Windows オペレーティング システムのコンポーネントから Microsoft サービスへの接続の管理

適用対象

  • Windows 10 Enterprise エディション
  • Windows Server 2016

各診断データ レベルの意味や、組織で診断データ レベルを構成する方法については、「組織内の Windows 診断データの構成」をご覧ください。

ネットワーク接続に関して、Microsoft に対して Windows コンポーネントが行うネットワーク接続、Microsoft に共有されるデータとアプリに影響を与えるプライバシー設定、IT 担当者による管理方法などについて説明します。

Windows から Microsoft サービスへの接続を最小限に抑える場合、または特定のプライバシー設定を構成する場合は、この記事で説明する設定を検討することをお勧めします。 診断データは、お使いの Windows エディションの最も低いレベルで構成できます。また、Windows から Microsoft サービスに対して行われる他の接続のうち、お使いの環境で無効にするものをこの記事の一覧で判断できます。

この記事の説明に従って、診断データをセキュリティ レベルで構成し、Windows Defender の診断データと MSRT の報告を無効にして、Microsoft ネットワーク エンドポイントへの他のすべての接続を無効にすることにより、Windows から Microsoft へのすべてのデータ送信を遮断することができます。 ただし、こうしたデータ通信が既定で有効になるには、さまざまな理由があります。たとえば、マルウェア定義の更新や現在の証明書失効リストの維持などです。このような更新や維持を行うためにも、Windows から Microsoft へのデータの送信を回避することはお勧めしません。 このようなデータを送信することは、弊社が各ユーザーに合わせた、セキュアで信頼性が高く魅力的なエクスペリエンスを実現するために役立ちます。

Windows 10 から Microsoft への接続を制限する設定を容易に展開するには、Windows Restricted Traffic Limited Functionality Baseline を適用できます。 この基本計画は、Windows を既知の安全な状態に効率的に構成するために使用される Windows のセキュリティ基本計画と同じ方法で作成されました。 組織内のデバイスで Windows Restricted Traffic Limited Functionality Baseline を実行すると、このドキュメントで説明したすべての設定を迅速に構成できます。 ただし、デバイスの機能およびセキュリティ構成が低下する場合があるため、一部の設定はお勧めしていません。 適用する前に、環境に応じた適切な設定構成が選択されていることを確認してください。 適切に適用されないため、このパッケージは windows\system32 フォルダーに抽出しないようにする必要があります。

Windows Restricted Traffic Limited Functionality Baseline を適用することは、この記事で説明する各設定を適用することと同じです。 デバイスの構成を変更した後はx、デバイスを再起動することをお勧めします。 問い合わせフィードバックの送信のリンクは、Windows Restricted Traffic Limited Functionality Baseline を適用すると動作しなくなります。

Microsoft では、常にドキュメントの品質向上に取り組んでおり、いつでもフィードバックをお待ちしております。 フィードバックは、telmhelp@microsoft.com までお寄せください。

Windows 10 バージョン 1709 Enterprise エディションの新機能

Windows 10 バージョン 1709 に関してこの記事に加えられた変更の一覧は次のとおりです。

  • 「電話での通話」セクションを追加しました。
  • 「記憶域の正常性」セクションを追加しました。
  • 「Microsoft Store」セクションで Web サイト向けアプリの説明を追加しました。

Windows 10 バージョン 1703 Enterprise エディションの新機能

Windows 10 バージョン 1703 に関してこの記事に加えられた変更の一覧は次のとおりです。

  • フォント ストリーミングの MDM ポリシーを追加しました。
  • ネットワーク接続状態インジケーターの MDM ポリシーを追加しました。
  • Microsoft アカウント サインイン アシスタントの MDM ポリシーを追加しました。
  • 付箋アプリを削除する方法を追加しました。
  • 一部のグループ ポリシーのレジストリ パスを追加しました。
  • デバイスの検索のセクションを追加しました。
  • タスクのセクションを追加しました。
  • アプリの診断のセクションを追加しました。

  • 次のグループ ポリシーが追加されました。

    • SmartScreen フィルター機能の管理を禁止する
    • 互換表示を無効にする
    • 更新プログラムの自動ダウンロードおよび自動インストールをオフにする
    • インターネット上の Windows Update に接続しない
    • Windows Update のすべての機能へのアクセスをオフにする
    • イントラネットの Microsoft 更新サービスの場所を指定する
    • Windows NTP クライアントを有効にする
    • Turn off automatic download of the ActiveX VersionList (ActiveX VersionList の自動ダウンロードを無効にする)
    • 音声認識データの自動更新を許可する
    • アカウント: Microsoft アカウントをブロックする
    • エクスペリエンスのカスタマイズに診断データを使わない

各設定の管理オプション

以下の各セクションでは、Microsoft サービスへのネットワーク接続を既定で確立するコンポーネントを紹介しています。 これらの設定を構成して、Microsoft に送信されるデータを制御できます。 Windows から Microsoft へのすべてのデータ送信を遮断するには、診断データをセキュリティ レベルで構成し、Windows Defender の診断データと MSRT の報告を無効にして、Microsoft へのすべての接続を無効にします。

Windows 10 を実行している場合、これらの設定は Long Term Servicing Branch の次の更新に含まれます。

Windows 10 Enterprise エディションの設定

Windows 10 Enterprise バージョン 1709 と Windows 10 Enterprise バージョン 1703 の管理設定の概要については、次の表をご覧ください。

設定 UI グループ ポリシー MDM ポリシー レジストリ コマンド ライン
1. ルート証明書の自動更新 チェック マーク
2. Cortana と検索 チェック マーク チェック マーク チェック マーク チェック マーク
3. 日付と時刻 チェック マーク チェック マーク チェック マーク
4. デバイス メタデータの取得 チェック マーク チェック マーク
5. デバイスの検索 チェック マーク
6. フォント ストリーミング チェック マーク チェック マーク
7. Insider Preview ビルド チェック マーク チェック マーク チェック マーク チェック マーク
8. Internet Explorer チェック マーク チェック マーク チェック マーク
9. ライブ タイル チェック マーク チェック マーク
10. メールの同期 チェック マーク チェック マーク チェック マーク
11. Microsoft アカウント チェック マーク チェック マーク チェック マーク
12. Microsoft Edge チェック マーク チェック マーク チェック マーク チェック マーク
13. ネットワーク接続状態インジケーター チェック マーク チェック マーク
14. オフライン マップ チェック マーク チェック マーク チェック マーク
15. OneDrive チェック マーク チェック マーク
16. プレインストール アプリ チェック マーク チェック マーク
17. [設定] の [プライバシー]
    17.1 全般 チェック マーク チェック マーク チェック マーク チェック マーク
    17.2 位置情報 チェック マーク チェック マーク チェック マーク チェック マーク
    17.3 カメラ チェック マーク チェック マーク チェック マーク チェック マーク
    17.4 マイク チェック マーク チェック マーク チェック マーク チェック マーク
    17.5. 通知 チェック マーク チェック マーク チェック マーク チェック マーク
    17.6 音声認識、手描き入力、タイピング チェック マーク チェック マーク チェック マーク チェック マーク
    17.7 アカウント情報 チェック マーク チェック マーク チェック マーク チェック マーク
    17.8 連絡先 チェック マーク チェック マーク チェック マーク チェック マーク
    17.9 カレンダー チェック マーク チェック マーク チェック マーク チェック マーク
    17.10 通話履歴 チェック マーク チェック マーク チェック マーク チェック マーク
    17.11 メール チェック マーク チェック マーク チェック マーク チェック マーク
    17.12 メッセージング チェック マーク チェック マーク チェック マーク チェック マーク
    17.13 通話 チェック マーク チェック マーク チェック マーク チェック マーク
    17.14 無線 チェック マーク チェック マーク チェック マーク チェック マーク
    17.15 他のデバイス チェック マーク チェック マーク チェック マーク チェック マーク
    17.16 フィードバックと診断 チェック マーク チェック マーク チェック マーク チェック マーク
    17.17 バックグラウンド アプリ チェック マーク チェック マーク チェック マーク
    17.18 モーション チェック マーク チェック マーク チェック マーク チェック マーク
    17.19 タスク チェック マーク チェック マーク チェック マーク チェック マーク
    17.20 アプリの診断 チェック マーク チェック マーク チェック マーク チェック マーク
18. ソフトウェア保護プラットフォーム チェック マーク チェック マーク チェック マーク
19. 記憶域の正常性 チェック マーク
20. 設定の同期 チェック マーク チェック マーク チェック マーク チェック マーク
21. Teredo チェック マーク チェック マーク チェック マーク
22. Wi-Fi センサー チェック マーク チェック マーク チェック マーク
23. Windows Defender チェック マーク チェック マーク チェック マーク
24. Windows Media Player チェック マーク チェック マーク
25. Windows スポットライト チェック マーク チェック マーク チェック マーク チェック マーク
26. Microsoft Store チェック マーク チェック マーク
    26.1 Web サイト用のアプリ チェック マーク
27. Windows Update の配信の最適化 チェック マーク チェック マーク チェック マーク チェック マーク
28. Windows Update チェック マーク チェック マーク チェック マーク

デスクトップ エクスペリエンスがインストールされている Windows Server 2016 の設定

デスクトップ エクスペリエンスがインストールされている Windows Server 2016 の管理設定の概要については、次の表をご覧ください。

設定 UI グループ ポリシー レジストリ コマンド ライン
1. ルート証明書の自動更新 チェック マーク チェック マーク
2. Cortana と検索 チェック マーク チェック マーク チェック マーク
3. 日付と時刻 チェック マーク チェック マーク チェック マーク
4. デバイス メタデータの取得 チェック マーク チェック マーク
6. フォント ストリーミング チェック マーク チェック マーク
7. Insider Preview ビルド チェック マーク チェック マーク チェック マーク
8. Internet Explorer チェック マーク チェック マーク チェック マーク
9. ライブ タイル チェック マーク チェック マーク
11. Microsoft アカウント チェック マーク チェック マーク
13. ネットワーク接続状態インジケーター チェック マーク チェック マーク
15. OneDrive チェック マーク
17. [設定] の [プライバシー]
    17.1 全般 チェック マーク チェック マーク チェック マーク
18. ソフトウェア保護プラットフォーム チェック マーク チェック マーク
21. Teredo チェック マーク チェック マーク チェック マーク
23. Windows Defender チェック マーク チェック マーク
24. Windows Media Player チェック マーク
26. Microsoft Store チェック マーク チェック マーク
    26.1 Web サイト用のアプリ チェック マーク
28. Windows Update チェック マーク チェック マーク

