Intune を使用して機能を許可または制限するように Windows 10/11 デバイスを設定する

[アーティクル]
11/16/2023

注:

Intune では、この記事に記載されている設定よりも多くの設定がサポートされる場合があります。すべての設定が文書化されているわけではないので、文書化されません。構成できる設定を確認するには、デバイス構成ポリシーを作成し、[ 設定カタログ] を選択します。詳細については、「設定カタログ」を参照してください。

この記事では、Windows クライアントデバイスで制御できるいくつかの設定について説明します。モバイルデバイス管理 (MDM) ソリューションの一部として、これらの設定を使用して、機能の許可または無効化、パスワードルールの設定、ロック画面のカスタマイズ、Microsoft Defender の使用などを行います。

これらの設定は以下に適用されます:

Windows 11
Windows 10

これらの設定は、Intune のデバイス構成プロファイルに追加されてから、Windows クライアントデバイスに割り当てまたは展開されます。

注:

一部の設定は、Enterprise などの特定の Windows エディションでのみ使用できます。サポートされているエディションを確認するには、ポリシー CSP を参照してください (別の Microsoft Web サイトを開きます)。

Windows 10/11 デバイス制限プロファイルでは、ほとんどの構成可能な設定は、デバイスグループを使用してデバイスレベルで展開されます。ユーザーグループに展開されたポリシーは、ターゲットユーザーに適用されます。ポリシーは、Intune ライセンスを持っているユーザー、およびそのデバイスにサインインしているユーザーにも適用されます。

始める前に

Windows 10/11 デバイス制限プロファイルを作成します。

アプリストア

これらの設定では、サポートされている Windows エディションも一覧表示する ApplicationManagement ポリシー CSP を使用します。

アプリストア (モバイルのみ): [ブロック] は、ユーザーがモバイルデバイスでアプリストアにアクセスできないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はユーザーにアプリストアへのアクセスを許可する場合があります。
ストアからのアプリの自動更新: [ブロック] により、Microsoft Store から更新が自動的にインストールされなくなります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS により、Microsoft Store からインストールされたアプリを自動的に更新できる場合があります。

ApplicationManagement/AllowAppStoreAutoUpdate CSP
信頼できるアプリのインストール: Microsoft Store 以外のアプリをインストールできるかどうかを選択します。サイドローディングとも呼ばれます。サイドローディングとは、Microsoft Store で認定されていないアプリをインストールしてから、実行またはテストすることです。たとえば、会社の内部のみにあるアプリです。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。
- ブロック: サイドローディングを防ぎます。 Microsoft Store 以外のアプリはインストールできません。
- 許可: サイドローディングを許可します。 Microsoft Store 以外のアプリをインストールできます。
開発者のロック解除: サイドロードされたアプリをユーザーが変更できるようにするなど、Windows 開発者の設定を許可します。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。
- ブロック: 開発者モードとアプリのサイドローディングを防ぎます。
- 許可: 開発者モードとアプリのサイドローディングを許可します。
デバイスの開発を有効にすると、この機能の詳細がわかります。

ApplicationManagement/AllowAllTrustedApps CSP
共有ユーザーアプリデータ: [許可] を選択して、同じデバイス上の異なるユーザー間およびそのアプリの他のインスタンスとアプリケーションデータを共有します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は他のユーザーや同じアプリの他のインスタンスとのデータ共有を妨げる場合があります。

ApplicationManagement/AllowSharedUserAppData CSP
プライベートストアのみ使用: [許可] は、アプリをプライベートストアからのみダウンロードできるようにし、小売カタログを含むパブリックストアからはダウンロードできないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はアプリをプライベートストアとパブリックストアからダウンロードすることを許可する場合があります。

ApplicationManagement/RequirePrivateStoreOnly CSP
ストアからのアプリの起動: [ブロック] は、デバイスにプリインストールされているか Microsoft Store からダウンロードされたすべてのアプリを無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこれらのアプリを開くことを許可する場合があります。

ApplicationManagement/DisableStoreOriginatedApps CSP
システムボリュームにアプリデータをインストールする: [ブロック] は、アプリがデバイスのシステムボリュームにデータを保存するのを停止します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はアプリがシステムディスクボリュームにデータを保存することを許可する場合があります。

ApplicationManagement/RestrictAppDataToSystemVolume CSP
システムドライブにアプリをインストールする: [ブロック] は、アプリがデバイスのシステムドライブにインストールされないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はアプリをシステムドライブにインストールすることを許可する場合があります。

ApplicationManagement/RestrictAppToSystemVolume CSP
ゲーム DVR (デスクトップのみ): [ブロック] は Windows ゲームの記録とブロードキャストを無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はゲームの記録とブロードキャストを許可する場合があります。

ApplicationManagement/AllowGameDVR CSP
ストアからのアプリのみ: この設定は、ユーザーが Microsoft Store 以外の場所からアプリをインストールするときのユーザーエクスペリエンスを決定します。 USB デバイス、ネットワーク共有、またはその他の非インターネットソースからのコンテンツのインストールを妨げることはありません。信頼できるブラウザーを使用して、これらの保護が期待どおりに機能することを確認してください。

次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。既定では、OS は、他のポリシー設定で定義されたアプリを含め、ユーザーが Microsoft Store 以外の場所からアプリをインストールすることを許可する場合があります。
- 任意の場所: アプリの推奨事項をオフにし、ユーザーが任意の場所からアプリをインストールできるようにします。
- ストアのみ: インターネットから実行可能コンテンツをダウンロードするときに、悪意のあるコンテンツがユーザーデバイスに影響を与えるのを防ぐことを目的としています。ユーザーがインターネットからアプリをインストールしようとすると、インストールがブロックされます。ユーザーには、Microsoft Store からアプリをダウンロードすることを推奨するメッセージが表示されます。
- 推奨事項: Microsoft Store で利用可能な Web からアプリをインストールするときに、ユーザーにストアからダウンロードすることを推奨するメッセージが表示されます。
- ストアを優先する: Microsoft Store 以外の場所からアプリをインストールするときにユーザーに警告します。
SmartScreen/EnableAppInstallControl CSP
インストールのユーザーコントロール: [ブロック] は、ファイルをインストールするディレクトリの入力など、システム管理者用に通常準備されているインストールオプションをユーザーが変更できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、Windows インストーラーは、ユーザーがこれらのインストールオプションを変更できないようにする場合があり、Windows インストーラーのセキュリティ機能の一部はバイパスされます。

ApplicationManagement/MSIAllowUserControlOverInstall CSP
昇格された権限でアプリをインストールする: [ブロック] は、Windows インストーラーがシステムにプログラムをインストールするときに、昇格された権限を使用するように指示します。これらの権限は、すべてのプログラムに拡張されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、システムは、システム管理者が展開または提供していないプログラムをインストールするときに、現在のユーザーのアクセス許可を適用する場合があります。

ApplicationManagement/MSIAlwaysInstallWithElevatedPrivileges CSP
スタートアップアプリ: ユーザーがデバイスにサインインした後に開くアプリのリストを入力します。 Windows アプリケーションのパッケージファミリ名 (PFN) のセミコロン区切りのリストを必ず使用してください。このポリシーが機能するには、Windows アプリのマニフェストがスタートアップタスクを使用する必要があります。

ApplicationManagement/LaunchAppAfterLogOn CSP

携帯電話と接続性

これらの設定では、接続ポリシーと Wi-Fi ポリシーの CSP が使用され、サポートされている Windows エディションも一覧表示されます。

携帯データネットワークチャネル: ユーザーが携帯ネットワークに接続しているときに、Web の閲覧などのデータを使用できるかどうかを選択します。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。ユーザーはそれをオフにすることができます。
- ブロック: 携帯データネットワークチャネルを許可しません。ユーザーはそれをオンにすることはできません。
- 許可 (編集不可): 携帯データネットワークチャネルを許可します。ユーザーはそれをオフにすることはできません。
データローミング: [ブロック] は、デバイスでの携帯データネットワークローミングを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、データにアクセスするときに、ネットワーク間のローミングが許可される場合があります。
携帯ネットワークを介した VPN: [ブロック] は、携帯ネットワークに接続されているときにデバイスが VPN 接続にアクセスするのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は VPN が携帯を含むすべての接続を使用することを許可する場合があります。
携帯ネットワークを介した VPN ローミング: [ブロック] は、携帯ネットワークでローミングするときにデバイスが VPN 接続にアクセスするのを停止します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はローミング時に VPN 接続を許可する場合があります。
接続デバイスサービス: [ブロック] は、接続デバイスプラットフォーム (CDP) コンポーネントを無効にします。 CDP を使用すると、他のデバイスの検出と接続 (Bluetooth/LAN またはクラウド経由) が可能になり、リモートアプリの起動、リモートメッセージング、リモートアプリセッション、およびその他のクロスデバイスエクスペリエンスがサポートされます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は接続デバイスサービスを許可する場合があります。これにより、他の Bluetooth デバイスの検出と接続が可能になります。
NFC: [ブロック] は近距離無線通信 (NFC) 機能を防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は、ユーザーがデバイスで NFC 機能を有効化および構成することを許可する場合があります。
Wi-Fi: [ブロック] は、ユーザーがデバイスで Wi-Fi 接続を有効化、構成、および使用することを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は Wi-Fi 接続を許可する場合があります。
Wi-Fi ホットスポットに自動的に接続する: [ブロック] は、デバイスが Wi-Fi ホットスポットに自動的に接続するのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS により、デバイスは無料の Wi-Fi ホットスポットに自動的に接続し、接続のご契約条件に自動的に同意する場合があります。
手動 Wi-Fi 構成: [ブロック] は、デバイスが MDM サーバーにインストールされたネットワークの外部で Wi-Fi に接続するのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は、ユーザーが独自の Wi-Fi 接続ネットワーク SSID を追加および構成するのを許可する場合があります。
Wi-Fi スキャン間隔: デバイスが Wi-Fi ネットワークをスキャンする頻度を入力します。 1 (最も頻度が高い) から 500 (最も頻度が低い) までの値を入力します。既定値は 0 (ゼロ) です。

Bluetooth

これらの設定では、サポートされている Windows エディションも一覧表示する Bluetooth ポリシー CSP を使用します。

Bluetooth: [ブロック] はユーザーが Bluetooth を有効にできないようにします。 [未構成] (既定) では、デバイスで Bluetooth が許可されます。
Bluetooth の検出可能性: [ブロック] は、デバイスが他の Bluetooth 対応デバイスによって検出可能になるのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は、ヘッドセットなどの他の Bluetooth 対応デバイスがデバイスを検出できるようにする場合があります。

Bluetooth/AllowDiscoverableMode CSP
Bluetooth の事前ペアリング: [ブロック] は、特定の Bluetooth デバイスがホストデバイスと自動的にペアリングされるのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はホストデバイスとの自動ペアリングを許可する場合があります。

Bluetooth/AllowPrepairing CSP
Bluetooth アドバタイズメント: [ブロック] は、デバイスが Bluetooth アドバタイズメントを送信するのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はデバイスが Bluetooth アドバタイズメントを送信するのを許可する場合があります。

Bluetooth/AllowAdvertising CSP
Bluetooth 近位接続: [ブロック] は、デバイスユーザーが Swift ペアおよびその他の近接ベースのシナリオを使用できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はデバイスが Bluetooth アドバタイズメントを送信するのを許可する場合があります。

Bluetooth/AllowPromptedProximalConnections CSP
Bluetooth で許可されているサービス: 許可されている Bluetooth サービスとプロファイルのリストを {782AFCFC-7CAA-436C-8BF0-78CD0FFBD4AF} などの 16 進数の文字列として追加します。

ServicesAllowedList 使用ガイドには、サービスリストに関する詳細情報があります。

Bluetooth/ServicesAllowedList CSP

クラウドとストレージ

これらの設定では、サポートされている Windows エディションも一覧表示するアカウントポリシー CSP を使用します。

重要

これらの Microsoft アカウント設定をブロックまたは無効にすると、ユーザーが Microsoft Entra ID にサインインする必要がある登録シナリオに影響する可能性があります。たとえば、事前にプロビジョニングされた Autopilot を使用しています。通常、ユーザーにはMicrosoft Entraサインインウィンドウが表示されます。これらの設定が [ブロック] または [無効] に設定されている場合、Microsoft Entraサインインオプションが表示されない場合があります。代わりに、ユーザーは EULA に同意し、ローカルアカウントを作成するように求められますが、これは希望するものではない場合があります。

