ブート物理デバイスへのユーザー アクセスWindows 365制限する

Windows 365ブート物理デバイスは、ユーザーが物理デバイスと対話することなく、クラウド PC と対話できるようにすることを目的としています。 この目標を達成するには、いくつかの構成サービス プロバイダー (CSP) ポリシーを設定する必要があります。

Windows 365ブートでは、エンド ユーザーが物理デバイス上の特定のリソースにアクセスできないように、これらのポリシーが自動的に設定されることはありません。 管理者は、次の CSP を確認し、organizationのセキュリティ要件を満たすために物理デバイスに実装する CSP を決定する必要があります。

パブリック プレビューで新しい CSP ポリシーを使用できます。 このポリシーを使用すると、デバイスをさらに自動的に制限できます。 詳細については、「 TBS」を参照してください。

物理デバイスのタスク マネージャーへのアクセスを禁止する

Windows 365ブート機能のパブリック プレビュー バージョンでは、ユーザーが Ctrl + Alt + Delete キーを押しても、ローカル デバイスのタスク マネージャーに引き続きアクセスできます。 タスク マネージャーは、 DisableTaskMgr CSP ポリシーを使用して無効にすることができます。

このポリシーにより、管理者を含むすべてのユーザーに対してシステムでタスク マネージャーを使用できなくなります。 また、物理デバイスでショートカット キーを使用してタスク マネージャーを起動することもできなくなります。 このポリシーによりデバイスのセキュリティが強化されますが、この物理デバイスへのアクセスが不足しているため、デバイスの問題のトラブルシューティングが困難になります。

ユーザーが物理デバイスのパスワードを変更できないようにする

Windows 365ブート物理デバイスでは、ユーザー パスワードの変更はサポートされていません。 このオプションが環境内で使用されている場合は、 DisableChangePassword CSP ポリシーを使用してユーザーを混乱させるのを防ぐために無効にすることができます。

既定の資格情報プロバイダーを設定する

Windows 365 ブートのパブリック プレビュー バージョンは、共有 PC モード用に設計されています。 このモードでは、ユーザー名とパスワードの認証方法が必要です。 環境によっては、他の認証プロバイダーが構成され、ユーザーが混乱する可能性があります。 この混乱を回避するには、既定の資格情報プロバイダーをユーザー名とパスワードに設定することを検討してください。 この既定値を設定するには、 DefaultCredentialProvider CSP ポリシーを使用します。

タスク バーから通知とアクション センターを削除する

デバイスにタッチスクリーンがある場合、ユーザーは物理デバイスの通知センターと予定表ビューを操作できます。 これらのコンポーネントを使用すると、ユーザーは、Windows 365 ブート物理デバイスの設定アプリを起動することもできます。 これらのコンポーネントにアクセスするユーザーの機能を削除するには、 DisableNotificationCenter CSP ポリシーを使用します。

物理デバイスの通知を防止する

Windows 365 ブート物理デバイスからの通知は、クラウド PC セッションを介して表示できます。 このような通知を防ぐには、 NoToastNotification CSP ポリシーを使用します。

ユーザー サインイン中のアプリの自動起動を防止する

Windows 365 ブート物理デバイス上の一部のアプリケーションは、ユーザーのサインイン中に自動的に起動するように構成されている場合があります。 この動作の上位を回避するには、 DisableExplorerRunLegacy_1 CSP ポリシーを使用します。 

タッチ スクリーン デバイスでのサインインを改善する

タッチスクリーン デバイスでは、ユーザーのサインイン中にタッチ スクリーン キーボードが表示される必要があります。 Windows 365ブート タッチ スクリーン デバイスでは、EnableTouchKeyboardAutoInvokeInDesktopMode CSP ポリシーを使用してサインイン エクスペリエンスを向上させることができます。

次の手順

Windows 365ブートのトラブルシューティングを行います。