割り当てられたアクセス構成 XML ファイルを作成する

  • [アーティクル]

割り当て済みアクセスを構成するには、構成 XML ファイルを作成してデバイスに適用する必要があります。 構成ファイルは、割り当て済みアクセス XML スキーマ定義 (XSD) で定義されているスキーマに準拠している必要があります。

この記事では、実際の例を含め、割り当てられたアクセス構成ファイルを構成する方法について説明します。

XML ファイルの基本構造を見てみましょう。 割り当てられたアクセス構成ファイルには、次のものが含まれます。

  • 1 つまたは複数 profilesの 。 それぞれ profile 、実行を許可される一連のアプリケーションを定義します
  • 1 つまたは複数 configsの 。 各 config ユーザー アカウントまたはグループを に関連付けます。 profile

1 つのプロファイルと 1 つの構成を持つ割り当てアクセス構成ファイルの基本的な例を次に示します。

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config">
    <Profiles>
        <Profile Id="{GUID}">
            <!-- Add configuration here as needed -->
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <!-- Add configuration here as needed -->
        </Config>
    </Configs>
</AssignedAccessConfiguration>

バージョン

割り当てられたアクセス構成 XML がバージョン管理されています。 バージョンは XML ルート要素で定義されており、XML ファイルの検証に使用するスキーマを決定するために使用されます。 バージョンは、構成に使用できる機能を決定するためにも使用されます。 バージョン、ドキュメントの例で使用されるエイリアス、名前空間の表を次に示します。

バージョン Alias 名前空間
Windows 11、 バージョン 22H2 v5 http://schemas.microsoft.com/AssignedAccess/2022/config
Windows 11 バージョン 21H2 v4 http://schemas.microsoft.com/AssignedAccess/2021/config
Windows 10 v5 http://schemas.microsoft.com/AssignedAccess/202010/config
Windows 10 v3 http://schemas.microsoft.com/AssignedAccess/2020/config
Windows 10 rs5 http://schemas.microsoft.com/AssignedAccess/201810/config
Windows 10 default http://schemas.microsoft.com/AssignedAccess/2017/config

バージョン固有の要素と属性を含む互換性のある構成 XML を承認するには、常にアドオン スキーマの名前空間を含め、それに応じて名前空間エイリアスで属性と要素を装飾します。 たとえば、バージョン 22H2 Windows 11で追加された機能を構成StartPinsするには、次の例を使用します。 22H2 リリースのhttp://schemas.microsoft.com/AssignedAccess/2022/config名前空間に関連付けられているエイリアスv5に注意してください。エイリアスはインラインでStartPinsタグ付けされています。

<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration xmlns="http://schemas.microsoft.com/AssignedAccess/2017/config"
    xmlns:v5="http://schemas.microsoft.com/AssignedAccess/2022/config">
    <Profiles>
        <Profile Id="{GUID}">
            <!-- Add configuration here as needed -->
            <v5:StartPins>
              <!-- Add StartPins configuration here -->
            </v5:StartPins>
        </Profile>
    </Profiles>
    <Configs>
        <Config>
            <!-- Add configuration here as needed -->
        </Config>
    </Configs>
</AssignedAccessConfiguration>

ここでは、割り当て済みアクセス XML スキーマ定義: 割り当てアクセス XML スキーマ定義 (XSD) を見つけることができます。

プロファイル

構成ファイルには、1 つ以上のプロファイルを含めることができます。 各プロファイルは、一意の識別子 Profile Id と、必要に応じて で Name識別されます。 次に、例を示します。

<Profiles>
  <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
    <!-- Add configuration here as needed -->
  </Profile>
</Profiles>

ヒント

Profile Id XML ファイル内で一意である必要があります。 PowerShell コマンドレット New-Guidを使用して GUID を生成できます。

プロファイルには、次の 2 種類のいずれかを指定できます。

  • KioskModeApp: は、キオスク エクスペリエンスを構成するために使用されます。 このプロファイルを割り当てられたユーザーはデスクトップにアクセスしませんが、ロック画面の上で全画面表示で実行されているユニバーサル Windows プラットフォーム (UWP) アプリケーションまたは Microsoft Edge のみ
  • AllAppList は、制限付きユーザー エクスペリエンスを構成するために使用されます。 このプロファイルを割り当てたユーザーは、[スタート] メニューの特定のアプリを使用してデスクトップにアクセスします

