Windows 10 デバイスでマルチアプリ キオスクを設定する
適用対象
- Windows 10 Pro、Enterprise、Education
注
現在、マルチアプリ キオスクはWindows 10でのみサポートされています。 Windows 11ではサポートされていません。
マルチアプリ キオスク モードでは、複数のモニターの使用はサポートされていません。
キオスク デバイスでは、通常 1 つのアプリが実行され、ユーザーはキオスク アプリの外でデバイスの機能にアクセスすることはできません。 バージョン 1709 Windows 10では、AssignedAccess 構成サービス プロバイダー (CSP) が拡張され、管理者は複数のアプリを実行するキオスクを簡単に作成できます。 指定された 1 つ以上のアプリのみを実行するキオスクの利点は、ユーザーの前に使用する必要がある物だけを前に置き、アクセスする必要のないものをビューから削除することで、わかりやすいエクスペリエンスを提供することです。
次の表に、最近の更新プログラムでのマルチアプリ キオスクの変更を示します。
| 新機能と機能強化 | 更新中 |
|---|---|
| - XML ファイル でシングル アプリ キオスク プロファイル を構成する - グループ アカウントを構成プロファイルに割り当てる - 自動的にサインインするようにアカウントを構成する |
Windows 10 Version 1803 |
| - ユーザーがファイル ダイアログ ボックスを開くときに、既知のフォルダーを明示的に許可する - ユーザーがサインインしたときにアプリを自動的に起動する - 自動ログオン アカウントの表示名を構成する |
Windows 10 Version 1809 大事な:Windows 10 Version 1809でリリースされた機能を使用するには、XML ファイルが を参照 https://schemas.microsoft.com/AssignedAccess/201810/configしていることを確認します。 |
Warning
割り当てられたアクセス機能は、キオスクのようなエンタープライズ所有の固定用途デバイス用に用意されています。 複数アプリの割り当てられたアクセス構成がデバイスに適用されている場合、特定のポリシーがシステム全体に適用され、デバイスの他のユーザーに影響します。 キオスク構成を削除すると、ユーザーに関連付けられている割り当てられたアクセス ロックダウン プロファイルが削除されますが、適用されるすべてのポリシー (スタート 画面のレイアウトなど) を元に戻すことはできません。 割り当てられたアクセスを通じて適用されたすべてのポリシーをクリアするには、出荷時の設定にリセットする必要があります。
Microsoft Intune またはプロビジョニング パッケージを使用して、複数のアプリのキオスクを構成できます。
ヒント
キオスクを設定する前に 、構成に関する推奨事項 を必ず確認してください。
Microsoft Intune でキオスクを構成する
Microsoft Intuneでキオスクを構成するには、次を参照してください。
- Intuneを使用して専用キオスクとして実行する Windows クライアントとWindows Holographic for Businessデバイスの設定
- Intuneでキオスクとして実行する Windows クライアント デバイス設定
プロビジョニング パッケージを使ったキオスクの構成
プロセス:
プロビジョニング パッケージを使用して、複数アプリのキオスクを構成する方法をご覧ください。
プロビジョニング パッケージを使用しない場合は、 モバイル デバイス管理 (MDM) を使用して構成 XML ファイルを展開するか、MDM Bridge WMI プロバイダーを使用して割り当てられたアクセスを構成できます。
前提条件
- Windows 構成デザイナー (Windows 10 バージョン 1709 以降)
- キオスク デバイスは、バージョン 1709 以降のWindows 10 (S、Pro、Enterprise、または Education) を実行している必要があります
注
バージョン 1709 より前の Windows 10 を実行しているデバイスの場合、AppLocker ルールを作成して複数アプリのキオスクを構成できます。
XML ファイルを作成する
XML ファイルの基本構造を見てみましょう。
構成 xml では、複数のプロファイルを定義できます。 各プロファイルには一意の Id があり、実行が許可されるアプリケーションのセット、タスク バーが表示されるかどうか、スタート画面のカスタム レイアウトを含めることができるかどうかが定義されます。
構成 xml には、複数の config セクションを設定できます。 各 config セクションは、管理者以外のユーザー アカウントを既定のプロファイル Id に関連付けます。
複数の config セクションを同じプロファイルに関連付けることができます。
プロファイルは、構成セクションに関連付けられていない場合は影響しません。