Windows Server 2016 Server Core の設定

Windows Server 2016 Server Core の管理設定の概要については、次の表をご覧ください。

設定 グループ ポリシー レジストリ コマンド ライン
1. ルート証明書の自動更新 チェック マーク チェック マーク
3. 日付と時刻 チェック マーク チェック マーク
6. フォント ストリーミング チェック マーク チェック マーク
13. ネットワーク接続状態インジケーター チェック マーク
18. ソフトウェア保護プラットフォーム チェック マーク
21. Teredo チェック マーク チェック マーク
23. Windows Defender チェック マーク チェック マーク
28. Windows Update チェック マーク チェック マーク

Windows Server 2016 Nano Server の設定

Windows Server 2016 Nano Server の管理設定の概要については、次の表をご覧ください。

設定 レジストリ コマンド ライン
1. ルート証明書の自動更新 チェック マーク
3. 日付と時刻 チェック マーク
21. Teredo チェック マーク
28. Windows Update チェック マーク

各設定の構成方法

各設定の構成方法の詳細については、以下の各セクションを参照してください。

1. ルート証明書の自動更新

ルート証明書の自動更新コンポーネントは、Windows Update の信頼された機関の一覧を自動的に調べ、更新プログラムが利用できるかどうかを確認するように設計されています。 詳しくは、「Automatic Root Certificates Update Configuration」(ルート証明書の自動更新の構成) をご覧ください。 推奨されていませんが、ルート証明書の自動更新をオフにすることができます。これをオフにすると、許可されない証明書一覧および PIN の規則一覧の更新プログラムも確認されなくなります。

注意事項

ルート証明書を自動的にダウンロードしないことにより、デバイスから一部の Web サイトに接続できない場合があります。

Windows 10、デスクトップ エクスペリエンスがインストールされている Windows Server 2016、および Windows Server 2016 Server Core の場合:

  • グループ ポリシーを有効にします。[コンピューターの構成] > [管理用テンプレート] > [システム] > [インターネット通信の管理] > [インターネット通信の設定] > [ルート証明書の自動更新をオフにする] の順に選択します。

    および

  1. [コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [公開キーのポリシー] に移動します。
  2. [証明書パス検証の設定] をダブルクリックします。
  3. [ネットワークの取得] **タブで、[これらのポリシーの設定を定義する]** チェック ボックスをオンにします。
  4. [Microsoft ルート証明書プログラムで証明書を自動更新する (推奨)] チェック ボックスをオフにして、[OK] をクリックします。

    または

  • レジストリ パス HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot を作成し、DisableRootAutoUpdate という REG_DWORD レジストリ設定を追加して、値を 1 に設定します。

    および

  1. [コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [公開キーのポリシー] に移動します。
  2. [証明書パス検証の設定] をダブルクリックします。
  3. [ネットワークの取得] **タブで、[これらのポリシーの設定を定義する]** チェック ボックスをオンにします。
  4. [Microsoft ルート証明書プログラムで証明書を自動更新する (推奨)] チェック ボックスをオフにして、[OK] をクリックします。

Windows Server 2016 Nano Server の場合:

  • レジストリ パス HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot を作成し、DisableRootAutoUpdate という REG_DWORD レジストリ設定を追加して、値を 1 に設定します。

注意

現在、CRL および OCSP ネットワーク トラフィックがホワイトリストに登録されており、これらがネットワーク トレースに引き続き表示されます。 発行元の証明書機関に対して、CRL および OCSP のチェックが行われます。 Microsoft もこうした証明書機関の 1 つですが、DigiCert、Thawte、Google、Symantec、VeriSign など他にも多数の証明書機関があります。

2. Cortana と検索

グループ ポリシーまたは MDM ポリシーを使って、Cortana の設定を管理します。 詳しくは、「Cortana、検索、プライバシー: FAQ」をご覧ください。

2.1 Cortana と 検索のグループ ポリシー

Cortana グループ ポリシー オブジェクトは、[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [検索] の順に移動した場所にあります。

ポリシー 説明
Cortana を許可する Cortana をデバイスにインストールして実行することを許可するかどうかを選択します。

Cortana をオフにするには、このポリシーを無効にします。
検索と Cortana による位置情報の使用を許可する Cortana および検索で位置情報に対応する検索結果を提供するかどうかを選択します。

Cortana の位置情報へのアクセスをブロックするには、このポリシーを無効にします。
Web 検索を許可しない Windows デスクトップ サーチから Web を検索するかどうかを選択します。

Cortana からインターネットを検索するためのオプションを削除するには、このポリシーを有効にします。
Web を検索したり [検索] に Web の検索結果を表示したりしない Cortana から Web を検索するかどうかを選択します。

Web に対するクエリの実行を停止したり、[検索] に検索結果を表示しないようにするには、このポリシーを有効にします。
[検索] で共有する情報を設定する [検索] で Bing と共有する情報を制御します。

このポリシーを有効にして、ポリシーを [匿名情報] に設定すると、使用状況の情報は共有されますが、履歴、Microsoft アカウント情報、または特定の位置情報は検索されなくなります。

次のレジストリ キーを使用して、グループ ポリシーを適用することもできます。

ポリシー レジストリ パス
Cortana を許可する HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search!AllowCortana
REG_DWORD: 0
検索と Cortana による位置情報の使用を許可する HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search!AllowSearchToUseLocation
REG_DWORD: 0
Web 検索を許可しない HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search!DisableWebSearch
REG_DWORD: 1
Web を検索したり [検索] に Web の検索結果を表示したりしない HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search!ConnectedSearchUseWeb
REG_DWORD: 0
[検索] で共有する情報を設定する HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search!ConnectedSearchPrivacy
REG_DWORD: 3

Windows 10 バージョン 1507 および Windows 10 バージョン 1511 で、[Web を検索したり [検索] に Web の検索結果を表示したりしない] グループ ポリシーを有効にすると、Cortana が Web を検索して Web 結果を表示するかどうかの動作を制御できます。 ただし、このポリシーは Web 検索が実行されるかどうかのみに対応します。 特定の Cortana コンポーネントが最新かどうかを評価するために、Bing.com への小容量のネットワーク トラフィックが存在することがあります。 そのネットワーク アクティビティを完全にオフにするには、送信トラフィックを停止する Windows ファイアウォールの規則を作成することができます。

重要

以下の手順は、Windows 10 バージョン 1607 または Windows Server 2016 を実行しているデバイスでは必要ありません。

  1. [コンピューターの構成] > [Windows の設定] > [セキュリティの設定] > [セキュリティが強化された Windows ファイアウォール] > [セキュリティが強化された Windows ファイアウォール - <LDAP 名>] を展開し、[送信の規則] をクリックします。

  2. [送信の規則] を右クリックし、[新しい規則] をクリックします。 新規の送信の規則ウィザードが開始します。

  3. [規則の種類] ページで、[プログラム] をクリックし、[次へ] をクリックします。

  4. [プログラム] ページで[このプログラムのパス] をクリックして「%windir%\systemapps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe」と入力し、[次へ] をクリックします。

  5. [アクション] ページで、[接続をブロックする]をクリックし、[次へ]をクリックします。

  6. [プロファイル] ページで、 [ドメイン][プライベート]、および [パブリック] チェック ボックスがオンになっていることを確認し、 [次へ]をクリックします。

  7. [名前] ページに規則の名前 ( Cortana firewall configurationなど) を入力し、 [完了]をクリックします。

  8. 新しい規則を右クリックし、 [プロパティ]をクリックして、 [プロトコルおよびポート]をクリックします。

  9. [プロトコルおよびポート] ページで次の情報を構成し、[OK] をクリックします。

    • [プロトコルの種類] では [TCP] を選択します。

    • [ローカル ポート] では [すべてのポート] を選択します。

    • [リモート ポート]では [すべてのポート]を選択します。

組織でネットワーク トラフィックをテストする場合、Windows ファイアウォールはプロキシのトラフィックをブロックしないため、ネットワーク プロキシを使用しないでください。 代わりに、ネットワーク トラフィック アナライザーを使用します。 必要に応じて、無料で利用できる多数のネットワーク トラフィック アナライザーが存在します。

2.2 Cortana と検索の MDM ポリシー

Windows 10 の場合のみですが、ポリシー CSP では、次の Cortana の MDM ポリシーを使用できます。

ポリシー 説明
Experience/AllowCortana Cortana をデバイスにインストールして実行することを許可するかどうかを選択します。
Search/AllowSearchToUseLocation Cortana および検索で位置情報に対応する検索結果を提供するかどうかを選択します。
既定値: 許可

3. 日付と時刻

Windows が自動的に時間を設定しないように指定できます。

  • UI でこの機能をオフにするには、[設定] > [時刻と言語] > [日付と時刻] > [時刻を自動的に設定する] の順に選択します。

    または

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type に REG_SZ レジストリ設定を作成し、値を NoSync に設定します。

その後、次の設定を構成します。

  • グループ ポリシー [コンピューターの構成] > [管理用テンプレート] > [システム] > [Windows NTP サーバーを有効にする] > [Windows タイム サービス] > [Windows NTP クライアントを構成する] を無効にします。

    注意

    これは Windows 10 バージョン 1703 以降でのみ使用できます。 Windows 10 バージョン 1607 を使用している場合、グループ ポリシー設定は [コンピューターの構成] > [管理用テンプレート] > [システム] > [Windows タイム サービス] > [タイム プロバイダー] > [Windows NTP クライアントを有効にする] です。

    • または -
  • 新しい REG_DWORD レジストリ設定 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32time\TimeProviders\NtpClient!Enabled を作成して、0 (ゼロ) に設定します。

4. デバイス メタデータの取得

Windows がデバイス メタデータをインターネットから取得しないように設定するには、[コンピューターの構成] > [管理用テンプレート] > [システム] > [デバイスのインストール] > [デバイス メタデータをインターネットから取得しない] の順に選択してグループ ポリシーを適用します。

新しい REG_DWORD レジストリ設定 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Device Metadata!PreventDeviceMetadataFromNetwork を作成して、1 に設定することもできます。

5. デバイスの検索

デバイスの検索をオフにするには:

  • UI でこの機能をオフにします。

    • または -
  • グループ ポリシー [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [デバイスの検索] > [デバイスの検索をオン/オフにする] を無効にします。

新しい REG_DWORD レジストリ設定 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FindMyDevice\AllowFindMyDevice を作成して、0 に設定することもできます。

