割り当てられたアクセスに関する推奨事項
この記事では、割り当て済みアクセスとシェル起動ツールを使用して構成されたデバイスに関する推奨事項について説明します。 ほとんどの推奨事項には、キオスク デバイスの構成に役立つグループ ポリシー (GPO) と構成サービス プロバイダー (CSP) 設定の両方が含まれています。
キオスク ユーザー アカウント
公開環境にあるキオスク デバイスの場合は、ローカルの標準ユーザー アカウントなど、最小限の特権を持つユーザー アカウントをキオスク アカウントとして構成します。 Active Directory ユーザーまたは Microsoft Entra ユーザーを使用すると、攻撃者が任意のドメイン アカウントからアクセスできるドメイン リソースにアクセスできる可能性があります。 アクセス権が割り当てられたドメイン アカウントを使用する場合は、注意してください。 ドメイン アカウントを使用して公開される可能性があるドメイン リソースを検討してください。
自動サインイン
キオスク デバイスの 自動サインイン を有効にすることを検討してください。 更新または停電からデバイスが再起動されると、割り当てられたアクセス アカウントで自動的にサインインするようにデバイスを構成できます。 デバイスに適用されたポリシー設定で、自動サインインが期待どおりに機能しないようにします。 たとえば、ポリシー設定 PreferredAadTenantDomainName では、自動サインインが機能しなくなります。
アカウントで割り当てられたアクセスとシェル起動ツールの XML ファイルを構成して、自動的にサインインできます。 詳細については、次の記事を参照してください。
または、レジストリを編集して、アカウントが自動的にサインインするようにすることもできます。
パス | 名前 | 型 | 値 |
---|---|---|---|
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
AutoAdminLogon |
REG_DWORD | 1 |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultUserName |
String | サインインするアカウントとして値を設定します。 |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultPassword |
String | アカウントのパスワードとして値を設定します。 |
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon |
DefaultDomainName |
String | ドメインアカウントに対してのみ、ドメインの値を設定します。 ローカル アカウントの場合は、このキーを追加しないでください。 |
自動サインインが構成されたら、デバイスを再起動します。 アカウントは自動的にサインインします。
注
カスタム ログオンをHideAutoLogonUI
有効にして使用している場合は、ユーザー アカウントのパスワードの有効期限が切れたときに黒い画面が表示されることがあります。
パスワードを期限切れにならないように設定することを検討してください。
Windows Update
ユーザー エクスペリエンスを中断することなく、キオスク デバイスを常に最新の状態に構成します。 キオスク デバイスの Windows Update を構成するために考慮する必要があるポリシー設定を次に示します。
型 | パス | 名前/説明 |
---|---|---|
CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ActiveHoursEnd |
アクティブ時間の終了を表す整数値。 たとえば、 22 は午後 10 時を表します |
CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ActiveHoursStart |
アクティブ時間の開始を表す整数値。 たとえば、 7 は午前 7 時を表します |
CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
AllowAutoUpdate |
整数値。 に 3 設定する - 自動ダウンロードしてインストールをスケジュールする |
CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
ScheduledInstallTime |
整数値。 デバイスが更新プログラムをインストールする時間を指定します。 たとえば、 23 午後 11 時を表します |
CSP |
./Device/Vendor/MSFT/Policy/Config/Update/
UpdateNotificationLevel |
整数値。 に 2 設定: 再起動警告を含むすべての通知をオフにする |
GPO | コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\エンド ユーザー エクスペリエンスの管理 | 更新通知 > の表示オプション 値を 2 に設定 する - 再起動警告を含むすべての通知をオフにする |
GPO | コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\エンド ユーザー エクスペリエンスの管理\自動更新の構成 | 4 - インストールを自動ダウンロードしてスケジュールする> アクティブ時間外のインストール時間を指定する |
GPO | コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update\エンド ユーザー エクスペリエンスの管理\アクティブ時間中の更新プログラムの自動再起動をオフにする | Windows Update が原因でキオスク デバイスを再起動できない開始時間と終了アクティブ時間を構成する |
電源設定
キオスク デバイスがスリープ状態にならないようにするか、ユーザーがキオスクをシャットダウンまたは再起動できないようにすることができます。 考慮すべきいくつかのオプションを次に示します。