ファイルを開始するには、次の XML を XML エディターに貼り付け、ファイルを ファイル名.xmlとして保存します。 この XML の各セクションについては、この記事で説明します。 完全なサンプル バージョンは、割り当てられたアクセス XML リファレンスで確認できます。
<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
>
<Profiles>
<Profile Id="">
<AllAppsList>
<AllowedApps/>
</AllAppsList>
<StartLayout/>
<Taskbar/>
</Profile>
</Profiles>
<Configs>
<Config>
<Account/>
<DefaultProfile Id=""/>
</Config>
</Configs>
</AssignedAccessConfiguration>
プロフィール
XML で指定できるプロファイルには、次の 2 種類があります。
- ロックダウン プロファイル: ロックダウン プロファイルを割り当てられたユーザーには、デスクトップがタブレット モードで表示され、スタート画面に特定のアプリが表示されます。
- キオスク プロファイル: バージョン 1803 Windows 10以降、このプロファイルは AssignedAccess CSP の KioskModeApp ノードに置き換えられます。 キオスク プロファイルを割り当てられたユーザーにはデスクトップは表示されませんが、全画面表示モードで実行されているキオスク アプリのみが表示されます。
XML のロックダウン プロファイル セクションには、次のエントリがあります。
XML のキオスク プロファイルには、次のエントリがあります。
Id
プロファイル Id は、プロファイルを一意に識別する GUID 属性です。 GUID ジェネレーターを使って GUID を作成することができます。 GUID は、この XML ファイル内で一意である必要があります。
<Profiles>
<Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">…</Profile>
</Profiles>
AllowedApps
AllowedApps は、実行が許可されるアプリケーションの一覧です。 アプリは、ユニバーサル Windows プラットフォーム (UWP) アプリまたは Windows デスクトップ アプリケーションにすることができます。 バージョン 1809 Windows 10以降、割り当てられたアクセス ユーザー アカウントがサインインしたときに自動的に実行されるように、AllowedApps リストで 1 つのアプリを構成できます。
- UWP アプリの場合、アプリ ユーザー モデル ID (AUMID) を指定する必要があります。 AUMID を取得する方法に関するページまたはスタート画面のレイアウト XML から AUMID を取得する方法に関するページをご覧ください。
- デスクトップ アプリの場合は、実行可能ファイルの完全なパスを指定する必要があります。このパスには、 の形式で 1 つ以上の
%variableName%システム環境変数を含めることができます。 たとえば、%systemroot%や%windir%のようになります。 - アプリが別のアプリに依存している場合は、どちらも許可されているアプリの一覧に含まれている必要があります。 たとえば、Internet Explorer 64 ビットは Internet Explorer 32 ビットに依存するため、 と
"C:\Program Files (x86)\Internet Explorer\iexplore.exe"の両方"C:\Program Files\internet explorer\iexplore.exe"を許可する必要があります。 - ユーザーがサインインしたときに自動的に起動するように 1 つのアプリを構成するには、AUMID またはパスの後に を含めます
rs5:AutoLaunch="true"。 アプリに渡す引数を含めることもできます。 例については、 AllowedApps サンプル XML を参照してください。
マルチアプリ キオスク構成がデバイスに適用されると、AppLocker ルールが生成され、構成に一覧表示されているアプリが許可されます。 UWP アプリの定義済みの割り当てられたアクセス AppLocker ルールを以下に示します。
既定のルールでは、署名済みパッケージ アプリの起動がすべてのユーザーに許可されます。
パッケージ アプリのブロックリストは、割り当てられたアクセス ユーザーがサインインしたときに実行時に生成されます。 ユーザー アカウントで使用できるインストール済み/プロビジョニング済みパッケージ アプリに基づいて、割り当てられたアクセスによってブロックリストが生成されます。 この一覧では、システムが機能するために重要な既定の受信トレイ パッケージ アプリが除外されます。 その後、割り当てられたアクセス構成で企業が定義した許可されたパッケージが除外されます。 同じパッケージ内に複数のアプリがある場合、これらすべてのアプリが除外されます。 このブロックリストは、ユーザーが現在使用できるが許可されている一覧には含まれていないアプリにユーザーがアクセスできないようにするために使用されます。