6. フォント ストリーミング

Windows に含まれているが、ローカル デバイスに格納されていないフォントは、オンデマンドでダウンロードできます。

Windows 10 バージョン 1607、Windows Server 2016 以降を実行している場合は:

  • グループ ポリシー [コンピューターの構成] > [管理用テンプレート] > [ネットワーク] > [フォント] > [フォント プロバイダーを有効にします] を無効にします。

  • 新しい REG_DWORD レジストリ設定 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\EnableFontProviders を作成して、値を 0 (ゼロ) に設定します。

  • Windows 10 バージョン 1703 ではポリシー CSP で System/AllowFontProviders MDM ポリシーを、次のように適用することができます。

    • false。 フォント ストリーミングを無効にします。

    • true。 フォント ストリーミングを有効にします。

Windows 10 バージョン 1507 または Windows 10 バージョン 1511 を実行している場合は、HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\FontCache\ParametersDisableFontProviders という REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

注意

このポリシーを適用した後、デバイスを再起動してこのポリシー設定を有効化する必要があります。

7. Insider Preview ビルド

Windows Insider Preview プログラムを利用すると、将来の Windows の具体化をサポートしたり、コミュニティの一員となったり、Windows 10 のリリースをいち早く体験したりすることができます。 この設定は、新しいビルドをチェックする Windows Insider Preview サービスとの通信を停止します。 Windows Insider Preview ビルドは Windows 10 にのみ適用され、Windows Server 2016 では利用できません。

注意

Windows から Microsoft サービスへの接続が最小限になるように構成されたデバイス (つまり、Zero Exhaust が構成されたデバイス) を Windows Insider Preview ビルドにアップグレードした場合、[フィードバックと診断] 設定が自動的に [完全] に設定されます。 診断データ レベルは、最初、[基本] と表示されることがありますが、UI が更新されるかコンピューターが再起動してから数時間が経過すると、設定が [完全] になります。

Windows 10 のリリース バージョンで Insider Preview ビルドをオフにするには:

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [データの収集とプレビュー ビルド] > [Insider ビルドに関するユーザー コントロールの切り替え] の順に選択します。

Windows 10 で Insider Preview ビルドをオフにするには:

注意

Windows 10 のプレビュー版を実行している場合は、Insider Preview ビルドをオフにする前にリリース バージョンにロールバックする必要があります。

  • UI でこの機能をオフにするには、[設定] > [更新とセキュリティ] > [Windows Insider Program] > [Insider Preview ビルドの停止] を選択します。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [データの収集とプレビュー ビルド] > [Insider ビルドに関するユーザー コントロールの切り替え] の順に選択します。

    • または -
  • 新しい REG_DWORD レジストリ設定 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PreviewBuilds!AllowBuildPreview を作成して、値を 0 (ゼロ) に設定します。

    • または -
  • ポリシー CSP から MDM ポリシー System/AllowBuildPreview を適用します。設定できる値は次のとおりです。

    • 0: ユーザーのデバイスで、プレビュー ソフトウェアのダウンロードとインストールを実行することはできません。

    • 1: ユーザーのデバイスで、プレビュー ソフトウェアのダウンロードとインストールを実行することができます。

    • 2: (既定) 構成なし。 プレビュー ソフトウェアのダウンロードとインストールにユーザーのデバイスを使えるようにできます。

    または

  • プロビジョニング パッケージを作成します。[実行時の設定] > [Policies] > [System] > [AllowBuildPreview] の順に選択します。設定できる値は次のとおりです。

    • 0: ユーザーのデバイスで、プレビュー ソフトウェアのダウンロードとインストールを実行することはできません。

    • 1: ユーザーのデバイスで、プレビュー ソフトウェアのダウンロードとインストールを実行することができます。

    • 2: (既定) 構成なし。 プレビュー ソフトウェアのダウンロードとインストールにユーザーのデバイスを使えるようにできます。

8. Internet Explorer

グループ ポリシーを使って Internet Explorer の設定を管理します。 Internet Explorer のグループ ポリシー オブジェクトは、[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] の順に移動した場所にあります。

ポリシー 説明
おすすめサイトを有効にする 従業員がおすすめサイトを構成できるようにするかどうかを選択します。
既定値: 有効
UI で [インターネット オプション] > [詳細設定] の順にクリックし、> [おすすめサイトを有効にする] のチェック ボックスをオフにして、これを無効にすることもできます。
ユーザーがアドレス バーに入力した文字に合わせて検索候補の拡張表示を提供することを Microsoft サービスに許可する 従業員がアドレス バーに入力したときに表示される拡張候補を、従業員が構成できるかどうかを選択します。
既定値: 有効
Web アドレスのオートコンプリート機能を無効にする オートコンプリート機能で、従業員がブラウザーのアドレス バーに入力しようとしている Web アドレスを推測して、一致する候補を表示するかどうかを選択します。
既定値: 無効
UI で、[インターネット オプション] > [詳細設定] の順にクリックし、> [Internet Explorer アドレス バーと [ファイルを開く] ダイアログでインライン オートコンプリートを使用する] のチェック ボックスをオフにして、これを無効にすることもできます。
ブラウザーの地理位置情報を無効にする Web サイトが Internet Explorer から位置情報データを要求できるかどうかを選択します。
既定値: 無効
SmartScreen フィルター機能の管理を禁止する 従業員が Internet Explorer で SmartScreen フィルター機能を管理できるかどうかを選択します。
既定値: 無効

または、レジストリを使用して、グループ ポリシーを設定することも可能です。

ポリシー レジストリ パス
おすすめサイトを有効にする HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Suggested Sites!Enabled
REG_DWORD: 0
ユーザーがアドレス バーに入力した文字に合わせて検索候補の拡張表示を提供することを Microsoft サービスに許可する HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\AllowServicePoweredQSA
REG_DWORD: 0
Web アドレスのオートコンプリート機能を無効にする HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Explorer\AutoComplete!AutoSuggest
REG_SZ: No
ブラウザーの地理位置情報を無効にする HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Geolocation!PolicyDisableGeolocation
REG_DWORD: 1
SmartScreen フィルター機能の管理を禁止する HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ Internet Explorer\PhishingFilter!EnabledV9
REG_DWORD: 0

Internet Explorer で使用される、さらに 3 つのグループ ポリシー オブジェクトがあります。

パス ポリシー 説明
[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [互換表示] > [互換表示を無効にする] 従業員が互換表示を構成できるかどうかを選択します。 従業員が画面を横方向にスワイプするか、または [進む] をクリックすることで、あらかじめ読み込まれている Web サイトの次のページに移動できるかどうかを決定します。
既定値: 無効
[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [インターネット コントロール パネル] > [[詳細設定] ページ] ページ予測付きのページ フリップを無効にする 従業員が画面を横方向にスワイプするか、または [進む] をクリックすることで、あらかじめ読み込まれている Web サイトの次のページに移動できるかどうかを決定します。
既定値: 有効
[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [RSS フィード] フィードと Web スライスのバックグラウンド同期を無効にする フィードと Web スライスのバックグラウンド同期を行うかどうかを選択します。
既定値: 有効

レジストリ エントリを使って、これらのグループ ポリシーを設定することもできます。

ポリシー レジストリ パス
従業員が互換表示を構成できるかどうかを選択します。 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\BrowserEmulation!MSCompatibilityMode
REG_DWORD: 0
ページ予測付きページ フリップ機能を無効にする HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\FlipAhead!Enabled
REG_DWORD: 0
フィードと Web スライスのバックグラウンド同期を無効にする HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds!BackgroundSyncStatus
REG_DWORD:0

ホーム ページを無効にするには、グループ ポリシー [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [ホーム ページの設定の変更を許可しない] を有効にして、「about:blank」に設定します。

初回実行ウィザードを構成するには、グループ ポリシー [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [初回実行ウィザードを実行しないようにする] を有効にして、[ホーム ページに直接移動する] に設定します。

新しいタブの動作を構成するには、グループ ポリシー [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [新規タブの既定動作を指定] を有効にして、「about:blank」に設定します。

8.1 ActiveX コントロールのブロック

ActiveX コントロールのブロックでは、ブロックする必要がある古い ActiveX コントロールの新しい一覧を定期的にダウンロードします。

この機能は、次の方法によって無効にできます。

  • グループ ポリシー [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Internet Explorer] > [セキュリティの機能] > [アドオン管理] > [ActiveX VersionList の自動ダウンロードを無効にする] を適用します。

    • または -
  • REG_DWORD レジストリ設定 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\VersionManager\DownloadVersionList を 0 (ゼロ) に変更します。

詳しくは、「古い ActiveX コントロールのブロック」をご覧ください。

9. ライブ タイル

ライブ タイルをオフにするには:

  • グループ ポリシーを適用します。[ユーザーの構成] > [管理用テンプレート] > [タスク バーと [スタート] メニュー] > [通知] > [タイル通知をオフにする] の順に選択します。

    • または -
  • HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications!NoCloudApplicationNotification という REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

Windows 10 Mobile では、さらにスタート画面にピン留めされているすべてのタイルのピン留めを外す必要があります。

10. メールの同期

デバイスで構成される Microsoft アカウントのメールの同期をオフにするには次のようにします。

  • [設定] > [アカウント] > [Your email and accounts] (メールとアカウント) の順に移動し、接続しているすべての Microsoft アカウントを削除します。

    または

  • メール アプリですべての Microsoft アカウントを削除します。

    または

  • ポリシー CSP から MDM ポリシー Accounts/AllowMicrosoftAccountConnection を適用します。0 は不許可、1 は許可です。 これは、デバイスで既に設定されている Microsoft アカウントには適用されません。

Windows メール アプリをオフにするには

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Windows メール] > [Windows メール アプリケーションをオフにする] の順に選択します。

    • または -
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Mail!ManualLaunchAllowed という REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

11. Microsoft アカウント

Microsoft アカウントのクラウド認証サービスへの通信を防ぐためには、次の操作を実行します。 Microsoft アカウントの認証に依存している多くのアプリとシステム コンポーネントは、機能を失う可能性があります。 それらの一部は、予期できない動作となる可能性があります。

  • グループ ポリシー [コンピューターの構成] > [Windows 設定] > [セキュリティの設定] > [ローカル ポリシー] > [セキュリティ オプション] > [アカウント: Microsoft アカウントをブロックする] を適用し、[ユーザーは Microsoft アカウントを追加できない] に設定します。

    • または -
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System!NoConnectedUser という REG_DWORD レジストリ設定を作成し、値を 3 に設定します。 Microsoft アカウント サインイン アシスタントを無効にするには:

  • ポリシー CSP から MDM ポリシー Accounts/AllowMicrosoftAccountSignInAssistant を適用します。0 はオフ、1 はオンです。

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wlidsvc の Start という REG_DWORD レジストリ設定を 4 に設定します。

12. Microsoft Edge

グループ ポリシーまたは MDM ポリシーを使って、Microsoft Edge の設定を管理します。 詳しくは、「 Microsoft Edge and privacy: FAQ (Microsoft Edge とプライバシー: FAQ)」をご覧ください。

12.1 Microsoft Edge のグループ ポリシー

Microsoft Edge のグループ ポリシー オブジェクトは、[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Microsoft Edge] の順に移動した場所にあります。

ポリシー 説明
Allow configuration updates for the Books Library (書籍ライブラリの構成の更新を許可する) 書籍ライブラリの構成の更新を行うかどうかを選択します。
既定: 構成されていません
オートフィルの構成 従業員が Web サイトでオートフィルを使用できるかどうかを選択します。
既定値: 有効
トラッキング拒否の構成 従業員がトラッキング拒否ヘッダーを送信できるかどうかを選択します。
既定値: 無効
パスワード マネージャーの構成 従業員が各自のデバイスにローカルにパスワードを保存できるかどうかを選択します。
既定値: 有効
アドレス バーの検索候補の構成 アドレス バーに検索候補を表示するかどうかを選択します。
既定値: 有効
Windows Defender SmartScreen フィルター機能の構成 (Windows 10 バージョン 1703)
SmartScreen フィルター機能の構成 (Windows Server 2016)
Windows Defender SmartScreen を有効にするか、無効にするかを選択します。
既定値: 有効
[新しいタブ] ページでの Web コンテンツの許可 新しいタブ ページが表示されるかどうかを選択します。
既定値: 有効
スタート ページを構成する ドメインに参加しているデバイス用のスタート ページを選択します。
これは「<about:blank>」と設定します。
Microsoft Edge で最初の実行時の Web ページを開かない 最初の実行時の Web ページを従業員に表示するかどうかを選択します。
既定値: 無効

Windows 10 バージョン 1511 では、Microsoft Edge のグループ ポリシーの名前は次のとおりです。

ポリシー 説明
オートフィルを無効にする 従業員が Web サイトでオートフィルを使用できるかどうかを選択します。
既定値: 有効
従業員によるトラッキング拒否ヘッダーの送信を許可する 従業員がトラッキング拒否ヘッダーを送信できるかどうかを選択します。
既定値: 無効
パスワード マネージャーを無効にする 従業員が各自のデバイスにローカルにパスワードを保存できるかどうかを選択します。
既定値: 有効
アドレス バーの検索候補を無効にする アドレス バーに検索候補を表示するかどうかを選択します。
既定値: 有効
SmartScreen フィルター機能を無効にする SmartScreen を有効にするか、無効にするかを選択します。
既定値: 有効
Open a new tab with an empty tab (新しい空のタブを開く) 新しいタブ ページが表示されるかどうかを選択します。
既定値: 有効
Configure corporate Home pages (企業のホーム ページを構成する) ドメインに参加しているデバイス用に企業のホーム ページを構成します。
これは「about:blank」と設定します。

または、次のレジストリ エントリを使って、Microsoft グループ ポリシーを構成することができます。

ポリシー レジストリ パス
Allow configuration updates for the Books Library (書籍ライブラリの構成の更新を許可する) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\BooksLibrary!AllowConfigurationUpdateForBooksLibrary
REG_DWORD: 0
オートフィルの構成 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main!Use FormSuggest
REG_SZ: no
トラッキング拒否の構成 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main!DoNotTrack
REG_DWORD: 1
パスワード マネージャーの構成 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main!FormSuggest Passwords
REG_SZ: no
アドレス バーの検索候補の構成 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\SearchScopes!ShowSearchSuggestionsGlobal
REG_DWORD: 0
Windows Defender SmartScreen フィルター機能の構成 (Windows 10 バージョン 1703) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\PhishingFilter!EnabledV9
REG_DWORD: 0
[新しいタブ] ページでの Web コンテンツの許可 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\SearchScopes!AllowWebContentOnNewTabPage
REG_DWORD: 0
企業のホーム ページを構成する HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\ServiceUI!ProvisionedHomePages
REG_DWORD: 0

12.2 Microsoft Edge の MDM ポリシー

ポリシー CSP では、次の Microsoft Edge の MDM ポリシーを使用できます。

ポリシー 説明
Browser/AllowAutoFill 従業員が Web サイトでオートフィルを使用できるかどうかを選択します。
既定値: 許可
Browser/AllowDoNotTrack 従業員がトラッキング拒否ヘッダーを送信できるかどうかを選択します。
既定値: 許可しない
Browser/AllowMicrosoftCompatbilityList Microsoft Edge で Microsoft 互換性一覧を指定します。
既定値: 有効
Browser/AllowPasswordManager 従業員が各自のデバイスにローカルにパスワードを保存できるかどうかを選択します。
既定値: 許可
Browser/AllowSearchSuggestionsinAddressBar アドレス バーに検索候補を表示するかどうかを選択します。
既定値: 許可
Browser/AllowSmartScreen SmartScreen を有効にするか、無効にするかを選択します。
既定値: 許可
Browser/FirstRunURL Windows Mobile 10 で Microsoft Edge のホーム ページを選択します。
既定値: 空白

Microsoft Edge のすべてのポリシーの一覧については、「Microsoft Edge で利用可能なポリシー」をご覧ください。

13. ネットワーク接続状態インジケーター

ネットワーク接続状態インジケーター (NCSI) は、インターネット接続や企業のネットワーク接続の状態を検出します。 NCSI は、DNS 要求と HTTP クエリを http://www.msftconnecttest.com/connecttest.txt に送信し、デバイスがインターネットと通信できるかどうかを判別します。 NCSI について詳しくは、「The Network Connection Status Icon」(ネットワーク接続状態のアイコン) をご覧ください。

Windows 10 バージョン 1607 および Windows Server 2016 より前のバージョンの Windows 10 では、URL は http://www.msftncsi.com でした。

次のいずれかにより NCSI をオフにできます。

  • グループ ポリシーを有効にします。[コンピューターの構成] > [管理用テンプレート] > [システム] > [インターネット通信の管理] > [インターネット通信の設定] > [Windows ネットワーク接続状態インジケーターのアクティブなテストを無効にする] の順に選択します。

  • Windows 10 バージョン 1703 以降で、MDM ポリシー Connectivity/DisallowNetworkConnectivityActiveTests を適用します。

注意

このポリシーを適用した後、デバイスを再起動してこのポリシー設定を有効化する必要があります。

  • または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicator!NoActiveProbe という REG_DWORD レジストリ設定を作成して、値を 1 に設定します。

14. オフライン マップ

オフライン マップをダウンロードして更新できる機能を無効にすることができます。

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Maps] (マップ) > [Turn off Automatic Download and Update of Map Data] (地図データの自動ダウンロードおよび自動更新をオフにする) の順に選択します。

    • または -
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Maps!AutoDownloadAndUpdateMapData という REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

    および

  • Windows 10 バージョン 1607 以降では、グループ ポリシー [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [マップ] > [[オフライン マップ] 設定ページで要請していないネットワーク トラフィックを無効にする] を適用します。

    • または -
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Maps!AllowUntriggeredNetworkTrafficOnSettingsPage という REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

15. OneDrive

組織で OneDrive を無効にするには

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [OneDrive] > [OneDrive をファイル記憶域として使用できないようにする] の順に選択します。

    または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\OneDrive!DisableFileSyncNGSC という REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

    および

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\OneDrive\PreventNetworkTrafficPreUserSignIn という REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

16. プレインストール アプリ

プレインストールされたアプリの一部は、アプリを開く前にコンテンツを取得することによって優れたエクスペリエンスを保証します。 この項の手順を使用して、これらを削除できます。

ニュース アプリを削除するには:

  • スタート画面でアプリを右クリックして、[アンインストール] をクリックします。

    または

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingNews"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

    現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.BingNews | Remove-AppxPackage

天気アプリを削除するには:

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingWeather"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

    現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.BingWeather | Remove-AppxPackage

マネー アプリを削除するには:

  • スタート画面でアプリを右クリックして、[アンインストール] をクリックします。

    または

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingFinance"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

    現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.BingFinance | Remove-AppxPackage

スポーツ アプリを削除するには:

  • スタート画面でアプリを右クリックして、[アンインストール] をクリックします。

    または

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingSports"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

    現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.BingSports | Remove-AppxPackage

Twitter アプリを削除するには:

  • スタート画面でアプリを右クリックして、[アンインストール] をクリックします。

    または

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "*.Twitter"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

    現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します:Get-AppxPackage *.Twitter | Remove-AppxPackage

XBOX アプリを削除するには:

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.XboxApp"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

    現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.XboxApp | Remove-AppxPackage

Sway アプリを削除するには:

  • スタート画面でアプリを右クリックして、[アンインストール] をクリックします。

    または

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.Office.Sway"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

    現在のユーザーのアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.Office.Sway | Remove-AppxPackage

OneNote アプリを削除するには:

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.Office.OneNote"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

    現在のユーザーのアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.Office.OneNote | Remove-AppxPackage

Get Office アプリを削除するには:

  • スタート画面でアプリを右クリックして、[アンインストール] をクリックします。

    または

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.MicrosoftOfficeHub"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

    現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.MicrosoftOfficeHub | Remove-AppxPackage

Get Skype アプリを削除するには:

  • スタート画面でスポーツ アプリを右クリックして、[アンインストール] をクリックします。

    または

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.SkypeApp"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

    現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.SkypeApp | Remove-AppxPackage

付箋アプリを削除するには:

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.MicrosoftStickyNotes"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

    現在のユーザーのアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.MicrosoftStickyNotes | Remove-AppxPackage

17. [設定] > [プライバシー]

[設定] > [プライバシー] を使って、組織にとって重要ないくつかの設定を構成します。 [フィードバックと診断] ページを除き、PC にサインインするすべてのユーザー アカウントについて、以下の設定を構成する必要があります。

17.1 全般

[全般] には他の領域に該当しないオプションが含まれています。

Windows 10 バージョン1703 のオプション

[アプリの使用状況に基いてユーザーに合わせた広告を表示するために、広告識別子の使用をアプリに許可します (オフにすると、ID がリセットされます)] をオフにするには:

注意

UI でこの機能をオフにした場合、広告識別子をリセットするだけでなく、広告識別子が無効になります。

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [システム] > [ユーザー プロファイル] > [広告 ID を無効にする] の順に選択します。

    または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfoEnabled という REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

    • または -
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfo!DisabledByGroupPolicy に REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

[Web サイトが言語リストにアクセスできるようにして、地域に適したコンテンツを表示する]をオフにするには:

  • UI でこの機能をオフにします。

    または

  • HKEY_CURRENT_USER\Control Panel\International\User ProfileHttpAcceptLanguageOptOut という新しい REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

[Windows 追跡アプリの起動を許可してスタート画面と検索結果の質を向上します] をオフにするには:

  • UI でこの機能をオフにします。

    • または -
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AdvancedStart_TrackProgs という REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

Windows Server 2016 および Windows 10 バージョン 1607 以前のオプション

[アプリ間のエクスペリエンスのために、アプリで自分の広告識別子を使うことを許可する (この設定をオフにすると、ID がリセットされます)]をオフにするには

注意

UI でこの機能をオフにした場合、広告 ID は無効になりますが、ID はリセットされません。

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [システム] > [ユーザー プロファイル] > [広告 ID を無効にする] の順に選択します。

    または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfoEnabled という REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

    • または -
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfo!DisabledByGroupPolicy に REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

[SmartScreen フィルターをオンにして Microsoft Store アプリが使う Web コンテンツ (URL) を確認する]をオフにするには

  • UI でこの機能をオフにします。

    または

  • Windows Server 2016 で、グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Microsoft Edge] > [SmartScreen フィルターの構成] の順に選択します。 Windows 10 バージョン 1703 で、グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Microsoft Edge] > [Windows Defender SmartScreen フィルターの構成] の順に選択します。

    Windows Server 2016 で、グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [エクスプローラー] > [Windows SmartScreen の構成] の順に選択します。 Windows 10 バージョン 1703 で、グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [エクスプローラー] > [Windows Defender SmartScreen を構成します] の順に選択します。

    または

  • ポリシー CSP から MDM ポリシー Browser/AllowSmartScreen を適用します。0 はオフ、1 はオンです。

    または

  • 次の設定でプロビジョニング パッケージを作成します。

    • Internet Explorer の場合: [実行時の設定] > [Policies] > [Browser] > [AllowSmartScreen] の順に選択します。

    • Microsoft Edge の場合: [実行時の設定] > [Policies] > [MicrosoftEdge] > [AllowSmartScreen] の順に選択します。

    または

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHostEnableWebContentEvaluation という REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

    または

  • HKEY_LOCAL_MACHINE\Sofware\Policies\Microsoft\Windows\System!EnableSmartScreen に REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

[入力に関する情報を Microsoft に送信して、タイピングと手書きの今後の改善に役立てる] をオフにするには

注意

診断データのレベルが基本またはセキュリティに設定されている場合、この機能は自動的にオフになります。

  • UI でこの機能をオフにします。

    または

  • ポリシー CSP から MDM ポリシー TextInput/AllowLinguisticDataCollection を適用します。設定できる値は次のとおりです。

    • 0: 許可しない

    • 1: 許可する (既定値)

[Web サイトが言語リストにアクセスできるようにして、地域に適したコンテンツを表示する]をオフにするには

  • UI でこの機能をオフにします。

    または

  • HKEY_CURRENT_USER\Control Panel\International\User ProfileHttpAcceptLanguageOptOut という新しい REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

[他のデバイス上のアプリを開くことを許可し、このデバイスでのエクスペリエンスを続行する] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを無効にします。[コンピューターの構成] > [管理用テンプレート] > [システム] > [グループ ポリシー] > [このデバイスでのエクスペリエンスを続行する] の順に選択します。

    • または -
  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System!EnableCdp に REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

[他のデバイス上のアプリで Bluetooth を使用してアプリを開くことを許可し、このデバイスでのエクスペリエンスを続行する] をオフにするには:

  • UI でこの機能をオフにします。

17.2 位置情報

[位置情報] 領域で、デバイスが位置情報固有のセンサーにアクセスできるかどうかや、デバイスの位置情報にアクセスできるアプリを選択します。

[このデバイスの位置情報] をオフにするには:

  • UI で [変更] をクリックします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [場所とセンサー] > [場所を無効にする] の順に選択します。

    または

  • HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessLocation に REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

    または

  • ポリシー CSP から MDM ポリシー System/AllowLocation を適用します。設定できる値は次のとおりです。

    • 0: オフになっており、従業員が再びオンにすることはできません。

    • 1: オンになっていますが、この機能を使用するかどうかを従業員が選択できます。 (既定)

    • 2: オンになっており、従業員がオフにすることはできません。

    注意

    この MDM ポリシーは、WMI ブリッジ プロバイダーを使って、System Center Configuration Manager で設定することもできます。

    または

  • プロビジョニング パッケージを作成します。[実行時の設定] > [Policies] > [System] > [AllowLocation] の順に選択します。設定できる値は次のとおりです。

    • No: 位置情報サービスを無効にします。

    • Yes。 位置情報サービスを有効にします。 (既定)

[位置情報] をオフにするには:

  • UI でこの機能をオフにします。

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [App Privacy] > [Let Windows apps access location] の順に選択します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

    • または -

  • HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\LocationAndSensors!DisableLocation で REG_DWORD を作成し、値を 1 に設定します。

    • または -

[場所の履歴] をオフにするには:

  • UI の [クリア] を使用して履歴を消去します。

[位置情報を使えるようにするアプリを選ぶ] をオフにするには:

  • UI を使用して各アプリをオフにします。

17.3 カメラ

[カメラ] 領域で、デバイスのカメラにアクセスできるアプリを選択できます。

[アプリがカメラを使うことを許可する] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [App Privacy] > [Let Windows apps access the camera] の順に選択します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

    または

  • HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessCamera に REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

    • または -
  • ポリシー CSP から MDM ポリシー Camera/AllowCamera を適用します。設定できる値は次のとおりです。

    • 0: アプリでカメラを使用できません。

    • 1: アプリでカメラを使用できます。

    注意

    この MDM ポリシーは、WMI ブリッジ プロバイダーを使って、System Center Configuration Manager で設定することもできます。

    または

  • Windows ICD を使ってプロビジョニング パッケージを作成します。[実行時の設定] > [Policies] > [Camera] > [AllowCamera] の順に選択します。設定できる値は次のとおりです。

    • 0: アプリでカメラを使用できません。

    • 1: アプリでカメラを使用できます。

[カメラを使用できるアプリの選択]をオフにするには

  • 各アプリについて UI でこの機能をオフにします。

17.4 マイク

[マイク] 領域で、デバイスのマイクにアクセスできるアプリを選択できます。

[アプリがマイクを使うことを許可する] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [App Privacy] > [Let Windows apps access the microphone] の順に選択します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

    または

  • ポリシー CSP から MDM ポリシー Privacy/LetAppsAccessMicrophone を適用します。設定できる値は次のとおりです。

    • 0. ユーザーが制御
    • 1. 強制的に許可
    • 2. 強制的に拒否

    • または -

  • HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessMicrophone に REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

[マイクを使用できるアプリの選択] をオフにするには:

  • 各アプリについて UI でこの機能をオフにします。

17.5 通知

ネットワークを使用した通知をオフにするには

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [タスク バーと [スタート] メニュー] > [通知] > [ネットワークを使用した通知をオフにする] の順に選択します。

    • [有効] に設定します。

      • または -
  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications!NoCloudApplicationNotification に REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

[通知] 領域で、通知へのアクセスができるアプリを選択することもできます。

[アプリが通知にアクセスすることを許可する] をオフにするには

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [アプリのプライバシー] > [Windows アプリで通知にアクセスする] の順に選択します。

    • [設定を選択] ボックスを [強制的に拒否] に設定します。

      • または -
  • ポリシー CSP から MDM ポリシー Privacy/LetAppsAccessNotifications を適用します。設定できる値は次のとおりです。

    • 0. ユーザーが制御
    • 1. 強制的に許可
    • 2. 強制的に拒否

      または

  • HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessNotifications に REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

17.6 音声認識、手描き入力、タイピング

[音声認識、手書き入力、タイピング] 領域では、従業員の音声や手書き入力をサンプリングし、音声入力や手書き入力を連絡先の名前やカレンダーの項目と比較することによって、Windows や Cortana での音声入力や手書き入力の認識精度を向上させることができます。

注意

社内で Cortana を無効にする方法について詳しくは、この記事の「Cortana」をご覧ください。

機能を無効にするには:

  • [自分の情報を知らせない] をクリックし、[オフにする] をクリックします。

    • または -
  • グループ ポリシーを有効にします。[コンピューターの構成] > [管理用テンプレート] > [コントロール パネル] > [地域と言語のオプション] > [手書き認識個人用設定] > [自動学習機能をオフにする] の順に選択します。

    または

  • HKEY_LOCAL_MACHINE\Policies\Microsoft\InputPersonalization!RestrictImplicitInkCollection に REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

    • または -
  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Personalization\SettingsAcceptedPrivacyPolicy という REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

    および

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\InputPersonalization\TrainedDataStoreHarvestContacts という REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

Windows 10 バージョン 1703 以降を実行している場合、音声認識と音声合成モデルの更新をオフにすることができます。

  • グループ ポリシー [コンピューターの構成] > [管理用テンプレート]** > [Windowsコンポーネント] > [音声認識] > [音声認識データの自動更新を許可する] を無効にします。

Windows 10 バージョン 1607 以降を実行している場合、音声認識と音声合成モデルの更新をオフにすることができます。

ポリシー CSP から MDM ポリシー Speech/AllowSpeechModelUpdate を適用します。設定できる値は次のとおりです。

  • 0 (既定): 許可しない。
  • 1: 許可する。

    または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Speech_OneCore\PreferencesModelDownloadAllowed という REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

17.7 アカウント情報

[アカウント情報] 領域で、自分の名前、画像、その他のアカウント情報にアクセスできるアプリを選択できます。

[自分の名前、画像、その他のアカウント情報にアプリがアクセスすることを許可する] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [App Privacy] > [Let Windows apps access information] の順に選択します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

    または

  • ポリシー CSP から MDM ポリシー Privacy/LetAppsAccessAccountInfo を適用します。設定できる値は次のとおりです。

    • 0. ユーザーが制御
    • 1. 強制的に許可
    • 2. 強制的に拒否

    • または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\AppPrivacy!LetAppsAccessAccountInfo に REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