重要

  • デバイスでと ShellLauncher を同時に設定KioskModeAppすることはできません
  • 構成ファイルには 1 つの KioskModeApp プロファイルのみを含めることができますが、複数 AllAppList のプロファイルを含めることができます。

KioskModeApp

プロファイルの KioskModeApp プロパティは次のとおりです。

プロパティ 説明 詳細
AppUserModelId UWP アプリのアプリケーション ユーザー モデル ID (AUMID)。 インストールされているアプリのアプリケーション ユーザー モデル ID を検索する方法について説明します。
v4:ClassicAppPath デスクトップ アプリの実行可能ファイルへの完全なパス。 これは、キオスク モードで使用されるデスクトップ アプリへのパスです。 パスには、 の形式 %variableName%でシステム環境変数を含めることができます。
v4:ClassicAppArguments デスクトップ アプリに渡される引数。 このプロパティは省略可能です。

既定では、 CTRL+ALT+DEL シーケンスを使用してキオスク モードを終了できます。 要素を定義して、 BreakoutSequence 既定のシーケンスを変更できます。 属性は Key 、キーの組み合わせを表す文字列です。

デスクトップ アプリと UWP アプリの 2 つのプロファイルの例:

<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}">
  <KioskModeApp v4:ClassicAppPath="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" v4:ClassicAppArguments="--kiosk https://www.contoso.com/ --edge-kiosk-type=fullscreen --kiosk-idle-timeout-minutes=2" />
  <v4:BreakoutSequence Key="Ctrl+A"/>
</Profile>
<Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F79}">
  <KioskModeApp AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
</Profile>

プロファイルは KioskModeApp ユーザーにのみ割り当てることができ、グループには割り当てできません。

AllAppList

キオスク デバイスの目的に基づき、実行が許可されるアプリケーションの一覧を定義します。 この一覧には、UWP アプリとデスクトップ アプリの両方を含めることができます。 mult-app キオスク構成がデバイスに適用されると、AppLocker ルールが生成され、構成に一覧表示されているアプリが許可されます。

アプリが別のアプリに依存している場合は、どちらも許可されているアプリの一覧に含まれている必要があります。

ノード内で AllAppList 、実行を許可するアプリケーションの一覧を定義します。 各 App 要素には、次のプロパティがあります。

プロパティ 説明 詳細
AppUserModelId UWP アプリのアプリケーション ユーザー モデル ID (AUMID)。 インストールされているアプリのアプリケーション ユーザー モデル ID を検索する方法について説明します。
DesktopAppPath デスクトップ アプリの実行可能ファイルへの完全なパス。 これは、キオスク モードで使用されるデスクトップ アプリへのパスです。 パスには、 の形式 %variableName%でシステム環境変数を含めることができます。
rs5:AutoLaunch ユーザーがサインインするときにアプリ (デスクトップアプリまたは UWP アプリ) を自動的に起動するかどうかを示すブール型 (Boolean) 属性。 このプロパティは省略可能です。 自動起動できるアプリケーションは 1 つだけです。
rs5:AutoLaunchArguments で構成 AutoLaunchされているアプリに渡される引数。 AutoLaunchArguments は、そのままアプリに渡され、アプリは引数を明示的に処理する必要があります。 このプロパティは省略可能です。

例:

<AllAppsList>
  <AllowedApps>
    <App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
    <App DesktopAppPath="C:\Windows\system32\cmd.exe" />
    <App DesktopAppPath="%windir%\explorer.exe" />
    <App AppUserModelId="%ProgramFiles(x86)%\Microsoft\Edge\Application\msedge.exe" />
    <App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="%windir%\setuperr.log" />
  </AllowedApps>
</AllAppsList>

エクスプローラー制限

制限付きユーザー エクスペリエンス (AllAppList) では、フォルダーの参照は既定でロックダウンされます。 ノードを含めることで、既知のフォルダーへのアクセスを明示的に FileExplorerNamespaceRestrictions 許可できます。

[ダウンロード] フォルダー、リムーバブル ドライブへのユーザー アクセスを指定することも、制限をまったく指定することもできません。 ダウンロードとリムーバブル ドライブは同時に許可できます。