注
MMC スナップインのマルチアプリ キオスク構成によって生成される AppLocker ルールを管理することはできません。マルチアプリ キオスク構成によって生成される AppLocker 規則と競合する AppLocker 規則を作成しないでください。
マルチアプリ キオスク モードでは、企業またはユーザーが UWP アプリをインストールすることをブロックしません。 新しい UWP アプリが現在の割り当てられたアクセスのユーザー セッション中にインストールされた場合、このアプリは拒否リストには追加されません。 ユーザーがサインアウトしてもう一度サインインすると、アプリがブロックリストに含まれます。 これがエンタープライズ展開の基幹業務アプリであり、その実行を許可する場合、割り当てられたアクセス構成を更新して、許可アプリ リストに追加します。
デスクトップ アプリの定義済みの割り当てられたアクセス AppLocker ルールを以下に示します。
- 既定のルールでは、システムが起動および機能できるように、Microsoft 証明書で署名されたデスクトップ プログラムをすべてのユーザーが起動できるようにします。 このルールでは、すべてのデスクトップ プログラムの起動を管理者ユーザー グループにも許可します。
- 割り当てられたアクセス ユーザー アカウントには定義済みの受信トレイ デスクトップ アプリ ブロックリストがあり、このブロックリストは、マルチアプリ構成で定義したデスクトップ アプリ許可リストに基づいて調整されます。
- エンタープライズ定義の許可されたデスクトップ アプリは、AppLocker 許可リストに追加されます。
次の例では、Groove ミュージック、映画 & テレビ、写真、天気、電卓、ペイント、メモ帳アプリをデバイス上で実行できます。メモ帳は、ユーザーがサインインしたときに呼び出された 123.text ファイルを自動的に起動して作成するように構成されています。
<AllAppsList>
<AllowedApps>
<App AppUserModelId="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
<App AppUserModelId="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
<App AppUserModelId="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
<App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
<App AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
<App DesktopAppPath="%windir%\system32\mspaint.exe" />
<App DesktopAppPath="C:\Windows\System32\notepad.exe" rs5:AutoLaunch="true" rs5:AutoLaunchArguments="123.txt">
</AllowedApps>
</AllAppsList>
FileExplorerNamespaceRestrictions
バージョン 1809 Windows 10 以降では、ユーザーが XML ファイルに FileExplorerNamespaceRestrictions を含めることで、複数アプリ割り当てアクセスでファイル ダイアログ ボックスを開こうとしたときに、既知のフォルダーへのアクセスを明示的に許可できます。 現時点では、 ダウンロード はサポートされている唯一のフォルダーです。 この動作は、Microsoft Intuneを使用して設定することもできます。
次の例は、共通ファイル ダイアログ ボックスの [ダウンロード] フォルダーへのユーザー アクセスを許可する方法を示しています。
ヒント
エクスプローラーを介してダウンロード フォルダーへのアクセスを許可するには、許可されているアプリの一覧に "Explorer.exe" を追加し、エクスプローラーのショートカットをキオスクのスタート メニューにピン留めします。
<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
xmlns:rs5="https://schemas.microsoft.com/AssignedAccess/201810/config"
> <Profiles>
<Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
<AllAppsList>
<AllowedApps>
...
</AllowedApps>
</AllAppsList>
<rs5:FileExplorerNamespaceRestrictions>
<rs5:AllowedNamespace Name="Downloads"/>
</rs5:FileExplorerNamespaceRestrictions>
<StartLayout>
...