Microsoft アカウント: [ブロック] は、ユーザーが Microsoft アカウントをデバイスに関連付けることを防ぎます。 [ブロック] は、登録プロセスを完了するユーザーに依存する一部の登録シナリオにも影響を与える可能性があります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は Microsoft アカウントの追加と使用を許可する場合があります。
Microsoft 以外のアカウント: [ブロック] は、ユーザーがユーザーインターフェイスを使用して Microsoft 以外のアカウントを追加できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は、ユーザーが Microsoft アカウントに関連付けられていないメールアカウントを追加するのを許可する場合があります。
Microsoft アカウントの設定の同期: [ブロック] は、Microsoft アカウントに関連付けられているデバイスとアプリの設定がデバイス間で同期されるのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこの同期を許可する場合があります。
Microsoft アカウントサインインアシスタント: この OS サービスを使用すると、ユーザーは Microsoft アカウントにサインインできます。既定では、OS は、ユーザーが Microsoft アカウントサインインアシスタント (wlidsvc) サービスを開始および停止するのを許可する場合があります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。既定では、OS は、ユーザーが Microsoft アカウントサインインアシスタント (wlidsvc) サービスを開始および停止するのを許可する場合があります。
- 無効: Microsoft サインインアシスタントサービス (wlidsvc) を無効に設定し、ユーザーが手動で開始できないようにします。
  
  [無効] は、登録を完了するユーザーに依存する一部の登録シナリオにも影響を与える可能性があります。たとえば、事前にプロビジョニングされた Autopilot を使用しています。通常、ユーザーにはMicrosoft Entraサインインウィンドウが表示されます。 [無効] に設定すると、Microsoft Entra サインインオプションが表示されないことがあります。代わりに、ユーザーは EULA に同意し、ローカルアカウントを作成するように求められますが、これは希望するものではない場合があります。

クラウドプリンター

これらの設定では、サポートされている Windows エディションも一覧表示する EnterpriseCloudPrint ポリシー CSP を使用します。

プリンター検出の URL: クラウドプリンターを見つけるための URL を入力します。たとえば、「https://cloudprinterdiscovery.contoso.com」と入力します。
プリンターアクセス権限の URL: 認証エンドポイントの URL を入力して、OAuth トークンを取得します。たとえば、「https://azuretenant.contoso.com/adfs」と入力します。
Azure ネイティブクライアントアプリの GUID: OAuthAuthority から OAuth トークンを取得することを許可されているクライアントアプリケーションの GUID を入力します。たとえば、「E1CF1107-FF90-4228-93BF-26052DD2C714」と入力します。
プリントサービスリソースの URI: Azure portal で構成されているプリントサービスの OAuth リソース URI を入力します。たとえば、「http://MicrosoftEnterpriseCloudPrint/CloudPrint」と入力します。
照会するプリンターの最大数: 照会するプリンターの最大数を入力します。既定値は 20 です。
プリンター検出サービスリソースの URI: Azure portal で構成されているプリンター検出サービスの OAuth リソース URI を入力します。たとえば、「http://MopriaDiscoveryService/CloudPrint」と入力します。

ヒント

Windows Server ハイブリッドクラウドプリントをセットアップした後、これらの設定を構成して、Windows デバイスに展開できます。

コントロールパネルと設定

設定アプリ: [ブロック] は、ユーザーが Windows 設定アプリにアクセスできないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はユーザーがデバイスで設定アプリを開くことを許可する場合があります。
- システム: [ブロック] は、設定アプリのシステム領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
  - 電源とスリープの設定の変更 (デスクトップのみ): [ブロック] は、ユーザーがデバイスの電源とスリープの設定を変更できないようにします。 [未構成] (既定) では、ユーザーは電源とスリープの設定を変更できます。
- デバイス: [ブロック] は、デバイスの設定アプリのデバイス領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
- ネットワークインターネット: [ブロック] は、デバイスの設定アプリのネットワークとインターネット領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
- 個人用設定: [ブロック] は、デバイスの設定アプリの個人用設定領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
- アプリ: [ブロック] は、デバイスの設定アプリのアプリ領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
- アカウント: [ブロック] は、デバイスの設定アプリのアカウント領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
- 時刻と言語: [ブロック] は、デバイスの設定アプリの時刻と言語領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
  - システム時刻の変更: [ブロック] は、ユーザーがデバイスの日付と時刻の設定を変更できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。ユーザーはこれらの設定を変更できます。
  - リージョン設定の変更 (デスクトップのみ): [ブロック] は、ユーザーがデバイスのリージョン設定を変更できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。ユーザーはこれらの設定を変更できます。
  - 言語設定の変更 (デスクトップのみ): [ブロック] は、ユーザーがデバイスの言語設定を変更できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。ユーザーはこれらの設定を変更できます。
    
    設定ポリシー CSP
- ゲーム: [ブロック] に設定すると、次の設定が行われます。
  - デバイスの [設定 ] アプリ >の [ゲーム ] 領域へのアクセスを禁止します。
  - Windows 11 22H2 以降では、デバイスの [設定] アプリ>の [システム>通知] 領域が非表示になります。具体的には、ページをms-settings:quietmomentsgame設定/PageVisibilityList CSP に追加します。
  [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
- 簡単操作: [ブロック] は、デバイスの設定アプリの簡単操作領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
- プライバシー: [ブロック] は、デバイスの設定アプリのプライバシー領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
- 更新とセキュリティ: [ブロック] は、デバイスの設定アプリの更新とセキュリティ領域へのアクセスを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

ディスプレイ

これらの設定では、サポートされている Windows エディションも一覧表示するディスプレイポリシー CSP を使用します。

GDI DPI スケーリングにより、DPI を認識しないアプリケーションは、モニターごとに DPI を認識できるようになります。

アプリの GDI スケーリングをオンにする: GDI DPI スケーリングをオンにするレガシアプリを追加します。たとえば、「filename.exe」または「%ProgramFiles%\Path\Filename.exe」と入力します。

GDI DPI スケーリングは、リスト内のすべてのレガシアプリケーションに対してオンになっています。
アプリの GDI スケーリングをオフにする: GDI DPI スケーリングをオフにするレガシアプリを追加します。たとえば、「filename.exe」または「%ProgramFiles%\Path\Filename.exe」と入力します。

GDI DPI スケーリングは、リスト内のすべてのレガシアプリケーションに対してオフになっています。

アプリのリストを含む .csv ファイルをインポートすることもできます。

一般

これらの設定では、サポートされている Windows エディションも一覧表示するエクスペリエンスポリシー CSP を使用します。

スクリーンショット (モバイルのみ): [ブロック] は、ユーザーがデバイスでスクリーンショットを取得できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
コピーと貼り付け (モバイルのみ): [ブロック] は、ユーザーがデバイスのアプリ間でコピーと貼り付けを使用できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
手動登録解除: [ブロック] は、ユーザーがデバイスの職場コントロールパネルを使用して職場アカウントを削除できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

このポリシー設定は、コンピューターが参加Microsoft Entra、自動登録が有効になっている場合は適用されません。
ルート証明書の手動インストール (モバイルのみ): [ブロック] は、ユーザーがルート証明書と中間 CAP 証明書を手動でインストールできないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
カメラ: [ブロック] は、ユーザーがデバイスでカメラを使用できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はデバイスのカメラへのアクセスを許可する場合があります。

Intune は、デバイスのカメラへのアクセスのみを管理します。写真やビデオにはアクセスできません。

カメラ CSP
OneDrive ファイル同期: [ブロック] は、ユーザーがデバイスから OneDrive にファイルを同期できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

System/DisableOneDriveFileSync CSP
リムーバブルストレージ: [ブロック] は、ユーザーが USB ドライブや SD カードなどの外部ストレージデバイスをデバイスで使用できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

System/AllowStorageCard CSP
位置情報: [ブロック] は、ユーザーがデバイスで位置情報サービスを有効にできないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

System/AllowLocation CSP
インターネット共有: [ブロック] は、デバイスでのインターネット接続の共有を防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
電話のリセット: [ブロック] は、ユーザーがデバイスをワイプしたり、工場出荷時の状態にリセットしたりできないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
USB 接続: [ブロック] を 選択すると、USB 接続または HoloLens デバイス上の開発者ツールを使用してファイルを同期するアクセスが禁止されます。このポリシーを変更しても、USB の充電には影響しません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。 USB の充電はこの設定の影響を受けません。

Connectivity/AllowUSBConnection CSP
盗難防止モード (モバイルのみ): [ブロック] は、ユーザーがデバイスで盗難防止モードの設定を選択できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
Cortana: [ブロック] にすると、デバイス上の Cortana 音声アシスタントが無効になります。 Cortana がオフの場合でも、ユーザーはデバイス上のアイテムを検索して見つけることができます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は Cortana を許可する場合があります。

Experience/AllowCortana CSP

注:

Microsoft は、Windows Cortana スタンドアロンアプリを非推奨にしました。 Cortana の生産性アシスタントは引き続き使用できます。 Windows クライアントの非推奨の機能の詳細については、「Windows クライアントの非推奨の機能」を参照してください。
音声録音 (モバイルのみ): [ブロック] は、ユーザーがデバイスでデバイスのボイスレコーダーを使用できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はアプリの音声録音を許可する場合があります。
デバイス名の変更 (モバイルのみ): [ブロック] は、ユーザーがデバイスの名前を変更できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
プロビジョニングパッケージの追加: [ブロック] は、デバイスにプロビジョニングパッケージをインストールする実行時構成エージェントを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
プロビジョニングパッケージの削除: [ブロック] は、デバイスからプロビジョニングパッケージを削除する実行時構成エージェントを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
デバイスの検出: [ブロック] は、デバイスが他のデバイスによって検出されるのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

Experience/AllowDeviceDiscovery
タスクスイッチャー (モバイルのみ): [ブロック] は、デバイスでのタスク切り替えを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
SIM カードエラーダイアログ (モバイルのみ): [ブロック] は、SIM カードが検出されない場合、エラーメッセージがデバイスに表示されないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はエラーメッセージを表示する場合があります。
インクワークスペース: ユーザーがインクワークスペースにアクセスするかどうか、およびアクセスする方法を選択します。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。既定では、OS はインクワークスペースを有効にする場合があり、ユーザーはロック画面の上でそれを使用できます。
- ロック画面で無効: インクワークスペースが有効になり、機能がオンになります。ただし、ユーザーはロック画面の上からアクセスすることはできません。
- 無効: インクワークスペースへのアクセスが無効になっています。機能はオフになっています。
WindowsInkWorkspace policy CSP
Autopilot リセット: [許可] を選択すると、管理者権限を持つユーザーは、デバイスのロック画面で Ctrl + Win + R を使用してすべてのユーザーデータと設定を削除できます。デバイスは自動的に再構成され、管理に再登録されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこの機能を妨げる場合があります。
デバイスのセットアップ中にユーザーにネットワークへの接続を要求する: [必須] を選択して、Windows のセットアップ中に [ネットワーク] ページを通過する前にデバイスがネットワークに接続するようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は、ネットワークに接続されていない場合でも、ユーザーが [ネットワーク] ページを通過できるようにする場合があります。

次回デバイスがワイプまたはリセットされたときに、この設定が有効になります。他の Intune 構成と同様に、構成設定を受け取るには、デバイスを Intune で登録および管理する必要があります。ただし、登録してポリシーを受信したら、デバイスをリセットすると、次の Windows セットアップ中に設定が適用されます。

TenantLockdown CSP
直接メモリアクセス: [ブロック] は、ユーザーが Windows にサインインするまで、すべてのホットプラグ対応 PCI ダウンストリームポートの直接メモリアクセス (DMA) を防ぎます。 [有効] (既定) は、ユーザーがサインインしていない場合でも、DMA へのアクセスを許可します。

DataProtection/AllowDirectMemoryAccess CSP
タスクマネージャーからのプロセスの終了: この設定は、管理者以外がタスクマネージャーを使用してタスクを終了できるかどうかを決定します。 [ブロック] は、標準ユーザー (管理者以外) がタスクマネージャーを使用してデバイス上のプロセスまたはタスクを終了することを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は、標準ユーザーがタスクマネージャーを使用してプロセスまたはタスクを終了することを許可する場合があります。

TaskManager/AllowEndTask CSP

ロック画面エクスペリエンス

アクションセンターの通知 (モバイルのみ): [ブロック] は、アクションセンターの通知がデバイスのロック画面に表示されないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は、ユーザーがロック画面に通知を表示するアプリを選択することを許可する場合があります。