<Profiles>
    <Profile Id="{EDB3036B-780D-487D-A375-69369D8A8F78}" Name="Microsoft Learn example">
        <AllAppsList>
            <AllowedApps>
                <!-- Add configuration here as needed -->
            </AllowedApps>
        </AllAppsList>
        <rs5:FileExplorerNamespaceRestrictions>
            <!-- Add configuration here as needed -->
        </rs5:FileExplorerNamespaceRestrictions>
        <!-- Add configuration here as needed -->
    </Profile>
</Profiles>

実用的な例を次に示します。

すべてをブロックする

ノードを使用しないか、空のままにします。

<rs5:FileExplorerNamespaceRestrictions>
</rs5:FileExplorerNamespaceRestrictions>

ダウンロードのみを許可する

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
</rs5:FileExplorerNamespaceRestrictions>

リムーバブル ドライブのみを許可する

<rs5:FileExplorerNamespaceRestrictions>
    <v3:AllowRemovableDrives />
</rs5:FileExplorerNamespaceRestrictions>

ダウンロードとリムーバブル ドライブの両方を許可する

<rs5:FileExplorerNamespaceRestrictions>
    <rs5:AllowedNamespace Name="Downloads"/>
    <v3:AllowRemovableDrives/>
</rs5:FileExplorerNamespaceRestrictions>

制限なし、すべての場所が許可されます

<rs5:FileExplorerNamespaceRestrictions>
    <v3:NoRestriction />
</rs5:FileExplorerNamespaceRestrictions>

ヒント

制限付きユーザー エクスペリエンスでエクスプローラーへのアクセスを許可するには、許可されているアプリの一覧に追加Explorer.exeし、[スタート] メニューにショートカットをピン留めします。

スタート メニューのカスタマイズ

制限付きユーザー エクスペリエンス プロファイル (AllAppList) の場合は、スタート 画面のレイアウトを定義する必要があります。 [スタート] レイアウトには、[スタート] メニューにピン留めされているアプリケーションの一覧が含まれています。 許可されているすべてのアプリケーションを [スタート] メニューまたはサブセットにピン留めすることができます。 カスタマイズしたスタート 画面レイアウトを作成する最も簡単な方法は、テスト デバイスで [スタート] メニューを構成し、レイアウトをエクスポートすることです。

スタート メニュー構成をカスタマイズしてエクスポートする方法については、「スタート メニュー のカスタマイズ」を参照してください。

エクスポートされた [スタート] メニュー構成で、 要素を StartLayout 使用し、XML ファイルの内容を追加します。 次に、例を示します。

<StartLayout>
  <![CDATA[
    <!-- Add your exported Start menu XML configuration file here -->
  ]]>
</StartLayout>

一部のアプリがピン留めされた例:

<StartLayout>
  <![CDATA[
    <LayoutModificationTemplate xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
    xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout" Version="1"
    xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification">
      <LayoutOptions StartTileGroupCellWidth="6" />
      <DefaultLayoutOverride>
        <StartLayoutCollection>
          <defaultlayout:StartLayout GroupCellWidth="6">
            <start:Group Name="Group1">
              <start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.  ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
              <start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.  ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
            </start:Group>
            <start:Group Name="Group2">
              <start:DesktopApplicationTile Size="2x2" Column="2" Row="0"   DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start   Menu\Programs\Accessories\Paint.lnk" />
              <start:DesktopApplicationTile Size="2x2" Column="0" Row="0"   DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.  lnk" />
            </start:Group>
          </defaultlayout:StartLayout>
        </StartLayoutCollection>
      </DefaultLayoutOverride>
    </LayoutModificationTemplate>
  ]]>
</StartLayout>

エクスポートされた [スタート] メニュー構成で、 要素を v5:StartPins 使用し、エクスポートされた JSON ファイルの内容を追加します。 次に、例を示します。

<v5:StartPins>
  <![CDATA[
      <!-- Add your exported Start menu JSON configuration file here -->
  ]]>
</v5:StartPins>

一部のアプリがピン留めされた例:

<v5:StartPins>

</v5:StartPins>

アプリがユーザー用にインストールされていないが、[スタート] レイアウト XML に含まれている場合、アプリは [スタート] 画面に表示されません。

タスク バーのカスタマイズ

制限付きユーザー エクスペリエンスでタスク バーにアプリをピン留めすることはできません。 割り当てられたアクセス構成の一部として、レイアウト変更 XML のタグを <CustomTaskbarLayoutCollection> 使用してタスク バー レイアウトを構成することはサポートされていません。