</StartLayout>
<Taskbar ShowTaskbar="true"/>
</Profile>
</Profiles>
</AssignedAccessConfiguration>
FileExplorerNamespaceRestrictionは、細分性と使いやすくするために、現在のWindows 10プレリリースで拡張されています。 詳細と完全なサンプルについては、「 割り当てられたアクセス XML リファレンス」を参照してください。 新しい要素を使用すると、ユーザーがダウンロード フォルダーまたはリムーバブル ドライブにアクセスできるか、まったく制限を設けないかを構成できます。
注
FileExplorerNamespaceRestrictionsとAllowedNamespace:Downloadsは名前空間https://schemas.microsoft.com/AssignedAccess/201810/configで使用できます。AllowRemovableDrivesとNoRestrictionは、新しい名前空間https://schemas.microsoft.com/AssignedAccess/2020/configで定義されます。
- ノードが使用されていない場合、または使用されているが空のままの場合
FileExplorerNamespaceRestrictions、ユーザーは共通ダイアログ内のフォルダーにアクセスできません。 たとえば、Microsoft Edge ブラウザーで 名前を付けて保存 します。 - 許可されている名前空間にダウンロードが記載されている場合、ユーザーは Downloads フォルダーにアクセスできます。
- を使用すると
AllowRemovableDrives、ユーザーはリムーバブル ドライブにアクセスすることになります。 - を使用すると
NoRestriction、ダイアログに制限は適用されません。 AllowRemovableDrivesとAllowedNamespace:Downloadsを同時に使用できます。
StartLayout
許可アプリケーションのリストを定義したら、スタート画面のレイアウトをカスタマイズしてキオスク エクスペリエンスを実現できます。 エンド ユーザーがスタート画面で許可アプリに直接アクセスするかどうかに応じて、すべての許可アプリをスタート画面にピン留めするか、サブセットだけにするかを選ぶことができます。
カスタマイズしたスタート 画面レイアウトを作成して他の Windows クライアント デバイスに適用する最も簡単な方法は、テスト デバイスでスタート画面を設定してからレイアウトをエクスポートすることです。 詳しい手順については、「スタート画面のレイアウトのカスタマイズとエクスポート」をご覧ください。
注意が必要ないくつかの点を示します。
- スタート画面のレイアウトをカスタマイズするテスト デバイスの OS バージョンは、複数アプリの割り当てられたアクセス構成を展開する予定のデバイスにインストールされている OS バージョンと同じでなければなりません。
- 複数アプリの割り当てられたアクセス エクスペリエンスは固定用途デバイス向けであるため、一貫性があり予測可能なデバイス エクスペリエンスにするには、部分的なスタート画面のレイアウトではなく完全なスタート画面のレイアウトを使ってください。
- マルチアプリ モードではタスク バーにピン留めされたアプリはなく、割り当てられたアクセス構成の一部としてレイアウト変更 XML のタグを
<CustomTaskbarLayoutCollection>使用してタスク バー レイアウトを構成することはサポートされていません。 - 次の例では、 を使用
DesktopApplicationLinkPathしてデスクトップ アプリをピン留めして起動します。 デスクトップ アプリにターゲット デバイスにショートカット リンクがない場合は、 Windows 構成デザイナーを使用して .lnk ファイルをプロビジョニングする方法について説明します。
次の例では、スタート画面に Groove ミュージック、映画 & テレビ、写真、天気、電卓、ペイント、メモ帳の各アプリをピン留めします。
<StartLayout>
<![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="httsp://schemas.microsoft.com/Start/2014/LayoutModification">
<LayoutOptions StartTileGroupCellWidth="6" />
<DefaultLayoutOverride>
<StartLayoutCollection>
<defaultlayout:StartLayout GroupCellWidth="6">
<start:Group Name="Group1">
<start:Tile Size="4x4" Column="0" Row="0" AppUserModelID="Microsoft.ZuneMusic_8wekyb3d8bbwe!Microsoft.ZuneMusic" />
<start:Tile Size="2x2" Column="4" Row="2" AppUserModelID="Microsoft.ZuneVideo_8wekyb3d8bbwe!Microsoft.ZuneVideo" />
<start:Tile Size="2x2" Column="4" Row="0" AppUserModelID="Microsoft.Windows.Photos_8wekyb3d8bbwe!App" />
<start:Tile Size="2x2" Column="4" Row="4" AppUserModelID="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
<start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App" />
</start:Group>
<start:Group Name="Group2">
<start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Accessories\Paint.lnk" />
<start:DesktopApplicationTile Size="2x2" Column="0" Row="0" DesktopApplicationLinkPath="%APPDATA%\Microsoft\Windows\Start Menu\Programs\Accessories\Notepad.lnk" />
</start:Group>