[アカウント情報にアクセスできるようにするアプリを選ぶ] をオフにするには:

  • 各アプリについて UI でこの機能をオフにします。

17.8 連絡先

[連絡先] 領域で、従業員の連絡先の一覧にアクセスできるアプリを選択できます。

[連絡先にアクセスできるようにするアプリの選択] をオフにするには:

  • 各アプリについて UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [アプリのプライバシー] > [Windows アプリで連絡先にアクセスする] の順に選択します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

    • または -

  • ポリシー CSP から MDM ポリシー Privacy/LetAppsAccessContacts を適用します。設定できる値は次のとおりです。

    • 0. ユーザーが制御
    • 1. 強制的に許可
    • 2. 強制的に拒否

17.9 カレンダー

[カレンダー] 領域で、従業員のカレンダーにアクセスできるアプリを選択できます。

[アプリがカレンダーにアクセスすることを許可する] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [App Privacy] > [Let Windows apps access the calendar] の順に選択します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

    または

  • ポリシー CSP から MDM ポリシー Privacy/LetAppsAccessCalendar を適用します。設定できる値は次のとおりです。

    • 0. ユーザーが制御
    • 1. 強制的に許可
    • 2. 強制的に拒否

    • または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\AppPrivacy!LetAppsAccessCalendar に REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

[カレンダーにアクセスできるようにするアプリの選択] をオフにするには

  • 各アプリについて UI でこの機能をオフにします。

17.10 通話履歴

[通話履歴] 領域で、従業員の通話履歴にアクセスできるアプリを選択できます。

[アプリが通話履歴にアクセスすることを許可する] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [アプリのプライバシー] > [Windows アプリで通話履歴にアクセスする] の順に選択します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

      • または -
    • ポリシー CSP から MDM ポリシー Privacy/LetAppsAccessCallHistory を適用します。設定できる値は次のとおりです。

    • 0. ユーザーが制御

    • 1. 強制的に許可
    • 2. 強制的に拒否

      • または -
  • HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessCallHistory に REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

17.11 メール

[メール] 領域で、メールへのアクセスと送信ができるアプリを選択できます。

[アプリがメールにアクセスして送信することを許可する] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [アプリのプライバシー] > [Windows アプリでメールにアクセスする] の順に選択します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

      • または -
    • ポリシー CSP から MDM ポリシー Privacy/LetAppsAccessEmail を適用します。設定できる値は次のとおりです。

      • 0. ユーザーが制御
      • 1. 強制的に許可
      • 2. 強制的に拒否

      • または -

  • HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessEmail に REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

17.12 メッセージング

[メッセージング] 領域で、メッセージの読み取りや送信を行うことができるアプリを選択できます。

[アプリがメッセージ (SMS または MMS) の読み取りや送信を行うことを許可する] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [App Privacy] > [Let Windows apps access messaging] の順に選択します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

    • または -

  • ポリシー CSP から MDM ポリシー Privacy/LetAppsAccess<Messaging を適用します。設定できる値は次のとおりです。

    • 0. ユーザーが制御
    • 1. 強制的に許可
    • 2. 強制的に拒否

    • または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessMessaging に REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

[メッセージの読み取りや送信を行えるようにするアプリの選択] をオフにするには

  • 各アプリについて UI でこの機能をオフにします。

17.13 通話

[電話] 領域で、通話を行うことができるアプリを選択できます。

[アプリが電話をかけることを許可する] をオフにするには:

  • UI でこの機能をオフにします。

    • または -
  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [アプリのプライバシー] > [Windows アプリが電話をかけることを許可する] の順に移動します。

    • [設定を選択] ボックスを [強制的に拒否] に設定します。

    • または -

  • ポリシー CSP から MDM ポリシー Privacy/LetAppsAccessPhone を適用します。設定できる値は次のとおりです。

    • 0. ユーザーが制御
    • 1. 強制的に許可
    • 2. 強制的に拒否

    • または -

  • HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessPhone に REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

[通話を行うことができるアプリを選びます] をオフにするには:

  • 各アプリについて UI でこの機能をオフにします。

17.14 無線

[無線] 領域で、デバイスの無線機能のオンとオフを切り替えることができるアプリを選択できます。

[アプリが無線を制御することを許可する] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [App Privacy] > [Let Windows apps control radios] の順に選択します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

    • または -

  • ポリシー CSP から MDM ポリシー Privacy/LetAppsAccessRadios を適用します。設定できる値は次のとおりです。

    • 0. ユーザーが制御
    • 1. 強制的に許可
    • 2. 強制的に拒否

    • または -

  • HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessRadios に REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

[無線を制御できるようにするアプリを選ぶ] をオフにするには:

  • 各アプリについて UI でこの機能をオフにします。

17.15 他のデバイス

[他のデバイス] 領域で、Xbox One など、PC とペアリングされていないデバイスで情報を共有および同期するかどうかを選択できます。

[PC、タブレット、電話と明示的にペアリングする必要がないワイヤレス デバイスとの間で、アプリが自動的に情報の共有や同期を行えるようにする] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [アプリのプライバシー] > [Windows アプリでデバイスと同期する] の順に選択します。

    • または -
  • ポリシー CSP から MDM ポリシー Privacy/LetAppsSyncWithDevices を適用します。設定できる値は次のとおりです。

    • 0. ユーザーが制御
    • 1. 強制的に許可
    • 2. 強制的に拒否

    または

  • HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsSyncWithDevices に REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

[アプリが信頼済みのデバイス (PC、タブレット、電話に既に接続されているか、付属していたデバイス) を使うことを許可します] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [アプリのプライバシー] > [Windows アプリで信頼済みデバイスにアクセスする] の順に選択します。

    • [設定を選択] ボックスを [強制的に拒否] に設定します。

17.16 フィードバックと診断

[フィードバックと診断] 領域で、フィードバックを求められる頻度と、Microsoft に送信される診断や使用状況に関する情報の量を選択できます。

[フィードバックを求められる頻度] で頻度を変更するには:

注意

フィードバックの頻度はユーザー生成のフィードバックにのみ適用され、デバイスから送信される診断と使用状況データには適用されません。

  • [自動 (推奨)] 以外の値に変更するには、UI でドロップダウン リストを使用します。

    • または -
  • グループ ポリシーを有効にします。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [データの収集とプレビュー ビルド] > [フィードバックの通知を表示しない] の順に選択します。

    • または -
  • HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\DataCollection!DoNotShowFeedbackNotifications に REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

    • または -
  • レジストリ キー (REG_DWORD 型) を作成します。

    • HKEY_CURRENT_USER\Software\Microsoft\Siuf\Rules\PeriodInNanoSeconds

    • HKEY_CURRENT_USER\Software\Microsoft\Siuf\Rules\NumberOfSIUFInPeriod

    以下の設定に基づいて設定します。

    設定 PeriodInNanoSeconds NumberOfSIUFInPeriod
    自動 レジストリの設定を削除する レジストリの設定を削除する
    しない 0 0
    常時 100000000 レジストリの設定を削除する
    1 日 1 回 864000000000 1
    1 週間に 1 回 6048000000000 1

[デバイスのデータを Microsoft に送信する] で送信される診断データと使用状況データの量を変更するには:

  • [基本] または [完全] のいずれかのオプションをクリックします。

    • または -
  • グループ ポリシーを適用します。[コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\[データの収集とプレビュー ビルド]\[利用統計情報の許可] の順に選択し、展開に適したオプションを選択します。

    • または -
  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection\AllowTelemetry に REG_DWORD レジストリ設定を作成し、展開に合わせて値を 0 ~ 3 に設定します (各レベルの値については以下を参照してください)。

注意

[セキュリティ] オプションがグループ ポリシーまたはレジストリを使用して構成されている場合、値は UI に反映されません。 [セキュリティ] オプションは、Windows 10 Enterprise エディションでのみ利用できます。

または

  • ポリシー CSP から MDM ポリシー System/AllowTelemetry を適用します。設定できる値は次のとおりです。

    • 0: [セキュリティ] レベルにマップされます。

    • 1: [基本] レベルにマップされます。

    • 2: [拡張] レベルにマップされます。

    • 3: [完全] レベルにマップされます。

    または

  • プロビジョニング パッケージを作成します。[実行時の設定] > [Policies] > [System] > [AllowTelemetry] の順に選択します。設定できる値は次のとおりです。

    • 0: [セキュリティ] レベルにマップされます。

    • 1: [基本] レベルにマップされます。

    • 2: [拡張] レベルにマップされます。

    • 3: [完全] レベルにマップされます。

[適切なヒントや推奨事項などユーザーに合ったエクスペリエンスが提供されるように、Microsoft に診断データの使用を許可します] をオフにするには:

  • UI でこの機能をオフにします。

    • または -
  • グループ ポリシー [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] > [クラウド コンテンツ] > [ユーザーに合ったエクスペリエンスが提供されるように、Microsoft に診断データの使用を許可しない] を適用します。

17.17 バックグラウンド アプリ

[バックグラウンド アプリ] 領域で、バックグラウンドで実行できるアプリを選択できます。

[アプリのバックグラウンド実行を許可する] をオフにするには

  • [バックグラウンド アプリ][アプリのバックグラウンド実行を許可する][オフ] に設定します。

    • または -
  • [バックグラウンド アプリ] で、各アプリについてこの機能をオフにします。

    • または -
  • グループ ポリシー [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [アプリのプライバシー] > [Windows アプリのバックグラウンド実行を許可する] を適用します (Windows 10 バージョン 1703 のみ適用されます)。

    • [設定を選択] ボックスを [強制的に拒否] に設定します。

    • または -

  • ポリシー CSP から MDM ポリシー Privacy/LetAppsRunInBackground を適用します。設定できる値は次のとおりです。

    • 0. ユーザーが制御
    • 1. 強制的に許可
    • 2. 強制的に拒否

17.18 モーション

[モーション] 領域で、モーション データにアクセスできるアプリを選択できます。

[Windows やアプリがモーション データにアクセスしてモーションの履歴を集めることを許可する] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [アプリのプライバシー] > [Windows アプリでモーションにアクセスする] の順に選択します。

    • または -
  • ポリシー CSP から MDM ポリシー Privacy/LetAppsAccessMotion を適用します。設定できる値は次のとおりです。

    • 0. ユーザーが制御
    • 1. 強制的に許可
    • 2. 強制的に拒否

    • または -

  • HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessMotion に REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

17.19 タスク

[タスク] 領域で、タスクへのアクセスができるアプリを選択できます。

この機能をオフにするには:

  • UI でこの機能をオフにします。

    • または -
  • グループ ポリシー [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [アプリのプライバシー] > [Windows アプリでタスクにアクセスする] を適用します。

    • [設定を選択] ボックスを [強制的に拒否] に設定します。

      • または -
  • ポリシー CSP から MDM ポリシー Privacy/LetAppsAccessTasks を適用します。設定できる値は次のとおりです。

    • 0. ユーザーが制御
    • 1. 強制的に許可
    • 2. 強制的に拒否

17.20 アプリの診断

[アプリの診断] 領域で、診断情報にアクセスできるアプリを選択できます。

この機能をオフにするには:

  • UI でこの機能をオフにします。

    • または -
  • グループ ポリシー [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [アプリのプライバシー] > [Windows アプリでアカウント情報にアクセスする] を適用します。

    • または -
  • ポリシー CSP から MDM ポリシー Privacy/LetAppsGetDiagnosticInfo を適用します。設定できる値は次のとおりです。

    • 0. ユーザーが制御
    • 1. 強制的に許可
    • 2. 強制的に拒否

18. ソフトウェア保護プラットフォーム

企業ユーザーは、オンプレミスのキー マネージメント サーバーを使い、ボリューム ライセンスに基づいて Windows のライセンス認証の状態を管理することができます。 KMS クライアントがライセンス認証データを自動的に Microsoft に送信しないように設定するには、次のいずれかを実行します。

Windows 10 の場合:

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [ソフトウェア保護プラットフォーム] > [KMS クライアント オンライン AVS 検証を無効にする]

    • または -
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\AppPrivacy!LetAppsAccessContacts に REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

    • または -
  • ポリシーCSP から MDM ポリシー Licensing/DisallowKMSClientOnlineAVSValidation を適用します。0 は無効 (既定) で、1 は有効です。

デスクトップ エクスペリエンスがインストールされている Windows Server 2016 または Windows Server 2016 Server Core の場合:

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [ソフトウェア保護プラットフォーム] > [KMS クライアント オンライン AVS 検証を無効にする]

    • または -
  • HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection Platform!NoGenTicket に REG_DWORD レジストリ設定を作成し、値 1 を設定します。

Windows のライセンス認証の状態は、KMS に対して毎週ライセンス認証状態チェックが行われる 180 日の周期的期間の間有効になります。

19. 記憶域の正常性

企業ユーザーは、Disk Failure Prediction Model の更新プログラムを管理できます。

Windows 10 の場合:

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [システム] > [記憶域の正常性] > [Allow downloading updates to the Disk Failure Prediction Model] (Disk Failure Prediction Model の更新プログラムのダウンロードを許可する)

20. 設定の同期

設定を同期するかどうかを制御できます。

  • UI で、[設定] > [アカウント] > [設定の同期] の順に選択します。

    または

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [設定の同期] > [同期しない] の順に選択します。

    • または -
  • HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\SettingSync!DisableSettingSync に REG_DWORD レジストリ設定を作成し、値を 2 に設定します。HKEY_LOCAL_MACHINE\Policies\Microsoft\Windows\SettingSync!DisableSettingSyncUserOverride に REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

    または

  • ポリシー CSP から MDM ポリシー Experience/AllowSyncMySettings を適用します。0 は不許可、1 は許可です。

    または

  • プロビジョニング パッケージを作成します。[実行時の設定] > [Policies] > [Experience] > [AllowSyncMySettings] の順に選択します。設定できる値は次のとおりです。

    • No: 設定は同期されません。

    • Yes。 設定は同期されます。 (既定)

メッセージング クラウドの同期をオフにするには:

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\MessagingCloudServiceSyncEnabled という REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

21. Teredo

netsh.exe コマンドまたはグループ ポリシーを使用して Teredo を無効にすることができます。 Teredo について詳しくは、「インターネット プロトコル バージョン 6、Teredo、および関連するテクノロジ」をご覧ください。

注意

Teredo を無効にすると、一部の Xbox ゲーム機能と Windows Update の配信の最適化は動作しなくなります。

  • グループ ポリシーを有効にします。[コンピューターの構成] > [管理用テンプレート] > [ネットワーク] > [TCPIP 設定] > [IPv6 移行テクノロジ] > [Teredo 状態を設定する] を選択し、[無効状態] に設定します。

    または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\TCPIP\v6Transition!Teredo_State に新しい REG_SZ レジストリ設定を作成し、値を「Disabled」に設定します。

    または

  • 管理者特権のコマンド プロンプトから、「netsh interface teredo set state disabled」を実行します。

22. Wi-Fi センサー

Wi-Fi センサーは、既知のホットスポットや、ユーザーの連絡先と共有しているワイヤレス ネットワークに、自動的にデバイスを接続します。

[推奨されたオープン ホットスポットに接続する][連絡先によって共有されたネットワークに接続する] をオフにするには

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを無効にします。[コンピューターの構成] > [管理用テンプレート] > [ネットワーク] > [WLAN サービス] > [WLAN 設定] > [推奨されるオープン ホットスポット、連絡先によって共有されたネットワーク、有料サービスを提供するホットスポットに Windows が自動的に接続することを許可する] の順に選択します。

    または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WcmSvc\wifinetworkmanager\configAutoConnectAllowedOEM という新しい REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

    または

  • Windows プロビジョニングの設定 WiFISenseAllowed を 0 (ゼロ) に変更します。 詳しくは、Windows プロビジョニングの設定に関するリファレンス ドキュメントの WiFiSenseAllowed に関するページをご覧ください。

    または

  • 無人設定を使用して、WiFiSenseAllowed の値を 0 (ゼロ) に設定します。 詳しくは、Windows の無人セットアップに関するリファレンス ドキュメントの WiFiSenseAllowed に関するページをご覧ください。

Wi-Fi センサーを無効にしても、Wi-Fi センサーの設定は引き続き Wi-Fi 設定画面に表示されますが、設定は機能せず、従業員が制御することはできません。

23. Windows Defender

Microsoft Antimalware Protection Service から切断することができます。

  • グループ ポリシーを無効にします。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Defender ウイルス対策] > [MAPS] > [Microsoft MAPS に参加する] の順に選択します。

    • または -
  • レジストリ設定 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Updates!DefinitionUpdateFileSharesSources を削除します。

    または

  • Windows 10 の場合のみですが、Defender CSP から MDM ポリシー Defender/AllowClouldProtection を適用します。

    または

  • レジストリを使用して、HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet\SpyNetReporting の REG_DWORD 値を 0 (ゼロ) に設定します。

    および

    管理者特権で起動した Windows PowerShell プロンプトで、set-mppreference -Mapsreporting 0 を実行します。

ファイルのサンプルを Microsoft に送信することを停止できます。

  • グループ ポリシーを設定します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Defender ウイルス対策] > [MAPS] > [詳細な分析が必要な場合はファイルのサンプルを送信する] の順に選択し、[常に確認する] または [送信しない] に設定します。

    または

  • Windows 10 の場合のみですが、Policy CSP から MDM ポリシー Defender/SubmitSamplesConsent を適用します。

    • 0: 常に確認します。

    • 1: (既定) 安全なサンプルを自動的に送信します。

    • 2: 送信しません。

    • 3: すべてのサンプルを自動的に送信します。

    または

  • レジストリを使用して、HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet\SubmitSamplesConsent の REG_DWORD 値を 0 (ゼロ) (常に確認する場合) または 2 (送信しない場合) に設定します。

定義の更新プログラムのダウンロードを停止できます。

  • グループ ポリシー [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Defender ウイルス対策] > [署名の更新] > [定義の更新をダウンロードするための更新元の順序を定義する][FileShares] に設定して、有効にします。

    および

  • グループ ポリシーを無効にします。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Defender ウイルス対策] > [署名の更新] > [定義の更新をダウンロードするためのファイル共有を定義する] の順に選択し、[なし] に設定します。

    または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Updates!FallbackOrder に新しい REG_SZ レジストリ設定を作成し、値を FileShares に設定します。

Windows 10 の場合のみですが、拡張通知を停止することができます。

  • UI でこの機能をオフにします。

レジストリを使用して、Malicious Software Reporting Tool の診断データをオフにすることもできます。そのためには、HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MRT\DontReportInfectionInformation の REG_DWORD の値を 1 に設定します。

24. Windows Media Player

Windows 10 で Windows Media Player を削除するには:

  • [プログラムと機能] コントロール パネルで [Windows の機能の有効化または無効化]をクリックし、[メディア機能][Windows Media Player] チェック ボックスをオフにして、[OK]をクリックします。

    または

  • 管理者特権のコマンド プロンプトから次の DISM コマンドを実行します: dism /online /Disable-Feature /FeatureName:WindowsMediaPlayer

Windows Server 2016 で Windows Media Player を削除するには:

  • 管理者特権のコマンド プロンプトから次の DISM コマンドを実行します: dism /online /Disable-Feature /FeatureName:WindowsMediaPlayer

25. Windows スポットライト

Windows スポットライトは、ロック画面でのさまざまな背景画像やテキスト、おすすめのアプリ、Microsoft アカウントの通知、Windows のヒントなどの機能を提供します。 これは、ユーザー インターフェイス、MDM ポリシー、またはグループ ポリシーを使用して制御できます。

Windows 10 バージョン 1607 以降を実行している場合、次のグループ ポリシーのみを有効にする必要があります。

  • [ユーザーの構成] > [管理用テンプレート] > [Windows コンポーネント] > [クラウド コンテンツ] > [Windows スポットライト機能をすべて無効にする]

    注意

    これは、Windows 10 のインストール後、15 分以内に実行する必要があります。 代わりに、この設定を含むイメージを作成することができます。

    • または -
  • Windows 10 の場合のみですが、ポリシー CSP から MDM ポリシー Experience/AllowWindowsSpotlight を適用し、値を 0 (ゼロ) に設定します。

    または

  • HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CloudContent!DisableWindowsSpotlightFeatures に新しい REG_DWORD を作成し、値を 1 に設定します。

Windows 10 バージョン 1607 以降を実行していない場合は、このセクションの他のオプションを使用できます。

  • [設定]で次のように構成します。

    • [個人用設定] > [ロック画面] > [背景] > [Windows スポットライト] の順に選び、別の背景を選択し、[ロック画面にトリビアやヒントなどの情報を表示する] をオフにします。

      注意

      Windows 10 バージョン 1507 および Windows 10 バージョン1511 では、この設定は [ロック画面にトリビアやヒントなどの情報を表示する] と呼ばれていました。