使用可能な唯一のタスク バーのカスタマイズは、ブール値属性を使用して ShowTaskbar 表示または非表示にするオプションです。

次の例では、タスク バーを公開しています。

<Taskbar ShowTaskbar="true"/>

次の例では、タスク バーを非表示にします。

<Taskbar ShowTaskbar="false"/>

これは、タブレット モードの [タスク バーを自動的に隠す] オプションとは異なります。このオプションでは、画面の下部から上にスワイプしたり、マウス ポインターを画面の下部まで下に移動したりした場合にタスク バーが表示されます。 としてfalse設定ShowTaskbarすると、タスク バーは完全に非表示になります。

タスク バーをカスタマイズするには、カスタム レイアウトを作成し、それを XML ファイルに追加します。 タスク バーの構成をカスタマイズしてエクスポートする方法については、「タスク バーのカスタマイズ」を参照してください。

Windows 11ではShowTaskbar、 属性は no-op です。 の値 trueを使用して構成します。

エクスポートされたタスク バー構成で、 要素を v5:TaskbarLayout 使用し、XML ファイルの内容を追加します。 次に、例を示します。

<Taskbar ShowTaskbar="true" />
<v5:TaskbarLayout><![CDATA[
  <!-- Add your exported Taskbar XML configuration file here -->
  ]]>
</v5:TaskbarLayout>

いくつかのアプリがピン留めされたカスタム タスク バーの例を次に示します。

<Taskbar ShowTaskbar="true" />
<v5:TaskbarLayout><![CDATA[
  <?xml version="1.0" encoding="utf-8"?>
  <LayoutModificationTemplate
      xmlns="http://schemas.microsoft.com/Start/2014/LayoutModification"
      xmlns:defaultlayout="http://schemas.microsoft.com/Start/2014/FullDefaultLayout"
      xmlns:start="http://schemas.microsoft.com/Start/2014/StartLayout"
      xmlns:taskbar="http://schemas.microsoft.com/Start/2014/TaskbarLayout"
      Version="1">
  <CustomTaskbarLayoutCollection>
    <defaultlayout:TaskbarLayout>
    <taskbar:TaskbarPinList>
        <taskbar:DesktopApp DesktopApplicationID="Microsoft.Windows.Explorer" />
        <taskbar:DesktopApp DesktopApplicationID="windows.immersivecontrolpanel_cw5n1h2txyewy!microsoft.windows.immersivecontrolpanel" />
        <taskbar:DesktopApp DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk"/>
    </taskbar:TaskbarPinList>
    </defaultlayout:TaskbarLayout>
  </CustomTaskbarLayoutCollection>
  </LayoutModificationTemplate>
  ]]>
</v5:TaskbarLayout>

Configs

Configs、1 つ以上のユーザー アカウントまたはグループを定義し、プロファイルとの関連付けを定義します。

ユーザー アカウントがサインインすると、関連付けられた割り当てアクセス プロファイルが、制限付きユーザー エクスペリエンスの一部であるポリシー設定と共に適用されます。

次の情報を割り当てることができます。

  • ローカル、ドメイン、またはMicrosoft Entra IDできる標準ユーザー アカウント
  • グループ アカウント(ローカル、Active Directory (ドメイン)、またはMicrosoft Entra ID

制限:

  • グループ アカウントを指定する構成ではキオスク プロファイルを使用できません。制限付きユーザー エクスペリエンス プロファイルのみ
  • 制限付きユーザー エクスペリエンスを標準ユーザーにのみ適用します。 管理者ユーザーを割り当てられたアクセス プロファイルに関連付けるのはサポートされていません
  • ユーザー操作を必要とする条件付きアクセス ポリシーの対象となるユーザーまたはグループには、プロファイルを適用しないでください。 たとえば、多要素認証 (MFA)、使用条件 (TOU) などです。 詳細については、「マルチアプリ キオスク プロファイルが割り当てられている場合、ユーザーは Windows にログオンできない」を参照してください。

Microsoft Entra参加済みデバイスとドメイン参加済みデバイスでは、ローカル ユーザー アカウントは既定でサインイン画面に表示されません。 サインイン画面にローカル アカウントを表示するには、ポリシー設定を有効にします。

  • GPO: コンピューター構成>管理テンプレート>システム>ログオン>ドメインに参加しているコンピューター上のローカル ユーザーを列挙する
  • CSP: ./Device/Vendor/MSFT/Policy/Config/WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers

AutoLogon アカウント

を使用すると <AutoLogonAccount>、割り当てられたアクセスによって、デバイスの再起動後に自動的にサインインするユーザー アカウントが作成および管理されます。 アカウントはローカル標準ユーザーです。

次の例は、自動的にサインインするアカウントと、サインイン画面でのアカウントのオプションの表示名を指定する方法を示しています。

<Configs>
  <Config>
    <AutoLogonAccount rs5:DisplayName="Microsoft Learn example"/>
    <DefaultProfile Id="{GUID}"/>
  </Config>
</Configs>

重要

Exchange Active Sync (EAS) パスワード制限がデバイスでアクティブな場合、自動ログオン機能は機能しません。 この動作は仕様です。 詳細については、「 Windows で自動ログオンを有効にする方法」を参照してください。

グローバル プロファイル

では GlobalProfile、サインインするすべての管理者以外のアカウントに適用される割り当て済みアクセス プロファイルを定義できます。 GlobalProfile は、現場担当者や学生のデバイスなどのシナリオで、すべてのユーザーが一貫したエクスペリエンスを持っていることを確認する場合に便利です。

<Configs>
  <v3:GlobalProfile Id="{GUID}"/>
</Configs>

グローバル プロファイルを他のプロファイルと組み合わせることができます。 ユーザーにグローバル以外のプロファイルを割り当てると、グローバル プロファイルはそのユーザーに適用されません。

ユーザー アカウント

個々のアカウントは を使用して <Account>指定します。

重要

割り当てられたアクセス構成を適用する前に、指定したユーザー アカウントがデバイスで使用できることを確認します。それ以外の場合は失敗します。

ドメインアカウントとMicrosoft Entraアカウントの両方で、デバイスが Active Directory に参加しているか、Microsoft Entra参加している限り、デバイスが参加しているドメイン フォレストまたはテナントでアカウントを検出できます。 ローカル アカウントの場合、割り当てられたアクセスのアカウントを構成する前にアカウントが存在している必要があります。

ローカル ユーザー

ローカル アカウントは、 devicename\user.\user、または として user入力できます。

<Config>
  <Account>user</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Active Directory ユーザー

ドメイン アカウントは、 形式 domain\samAccountNameを使用して入力する必要があります。

<Config>
  <Account>contoso\user</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

Microsoft Entra ユーザー

Microsoft Entraアカウントは、 という形式AzureAD\{UPN}で指定する必要があります。 AzureADは、そのまま指定する必要があります。その後、Microsoft Entra ユーザー プリンシパル名 (UPN) に従ってください。

<Config>
  <Account>AzureAD\user@contoso.onmicrosoft.com</Account>
  <DefaultProfile Id="{GUID}"/>
</Config>

グループ アカウント

グループ アカウントは を使用して <UserGroup>指定します。 入れ子になったグループはサポートされていません。 たとえば、 ユーザー Aグループ A のメンバーであり、 グループ Aグループ B のメンバーであり、 グループ B が で <Config/>使用されている場合、 ユーザー A にはキオスク エクスペリエンスがありません。

ローカル グループ

としてグループの種類 LocalGroup を指定し、 属性にグループ名を Name 追加します。

<Config>
  <UserGroup Type="LocalGroup" Name="groupname" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Active Directory グループ

セキュリティ グループと配布グループの両方がサポートされています。 グループの種類を として ActiveDirectoryGroup指定します。 name 属性のプレフィックスとしてドメイン名を使用します。

<Config>
  <UserGroup Type="ActiveDirectoryGroup" Name="contoso\groupname" />
  <DefaultProfile Id="{GUID}"/>
</Config>

Microsoft Entra グループ

Microsoft Entra グループのオブジェクト ID を使用します。 オブジェクト ID は、グループの概要ページで、Microsoft Entra 管理センターにサインインし、[IDグループ>] [すべてのグループ]> を参照することで確認できます。 グループの種類を として AzureActiveDirectoryGroup指定します。 キオスク デバイスは、グループ サインインに属するユーザーがインターネットに接続している必要があります。

<Config>
  <UserGroup Type="AzureActiveDirectoryGroup" Name="Group_GUID" />
  <DefaultProfile Id="{GUID}"/>
</Config>

次のステップ

割り当てられたアクセス XML 構成の実用的な例をいくつか確認します。

割り当てられたアクセスの例