</defaultlayout:StartLayout>
</StartLayoutCollection>
</DefaultLayoutOverride>
</LayoutModificationTemplate>
]]>
</StartLayout>
注
アプリがユーザー用にインストールされていないが、[スタート] レイアウト XML に含まれている場合、アプリは [スタート] 画面に表示されません。
タスク バー
タスク バーをキオスク デバイスに表示するかどうかを定義します。 タブレットベースまたはタッチ対応のオールインワン キオスクの場合、キーボードとマウスを取り付けない場合は、必要に応じてタスク バーをマルチアプリ エクスペリエンスの一部として非表示にすることができます。
次の例では、エンド ユーザーにタスク バーを表示します。
<Taskbar ShowTaskbar="true"/>
次の例では、タスク バーを非表示にします。
<Taskbar ShowTaskbar="false"/>
注
これは、タブレット モードの [タスク バーを自動的に隠す] オプションとは異なります。このオプションでは、画面の下部から上にスワイプしたり、マウス ポインターを画面の下部まで下に移動したりした場合にタスク バーが表示されます。 ShowTaskbar を false に設定すると、タスク バーが常に非表示になります。
KioskModeApp
KioskModeApp は、 キオスク プロファイル にのみ使用されます。 1 つのアプリの AUMID を入力します。 XML で指定できるキオスク プロファイルは 1 つだけです。
<KioskModeApp AppUserModelId="Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"/>
重要
キオスク プロファイルは、一般向けのキオスク デバイス用に設計されています。 管理者以外のローカル アカウントを使用することをお勧めします。 デバイスが会社のネットワークに接続されている場合、ドメインまたは Azure Active Directory アカウントを使用すると、機密情報が侵害される可能性があります。
Configs
Configs では、プロファイルに関連付けられるユーザー アカウントを定義します。 このユーザー アカウントがデバイスにサインインすると、関連付けられている割り当てられたアクセス プロファイルが適用されます。 この動作には、許可されているアプリ、スタート 画面のレイアウト、タスク バーの構成、その他のローカル グループ ポリシー、またはマルチアプリ エクスペリエンスの一部として設定されたモバイル デバイス管理 (MDM) ポリシーが含まれます。
複数アプリの割り当てられたフル アクセス エクスペリエンスは、管理者以外のユーザーでのみ機能します。 管理者ユーザーを割り当てられたアクセス プロファイルに関連付けるのはサポートされていません。 XML ファイルでこの構成を行うと、この管理者ユーザーがサインインするときに予期しない、またはサポートされていないエクスペリエンスが発生します。
次の情報を割り当てることができます。
- 自動的にサインインするローカル標準ユーザー アカウント (Windows 10 バージョン 1803 にのみ適用されます)
- ローカル、ドメイン、または Azure Active Directory (Azure AD) を使用できる個々のアカウント
- ローカル、Active Directory (ドメイン)、または Azure AD (Windows 10、バージョン 1803 にのみ適用) のグループ アカウント。
注
グループ アカウントを指定する構成では、キオスク プロファイルを使用できず、ロックダウン プロファイルのみを使用できます。 グループがキオスク プロファイルに構成されている場合、CSP は要求を拒否します。
AutoLogon アカウントの構成
を使用 <AutoLogonAccount> して構成をデバイスに適用すると、指定されたアカウント (割り当て済みアクセスによって管理) がローカル標準ユーザー アカウントとしてデバイスに作成されます。 指定したアカウントは、再起動後に自動的にサインインします。
次の例は、自動的にサインインするアカウントを指定する方法を示しています。
<Configs>
<Config>
<AutoLogonAccount/>
<DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
</Config>
</Configs>
バージョン 1809 Windows 10以降、ユーザーがサインインしたときに表示される表示名を構成できます。 次の例では、"Hello World" という名前を示す AutoLogon アカウントを作成する方法を示します。
<Configs>
<Config>
<AutoLogonAccount rs5:DisplayName="Hello World"/>
<DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
</Config>
</Configs>
ドメイン参加済みデバイスでは、既定では、ローカル ユーザー アカウントはサインイン画面に表示されません。 サインイン画面に AutoLogonAccount を表示するには、次のグループ ポリシー設定を有効にします。コンピューター構成>管理テンプレート > システム > ログオン > ドメインに参加しているコンピューターのローカル ユーザーを列挙します。 (対応する MDM ポリシー設定は、 ポリシー CSP の WindowsLogon/EnumerateLocalUsersOnDomainJoinedComputers です)。
重要
Exchange Active Sync (EAS) パスワード制限がデバイスでアクティブな場合、自動ログオン機能は機能しません。 この動作は仕様です。 詳細については、「 Windows で自動ログオンを有効にする方法」を参照してください。
個々のアカウントの構成
個々のアカウントは を使用して <Account>指定します。
- ローカル アカウントは、
machinename\accountや.\account、または単にaccountと入力することができます。 - ドメイン アカウントは、
domain\accountと入力することができます。 - Azure AD アカウントは、
AzureAD\{email address}形式で指定する必要があります。 AzureADは、そのまま指定する必要があり、固定ドメイン名であると考えてください。 次に、Azure AD のメール アドレスに従います。 例えばAzureAD\someone@contoso.onmicrosoft.com