型 | パス | 名前/説明 |
---|---|---|
CSP |
./Device/Vendor/MSFT/Policy/Config/ADMX_StartMenu/
HidePowerOptions |
[String]。 に設定する <Enabled/> |
CSP | ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/ Shutdown_AllowSystemToBeShutDownWithoutHavingToLogOn |
整数値。 に設定する 0 |
CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
DisplayOffTimeoutPluggedIn |
[String]。 に設定する <Enabled/><Data ID="EnterVideoACPowerDownTimeOut" value="0"/> |
CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
SelectPowerButtonActionPluggedIn |
整数。 に設定する 0 |
CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
SelectSleepButtonActionPluggedIn |
整数。 に設定する 0 |
CSP |
./Device/Vendor/MSFT/Policy/Config/Power/
StandbyTimeoutPluggedIn |
[String]。 に設定する <Enabled/><Data ID="EnterACStandbyTimeOut" value="0"/> |
GPO | コンピューターの構成\管理用テンプレート\スタート メニューとタスク バー\シャットダウン、再起動、スリープ、休止状態の各コマンドへのアクセスを削除して禁止する | エネーブル |
GPO | コンピューターの構成\管理用テンプレート\System\Power Management\Button Settings\Select the Power button action | アクションを選択する: アクションを実行しない |
GPO | コンピューターの構成\管理用テンプレート\System\Power Management\Button の設定\スリープ ボタン アクションの選択 | アクションを選択する: アクションを実行しない |
GPO | コンピューターの構成\管理用テンプレート\System\Power Management\システム のスリープ タイムアウトを指定する | 値を 0 秒に設定します。 |
GPO | コンピューターの構成\管理用テンプレート\System\Power Management\Video and Display Settings\ディスプレイをオフにする | 値を 0 秒に設定します。 |
GPO | コンピューターの構成\Windows 設定\セキュリティ設定\ローカル ポリシー\セキュリティ オプション\シャットダウン: ログオンしなくてもシステムをシャットダウンできるようにする | 無効 |
GPO | コンピューターの構成\Windows 設定\セキュリティ設定\ローカル ポリシー\ユーザー権利の割り当て\システムをシャットダウンする | このポリシーからユーザーまたはグループを削除します。 このポリシーが Administrators グループのメンバーに影響を与えないようにするには、Administrators グループを保持してください。 |
注
カスタム ログオンという機能を使用して、セキュリティ オプション画面から電源ボタンを無効にすることもできます。 電源ボタンの削除または物理電源ボタンの無効化の詳細については、「 カスタム ログオン」を参照してください。
キーボード ショートカット
制限付きユーザー エクスペリエンスで構成されているユーザー アカウントでは、次のキーボード ショートカットはブロックされません。
- Alt + F4
- Alt + タブ
- Alt + 動く + タブ
- Ctrl + Alt + 削除
キーボード フィルターを使用して、キーの組み合わせをブロックできます。 キーボード フィルター設定は、他の標準アカウントに適用されます。
アクセシビリティ ショートカット
割り当てられたアクセスでは、アクセシビリティ設定は変更されません。 キーボード フィルターを使用して、アクセシビリティ機能を開く次のキーの組み合わせをブロックします。
キーの組み合わせ | ブロックされた動作 |
---|---|
左 Alt + 左シフト + 印刷画面 | [ハイ コントラストを開く] ダイアログ ボックス |
左 Alt + 左シフト + Num Lock | [マウス キーを開く] ダイアログ ボックス |
勝つ + U | [設定] アプリのアクセシビリティ パネルを開く |
注
キーボード フィルターがオンになっている場合、一部のキーの組み合わせは、明示的にブロックしなくても自動的にブロックされます。 詳細については、「 キーボード フィルター」を参照してください。
カスタム ログオンを使用して、ロック画面でアクセシビリティ機能やその他のオプションを無効にすることもできます。 たとえば、[アクセシビリティ] オプションを削除するには、次のレジストリ キーを使用します。
パス | 名前 | 型 | 値 |
---|---|---|---|
HKLM\Software\Microsoft\Windows Embedded\EmbeddedLogon\BrandingNeutral |
BrandingNeutral |
REG_DWORD | 8 |
Microsoft Edge のショートカット
特定の Microsoft Edge の既定のショートカットを無効にするには、ConfigureKeyboardShortcuts ポリシーを使用できます。
キオスク エクスペリエンス用のアプリを選択する