AboveLock/AllowActionCenterNotifications CSP
ロック済み画面の画像の URL (デスクトップのみ): Windows のロック画面の壁紙として使用される JPG、JPEG、または PNG 形式の画像の URL を入力します。たとえば、「https://contoso.com/image.png」と入力します。この設定は画像をロックし、後で変更することはできません。

Personalization/LockScreenImageUrl CSP
ユーザー設定可能な画面タイムアウト (モバイルのみ): [許可] により、ユーザーは画面タイムアウトを設定できます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はユーザーにこのオプションを提供しない場合があります。

DeviceLock/AllowScreenTimeoutWhileLockedUserConfig CSP
ロック済み画面の Cortana (デスクトップのみ): [ブロック] は、デバイスがロック画面にあるときにユーザーが Cortana を操作できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は Cortana の操作を許可する場合があります。

AboveLock/AllowCortanaAboveLock CSP
ロック済み画面でのトースト通知: [ブロック] は、トースト通知がデバイスのロック画面に表示されないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこれらの通知を許可する場合があります。

AboveLock/AllowToasts CSP
画面タイムアウト (モバイルのみ): 画面がロックされてから画面がオフになるまでの時間 (秒単位) を設定します。サポートされている値は 11 から 1800 までです。たとえば、300 と入力して、このタイムアウトを 5 分に設定します。

DeviceLock/ScreenTimeoutWhileLocked CSP

メッセージング

これらの設定では、サポートされている Windows エディションも一覧表示するメッセージングポリシー CSP を使用します。

メッセージ同期 (モバイルのみ): [ブロック] は、テキストメッセージのバックアップと復元、および Windows デバイス間のメッセージの同期を無効にします。無効にすると、組織の管理外のサーバーに情報が保存されるのを防ぐことができます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はユーザーがこれらの設定を変更し、メッセージを同期することを許可する場合があります。
MMS (モバイルのみ): [ブロック] は、デバイスの MMS 送受信機能を無効にします。企業の場合、監査または管理要件の一部として、このポリシーを使用してデバイスの MMS を無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は MMS の送受信を許可する場合があります。
RCS (モバイルのみ): [ブロック] は、デバイスのリッチコミュニケーションサービス (RCS) の送受信機能を無効にします。企業の場合、監査または管理要件の一部として、このポリシーを使用してデバイスの RCS を無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は RCS の送受信を許可する場合があります。

Microsoft Edge 従来版 (バージョン 45 以前)

これらの設定では、サポートされている Windows エディションも一覧表示するブラウザーポリシー CSP を使用します。

注:

ブラウザーポリシー CSP の使用は、Microsoft Edge バージョン 45 以前に適用されます。 Microsoft Edge バージョン 77 以降については、「Microsoft Intune で Microsoft Edge ポリシー設定を構成する」を参照してください。

Microsoft Edge キオスクモードの使用

使用可能な設定は、選択した内容によって異なります。次のようなオプションがあります。

いいえ (既定): Microsoft Edge はキオスクモードで実行されていません。すべての Microsoft Edge 設定を使用して、変更および構成できます。
デジタル/インタラクティブサイネージ (シングルアプリキオスク): Windows 10/11 シングルアプリキオスクのデジタル/インタラクティブサイネージ Microsoft Edge キオスクモードに適用される Microsoft Edge 設定をフィルター処理します。この設定を選択すると、URL が全画面表示され、その Web サイトのコンテンツのみが表示されます。デジタルサインの設定では、この機能の詳細について説明しています。
InPrivate パブリックブラウジング (シングルアプリキオスク): Windows 10/11 シングルアプリキオスクで使用する InPrivate パブリックブラウジング Microsoft Edge キオスクモードに適用できる Microsoft Edge 設定をフィルター処理します。マルチタブバージョンの Microsoft Edge を実行します。
通常モード (マルチアプリキオスク): 通常の Microsoft Edge キオスクモードに適用できる Microsoft Edge 設定をフィルター処理します。すべてのブラウジング機能を備えたフルバージョンの Microsoft Edge を実行します。
パブリックブラウジング (マルチアプリキオスク): Windows 10 マルチアプリキオスクでのパブリックブラウジングに適用できる Microsoft Edge 設定をフィルター処理します。マルチタブバージョンの Microsoft Edge InPrivate を実行します。

ヒント

これらのオプションの機能の詳細については、「Microsoft Edge キオスクモードの構成の種類」を参照してください。

このデバイス制限プロファイルは、Windows キオスク設定を使用して作成したキオスクプロファイルに直接関連しています。要約すると、次のとおりです。

Windows キオスク設定プロファイルを作成して、デバイスをキオスクモードで実行します。アプリケーションとして Microsoft Edge を選択し、キオスクプロファイルで Microsoft Edge キオスクモードを設定します。
この記事で説明されているデバイス制限プロファイルを作成し、Microsoft Edge で許可されている特定の機能と設定を構成します。キオスクプロファイル (Windows キオスク設定) で選択したものと同じ Microsoft Edge キオスクモードの種類を選択してください。

サポートされているキオスクモード設定は素晴らしいリソースです。

重要

この Microsoft Edge プロファイルは、キオスクプロファイルと同じデバイスに割り当ててください (Windows キオスク設定)。

ConfigureKioskMode CSP

Start experience

Microsoft Edge の起動に使用: Microsoft Edge の起動時に開くページを選択します。次のようなオプションがあります。
- カスタムスタートページ: http://www.contoso.com などのスタートページを入力します。 Microsoft Edge は、入力したスタートページを読み込みます。
- 新しいタブページ: Microsoft Edge は、[新しいタブの URL] 設定に入力されたものをすべて読み込みます。
- 最後のセッションのページ: Microsoft Edge は最後のセッションページを読み込みます。
- ローカルアプリ設定のスタートページ: Microsoft Edge は、OS によって定義された既定のスタートページから開始します。
ユーザーにスタートページの変更を許可する: [はい] (既定) は、ユーザーがスタートページを変更できるようにします。管理者は EdgeHomepageUrls を使用して、Microsoft Edge を開いたときにユーザーが既定で表示するスタートページを入力できます。 [いいえ] は、ユーザーがスタートページを変更するのを禁止します。
[新しいタブページで Web コンテンツを許可する]: [はい ] (既定値) に設定すると、[ 新しいタブ URL] 設定に入力された URL が Microsoft Edge によって開きます。 [新しいタブの URL] 設定が空白の場合、Microsoft Edge は Microsoft Edge の設定にリストされている新しいタブページを開きます。ユーザーはそれを変更できます。 [いいえ] に設定すると、Microsoft Edge は空白のページで新しいタブを開きます。ユーザーは変更できません。
新しいタブの URL: 新しいタブページで開く URL を入力します。たとえば、「https://www.bing.com」または「https://www.contoso.com」と入力します。
ホームボタン: ホームボタンが選択されたときに何が起こるかを選択します。次のようなオプションがあります。
- スタートページ: [Microsoft Edge の起動に使用] 設定で選択したオプションを開きます
- 新しいタブページ: [新しいタブの URL] 設定で入力した URL を開きます。
- ホームボタンの URL: 開く URL を入力します。たとえば、「https://www.bing.com」または「https://www.contoso.com」と入力します。
- ホームボタンを非表示: ホームボタンを非表示にします
ユーザーにホームボタンの変更を許可する: [はい] を選択すると、ユーザーはホームボタンを変更できます。ユーザーの変更は、管理者の設定をホームボタンに上書きします。 いいえ (既定値) は、管理者がホームボタンを構成する方法をユーザーが変更できないようにブロックします。
最初の実行エクスペリエンスページの表示 (モバイルのみ): [はい] (既定) は、Microsoft Edge の初回使用の紹介ページを表示します。 [いいえ] を選択すると、Microsoft Edge を初めて実行したときに紹介ページが表示されなくなります。この機能により、ゼロエミッション構成に登録している組織などの企業がこのページをブロックできます。
最初の実行エクスペリエンスの URL リストの場所 (Windows 10 Mobile のみ): 最初の実行ページの URL を含む XML ファイルを指す URL を入力します。たとえば、「https://www.contoso.com/sites.xml」と入力します。
アイドル時間後にブラウザーを更新する: ブラウザーが更新されるまでのアイドル分数を 0 - 1440 分で入力します。既定値は 5 分です。 0 (ゼロ) に設定すると、アイドル状態になった後、ブラウザーは更新されません。

この設定は、InPrivate パブリックブラウジング (シングルアプリキオスク) で実行している場合にのみ使用できます。
ポップアップを許可する (デスクトップのみ): [はい] (既定) は、Web ブラウザーのポップアップを許可します。 [いいえ] は、ブラウザーのポップアップウィンドウを防ぎます。
イントラネットトラフィックを Internet Explorer に送信する (デスクトップのみ): [はい] を選択すると、ユーザーは Microsoft Edge ではなく Internet Explorer でイントラネット Web サイトを開くことができます。この設定は、下位互換性のためです。 [いいえ] (既定) は、ユーザーが Microsoft Edge を使用できるようにします。
エンタープライズモードサイトリストの場所 (デスクトップのみ): エンタープライズモードで開く Web サイトのリストを含む XML ファイルを指す URL を入力します。ユーザーはこのリストを変更できません。たとえば、「https://www.contoso.com/sites.xml」と入力します。
Internet Explorer でサイトを開くときのメッセージ: この設定を使用して、Internet Explorer 11 でサイトを開く前に通知を表示するように Microsoft Edge を構成します。次のようなオプションがあります。
- メッセージを表示しない: OS の既定の動作が使用され、メッセージが表示されない場合があります。
- Internet Explorer 11 でサイトが開かれていることを示すメッセージを表示する: IE でサイトを開くときにメッセージを表示します。 IE でサイトを開きます。
- Microsoft Edge でサイトを開くオプション付きのメッセージを表示する: Microsoft Edge でサイトを開くときにメッセージを表示します。メッセージには、ユーザーが IE の代わりに Microsoft Edge を選択できるように、[Microsoft Edge で続行] リンクが含まれています。
重要

この設定では、[エンタープライズモードサイトリストの場所] 設定、[イントラネットトラフィックを Internet Explorer に送信する] 設定、またはその両方の設定を使用する必要があります。
Microsoft 互換性リストを許可する: [はい] (既定) は、Microsoft 互換性リストの使用を許可します。 [いいえ] は、Microsoft Edge の Microsoft 互換性リストの使用を防ぎます。 Microsoft ではこのリストを利用して、既知の互換性の問題があるサイトを Microsoft Edge で正しく表示できるようにします。
スタートページと新しいタブページのプリロード: [はい] (既定) はOS の既定の動作を使用します。これは、これらのページをプリロードする場合があります。プリロードにより、Microsoft Edge を起動して新しいタブを読み込む時間が最小限に抑えられます。 [いいえ] は、Microsoft Edge がスタートページと新しいタブページをプリロードするのを防ぎます。
スタートページと新しいタブページの事前起動: [はい] (既定) はOS の既定の動作を使用します。これは、これらのページを事前起動する場合があります。事前起動は、Microsoft Edge のパフォーマンスを向上させ、Microsoft Edge の起動に必要な時間を最小限に抑えます。 [いいえ] は、Microsoft Edge がスタートページと新しいタブページを事前起動するのを防ぎます。