Warning
割り当てられたアクセスは、WMI または CSP を通じて、ローカル アカウントではなく、ドメイン ユーザーまたはサービス アカウントでそのアプリケーションを実行するように構成できます。 ただし、ドメイン ユーザーやサービス アカウントを使うと、割り当てられたアクセス アプリケーションを攻撃した攻撃者が、誤ってどのドメイン アカウントからでもアクセス可能な状態になっている機密性の高いドメイン リソースへのアクセスを取得する可能性があるというリスクが発生します。 割り当てられたアクセスでドメイン アカウントを使うときは注意して手順を実行し、ドメイン リソースは意図的に開示される可能性があると考えることをお勧めします。
複数アプリ構成を適用する前に、指定したユーザー アカウントがデバイスで利用可能であることを確認してください。そうでない場合は失敗します。
注
ドメインアカウントと Azure AD アカウントの両方で、ターゲット アカウントをデバイスに明示的に追加する必要はありません。 デバイスが AD または Azure AD に参加している限り、アカウントはデバイスが参加しているドメイン フォレストまたはテナントで検出できます。 ローカル アカウントの場合、割り当てられたアクセスのアカウントを構成する前にアカウントが存在している必要があります。
<Configs>
<Config>
<Account>MultiAppKioskUser</Account>
<DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
</Config>
</Configs>
グループ アカウントの構成
グループ アカウントは を使用して <UserGroup>指定します。 入れ子になったグループはサポートされていません。 たとえば、ユーザー A がグループ 1 のメンバーであり、グループ 1 がグループ 2 のメンバーであり、グループ 2 が で <Config/>使用されている場合、ユーザー A にはキオスク エクスペリエンスがありません。
ローカル グループ: グループの種類を LocalGroup として指定し、グループ名を Name 属性に配置します。 ローカル グループに追加された Azure AD アカウントには、キオスク設定が適用されません。
<Config> <UserGroup Type="LocalGroup" Name="mygroup" /> <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> </Config>ドメイン グループ: セキュリティ グループと配布グループの両方がサポートされています。 グループの種類を ActiveDirectoryGroup として指定します。 name 属性のプレフィックスとしてドメイン名を使用します。
<Config> <UserGroup Type="ActiveDirectoryGroup" Name="mydomain\mygroup" /> <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> </Config>Azure AD グループ: Azure portalのグループ オブジェクト ID を使用して、Name 属性内のグループを一意に識別します。 オブジェクト ID は、グループの [概要] ページの [ユーザーとグループ] [すべてのグループ>] にあります。 グループの種類を AzureActiveDirectoryGroup として指定します。 キオスク デバイスは、グループ サインインに属するユーザーがインターネットに接続している必要があります。
<Config> <UserGroup Type="AzureActiveDirectoryGroup" Name="a8d36e43-4180-4ac5-a627-fb8149bba1ac" /> <DefaultProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/> </Config>注
Azure AD グループがデバイスのロックダウン プロファイルで構成されている場合、Azure AD グループのユーザーは、このデバイスにサインインする前に (ポータルで既定のパスワードでアカウントを作成した後) パスワードを変更する必要があります。 ユーザーが既定のパスワードを使用してデバイスにサインインした場合、ユーザーはすぐにサインアウトされます。
[プレビュー]グローバル プロファイル
グローバル プロファイルは、Windows 10で使用できます。 特定のデバイスにサインインするすべてのユーザーにアクセス ユーザーとして割り当てる場合は、そのユーザーの専用プロファイルがなくてもかまいません。 または、割り当てられたアクセスがユーザーのプロファイルを識別できず、フォールバック プロファイルを作成する必要がある場合があります。 グローバル プロファイルは、これらのシナリオ用に設計されています。
新しい XML 名前空間を使用し、その名前空間からを指定することで、使用法を GlobalProfile 次に示します。 を構成 GlobalProfileすると、管理者以外のアカウントがログインします。このユーザーが割り当て済みアクセスで指定されたプロファイルを持っていない場合、または割り当てられたアクセスが現在のユーザーのプロファイルを決定できない場合は、グローバル プロファイルがユーザーに適用されます。
注
GlobalProfileにはマルチアプリ プロファイルのみを指定できます。- 1 つの
GlobalProfile構成 XML で使用できるのは 1 つだけAssignedAccessです。 GlobalProfileは、唯一の構成として使用することも、通常のユーザーまたはグループの構成と共に使用することもできます。
<?xml version="1.0" encoding="utf-8" ?>
<AssignedAccessConfiguration
xmlns="https://schemas.microsoft.com/AssignedAccess/2017/config"
xmlns:v2="https://schemas.microsoft.com/AssignedAccess/201810/config"
xmlns:v3="https://schemas.microsoft.com/AssignedAccess/2020/config"
>
<Profiles>
<Profile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}">