割り当て済みアクセスでキオスク エクスペリエンスを作成するには、UWP アプリまたは Microsoft Edge を選択します。 ただし、キオスクとして使用する場合、一部のアプリケーションでは優れたユーザー エクスペリエンスが提供されない場合があります。
次のガイドラインは、キオスク エクスペリエンスに適した Windows アプリを選択するのに役立ちます。
- 割り当てられたアクセス アプリとして選択するには、割り当てられたアクセス アカウントに対して Windows アプリをプロビジョニングまたはインストールする必要があります。 アプリをプロビジョニングしてインストールする方法について説明します
- UWP アプリの更新によって、アプリのアプリケーション ユーザー モデル ID (AUMID) が変更されることがあります。 このようなシナリオでは、割り当てられたアクセスが AUMID を使用して起動するアプリを決定するため、更新されたアプリを実行するには、割り当てられたアクセス設定を更新する必要があります
- アプリはロック画面の上で実行できる必要があります。 アプリをロック画面の上で実行できない場合は、キオスク アプリとして使用できません
- 一部のアプリでは、他のアプリを起動できます。 キオスク モードでアクセスを割り当てると、Windows アプリが他のアプリを起動できなくなります。 コア機能の一部として他のアプリを起動するように設計された Windows アプリを選択しないでください
- Microsoft Edge には、キオスク モードのサポートが含まれています。 詳細については、「Microsoft Edge キオスク モード」を参照してください。
- キオスクは通常、匿名アクセスを意味し、パブリック設定で検索するため、キオスクに表示したくない情報を公開する可能性がある Windows アプリは選択しないでください。 たとえば、ファイル ピッカーを持つアプリを使用すると、ユーザーはユーザーのシステム上のファイルやフォルダーにアクセスできます。不要なデータ アクセスを提供する場合は、これらの種類のアプリを選択しないようにします
- 一部のアプリでは、割り当て済みアクセスで適切に使用する前に、より多くの構成が必要になる場合があります。 たとえば、Microsoft OneNote では、OneNote を開く前に、割り当て済みアクセス ユーザー アカウントの Microsoft アカウントを設定する必要があります
- キオスク プロファイルは、一般向けのキオスク デバイス用に設計されています。 ローカルの管理者以外のアカウントを使用します。 デバイスが組織ネットワークに接続されている場合、ドメインまたは Microsoft Entra アカウントを使用すると機密情報が侵害される可能性があります
キオスクまたは制限付きユーザー エクスペリエンスの展開を計画する場合は、次の推奨事項を考慮してください。
- ユーザーが使用する必要があるすべてのアプリケーションを評価します。 アプリケーションでユーザー認証が必要な場合は、ローカル ユーザー アカウントまたは汎用ユーザー アカウントを使用しないでください。 代わりに、割り当てられたアクセス構成ファイル内のユーザーのグループをターゲットにします
- マルチアプリ キオスクは、複数のユーザーが共有するデバイスに適しています。 マルチアプリ キオスクを構成すると、デバイス上のすべての管理者以外のユーザーに影響を与える特定のポリシー設定。 これらのポリシーの一覧については、「割り当てられたアクセス ポリシー設定」を参照してください。
キオスク アプリの開発
割り当てられたアクセスは 、ロック フレームワークを使用します。 割り当てられたアクセス ユーザーがサインインすると、選択したキオスク アプリがロック画面の上に起動します。 キオスク アプリは、 上記のロック 画面アプリとして実行されています。 詳細については、 割り当てられたアクセス用のキオスク アプリを開発するためのベスト プラクティス ガイダンスに関するページを参照してください。
エラーと回復オプションを停止する
停止エラーが発生すると、停止エラー コードが表示されたブルー スクリーンが表示されます。 標準画面は、OS エラーの空白の画面に置き換えることができます。 詳細については、「 システム障害と回復オプションの構成」を参照してください。
ロック画面の通知
デバイスがロックされているときにユーザーに通知が表示されないように、ロック画面から通知を削除することを検討してください。 考慮すべきいくつかのオプションを次に示します。
型 | パス | 名前/説明 |
---|---|---|
CSP |
./Device/Vendor/MSFT/Policy/Config/AboveLock/
AllowToasts |
整数。 に設定する 0 |
GPO | コンピューターの構成\管理用テンプレート\System\Logon\ロック画面でアプリ通知をオフにする | Enabled |
トラブルシューティングとログ
割り当てられたアクセスをテストするときは、問題のトラブルシューティングに役立つログ記録を有効にすると便利です。 ログは、構成とランタイムの問題を特定するのに役立ちます。 次のログを有効にすることができます: アプリケーションとサービス ログ>Microsoft>Windows>AssignedAccess>Operational。
次のレジストリ キーには、割り当てられたアクセス構成が含まれています。
HKLM\Software\Microsoft\Windows\AssignedAccessConfiguration
HKLM\Software\Microsoft\Windows\AssignedAccessCsp
次のレジストリ キーには、割り当てられたアクセス ポリシーを持つ各ユーザーの構成が含まれています。
HKCU\SOFTWARE\Microsoft\Windows\AssignedAccessConfiguration
キオスクの問題のトラブルシューティングの詳細については、「 キオスク モードの問題のトラブルシューティング」を参照してください。
次のステップ
割り当てられたアクセスを構成する XML ファイルを作成する方法について説明します。