お気に入りと検索

お気に入りバーを表示: Microsoft Edge ページのお気に入りバーをどうするかを選択します。次のようなオプションがあります。
- スタートページと新しいタブページ: Microsoft Edge の起動時、およびすべてのタブページにお気に入りバーを表示します。ユーザーはこの設定を変更できます。
- すべてのページ: すべてのページにお気に入りバーを表示します。ユーザーはこの設定を変更できません。
- 非表示: すべてのページのお気に入りバーを非表示にします。ユーザーはこの設定を変更できません。
お気に入りへの変更を許可する: [はい] (既定) は、ユーザーがリストを変更できる OS の既定を使用します。 [いいえ] は、ユーザーがお気に入りリストを追加、インポート、並べ替え、または編集できないようにします。
- お気に入りリスト: URL のリストをお気に入りファイルに追加します。たとえば、http://contoso.com/favorites.html を追加します。
Microsoft ブラウザー間でお気に入りを同期する (デスクトップのみ): [はい] を選択すると、Windows は Internet Explorer と Microsoft Edge の間でお気に入りを同期します。お気に入りの追加、削除、変更、順序変更が、ブラウザー間で共有されます。 [いいえ] (既定) は OS の既定を使用します。これにより、ユーザーはブラウザー間でお気に入りを同期することができます。
既定の検索エンジン: デバイスの既定の検索エンジンを選択します。ユーザーはいつでもこの値を変更できます。次のようなオプションがあります。
- クライアント Microsoft Edge の検索エンジンの設定
- Bing
- Google
- Yahoo
- カスタム値: OpenSearch Xml URL に、少なくとも短い名前と検索エンジンへの URL を含む XML ファイルのある HTTPS URL を入力します。たとえば、「https://www.contoso.com/opensearch.xml」と入力します。
検索候補を表示する: [はい] (既定) では、アドレスバーに検索フレーズを入力すると、検索エンジンがサイトを提案します。 [いいえ] はこの機能を防ぎます。
検索エンジンへの変更を許可する: [はい] (既定) を使用すると、ユーザーは新しい検索エンジンを追加したり、Microsoft Edge の既定の検索エンジンを変更したりできます。ユーザーが検索エンジンをカスタマイズできないようにするには、[いいえ] を選択します。

この設定は、通常モード (マルチアプリキオスク) で実行している場合にのみ使用できます。

プライバシーとセキュリティ

InPrivate ブラウズを許可する: [はい] (既定) は、Microsoft Edge での InPrivate ブラウズを許可します。すべての InPrivate タブを閉じた後、Microsoft Edge はデバイスから閲覧データを削除します。 [いいえ] は、ユーザーが InPrivate ブラウズセッションを開くことを防ぎます。
閲覧履歴の保存: [はい] (既定) では、Microsoft Edge に閲覧履歴を保存できます。 [いいえ] は、閲覧履歴の保存を防ぎます。
終了時に閲覧データをクリアする (デスクトップのみ): [はい] は、ユーザーが Microsoft Edge を終了するときに履歴と閲覧データをクリアします。 [いいえ] (既定) は OS の既定を使用し、ブラウジングデータをキャッシュする場合があります。
ユーザーのデバイス間でブラウザー設定を同期する: デバイス間でブラウザー設定を同期する方法を選択します。次のようなオプションがあります。
- 許可: ユーザーのデバイス間での Microsoft Edge ブラウザー設定の同期を許可します
- ユーザーオーバーライドをブロックして有効にする: ユーザーのデバイス間の Microsoft Edge ブラウザー設定の同期をブロックします。ユーザーはこの設定をオーバーライドできます。このオプションを選択すると、ユーザーは管理者の指定をオーバーライドできます。
- ブロック: ユーザーデバイス間の Microsoft Edge ブラウザー設定の同期をブロックします。ユーザーはこの設定をオーバーライドできません。
パスワードマネージャーを許可する: [はい] (既定) は、Microsoft Edge がパスワードマネージャーを自動的に使用できるようにします。これにより、ユーザーはデバイスにパスワードを保存および管理できます。 [いいえ] は、Microsoft Edge がパスワードマネージャーを使用できないようにします。
Cookie: Web ブラウザーでの Cookie の処理方法を選択します。次のようなオプションがあります。
- 許可: Cookie はデバイスに保存されます。
- すべての Cookie をブロックする: Cookie はデバイスに保存されません。
- サードパーティの Cookie のみをブロックする: サードパーティまたはパートナーの Cookie はデバイスに保存されません。
フォームのオートフィルを許可する: [はい] (既定) を使用すると、ユーザーはブラウザーのオートコンプリート設定を変更し、フォームフィールドに自動的に入力できます。 [いいえ] は、Microsoft Edge のオートフィル機能を無効にします。
追跡禁止ヘッダーの送信: [はい] は、追跡情報を要求する Web サイトに追跡禁止ヘッダーを送信します (推奨)。 [いいえ] (既定) は、Web サイトがユーザーを追跡できるようにするヘッダーを送信しません。ユーザーはこの設定を構成できます。
WebRTC localhost IP アドレスの表示: [はい] (既定) では、このプロトコルを使用して電話をかけるときに、ユーザーの localhost IP アドレスを表示できます。 [いいえ] は、ユーザーの localhost IP アドレスが表示されないようにします。
ライブタイルデータ収集を許可する: [はい] (既定) により、Microsoft Edge はスタートメニューに固定されたライブタイルから情報を収集できます。 [いいえ] は、この情報の収集を防ぎます。これにより、ユーザーのエクスペリエンスが制限される場合があります。
ユーザーは証明書エラーをオーバーライドできます: [はい] (既定) は、ユーザーが Secure Sockets Layer/Transport Layer Security (SSL/TLS) エラーのある Web サイトにアクセスできるようにします。 [いいえ] (セキュリティを強化するために推奨) は、ユーザーが SSL または TLS エラーのある Web サイトにアクセスできないようにします。

Additional

Microsoft Edge ブラウザーを許可する (モバイルのみ): [はい] (既定) は、モバイルデバイスで Microsoft Edge Web ブラウザーを使用することを許可します。 [いいえ] は、デバイスでの Microsoft Edge の使用を防ぎます。 [いいえ] を選択すると、他の個々の設定はデスクトップにのみ適用されます。
アドレスバーのドロップダウンを許可する: [はい] (既定) を使用すると、Microsoft Edge でアドレスバーのドロップダウンに候補のリストを表示できます。 [いいえ] は、入力時に Microsoft Edge がドロップダウンリストに候補のリストを表示しないようにします。 [いいえ] に設定すると、次のようになります:
- Microsoft Edge と Microsoft サービス間のネットワーク帯域幅を最小限に抑えるのに役立ちます。
- [Microsoft Edge > の設定] に入力すると、[検索候補とサイトの候補を表示する] を無効にします。
全画面表示モードを許可する: [はい] (既定) は、Microsoft Edge が全画面表示モードを使用できるようにします。全画面表示モードでは、Web コンテンツのみが表示され、Microsoft Edge UI は非表示になります。 [いいえ] は、Microsoft Edge の全画面表示モードを防ぎます。
フラグページについて許可する: [はい] (既定) は OS の既定を使用し、about:flags ページへのアクセスを許可する場合があります。 about:flags ページでは、ユーザーは開発者設定を変更し、実験的な機能を有効にすることができます。 [いいえ] は、ユーザーが Microsoft Edge の about:flags ページにアクセスできないようにします。
開発者ツールを許可する: [はい] (既定) では、ユーザーは F12 開発者ツールを使用して既定で Web ページをビルドおよびデバッグできます。 [いいえ] は、ユーザーが F12 開発ツールを使用できないようにします。
JavaScript を許可する: [はい] (既定) は、JavaScript などのスクリプトを Microsoft Edge ブラウザーで実行できるようにします。 [いいえ] は、ブラウザーの Java スクリプトが実行されないようにします。
ユーザーは拡張機能をインストールできます: [はい] (既定) は、ユーザーがデバイスに Microsoft Edge 拡張機能をインストールできるようにします。 [いいえ] はインストールを防ぎます。
開発者拡張機能のサイドローディングを許可する: [はい] (既定) は OS の既定を使用します。これにより、サイドローディングが許可される場合があります。サイドローディングは、未確認の拡張機能をインストールして実行します。 [いいえ] は、Microsoft Edge が [拡張機能の読み込み] 機能を使用してサイドローディングするのを防ぎます。 PowerShell などの他の方法を使用した拡張機能のサイドローディングを防ぐことはできません。
必須の拡張機能: Microsoft Edge のユーザーがオフにできない拡張機能を選択します。パッケージファミリ名を入力し、[追加] を選択します。アプリごとのパッケージファミリ名 (PFN) を検索する VPN はいくつかのガイダンスを提供します。

パッケージファミリ名を含む CSV ファイルをインポートすることもできます。または、入力したパッケージファミリ名をエクスポートします。

ネットワークプロキシ

これらの設定では、サポートされている Windows エディションも一覧表示する NetworkProxy ポリシー CSP を使用します。

プロキシ設定を自動的に検出する: [ブロック] は、デバイスがプロキシ自動設定 (PAC) スクリプトを自動的に検出することを無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS がこの機能を有効にしている場合があり、デバイスは PAC スクリプトへのパスを見つけようとします。

[ブロック] に設定すると、ProxySettingsPerUser 設定は自動的に 0 に設定されます。
プロキシスクリプトを使用する: [許可] を選択して、プロキシサーバーを構成するための PAC スクリプトへのパスを入力します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS により PAC スクリプトへの URL を入力できない場合があります。
- スクリプトアドレスのセットアップの URL: プロキシサーバーの構成に使用する PAC スクリプトの URL を入力します。
手動プロキシサーバーを使用する: [許可] を 選択して、プロキシサーバーの名前または IP アドレスと TCP ポート番号を手動で入力します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS によりプロキシサーバーの詳細を手動で入力できない場合があります。
- アドレス: プロキシサーバーの名前または IP アドレスを入力します。
- ポート番号: プロキシサーバーのポート番号を入力します。
- プロキシの例外: プロキシサーバーを使用してはならない URL を入力します。各項目を区切るには、セミコロン (;) を使用します。
- ローカルアドレスのプロキシサーバーをバイパスする: [許可] は、ローカルイントラネットアドレスのプロキシサーバーを使用しません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はイントラネットのローカルアドレスにプロキシサーバーを使用する場合があります。

Password

これらの設定では、サポートされている Windows エディションも一覧表示する DeviceLock ポリシー CSP を使用します。

パスワード: [必須] は、ユーザーがデバイスにアクセスするためにパスワードを入力することを強制します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はパスワードなしでデバイスへのアクセスを許可する場合があります。ローカルアカウントにのみ適用されます。ドメインアカウントパスワードは、Active Directory (AD) と Microsoft Entra ID によって構成されたままです。

DeviceLock/DevicePasswordEnabled CSP
- 必須のパスワードの種類: パスワードの種類を選択します。次のようなオプションがあります:
  - [未構成]: Intune では、この設定は変更または更新されません。既定では、OS はパスワードに数字と文字を含めることを許可する場合があります。
  - 英数字: パスワードは数字と文字を組み合わせたものでなければなりません。
  - 数値: パスワードは数字のみである必要があります。
  DeviceLock/AlphanumericDevicePasswordRequired CSP
- パスワードの最小長: 必要な最小文字数 4 - 16 文字を入力します。たとえば、パスワードの長さに 6 文字以上を要求するには、6 と入力します。既定では、OS はそれを 4 に設定する場合があります。
  
  DeviceLock/MinDevicePasswordLength CSP
  
  重要
  
  Windows デスクトップでパスワード要件が変更されると、ユーザーは次にサインインするときに影響を受けます。これは、デバイスがアイドル状態からアクティブ状態になるときです。要件を満たすパスワードを使用しているユーザーは、引き続きパスワードを変更するように求められます。
- デバイスをワイプする前のサインイン失敗の数: デバイスがワイプされる前に許可される間違ったパスワードの数を最大 11 まで入力します。入力する有効な数は、エディションによって異なります。 DeviceLock/MaxDevicePasswordFailedAttempts CSP は、サポートされている値を一覧表示します。 0 (ゼロ) は、デバイスのワイプ機能を無効にする場合があります。
  
  この設定も、エディションによって影響が異なります。この設定の詳細については、DeviceLock/MaxDevicePasswordFailedAttempts CSP を参照してください。
- 画面がロックされるまでの非アクティブの最大分数: 画面がロックされる前にデバイスがアイドル状態である必要がある時間の長さを入力します。たとえば、5 と入力して、アイドル状態から 5 分後にデバイスをロックします。 [未構成] に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はそれを 0 (ゼロ) に設定する場合がありますが、これはタイムアウトではありません。
  
  DeviceLock/MaxInactivityTimeDeviceLock CSP
- パスワードの有効期限 (日数): デバイスのパスワードを変更する必要がある日数の長さを 1 - 365 日で入力します。たとえば、90 と入力して、90 日後にパスワードを期限切れにします。値が空白の場合、Intune はこの設定を変更または更新しません。既定では、OS はそれを 0 (ゼロ) に設定する場合がありますが、これは有効期限ではありません。
  
  DeviceLock/DevicePasswordExpiration CSP
- 以前のパスワードの再利用防止: 使用できない以前に使用されたパスワードの数、1 - 24 を入力します。たとえば、5 と入力すると、ユーザーは新しいパスワードを現在のパスワードまたは以前の 4 つのパスワードのいずれにも設定できなくなります。値が空白の場合、Intune はこの設定を変更または更新しません。
  
