Intuneを使用して共有デバイスを管理するためのWindows 10/11 以降の設定

  • [アーティクル]

注:

Intune では、この記事に記載されている設定よりも多くの設定がサポートされている場合があります。 すべての設定が文書化されているわけではなく、今後も文書化されない可能性があります。 構成できる設定を確認するには、デバイス構成ポリシーを作成し、[設定カタログ] を選択します。 詳細については、「設定カタログ」を参照してください。

Windows 10/11 クライアント デバイス (Microsoft Surface など) は、多くのユーザーが使用できます。 複数のユーザーを持つデバイスは共有デバイスと呼ばれ、モバイル デバイス管理 (MDM) ソリューションの一部です。

エンドユーザーは、これらの共有デバイスにゲスト アカウントでサインインできます。 デバイスを使用すると、許可されている機能にのみアクセスできます。 Intune管理者は、アクセスを構成し、アカウントを削除するタイミングを選択し、共有 Windows クライアント デバイスの電源管理設定などを制御します。

この記事では、Intune デバイス構成プロファイルで構成できる設定の一部について説明します。 Intune でプロファイルが作成されると、そのプロファイルを組織内のデバイス グループにデプロイするか割り当てます。 このプロファイルは、デバイスの種類と Windows OS のバージョンが混在するデバイス グループに割り当てることもできます。

Intuneのこの機能の詳細については、「共有 PC またはマルチユーザー デバイスでのアクセス、アカウント、電源機能の制御」を参照してください。 Windows CSP の詳細については、「 SharedPC CSP」を参照してください。

開始する前に

共有マルチユーザー デバイス設定

これらの設定では 、SharedPC CSP が使用されます。

  • 共有 PC モード: 有効にすると 、共有 PC モードがオンになります。 このモードでは、一度に 1 人のユーザーのみがデバイスにサインインします。 別のユーザーは、最初のユーザーがサインアウトするまでサインインできません。[未構成] (既定値) に設定した場合、Intuneはこの設定を変更または更新しません。

  • ゲスト アカウント: サインイン画面で [ゲスト] オプションを作成することを選択します。 ゲスト アカウントでは、ユーザーの資格情報や認証は必要ありません。 この設定では、ユーザーがデバイスを使用するたびに新しいローカル アカウントが作成されます。 次のようなオプションがあります:

    • ゲスト: ローカル ゲスト アカウントのみがデバイスにサインインできます。
    • ドメイン: Microsoft Entra ドメイン アカウントのみがデバイスにサインインできます。
    • ゲストとドメイン: ローカル ゲスト アカウントまたは Microsoft Entra ドメイン アカウントがデバイスにサインインできるようにします。

  • アカウント管理: アカウントが自動的に削除されるかどうかを選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。

    • 有効: ゲストによって作成されたアカウントと、オンプレミスの Active DirectoryおよびMicrosoft Entra ID内のアカウントは、デバイスから自動的に削除されます。 ユーザーがデバイスをサインオフしたとき、またはシステムメンテナンスが実行されると、これらのアカウントはデバイスから削除されます。

      また、以下の内容も入力します。

      • [アカウントの削除]: アカウントを削除するタイミングを選択します。
        • ストレージ領域のしきい値
        • 記憶域領域のしきい値と非アクティブなしきい値
        • ログアウト直後

      また、以下の内容も入力します。

      • 削除のしきい値 (%)を開始する: ディスク領域の割合 (0 から 100) を入力します。 ディスク/ストレージ領域の合計が入力した値を下回ると、キャッシュされたアカウントが削除されます。 アカウントを継続的に削除して、ディスク領域を解放します。 最も長く非アクティブなアカウントは、最初に削除されます。
      • 削除の停止のしきい値 (%): ディスク領域の割合 (0 から 100) を入力します。 ディスク/ストレージ領域の合計が入力した値を満たすと、削除は停止します。
      • 非アクティブなアカウントのしきい値: サインインしていないアカウントを削除するまでの連続した日数を 0 から 60 日まで入力します。

    • 無効: ゲストによって作成されたローカル アカウント、Active Directory アカウント、Microsoft Entra アカウントはデバイスに残り、削除されません。

  • ローカル ストレージ: ローカル ストレージを使用すると、ユーザーはデバイスのハード ドライブにファイルを保存して表示できます。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。
    • 有効: ユーザーは、エクスプローラーを使用してファイルをローカルで表示および保存できます。
    • 無効: ユーザーがデバイスのハード ドライブにファイルを保存および表示できないようにします。

  • 電源ポリシー: ユーザーが電源設定を変更することを許可または禁止します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。
    • 有効: ユーザーはデバイスを休止状態にし、ふたを閉じてデバイスをスリープ状態にし、電源設定を変更できます。
    • 無効: ユーザーは休止状態をオフにすることも、すべてのスリープ アクションをオーバーライドすることも (蓋を閉じるなど)、電源設定を変更することもできません。

  • スリープ タイムアウト (秒単位): デバイスがスリープ モードになるまでの非アクティブな秒数 (0 から 18000) を入力します。 0 は、デバイスがスリープ状態になることがないことを意味します。 時間を設定しない場合、デバイスは 3600 秒 (60 分) 後にスリープ状態になります。

  • [PC のスリープ解除時にサインインする]: デバイスがスリープ モードから復帰した後にユーザーがサインインする必要があるかどうかを選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。
    • 有効: デバイスがスリープ モードから外れたときに、ユーザーがパスワードでサインインする必要があります。
    • 無効: ユーザーはユーザー名とパスワードを入力する必要はありません。

  • メンテナンス開始時刻 (午前 0 時から分単位): Windows Updateなどの自動メンテナンス タスクを実行する時間を分単位 (0 から 1440) で入力します。 既定の開始時刻は午前 0 時または 0 (0) 分です。 開始時刻を変更するには、午前 0 時から分単位で開始時刻を入力します。 たとえば、メンテナンスを午前 2 時に開始する場合は、「 」と入力します 120。 メンテナンスを午後 8 時に開始する場合は、「」と入力します 1200

    [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

  • 教育ポリシー: 教育環境のポリシーが有効になっているかどうかを選択します。 次のようなオプションがあります。

    • 未構成 (既定): Intune では、この設定は変更または更新されません。
    • 有効: 学校で使用されるデバイスに対して推奨される設定を使用します。この設定は制限が厳しくなっています。
    • 無効: 既定の推奨教育ポリシーは使用されません。

    教育ポリシーの機能の詳細については、「教育のお客様向けのWindows 10構成に関する推奨事項」を参照してください。

ヒント

共有またはゲスト PC のセットアップ (別のドキュメント Web サイトを開く) は、共有モードで設定できる概念やグループ ポリシーなど、この Windows クライアント機能の優れたリソースです。