスに適用されると、特定のポリシー設定と AppLocker 規則が適用され、デバイスにアクセスするユーザーに影響します。 ポリシー設定では、構成サービス プロバイダー (CSP) とグループ ポリシー (GPO) 設定の組み合わせを使用します。
このリファレンス記事では、割り当てられたアクセスによって適用されるポリシー設定と AppLocker 規則の一覧を示します。
注
他のチャネルを使用して、割り当てられたアクセスによって異なる値に適用されるポリシー設定を構成することはお勧めしません。 割り当てられたアクセスは、ロックダウンエクスペリエンスを提供するように最適化されています。
デバイス ポリシー設定
制限付きユーザー エクスペリエンスを展開すると、次のポリシー設定がデバイス レベルで適用されます。 デバイスにアクセスするすべてのユーザーは、管理者アカウントを含むポリシー設定の対象となります。
| 型 | パス | 名前/説明 |
|---|---|---|
| CSP | ./Vendor/MSFT/Policy/Config/Experience/AllowCortana |
Cortana を無効にする |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDocuments |
[ドキュメントの開始] アイコンを無効にする |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDownloads |
[ダウンロードの開始] アイコンを無効にする |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderFileExplorer |
エクスプローラーの起動アイコンを無効にする |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderHomeGroup |
[ホーム グループの開始] アイコンを無効にする |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderMusic |
音楽の開始アイコンを無効にする |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderNetwork |
[ネットワークの開始] アイコンを無効にする |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPersonalFolder |
個人用フォルダーの開始アイコンを無効にする |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPictures |
[スタート画像] アイコンを無効にする |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderSettings |
[スタート設定を無効にする] アイコン |
| CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderVideos |
[ビデオの開始] アイコンを無効にする |
| CSP | ./Vendor/MSFT/Policy/Config/Start/HideChangeAccountSettings |
[ アカウント設定の変更 ] がユーザー タイルに表示されないように非表示にする |
| CSP | ./Vendor/MSFT/Policy/Config/Update/SetAutoRestartNotificationDisable |
すべての更新通知を非表示にします |
| CSP | ./Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel |
更新プログラムの自動再起動通知を無効にします |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsInkWorkspace/AllowWindowsInkWorkspace |
インク ワークスペースへのアクセスが無効になっている |
| CSP | ./Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI |
ログオン画面と "セキュリティ オプション" UI でネットワーク UI を非表示にする |
ユーザー ポリシー設定
制限付きユーザー エクスペリエンスを展開すると、管理者以外のアカウントに次のポリシー設定が適用されます。
| 型 | パス | 名前/説明 |
|---|---|---|
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/DisableContextMenus |
スタート メニュー アプリのコンテキスト メニューを無効にする |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HidePeopleBar |
タスク バー People表示されないようにする |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentlyAddedApps |
最近追加したアプリが [スタート] メニューに表示されないようにする |
| CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentJumplists |
スタート メニュー/タスク バーに最近のジャンプリストが表示されないようにする |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | 終了時に最近使ったファイルの履歴を消去する |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | バルーン通知がトーストとして表示されないようにする |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | ジャンプ リストでの項目の固定を許可しない |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | タスク バーへのプログラムの固定を許可しない |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | ジャンプ リストで遠隔地からの項目は表示および追跡しない |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | デスクトップ上のすべての項目を非表示または無効にする |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | [タスク ビュー] ボタンを非表示にする |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | すべてのタスク バー設定をロックする |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | タスク バーをロックする |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | ユーザーがツール バーを追加または削除できないようにする |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | ユーザーがスタート画面をカスタマイズできないようにする |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | ユーザーがタスク バーを別の画面ドックの場所に移動できないようにする |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | ユーザーがツールバーを再配置できないようにする |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | ユーザーがタスク バーをサイズ変更できないようにする |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | ユーザーに [スタート] からアプリケーションをアンインストールさせないようにする |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | タスク バーのショートカット メニューへのアクセスを削除する |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | [スタート] メニューから [すべてのプログラム] を削除する |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | コントロール センターを削除する |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | [スタート] メニューから頻繁に利用するプログラムの一覧を削除する |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | 通知とアクション センターを削除する |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | クイック設定を削除する |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | [スタート] メニューから [ファイル名を指定して実行] を削除する |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | [セキュリティとメンテナンス] アイコンを削除する |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | バルーン通知をオフにする |
| Gpo | ユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー | 機能の広告バルーン通知を無効にする |
| Gpo | ユーザー構成\管理用テンプレート\スタート メニューとタスク バー\通知 | トースト通知をオフにする |
| Gpo | ユーザーの構成\管理用テンプレート\システム\Ctrl + Alt + Del オプション | パスワードの変更を削除する |
| Gpo | ユーザーの構成\管理用テンプレート\システム\Ctrl + Alt + Del オプション | ログオフの削除 |
| Gpo | ユーザーの構成\管理用テンプレート\システム\Ctrl + Alt + Del オプション | タスク マネージャーを削除する |
| Gpo | ユーザー構成\管理用テンプレート\Windows コンポーネント\エクスプローラー | マップ ネットワーク ドライブを削除し、ネットワーク ドライブを切断する |
| Gpo | ユーザー構成\管理用テンプレート\Windows コンポーネント\エクスプローラー | エクスプローラーの既定のコンテキスト メニューを削除する |
Microsoft Edge でキオスク エクスペリエンスを構成すると、キオスク アカウントに次のポリシー設定が適用されます。
| 型 | パス | 名前/説明 |
|---|---|---|
| Gpo | ユーザー構成\管理用テンプレート\スタート メニューとタスク バー\通知 | 指定した Windows アプリケーションのみを実行する >msedge.exe |
| Gpo | ユーザー構成\管理用テンプレート\System | トースト通知をオフにする |
| Gpo | ユーザー構成\管理用テンプレート\Windows コンポーネント\添付ファイル マネージャー | 添付 > ファイルの既定のリスク レベル 高リスク |
| Gpo | ユーザー構成\管理用テンプレート\Windows コンポーネント\添付ファイル マネージャー | ファイルの種類が低い場合の包含リスト >.pdf;.epub |
| Gpo | ユーザー構成\管理用テンプレート\Windows コンポーネント\エクスプローラー | エクスプローラーの既定のコンテキスト メニューを削除する |
AppLocker ルール
割り当てられたアクセス制限付きユーザー エクスペリエンスを展開すると、AppLocker ルールが生成され、構成に一覧表示されているアプリが許可されます。 定義済みの割り当てアクセス AppLocker 規則を次に示します。
ユニバーサル Windows プラットフォーム (UWP) アプリルール
- 既定のルールでは、すべてのユーザーが署名済みのパッケージ アプリを起動できます
- パッケージ 化されたアプリ 拒否リスト は、割り当てられたアクセス ユーザーがサインインしたときに実行時に生成されます。
- ユーザー アカウントで使用できるインストール済みのアプリに基づいて、割り当てられたアクセスによって拒否リストが生成されます。 この一覧には、システムが機能するために重要な既定の許可された受信トレイ パッケージ アプリが除外され、割り当てられたアクセス構成で定義されている許可されたパッケージが除外されます
- 同じパッケージ内に複数のアプリがある場合、すべてのアプリが除外されます
拒否リストは、ユーザーがアプリにアクセスできないようにするために使用されます。ユーザーは現在使用できますが、許可されている一覧にはアクセスできません。
注
MMC スナップインの制限付きユーザー エクスペリエンスによって生成される AppLocker ルールを管理することはできません。割り当て済みアクセスによって生成された AppLocker ルールと競合する AppLocker ルールを作成しないでください。
割り当てられたアクセスでは、organizationまたはユーザーが UWP アプリをインストールできなくなります。 割り当てアクセス セッション中に新しい UWP アプリがインストールされると、アプリは拒否リストに含まれません。 ユーザーがサインアウトしてもう一度サインインすると、インストールされているアプリが拒否リストに含まれます。 許可するアプリが一元的にデプロイされている場合 (基幹アプリなど)、割り当て済みアクセス構成を更新し、 アプリを許可アプリの一覧に含めます。
デスクトップ アプリルール
- 既定の規則では、システムが起動して機能するために、すべてのユーザーが Microsoft Certificate で署名されたデスクトップ プログラムを起動できるようにします。 このルールでは、すべてのデスクトップ プログラムの起動を管理者ユーザー グループにも許可します。
- 割り当てられたアクセスのユーザー アカウントの定義済みの受信トレイ デスクトップ アプリの拒否リストがあります。これは、割り当て済みアクセス構成で定義した デスクトップ アプリ許可リスト に基づいて更新されます
- エンタープライズ定義の許可されたデスクトップ アプリが AppLocker 許可リストに追加される
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示