  DeviceLock/DevicePasswordHistory CSP
- デバイスがアイドル状態から戻ったときにパスワードを要求する (モバイルおよびホログラフィック): [必須] は、ユーザーがアイドル状態の後にデバイスのロックを解除するためにパスワードを入力することを強制します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はアイドル状態の後に PIN またはパスワードを要求しない場合があります。
  
  DeviceLock/AllowIdleReturnWithoutPassword CSP
- 単純なパスワード: [ブロック] は、ユーザーが 1234 または 1111 などの単純なパスワードを作成できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はユーザーに単純なパスワードの作成を許可する場合があります。この設定は、画像パスワードの使用も禁止します。
  
  DeviceLock/AllowSimpleDevicePassword CSP
AADJ 中の自動暗号化: ブロックを使用すると、デバイスが最初に使用する準備が整ったときや、デバイスが参加Microsoft Entra場合に、BitLocker デバイスの自動暗号化が防止されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は暗号化を有効にしている場合があります。

BitLocker デバイスの暗号化の詳細。

Security/PreventAutomaticDeviceEncryptionForAzureADJoinedDevices CSP
Federal Information Processing Standards (FIPS) ポリシー: [許可] は、暗号化、ハッシュ、および署名に関する米国政府の標準である Federal Information Processing Standards (FIPS) ポリシーを使用します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は FIPS を許可しない場合があります。

Cryptography/AllowFipsAlgorithmPolicy CSP
Windows Hello デバイス認証: ユーザーが電話、フィットネスバンド、IoT デバイスなどの Windows Hello コンパニオンデバイスを使用して、Windows 10/11 コンピューターにサインインすることを許可します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は Windows Hello コンパニオンデバイスの認証を妨げる場合があります。

Authentication/AllowSecondaryAuthenticationDevice CSP
優先Microsoft Entraテナントドメイン: Microsoft Entra organizationに既存のドメイン名を入力します。このドメインのユーザーがサインインするときに、ドメイン名を入力する必要はありません。たとえば、「contoso.com」と入力します。 contoso.com ドメインのユーザーは、abby@contoso.com の代わりに abby などのユーザー名を使用してサインインできます。

Authentication/PreferredAadTenantDomainName CSP

アプリごとのプライバシーの例外

[既定のプライバシー] で定義したものとは異なるプライバシー動作をする必要があるアプリを追加します。

パッケージ名: アプリパッケージファミリ名。
アプリ名: アプリの名前。

例外

アカウント情報: このアプリがユーザー名、画像、その他の連絡先情報にアクセスできるかどうかを定義します。
バックグラウンドアプリ: このアプリをバックグラウンドで実行できるかどうかを定義します。
予定表: このアプリが予定表にアクセスできるかどうかを定義します。
通話履歴: このアプリが自分の通話履歴にアクセスできるかどうかを定義します。
カメラ: このアプリがカメラにアクセスできるかどうかを定義します。
連絡先: このアプリが連絡先にアクセスできるかどうかを定義します。
メール: このアプリがメールにアクセスして送信できるかどうかを定義します。
場所: このアプリが場所情報にアクセスできるかどうかを定義します。
メッセージング: このアプリがテキストまたは MMS メッセージを読み取ったり送信したりできるかどうかを定義します。
マイク: このアプリがマイクを使用できるかどうかを定義します。
モーション: このアプリがデバイスのモーション情報にアクセスできるかどうかを定義します。
通知: このアプリが通知にアクセスできるかどうかを定義します。
電話: このアプリが電話にアクセスできるかどうかを定義します。
無線: 一部のアプリは、デバイスで無線 (Bluetooth など) を使用してデータを送受信し、これらの無線をオンまたはオフにする必要があります。このアプリがこれらの無線を制御できるかどうかを定義します。
タスク: このアプリがタスクにアクセスできるかどうかを定義します。
信頼できるデバイス: このアプリが信頼できるデバイスを使用できるかどうかを選択します。信頼できるデバイスとは、既に接続しているハードウェア、またはデバイスに付属しているハードウェアです。たとえば、信頼できるデバイスとして、テレビやプロジェクターなどを使用します。
フィードバックと診断: このアプリが診断情報にアクセスできるかどうかを定義します。
デバイスとの同期: このアプリが、デバイスと明示的にペアリングされていないワイヤレスデバイスと情報を自動的に共有および同期できるかどうかを選択します。

カスタマイズ

これらの設定では、サポートされている Windows エディションも一覧表示するカスタマイズポリシー CSP を使用します。

デスクトップの背景画像の URL (デスクトップのみ): Windows のデスクトップの壁紙として使用する画像の URL を .jpg、.jpeg、または .png 形式で入力します。ユーザーは画像を変更できません。たとえば、「https://contoso.com/logo.png」と入力します。

空白のままにすると、Intune はこの設定を変更または更新しません。

Printer

プリンター: ネットワークホスト名 (DNS 名) を使用してプリンターを追加します。 OS は、デバイス上の各プリンターに一致するプリンタードライバーを検索してインストールします。値を入力しない場合、Intune はこの設定を変更または更新しません。

Education/PrinterNames CSP
既定のプリンター: 既定のプリンターとして使用するインストール済みプリンターのネットワークホスト名 (DNS 名) を入力します。値を入力しない場合、Intune はこの設定を変更または更新しません。

Education/DefaultPrinterName CSP
新しいプリンターの追加: [ブロック] は、ユーザーが新しいプリンターを追加できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は新しいプリンターの追加を許可する場合があります。

Education/PreventAddingNewPrinters CSP

プライバシー

これらの設定では、サポートされている Windows エディションも一覧表示するプライバシーポリシー CSP を使用します。

プライバシーエクスペリエンス: [ブロック] は、ユーザーがサインインしたときにプライバシーエクスペリエンスが開かないようにし、新規およびアップグレードされたユーザーが開くことを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

Privacy/DisablePrivacyExperience
入力のパーソナル化: ブロック を使用すると、音声をディクテーションに使用したり、Microsoft クラウドベースの音声認識を使用するアプリと通信したりできなくなります。これは無効になっており、ユーザーは設定を使用してオンライン音声認識を有効にすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はユーザーに選択を許可する場合があります。これらのサービスを許可すると、Microsoft はサービスを改善するために音声データを収集する場合があります。

Privacy/AllowInputPersonalization CSP
ペアリングとプライバシーのユーザー同意プロンプトの自動受け入れ: [許可] を選択すると、Windows がアプリの実行時にペアリングとプライバシーの同意メッセージを自動的に受け入れることができます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は自動受け入れを妨げる場合があります。

Privacy/AllowAutoAcceptPairingAndPrivacyConsentPrompts CSP
ユーザーアクティビティの公開: [ブロック] は、アプリと OS がユーザーアクティビティを公開できないようにします。また、アクティビティフィードで最近使用されたリソースの共有エクスペリエンスや検出を防ぎます。ユーザーアクティビティは、アプリまたは OS でのユーザーのタスクの状態を追跡します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこの機能を有効にして、アプリがユーザーアクティビティを公開できるようにする場合があります。

Privacy/PublishUserActivities CSP
ローカルアクティビティのみ: [ブロック] は、ローカルアクティビティのみに基づいて、タスクスイッチャーで共有エクスペリエンスと最近使用されたリソースの検出を防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

デバイス上のすべてのアプリがアクセスできる情報を構成できます。また、[アプリごとのプライバシー例外] を使用して、アプリごとに例外を定義します。

例外

アカウント情報: このアプリがユーザー名、画像、その他の連絡先情報にアクセスできるかどうかを定義します。
バックグラウンドアプリ: このアプリをバックグラウンドで実行できるかどうかを定義します。
予定表: このアプリが予定表にアクセスできるかどうかを定義します。
通話履歴: このアプリが自分の通話履歴にアクセスできるかどうかを定義します。
カメラ: このアプリがカメラにアクセスできるかどうかを定義します。
連絡先: このアプリが連絡先にアクセスできるかどうかを定義します。
メール: このアプリがメールにアクセスして送信できるかどうかを定義します。
場所: このアプリが場所情報にアクセスできるかどうかを定義します。
メッセージング: このアプリがテキストまたは MMS メッセージを読み取ったり送信したりできるかどうかを定義します。
マイク: このアプリがマイクを使用できるかどうかを定義します。
モーション: このアプリがデバイスのモーション情報にアクセスできるかどうかを定義します。
通知: このアプリが通知にアクセスできるかどうかを定義します。
電話: このアプリが電話にアクセスできるかどうかを定義します。
無線: 一部のアプリは、デバイスで無線 (Bluetooth など) を使用してデータを送受信し、これらの無線をオンまたはオフにする必要があります。このアプリがこれらの無線を制御できるかどうかを定義します。
タスク: このアプリがタスクにアクセスできるかどうかを定義します。
信頼できるデバイス: このアプリが信頼できるデバイスを使用できるかどうかを選択します。信頼できるデバイスとは、既に接続しているハードウェア、またはデバイスに付属しているハードウェアです。たとえば、信頼できるデバイスとして、テレビやプロジェクターなどを使用します。
フィードバックと診断: このアプリが診断情報にアクセスできるかどうかを選択します。
デバイスとの同期 - このアプリが、この PC、タブレット、またはスマートフォンと明示的にペアリングしていないワイヤレスデバイスと情報を自動的に共有および同期できるかどうかを定義します。

プロジェクション

これらの設定では、サポートされている Windows エディションも一覧表示する WirelessDisplay ポリシー CSP を使用します。

ワイヤレスディスプレイレシーバーからのユーザーによる入力: [ブロック] は、ワイヤレスディスプレイレシーバーからのユーザーによる入力を防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は、ワイヤレスディスプレイがキーボード、マウス、ペン、およびタッチ入力をソースデバイスに送り返すことを許可する場合があります。

WirelessDisplay/AllowUserInputFromWirelessDisplayReceiver CSP
この PC へのプロジェクション: [ブロック] は、他のデバイスがプロジェクションするデバイスを見つけるのを防ぎ、他のデバイスへのプロジェクションを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はデバイスを検出可能にし、ロック画面上のデバイスにプロジェクトできる場合があります。

WirelessDisplay/AllowProjectionFromPC CSP
ペアリングに PIN を要求する: [必須] は、プロジェクションデバイスに接続するときに常に PIN の入力を求めます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はデバイスをペアリングするために PIN を要求しない場合があります。

WirelessDisplay/RequirePinForPairing CSP

レポートとテレメトリ

Windows テレメトリの最近の変更については、「Windows 診断データ収集の変更」を参照してください。

使用状況データの共有: 送信する診断データのレベルを選択します。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。設定は強制されません。ユーザーは送信するレベルを選択します。既定では、OS はデータを共有しない場合があります。
- 診断データオフ: (推奨されません)。この設定の詳細については、CSP System/AllowTelemetry を確認してください。
- 必須: デバイスを安全で最新の状態に保つために、品質関連データ、アプリの互換性、およびその他の同様のデータを含む、基本的なデバイス情報を送信します。
- 拡張 (1903 以前): Windows、Windows Server、System Center、およびアプリの使用方法、パフォーマンス、高度な信頼性データ、[必須] レベルのデータなど、追加の分析情報。このオプションを Windows 1909 以降を実行するデバイスに展開すると、デバイスは [必須] に設定されます。
- オプション: 問題の特定と修正に必要なすべてのデータに加えて、[必須] および [拡張] レベルのデータ。
System/AllowTelemetry CSP
Microsoft Edge 閲覧データを Microsoft 365 Analytics に送信する: この機能を使用するには、[使用状況データの共有] 設定を [拡張] または [完全] に設定します。この機能は、構成された商用 ID を持つエンタープライズデバイス用に Microsoft Edge が Microsoft 365 Analytics に送信するデータを制御します。次のようなオプションがあります:
- [未構成]: Intune では、この設定は変更または更新されません。既定では、OS は閲覧履歴データを収集または送信しない場合があります。
- イントラネットデータのみを送信する: 管理者がイントラネットデータの履歴を送信できるようにします。
- インターネットデータのみを送信する: 管理者がインターネットデータの履歴を送信できるようにします。
- イントラネットおよびインターネットデータの送信: 管理者がイントラネットおよびインターネットデータの履歴を送信できるようにします。
Browser/ConfigureTelemetryForMicrosoft365Analytics CSP
テレメトリプロキシサーバー: プロキシサーバーの完全修飾ドメイン名 (FQDN) または IP アドレスを入力して、Secure Sockets Layer (SSL) 接続を使用して、接続されたユーザーエクスペリエンスとテレメトリ要求を転送します。この設定の形式は server:port です。名前付きプロキシに障害が発生した場合、またはプロキシが入力されていない場合、接続されたユーザーエクスペリエンスとテレメトリデータは送信されません。ローカルデバイスに残ります。