    • [個人用設定] > [スタート] > [ときどきスタート画面におすすめを表示する] の順に選択します。

    • [システム] > [通知+アクション] > [Windows に関するヒントを表示する] の順に選択します。

    または

  • グループ ポリシーを適用します。

    • [コンピューターの構成] > [管理用テンプレート] > [コントロール パネル] > [個人用設定] > [特定の既定のロック画面イメージを強制する] の順に選択します。

      • [Path to local lock screen image] (ローカル ロック画面イメージへのパス) ボックスに場所を追加します。

      • [Turn off fun facts, tips, tricks, and more on lock screen] (ロック画面の愉快な事実、ヒント、小技などをオフにする) チェック ボックスをオンにします。

      注意

      これは最初にログオンする前にポリシーが適用される場合のみ有効となります。 デバイスへの最初のログオンの前に [特定の既定のロック画面イメージを強制する] ポリシーを適用できない場合、このポリシーを適用することができます。[コンピューターの構成] > [管理用テンプレート] > [コントロール パネル] > [個人用設定] > [ロック画面を表示しない] の順に選択します。 または HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization!LockScreenImage に新しい REG_SZ レジストリ設定を作成し、値を「C:\windows\web\screen\lockscreen.jpg」に設定し、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Personalization!LockScreenOverlaysDisabled に新しい REG_DWORD レジストリ設定 を作成して、値を 1 に設定します。

    • [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [クラウド コンテンツ] > [Windows のヒントを表示しない] の順に選択します。

    • または -

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CloudContent!DisableSoftLanding に新しい REG_DWORD を作成し、値を 1 に設定します。

    • [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [クラウド コンテンツ] > [Microsoft コンシューマー エクスペリエンスを無効にする] の順に選択します。

      • または -
    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CloudContent!DisableWindowsConsumerFeatures に新しい REG_DWORD を作成し、値を 1 に設定します。

詳しくは、「ロック画面の Windows スポットライト」をご覧ください。

26. Microsoft Store

プレインストールまたはダウンロードされている Microsoft Store のアプリを起動する機能をオフにすることができます。 これによりアプリの自動更新もオフになり、Microsoft Store が無効になります。 また、[設定] > [アカウント] > [メール & アプリのアカウント] > [アカウントを追加] をクリックして新しいアカウントを作成することもできません。 Windows Server 2016では、これにより、ユニバーサル Windows アプリからの Microsoft Store の呼び出しがブロックされます。

  • グループ ポリシーを適用します。[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Store] > [Microsoft Store からすべてのアプリを無効にする] の順に選択します。

    • または -

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore!DisableStoreApps に新しい REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

  • グループ ポリシー [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Store]> [更新プログラムの自動ダウンロードおよび自動インストールをオフにする] を適用します。

    • または -

    • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore!AutoDownload に新しい REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

26.1 Web サイト用のアプリ

Web サイト用のアプリを無効にして、関連付けられているアプリが登録された Web サイトをユーザーが訪問したときに、直接アプリを起動することを防止できます。

グループ ポリシー [コンピューターの構成] > [管理用テンプレート] > [システム] > [グループ ポリシー] > [アプリ URI ハンドラーを使用した Web とアプリのリンクを構成します] を無効にします。

27. Windows Update の配信の最適化

Windows Update の配信の最適化によって、Windows の更新プログラムと Microsoft Store アプリを Microsoft 以外のソースから入手できます。インターネット接続が制限されている場合や、信頼性が低い場合に便利であることに加えて、組織のすべての PC を最新の状態に保つために必要な帯域幅の量を減らすことができます。 配信の最適化を有効にした場合、ネットワーク上の PC は、ローカル ネットワーク上の他の PC や、インターネット上の PC (選択した場合) との間で更新プログラムやアプリを送受信できるようになります。

既定では、Windows 10 Enterprise および Windows 10 Education を実行している PC では、配信の最適化のみを使用して、ローカル ネットワーク上で PC の更新プログラムやアプリを取得できます。

配信の最適化を設定するには、UI、グループ ポリシー、MDM ポリシー、または Windows プロビジョニングを使用します。

Windows 10 バージョン 1607 では、[ダウンロード モード][簡易] (99) または [バイパス] (100) に設定して、Windows Update の配信の最適化に関連するネットワーク トラフィックを停止することができます。次の手順を実行します。

27.1 [設定] > [更新とセキュリティ]

配信の最適化は、[設定] の UI から設定できます。

  • [設定] > [更新とセキュリティ] > [Windows Update] > [詳細オプション] > [更新プログラムの提供方法を選ぶ] の順に選択します。

27.2 配信の最適化のグループ ポリシー

配信の最適化のグループ ポリシー オブジェクトを表示するには、[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [配信の最適化] の順に選択します。

ポリシー 説明
ダウンロード モード 配信の最適化で、次のように更新プログラムやアプリを取得または送信する場所を選択できます。
  • なし。 配信の最適化を無効にします。

  • グループ。 更新プログラムとアプリを同じローカル ネットワーク ドメインの PC から取得または PC に送信します。

  • インターネット。 更新プログラムとアプリをインターネット上の PC から取得または PC に送信します。

  • LAN。 更新プログラムとアプリを同じ NAT 上の PC から取得または PC に送信します。

  • 簡易。 ピアリングなしの簡易なダウンロード モードです。

  • バイパス。 Windows Update の配信の最適化は使用されず、代わりに BITS が使用されます。

グループ ID アプリと更新プログラムを共有できる PC を制限するグループ ID を指定できます。
注意: この ID には GUID を指定する必要があります。
最大キャッシュ時間 ファイルが配信の最適化のキャッシュに保持される最大時間 (秒単位) を指定できます。
既定値は 259200 秒 (3 日) です。
最大キャッシュ サイズ 最大キャッシュ サイズをディスク サイズに対する割合で指定できます。
既定値は 20 で、ディスクの 20% を表します。
最大アップロード帯域幅 すべての同時アップロード アクティビティでデバイスが使用する最大アップロード帯域幅 (KB/秒単位) を指定できます。
既定値は 0 で、可能な範囲で無制限の帯域幅を意味します。

また、ダウンロード モード ポリシーを設定することもできます。HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization!DODownloadMode に新しい REG_DWORD レジストリ設定を作成して、値を 100 に設定します。

27.3 配信の最適化の MDM ポリシー

ポリシー CSP では、次の配信の最適化の MDM ポリシーを使用できます。

ポリシー 説明
DeliveryOptimization/DODownloadMode 配信の最適化で、次のように更新プログラムやアプリを取得または送信する場所を選択できます。
  • 0。配信の最適化を無効にします。

  • 1。更新プログラムとアプリを同じ NAT 上の PC から取得または PC に送信します。

  • 2。更新プログラムとアプリを同じローカル ネットワーク ドメインの PC から取得または PC に送信します。

  • 3。更新プログラムとアプリをインターネット上の PC から取得または PC に送信します。

  • 99。ピアリングなしの簡易なダウンロード モードです。

  • 100。Windows Update の配信の最適化は使用されず、代わりに BITS が使用されます。

DeliveryOptimization/DOGroupID アプリと更新プログラムを共有できる PC を制限するグループ ID を指定できます。
注意: この ID には GUID を指定する必要があります。
DeliveryOptimization/DOMaxCacheAge ファイルが配信の最適化のキャッシュに保持される最大時間 (秒単位) を指定できます。
既定値は 259200 秒 (3 日) です。
DeliveryOptimization/DOMaxCacheSize 最大キャッシュ サイズをディスク サイズに対する割合で指定できます。
既定値は 20 で、ディスクの 20% を表します。
DeliveryOptimization/DOMaxUploadBandwidth すべての同時アップロード アクティビティでデバイスが使用する最大アップロード帯域幅 (KB/秒単位) を指定できます。
既定値は 0 で、可能な範囲で無制限の帯域幅を意味します。

27.4 Windows プロビジョニングの配信の最適化

社内に MDM サーバーがない場合は、Windows プロビジョニングを使って配信の最適化のポリシーを構成できます。

Windows アセスメント & デプロイメント キット (Windows ADK) に含まれている Windows ICD を使って、配信の最適化のプロビジョニング パッケージを作成します。

  1. Windows ICD を開き、[新しいプロビジョニング パッケージ] をクリックします。

  2. [名前] ボックスに、プロビジョニング パッケージの名前を入力し、[次へ] をクリックします。

  3. [すべての Windows エディションに共通] をクリックし、[次へ] をクリックして、[完了] をクリックします。

  4. [実行時の設定] > [Policies] > [DeliveryOptimization] の順に選択して、ポリシーを構成します。

配信の最適化について詳しくは、「Windows Update の配信の最適化に関する FAQ のページ」をご覧ください。

28. Windows Update

次のレジストリ エントリを設定して Windows Update をオフにすることができます。

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdateDoNotConnectToWindowsUpdateInternetLocations という REG_DWORD 値を追加して、値を 1 に設定します。

    および

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdateDisableWindowsUpdateAccess という REG_DWORD 値を追加して、値を 1 に設定します。

    および

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AUUseWUServer という REG_DWORD 値を追加して、値を 1 に設定します。

    • または -
  • グループ ポリシー [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Update] > [インターネット上の Windows Update に接続しない] を適用します。

    および

  • グループ ポリシー [コンピューターの構成] > [管理用テンプレート] > [システム] > [インターネット通信の管理] > [インターネット通信の設定] > [Windows Update のすべての機能へのアクセスをオフにする] を適用します。

    および

  • グループ ポリシー [コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Update] > [イントラネットの Microsoft 更新サービスの場所を指定する] を適用し、[代替ダウンロード サーバーの設定] を空白に設定します。

自動更新をオフにするには、次のいずれかを行います。 これはお勧めできません。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdateAutoDownload という REG_DWORD 値を追加して、値を 5 に設定します。

    または

  • Windows 10 の場合のみですが、ポリシー CSP から MDM ポリシー Update/AllowAutoUpdate を適用します。設定できる値は次のとおりです。

    • 0: 更新プログラムをダウンロードする前にユーザーに通知します。

    • 1: 更新プログラムを自動的にインストールし、デバイスの再起動をスケジュールするように、ユーザーに通知します。

    • 2 (既定): 自動的にインストールして、再起動します。

    • 3: 自動的にインストールして、指定された日時に再起動します。

    • 4: 自動的にインストールして、エンドユーザーの制御なしで再起動します。

    • 5: 自動更新を無効にします。

詳しくは、「デバイスの更新管理」および「グループ ポリシーを使用して自動更新を構成する」をご覧ください。