値を入力しない場合、Intune はこの設定を変更または更新しません。既定では、OS は既定のプロキシ構成を使用して接続されたユーザーエクスペリエンスとテレメトリデータを Microsoft に送信する場合があります。

フォーマットの例:
```
IPv4: 192.246.246.106:100
IPv6: [2001:4898:4010:4013:95c1:a8b2:953c:c633]:100
FQDN: www.contoso.com:345
```
System/TelemetryProxy CSP

検索

これらの設定では、サポートされている Windows エディションも一覧表示する検索ポリシー CSP を使用します。

セーフサーチ (モバイルのみ): Cortana が検索結果のアダルトコンテンツをフィルター処理する方法を制御します。次のようなオプションがあります。
- ユーザー定義: Intune では、この設定は変更または更新されません。設定は強制されません。ユーザーは独自の設定を選択します。
- 高: アダルトコンテンツに対する最も高度なフィルター処理
- 中: アダルトコンテンツに対する中程度のフィルター処理。有効な検索結果はフィルター処理されません。
検索での Web 結果の表示: [ブロック] により、ユーザーは Windows Search を使用してインターネットを検索できなくなり、Web 結果は Search に表示されません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はユーザーが Web を検索するのを許可する場合があり、結果はデバイスに表示されます。
発音区別符号: [ブロック] は、発音区別符号が Windows Search に表示されないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は発音区別符号を表示する場合があります。

Search/AllowUsingDiacritics CSP
自動言語検出: [ブロック] は、コンテンツまたはプロパティのインデックスを作成するときに Windows Search が言語を自動的に検出しないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこの機能を許可する場合があります。

Search/AlwaysUseAutoLangDetection CSP
検索場所: [ブロック] は、Windows Search が場所を使用できないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこの機能を許可する場合があります。

Search/AllowSearchToUseLocation CSP
インデクサーバックオフ: [ブロック] は、検索インデクサーバックオフ機能を無効にします。システムアクティビティが高い場合でも、インデックス作成はフルスピードで続行されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は、システムアクティビティが高いときに、バックオフロジックを使用してインデックス作成アクティビティを抑制する場合があります。

Search/DisableBackoff CSP
リムーバブルドライブのインデックス作成: [ブロック] は、リムーバブルドライブ上の場所がライブラリに追加されたり、インデックスが作成されたりするのを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこの機能を許可する場合があります。

Search/DisableRemovableDriveIndexing CSP
低ディスク領域のインデックス作成: [有効] にすると、ディスク領域が少ない場合でも自動インデックス作成が可能になります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、ハードディスク領域が 600 MB 以下の場合、OS は自動インデックス作成をオフにする場合があります。組織内のデバイスのハードドライブ空間が限られている場合は、[未構成] に設定します。

Search/PreventIndexingLowDiskSpaceMB CSP
リモートクエリ: [有効] にすると、デバイスのインデックスのリモートクエリが可能になります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS により、ユーザーがデバイスのインデックスをリモートでクエリできない場合があります。

Search/PreventRemoteQueries CSP

開始

これらの設定では、サポートされている Windows エディションも一覧表示するスタートポリシー CSP を使用します。

注:

カスタマイズされたスタート画面とタスクバーの操作環境を提供する管理機能は、現在 Windows 11 で制限されています。詳細については、「Windows 11 スタートメニューでサポートされる構成サービスプロバイダー (CSP) ポリシー」を参照してください。

スタートメニューのレイアウト: アプリがリストされている順序など、カスタマイズを含む XML ファイルをアップロードします。 XML ファイルは、既定のスタートレイアウトを上書きします。ユーザーは、入力したスタートメニューのレイアウトを変更することはできません。

[未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

Start/StartLayout CSP
スタートメニューのタイルに Web サイトをピン留めする: Microsoft Edge から画像をインポートします。これらの画像は、デスクトップデバイスの Windows スタートメニューにリンクとして表示されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

Start/ImportEdgeAssets CSP
タスクバーからアプリのピン留めを外す: [ブロック] は、ユーザーがタスクバーからアプリのピン留めを外すことができないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は、ユーザーがタスクバーからアプリのピン留めを外すことを許可する場合があります。

Start/NoPinningToTaskbar CSP
高速ユーザー切り替え: [ブロック] は、ログオフせずに同時にログオンしているユーザー間の切り替えを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はユーザータイルに切り替えユーザーを表示する場合があります。

WindowsLogon/HideFastUserSwitching CSP
最も使用されているアプリ: [ブロック] は、最も使用されているアプリがスタートメニューに表示されないようにします。また、設定アプリで対応するトグルを無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は最も使用されているアプリを表示する場合があります。

Start/HideFrequentlyUsedApps CSP
最近追加されたアプリ: [ブロック] は、スタートメニューで最近追加されたアプリを非表示にします。また、設定アプリで対応するトグルを無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は最近追加されたアプリをスタートメニューに表示する場合があります。

Start/HideRecentlyAddedApps CSP
スタート画面モード: スタート画面のサイズを選択します。次のようなオプションがあります。
- ユーザー定義: Intune では、この設定は変更または更新されません。設定は強制されません。ユーザーはサイズを設定できます。
- 全画面表示: 全画面表示サイズの開始を強制します。
- 全画面表示以外: 全画面表示以外のサイズの開始を強制します。
Start/ForceStartSize CSP
ジャンプリストで最近開いたアイテム: [ブロック] は、最近のジャンプリストがスタートメニューとタスクバーに表示されないようにします。また、設定アプリで対応するトグルを無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はジャンプリストに最近開いたアイテムを表示する場合があります。

Start/HideRecentJumplists CSP
アプリリスト: すべてのアプリリストの表示方法を選択します。次のようなオプションがあります。
- ユーザー定義: Intune では、この設定は変更または更新されません。設定は強制されません。ユーザーは、アプリリストの表示方法を選択します。
- 折りたたみ: すべてのアプリリストを非表示にします。
- 設定アプリを折りたたんで無効にする: すべてのアプリリストを非表示にし、設定アプリの [スタートメニューでアプリリストを表示] を無効にします。
- 設定アプリを削除して無効にする: すべてのアプリリストを非表示にし、[すべてのアプリ] ボタンを削除し、設定アプリの [スタートメニューでアプリリストを表示] を無効にします。
Start/HideAppList CSP
電源ボタン: [ブロック] は、スタートメニューの電源ボタンを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は電源ボタンを表示する場合があります。

Start/HidePowerButton CSP
ユーザータイル: [ブロック] は、スタートメニューのユーザータイルを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はユーザータイルを表示する場合があります。以下の設定を構成します。
- ロック: [ブロック] は、スタートメニューのユーザータイルの [ロック] オプションを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は [ロック] オプションを表示する場合があります。
- サインアウト: [ブロック] は、スタートメニューのユーザータイルの [サインアウト] オプションを非表示にします。 [未構成] (既定) は、[サインアウト] オプションを表示します。
Start/HideUserTile CSP
シャットダウン: [ブロック] は、スタートメニューの電源ボタンの [更新とシャットダウン] および [シャットダウン] オプションを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

Start/HideShutDown CSP
スリープ: [ブロック] は、スタートメニューの電源ボタンの [スリープ] オプションを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

Start/HideSleep CSP
休止状態: [ブロック] は、スタートメニューの電源ボタンの [休止状態] オプションを非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

Start/HideHibernate CSP
アカウントの切り替え: [ブロック] は、スタートメニューのユーザータイルで [アカウントの切り替え] を非表示にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

Start/HideSwitchAccount CSP
再起動オプション: [ブロック] を選択 すると、スタートメニューの電源ボタンの [更新と再起動 ] オプションと [再起動 ] オプションが非表示になります。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。

Start/HideRestart CSP
スタート時のドキュメント: Windows のスタートメニューで [ドキュメント] フォルダーを表示または非表示にします。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。設定は強制されません。ユーザーはショートカットの表示または非表示を選択します。
- 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
- 表示: ショートカットが表示され、設定アプリで設定が無効になります。
Start/AllowPinnedFolderDocuments CSP
スタート時のダウンロード: Windows のスタートメニューで [ダウンロード] フォルダーを表示または非表示にします。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。設定は強制されません。ユーザーはショートカットの表示または非表示を選択します。
- 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
- 表示: ショートカットが表示され、設定アプリで設定が無効になります。
Start/AllowPinnedFolderDownloads CSP
スタート時のエクスプローラー: Windows のスタートメニューでエクスプローラーを表示または非表示にします。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。設定は強制されません。ユーザーはショートカットの表示または非表示を選択します。
- 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
- 表示: ショートカットが表示され、設定アプリで設定が無効になります。
Start/AllowPinnedFolderFileExplorer CSP
スタート時のホームグループ: Windows のスタートメニューで [ホームグループ] ショートカットを表示または非表示にします。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。設定は強制されません。ユーザーはショートカットの表示または非表示を選択します。
- 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
- 表示: ショートカットが表示され、設定アプリで設定が無効になります。
Start/AllowPinnedFolderHomeGroup CSP
スタート時のミュージック: Windows のスタートメニューで [ミュージック] フォルダーを表示または非表示にします。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。設定は強制されません。ユーザーはショートカットの表示または非表示を選択します。
- 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
- 表示: ショートカットが表示され、設定アプリで設定が無効になります。
Start/AllowPinnedFolderMusic CSP
スタート時のネットワーク: Windows のスタートメニューで [ネットワーク] を表示または非表示にします。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。設定は強制されません。ユーザーはショートカットの表示または非表示を選択します。
- 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
- 表示: ショートカットが表示され、設定アプリで設定が無効になります。
Start/AllowPinnedFolderNetwork CSP
スタート時の個人用フォルダー: Windows のスタートメニューで個人用フォルダーを表示または非表示にします。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。設定は強制されません。ユーザーはショートカットの表示または非表示を選択します。
- 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
- 表示: ショートカットが表示され、設定アプリで設定が無効になります。
Start/AllowPinnedFolderPersonalFolder CSP
スタート時の画像: Windows のスタートメニューで画像のフォルダーを表示または非表示にします。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。設定は強制されません。ユーザーはショートカットの表示または非表示を選択します。
- 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
- 表示: ショートカットが表示され、設定アプリで設定が無効になります。
Start/AllowPinnedFolderPictures CSP
スタート時の設定: Windows のスタートメニューで [設定] ショートカットを表示または非表示にします。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。設定は強制されません。ユーザーはショートカットの表示または非表示を選択します。
- 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
- 表示: ショートカットが表示され、設定アプリで設定が無効になります。
Start/AllowPinnedFolderSettings CSP
スタート時のビデオ: Windows のスタートメニューでビデオのフォルダーを表示または非表示にします。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。設定は強制されません。ユーザーはショートカットの表示または非表示を選択します。
- 非表示: ショートカットは非表示になり、設定アプリで設定が無効になります。
- 表示: ショートカットが表示され、設定アプリで設定が無効になります。
Start/AllowPinnedFolderVideos CSP

Microsoft Defender SmartScreen

Microsoft Edge の SmartScree: [必須] は Microsoft Defender SmartScreen をオンにし、ユーザーがオフにできないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は SmartScreen をオンにし、ユーザーが SmartScreen をオンまたはオフにできるようにする場合があります。

Microsoft Edge は、Microsoft Defender SmartScreen (オン) を使用して、潜在的なフィッシング詐欺や悪意のあるソフトウェアからユーザーを保護します。

Browser/AllowSmartScreen CSP
悪意のあるサイトアクセス: [ブロック] は、ユーザーが Microsoft Defender SmartScreen フィルターの警告を無視することを防ぎ、ユーザーがサイトにアクセスすることをブロックします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はユーザーが警告を無視して、サイトに進むことを許可する場合があります。

Browser/PreventSmartScreenPromptOverride CSP
未確認ファイルのダウンロード: [ブロック] は、ユーザーが Microsoft Defender SmartScreen フィルターの警告を無視することを防ぎ、未確認ファイルのダウンロードをブロックします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はユーザーが警告を無視して、未確認ファイルをダウンロードし続けることを許可する場合があります。

Browser/PreventSmartScreenPromptOverrideForFiles CSP

Windows スポットライト

これらの設定では、サポートされている Windows エディションも一覧表示するエクスペリエンスポリシー CSP を使用します。

Windows スポットライト: [ブロック] は、ロック画面の Windows スポットライト、Windows のヒント、Microsoft コンシューマー機能、およびその他の関連機能をオフにします。デバイスからのネットワークトラフィックを最小限に抑えることが目標の場合は、[はい] を選択します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は Windows スポットライト機能を許可し、ユーザーによって制御される場合があります。

Experience/AllowWindowsSpotlight CSP

[未構成] に設定すると、次の設定を許可またはブロックすることもできます。
- ロック画面の Windows スポットライト: [ブロック] は、Windows スポットライトがデバイスのロック画面に情報を表示しないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はロック画面に Windows スポットライト情報を表示する場合があります。
  
  Experience/ConfigureWindowsSpotlightOnLockScreen CSP
- Windows スポットライトでのサードパーティの提案: [ブロック] は、Windows スポットライトが Microsoft によって公開されていないコンテンツを提案するのを停止します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はパートナーからのアプリとコンテンツの提案を許可し、スタートメニューと Windows のヒントに提案されたアプリを表示する場合があります。
  
  Experience/AllowThirdPartySuggestionsInWindowsSpotlight CSP
- コンシューマー機能: [ブロック] は、開始の提案、メンバーシップ通知、アウトオブボックスエクスペリエンスアプリのインストール、タイルのリダイレクトなど、通常はコンシューマー向けのエクスペリエンスをオフにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。
  
  Experience/AllowWindowsConsumerFeatures CSP
- Windows のヒント: [ブロック] はポップアップの Windows のヒントを無効にします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は Windows のヒントを表示することを許可する場合があります。
  
  Experience/AllowWindowsTips CSP
- アクションセンターの Windows スポットライト: [ブロック] は、Windows スポットライト通知がアクションセンターに表示されないようにします。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は、ユーザーが Windows でより生産的になるのに役立つアプリまたは機能を提案する通知をアクションセンターに表示する場合があります。
  
  Experience/AllowWindowsSpotlightOnActionCenter CSP
- Windows スポットライトのカスタマイズ: [ブロック] は、Windows が診断データを使用してユーザーにカスタマイズされたエクスペリエンスを提供することを防ぎます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は、Microsoft が診断データを使用して、ユーザーのニーズに合わせて Windows を調整するためのパーソナライズされた推奨事項、ヒント、およびオファーを提供することを許可する場合があります。
  
  Experience/AllowTailoredExperiencesWithDiagnosticData CSP
- Windows ウェルカムエクスペリエンス: [ブロック] は、Windows スポットライト Windows ウェルカムエクスペリエンス機能をオフにします。 Windows とそのアプリに更新や変更があった場合、Windows ウェルカムエクスペリエンスは表示されません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は、新機能または更新された機能に関する情報をユーザーに表示する Windows ウェルカムエクスペリエンスを許可する場合があります。
  
  Experience/AllowWindowsSpotlightWindowsWelcomeExperience CSP

Microsoft Defender ウイルス対策

これらの設定では、サポートされている Windows エディションも一覧表示する防御側ポリシー CSP を使用します。

リアルタイム監視: [有効] は、マルウェア、スパイウェア、およびその他の不要なソフトウェアのリアルタイムスキャンをオンにします。ユーザーはそれをオフにすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこの機能をオンにし、ユーザーが変更できるようにします。

この設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

Intune はこの機能をオフにしません。無効にするには、カスタム URI を使用します。

Defender/AllowRealtimeMonitoring CSP
動作の監視: [有効] は動作の監視をオンにし、デバイス上の疑わしいアクティビティの特定の既知のパターンをチェックします。ユーザーは動作の監視をオフにすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は動作の監視をオンにし、ユーザーがそれを変更できるようにする場合があります。

設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

Intune はこの機能をオフにしません。無効にするには、カスタム URI を使用します。

Defender/AllowBehaviorMonitoring CSP
ネットワーク検査システム (NIS): NIS は、ネットワークベースの悪用からデバイスを保護するのに役立ちます。 Microsoft Endpoint Protection Center から既知の脆弱性のシグネチャを使用して、悪意のあるトラフィックを検出およびブロックします。
- 有効: ネットワーク保護とネットワークブロッキングをオンにします。ユーザーはそれをオフにすることはできません。有効にすると、ユーザーは既知の脆弱性への接続をブロックされます。
- 未構成 (既定): Intune では、この設定は変更または更新されません。既定では、OS は NIS をオンにし、ユーザーが変更できるようにします。
設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

Intune はこの機能をオフにしません。無効にするには、カスタム URI を使用します。

Defender/EnableNetworkProtection CSP
すべてのダウンロードをスキャン: [有効] はこの設定をオンにし、Defender はインターネットからダウンロードされたすべてのファイルをスキャンします。ユーザーはこの設定をオフにすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこの設定をオンにし、ユーザーがそれを変更できるようにする場合があります。

設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

Intune はこの機能をオフにしません。無効にするには、カスタム URI を使用します。

Defender/AllowIOAVProtection CSP
Microsoft Web ブラウザーに読み込まれたスクリプトのスキャン: [有効] を使用すると、Defender は Internet Explorer で使用されるスクリプトをスキャンできます。ユーザーはこの設定をオフにすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこの設定をオンにし、ユーザーがそれを変更できるようにする場合があります。

設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

Intune はこの機能をオフにしません。無効にするには、カスタム URI を使用します。

Defender/AllowScriptScanning CSP
Defender へのエンドユーザーアクセス: [ブロック] は、Microsoft Defender ユーザーインターフェイスをユーザーから非表示にします。すべての Microsoft Defender 通知も抑制されます。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はユーザーに Microsoft Defender UI へのアクセスを許可し、ユーザーがそれを変更できるようにする場合があります。

設定をブロックしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

Intune はこの機能をオフにしません。無効にするには、カスタム URI を使用します。

この設定を変更すると、次にデバイスを再起動したときに有効になります。

Defender/AllowUserUIAccess CSP
セキュリティインテリジェンスの更新間隔 (時間単位): Defender が新しいセキュリティインテリジェンスをチェックする間隔を 0 - 24 で入力します。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。オペレーティングシステムの既定では、8 時間ごとに更新をチェックする場合があります。
- チェックしない: Defender は新しいセキュリティインテリジェンスの更新をチェックしません。
- 1 - 24: 1 は 1 時間ごとにチェックし、2 は 2 時間ごとにチェックし、24 は毎日チェックするなどです。
Defender/SignatureUpdateInterval CSP
ファイルとプログラムのアクティビティを監視する: Defender がデバイス上のファイルとプログラムのアクティビティを監視できるようにします。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。オペレーティングシステムの既定では、すべてのファイルを監視する場合があります。
- 監視が無効
- すべてのファイルを監視する
- 受信ファイルのみを監視する
- 送信ファイルのみを監視する
Defender/RealTimeScanDirection CSP
検疫されたマルウェアを削除する前の日数: 入力した日数の間、解決されたマルウェアの追跡を継続して、以前に影響を受けたデバイスを手動で確認できるようにします。

この設定を構成しない場合、または 0 日に設定しない場合、マルウェアは [検疫] フォルダーに残り、自動的に削除されません。 90 に設定すると、検疫アイテムはシステムに 90 日間保存され、その後削除されます。

Defender/DaysToRetainCleanedMalware CSP
スキャン中の CPU 使用制限: スキャンで使用できる CPU の量を、0 から 100 パーセントまで制限します。既定では、OS はそれを 50% に設定する場合があります。

Defender/AvgCPULoadFactor CSP
アーカイブファイルのスキャン: [有効] は Defender をオンにして、Zip ファイルや Cab ファイルなどのアーカイブファイルをスキャンします。ユーザーはこの設定をオフにすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこのスキャンをオンにし、ユーザーがそれを変更できるようにする場合があります。

設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

Intune はこの機能をオフにしません。無効にするには、カスタム URI を使用します。

Defender/AllowArchiveScanning CSP
受信メールメッセージのスキャン: [有効] を使用すると、Defender はデバイスに到着したメールメッセージをスキャンできます。有効にすると、エンジンはメールボックスとメールファイルを解析して、メール本文と添付ファイルを分析します。 .pst (Outlook)、. dbx、.mbx、MIME (Outlook Express)、および BinHex (Mac) 形式をスキャンできます。

[未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこのスキャンをオフにし、ユーザーが変更できるようにします。

設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

Intune はこの機能をオフにしません。無効にするには、カスタム URI を使用します。

Defender/AllowEmailScanning CSP
フルスキャン中にリムーバブルドライブをスキャン: [有効] は、フルスキャン中に Defender リムーバブルドライブスキャンをオンにします。ユーザーはこの設定をオフにすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は Defender に USB スティックなどのリムーバブルドライブをスキャンさせ、ユーザーがこの設定を変更できるようにする場合があります。

設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

クイックスキャン中に、リムーバブルドライブがスキャンされる場合があります。

Intune はこの機能をオフにしません。無効にするには、カスタム URI を使用します。

Defender/AllowFullScanRemovableDriveScanning CSP
フルスキャン中にマップされたネットワークドライブをスキャン: [有効] にすると、Defender はマップされたネットワークドライブでファイルをスキャンします。ドライブ上のファイルが読み取り専用の場合、Defender はそれらのファイルで見つかったマルウェアを削除できません。ユーザーはこの設定をオフにすることはできません。

[未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこの機能をオンにし、ユーザーが変更できるようにします。

設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

クイックスキャン中も、マップされたネットワークドライブがスキャンされる場合があります。

Intune はこの機能をオフにしません。無効にするには、カスタム URI を使用します。

Defender/AllowFullScanOnMappedNetworkDrives CSP
ネットワークフォルダーから開かれたファイルのスキャン: [有効] にすると、Defender は、UNC パスからアクセスされたファイルなど、ネットワークフォルダーまたは共有ネットワークドライブから開かれたファイルをスキャンします。ユーザーはこの設定をオフにすることはできません。ドライブ上のファイルが読み取り専用の場合、Defender はそれらのファイルで見つかったマルウェアを削除できません。

[未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はネットワークフォルダーから開かれたファイルをスキャンし、ユーザーがそれを変更できるようにします。

設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

Intune はこの機能をオフにしません。無効にするには、カスタム URI を使用します。

Defender/AllowScanningNetworkFiles CSP
クラウド保護: [有効] は、Microsoft Active Protection Service をオンにして、管理しているデバイスからマルウェアアクティビティに関する情報を受信します。ユーザーはこの設定を変更できません。

[未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は Microsoft Active Protection Service が情報を受信することを許可し、ユーザーがこの設定を変更できるようにします。

設定を有効にしてから [未構成] に戻すと、Intune は設定を以前に構成された状態のままにします。

Intune はこの機能をオフにしません。無効にするには、カスタム URI を使用します。

Defender/AllowCloudProtection CSP
サンプル送信前にユーザーにプロンプトを表示する: さらに分析が必要になる場合がある潜在的に悪意のあるファイルを Microsoft に自動的に送信するかどうかを制御します。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。オペレーティングシステムの既定では、安全なサンプルが自動的に送信される場合があります。
- 常にプロンプトを表示する
- 個人データを送信する前にプロンプトを表示する
- データを送信しない
- プロンプトなしですべてのデータを送信する: データは自動的に送信されます。
Defender/SubmitSamplesConsent CSP
毎日のクイックスキャンを実行する時間: 毎日のクイックスキャンを実行する時間を選択します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこのスキャンを午前 2 時に実行する場合があります。

さらにカスタマイズが必要な場合は、[実行するシステムスキャンの種類] 設定を構成します。

Defender/ScheduleQuickScanTime CSP
実行するシステムスキャンの種類: スキャンのレベル、スキャンを実行する日時など、システムスキャンをスケジュールします。次のようなオプションがあります:
- [未構成]: Intune では、この設定は変更または更新されません。設定は強制されません。ユーザーは、デバイス上で必要に応じて、手動でスキャンを実行できます。
- 無効: デバイスでのシステムスキャンを無効にします。デバイスをスキャンするパートナーのウイルス対策ソリューションを使用している場合は、このオプションを選択します。
- クイックスキャン: レジストリキーや既知の Windows スタートアップフォルダーなど、マルウェアが登録されている可能性のある一般的な場所を調べます。
  - スケジュールされた日: スキャンを実行する日を選択します。
  - スケジュールされた時間: スキャンを実行する時間を選択します。
- フルスキャン: マルウェアが登録されている可能性のある一般的な場所を調べ、デバイス上のすべてのファイルとフォルダーもスキャンします。
  - スケジュールされた日: スキャンを実行する日を選択します。
  - スケジュールされた時間: スキャンを実行する時間を選択します。
ヒント

この設定は、[毎日のクイックスキャンを実行する時間] 設定と競合する場合があります。いくつかの推奨事項:
- 毎日のクイックスキャンと毎週のフルスキャンをスケジュールする場合は、次のようにします:
  1. [毎日のクイックスキャンを実行する時間] 設定を構成します。
  2. フルスキャンを実行するには、[実行するシステムスキャンの種類] を構成します。
- 毎日 1 回のクイックスキャンのみ (フルスキャンなし) が必要な場合は、[毎日のクイックスキャンを実行する時間] または [実行するシステムスキャンの種類] のいずれかの設定を使用します。たとえば、毎週火曜日の午前 6 時にクイックスキャンを実行するには、[実行するシステムスキャンの種類] 設定を構成します。
- [クイックスキャン] に設定された [実行するシステムスキャンの種類] と同時に [毎日のクイックスキャンを実行する時間] 設定を構成しないでください。これらの設定が競合し、スキャンが実行されない場合があります。
Defender/ScanParameter CSP
Defender/ScheduleScanDay CSP
Defender/ScheduleScanTime CSP
不要な可能性のあるアプリケーションの検出: この機能は、不要な可能性のあるアプリケーション (PUA) を識別し、ネットワークにダウンロードしてインストールすることをブロックします。これらのアプリケーションは、ウイルス、マルウェア、またはその他の種類の脅威とは見なされません。ただし、パフォーマンスや使用に影響を与える場合のあるアクションをエンドポイントで実行できます。 Windows が PUA を検出するときの保護レベルを選択します。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。既定では、Microsoft Defender はこの機能を無効にする場合があります。
- オフまたは無効: PUA 保護がオフ。
- 有効: Microsoft Defender が PUA を検出し、検出されたアイテムがブロックされます。これらのアイテムは、他の脅威とともに履歴に表示されます。
- 監査: Microsoft Defender は PUA を検出しますが、アクションを実行しません。 Microsoft Defender がアクションを実行するアプリケーションに関する情報を確認できます。たとえば、イベントビューアーで Microsoft Defender によって作成されたイベントを検索します。
[エンドポイントセキュリティ]>[ウイルス対策]>[Microsoft Defender ウイルス対策]>[修復] では、この設定は [不要な可能性のあるアプリケーションに対して実行するアクション] と呼ばれます。

不要な可能性のあるアプリの詳細については、「不要な可能性のあるアプリケーションの検出とブロック」を参照してください。

Defender/PUAProtection CSP
サンプル送信の同意: 現在、この設定は影響を与えません。この設定は使用しないでください。将来のリリースで削除される可能性があります。
アクセス保護時: [ブロック] は、アクセスまたはダウンロードされたファイルのスキャンを防止します。ユーザーはそれをオンにすることはできません。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS はこの機能を有効にし、ユーザーが変更できるようにする場合があります。

設定をブロックしてから [未構成] に戻すと、Intune は設定を以前に OS で構成された状態のままにします。

Intune はこの機能をオンにしません。有効にするには、カスタム URI を使用します。

Defender/AllowOnAccessProtection CSP
検出されたマルウェアの脅威に対するアクション: [有効] を選択して、検出した脅威レベル (低、中、高、および重大) ごとに Defender に実行させるアクションを選択します。 [未構成] (既定) に設定すると、Intune では、この設定は変更または更新されません。既定では、OS は Microsoft Defender に最適なオプションを選択させる場合があります。

[有効] に設定されている場合は、アクションを選択します。
- Clean
- 検疫
- Remove
- 許可
- ユーザー定義
- Block
アクションが不可能な場合、Microsoft Defender は、脅威を確実に修正するための最適なオプションを選択します。

Defender/ThreatSeverityDefaultAction CSP

Microsoft Defender ウイルス対策の除外

除外リストを変更することにより、Microsoft Defender ウイルス対策スキャンから特定のファイルを除外できます。 通常、除外を適用する必要はありません。 Microsoft Defender ウイルス対策には、既知の OS の動作と、エンタープライズ管理、データベース管理、およびその他のエンタープライズシナリオや状況で使用されるものなど、一般的な管理ファイルに基づく、多数の自動除外が含まれています。

警告

除外を定義すると、Microsoft Defender ウイルス対策によって提供される保護が低下します。除外の実装に関連するリスクを常に評価してください。悪意のないことがわかっているファイルのみを除外します。

スキャンとリアルタイム保護から除外するファイルとフォルダー: C:\Path や %ProgramFiles%\Path\filename.exe などの 1 つ以上のファイルとフォルダーを除外リストに追加します。これらのファイルとフォルダーは、リアルタイムスキャンまたはスケジュールされたスキャンには含まれません。
スキャンとリアルタイム保護から除外するファイル拡張子: jpg や txt などの 1 つ以上のファイル拡張子を除外リストに追加します。これらの拡張子を持つファイルは、リアルタイムスキャンまたはスケジュールされたスキャンには含まれません。
スキャンとリアルタイム保護から除外するプロセス: 種類 .exe、.com、または .scr の 1 つ以上のプロセスを除外リストに追加します。これらのプロセスは、リアルタイムスキャンまたはスケジュールされたスキャンには含まれません。

電源設定

これらの設定では、サポートされている Windows エディションも一覧表示する電源ポリシー CSP を使用します。

バッテリー

エナジーセーバーをオンにするバッテリーレベル: デバイスがバッテリー電源を使用している場合は、エナジーセーバーをオンにするのにバッテリー充電レベル、0 - 100 を入力します。バッテリー充電レベルを示すパーセンテージ値を入力します。たとえば、80 に設定すると、バッテリーの充電量が 80% 以下になると、エナジーセーバーがオンになります。

値を入力しない場合、Intune はこの設定を変更または更新しません。既定では、OS はそれを 70% に設定する場合があります。

Power/EnergySaverBatteryThresholdOnBattery CSP
ふたを閉じる (モバイルのみ): デバイスがバッテリー電源を使用している場合、ふたを閉じたときに起こることを選択します。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。既定では、OS はユーザーがこの設定を制御できるようにする場合があります。
- アクションなし: デバイスはオンのままで、バッテリー電源を使用し続けます。
- スリープ: デバイスはスリープモードになり、少量のバッテリー充電を使用します。コンピューターはまだオンになっており、開いているアプリとファイルはランダムアクセスメモリ (RAM) に保存されます。
- 休止状態: デバイスは休止状態モードになります。開いているアプリやファイルはハードディスクに保存され、デバイスの電源がオフになります。
- シャットダウン: デバイスがシャットダウンします。開いているアプリやファイルは保存せずに閉じます。
Power/SelectLidCloseActionOnBattery CSP
電源ボタン: デバイスがバッテリー電源を使用している場合、電源ボタンが選択されたときに起こることを選択します。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。既定では、OS はユーザーがこの設定を制御できるようにする場合があります。
- アクションなし: デバイスはオンのままで、バッテリー電源を使用し続けます。
- スリープ: デバイスはスリープモードになり、少量のバッテリー充電を使用します。コンピューターはまだオンになっており、開いているアプリとファイルはランダムアクセスメモリ (RAM) に保存されます。
- 休止状態: デバイスは休止状態モードになります。開いているアプリやファイルはハードディスクに保存され、デバイスの電源がオフになります。
- シャットダウン: デバイスがシャットダウンします。開いているアプリやファイルは保存せずに閉じます。
Power/SelectPowerButtonActionOnBattery CSP
スリープボタン: デバイスがバッテリー電源を使用している場合、スリープボタンが選択されたときに起こることを選択します。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。既定では、OS はユーザーがこの設定を制御できるようにする場合があります。
- アクションなし: デバイスはオンのままで、バッテリー電源を使用し続けます。
- スリープ: デバイスはスリープモードになり、少量のバッテリー充電を使用します。コンピューターはまだオンになっており、開いているアプリとファイルはランダムアクセスメモリ (RAM) に保存されます。
- 休止状態: デバイスは休止状態モードになります。開いているアプリやファイルはハードディスクに保存され、デバイスの電源がオフになります。
- シャットダウン: デバイスがシャットダウンします。開いているアプリやファイルは保存せずに閉じます。
Power/SelectSleepButtonActionOnBattery CSP
ハイブリッドスリープ: デバイスがバッテリー電源を使用している場合、ハイブリッドスリープモードを許可するか無効にするかを選択します。
- 未構成 (既定): Intune では、この設定は変更または更新されません。既定では、OS はユーザーがこの設定を制御できるようにする場合があります。
- 有効: デバイスはハイブリッドスリープモードに入ることができます。開いているアプリとファイルは、ランダムアクセスメモリ (RAM) とハードディスクに保存されます。少量のバッテリー充電を使用します。
- 無効: デバイスがハイブリッドスリープモードに入らないようにします。
Power/TurnOffHybridSleepOnBattery CSP

PluggedIn

エナジーセーバーをオンにするバッテリーレベル: デバイスが接続されているときに、エナジーセーバーをオンにするのにバッテリー充電レベル、0 - 100 を入力します。バッテリー充電レベルを示すパーセンテージ値を入力します。たとえば、80 に設定すると、バッテリーの充電量が 80% 以下になると、エナジーセーバーがオンになります。

値を入力しない場合、Intune はこの設定を変更または更新しません。既定では、OS はそれを 70% に設定する場合があります。

Power/EnergySaverBatteryThresholdPluggedIn CSP
ふたを閉じる (モバイルのみ): デバイスが接続されている場合、ふたを閉じたときに起こることを選択します。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。
- アクションなし: デバイスはオンのままです。
- スリープ: デバイスはスリープモードになります。コンピューターはまだオンになっており、開いているアプリとファイルはランダムアクセスメモリ (RAM) に保存されます。
- 休止状態: デバイスは休止状態モードになります。開いているアプリやファイルはハードディスクに保存され、デバイスの電源がオフになります。
- シャットダウン: デバイスがシャットダウンします。開いているアプリやファイルは保存せずに閉じます。
  
  Power/SelectLidCloseActionPluggedIn CSP
電源ボタン: デバイスが接続されている場合、電源ボタンが選択されたときに起こることを選択します。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。
- アクションなし: デバイスはオンのままです。
- スリープ: デバイスはスリープモードになります。コンピューターはまだオンになっており、開いているアプリとファイルはランダムアクセスメモリ (RAM) に保存されます。
- 休止状態: デバイスは休止状態モードになります。開いているアプリやファイルはハードディスクに保存され、デバイスの電源がオフになります。
- シャットダウン: デバイスがシャットダウンします。開いているアプリやファイルは保存せずに閉じます。
Power/SelectPowerButtonActionPluggedIn CSP
スリープボタン: デバイスが接続されている場合、スリープボタンが選択されたときに起こることを選択します。次のようなオプションがあります。
- 未構成 (既定): Intune では、この設定は変更または更新されません。
- アクションなし: デバイスはオンのままです。
- スリープ: デバイスはスリープモードになります。コンピューターはまだオンになっており、開いているアプリとファイルはランダムアクセスメモリ (RAM) に保存されます。
- 休止状態: デバイスは休止状態モードになります。開いているアプリやファイルはハードディスクに保存され、デバイスの電源がオフになります。
- シャットダウン: デバイスがシャットダウンします。開いているアプリやファイルは保存せずに閉じます。
Power/SelectSleepButtonActionPluggedIn CSP
ハイブリッドスリープ: デバイスが接続されている場合、ハイブリッドスリープモードを許可するか無効にするかを選択します。
- 未構成 (既定): Intune では、この設定は変更または更新されません。既定では、OS はユーザーがこの設定を制御できるようにする場合があります。
- 有効: デバイスはハイブリッドスリープモードに入ることができます。開いているアプリとファイルは、ランダムアクセスメモリ (RAM) とハードディスクに保存されます。
- 無効: デバイスがハイブリッドスリープモードに入らないようにします。
Power/TurnOffHybridSleepPluggedIn CSP

次の手順

各設定の技術的な詳細とサポートされている Windows のエディションについては、「Windows 10/11 ポリシー CSP リファレンス」を参照してください

プロファイルを割り当て、その状態を監視する。