<AllAppsList>
<AllowedApps>
<App AppUserModelId="Microsoft.Microsoft3DViewer_8wekyb3d8bbwe!Microsoft.Microsoft3DViewer" v2:AutoLaunch="true" v2:AutoLaunchArguments="123"/>
<App AppUserModelId="Microsoft.BingWeather_8wekyb3d8bbwe!App" />
<App AppUserModelId="Microsoft.MicrosoftEdge_8wekyb3d8bbwe!MicrosoftEdge" />
<App DesktopAppPath="%SystemRoot%\system32\notepad.exe" />
</AllowedApps>
</AllAppsList>
<StartLayout>
<![CDATA[<LayoutModificationTemplate xmlns:defaultlayout="https://schemas.microsoft.com/Start/2014/FullDefaultLayout" xmlns:start="https://schemas.microsoft.com/Start/2014/StartLayout" Version="1" xmlns="https://schemas.microsoft.com/Start/2014/LayoutModification">
<LayoutOptions StartTileGroupCellWidth="6" />
<DefaultLayoutOverride>
<StartLayoutCollection>
<defaultlayout:StartLayout GroupCellWidth="6">
<start:Group Name="Life at a glance">
<start:Tile Size="2x2" Column="0" Row="0" AppUserModelID="microsoft.windowscommunicationsapps_8wekyb3d8bbwe!microsoft.windowsLive.calendar" />
<start:Tile Size="4x2" Column="0" Row="4" AppUserModelID="Microsoft.WindowsStore_8wekyb3d8bbwe!App" />
<!-- A link file is required for desktop applications to show on start layout, the link file can be placed under
"%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs" if the link file is shared for all users or
"%AppData%\Microsoft\Windows\Start Menu\Programs" if the link file is for the specific user only
see document https://learn.microsoft.com/windows/configuration/start-layout-xml-desktop
-->
<!-- for inbox desktop applications, a link file might already exist and can be used directly -->
<start:DesktopApplicationTile Size="2x2" Column="2" Row="0" DesktopApplicationLinkPath="%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\Accessories\paint.lnk" />
<!-- for 3rd party desktop application, place the link file under appropriate folder -->
<start:DesktopApplicationTile Size="2x2" Column="4" Row="0" DesktopApplicationLinkPath="%AppData%\Microsoft\Windows\Start Menu\Programs\MyLOB.lnk" />
</start:Group>
</defaultlayout:StartLayout>
</StartLayoutCollection>
</DefaultLayoutOverride>
</LayoutModificationTemplate>
]]>
</StartLayout>
<Taskbar ShowTaskbar="true"/>
</Profile>
</Profiles>
<Configs>
<v3:GlobalProfile Id="{9A2A490F-10F6-4764-974A-43B19E722C23}"/>
</Configs>
</AssignedAccessConfiguration>
XML ファイルをプロビジョニング パッケージに追加する
XML ファイルをプロビジョニング パッケージに追加する前に、XSD に対して構成 XML を検証できます。
Windows 構成デザイナー ツールを使用して、プロビジョニング パッケージを作成します。 Windows 構成デザイナーをインストールする方法をこちらで確認できます。
重要
プロビジョニング パッケージを作成する場合、プロジェクト ファイルとプロビジョニング パッケージ (.ppkg) ファイルに機密情報を含めることができます。 .ppkg ファイルは暗号化するかどうかを選べますが、プロジェクト ファイルは暗号化されません。 プロジェクト ファイルは、安全な場所に保存し、不要になったときに削除する必要があります。
Windows 構成デザイナーを開きます。 既定では:
%systemdrive%\Program Files (x86)\Windows Kits\10\Assessment and Deployment Kit\Imaging and Configuration Designer\x86\ICD.exe。[高度なプロビジョニング] を選びます。
プロジェクトに名前を付け、[ 次へ] を選択します。
[ すべての Windows デスクトップ エディション ] を選択し、[ 次へ] を選択します。
[ 新しいプロジェクト] で、[完了] を選択します。 パッケージのワークスペースが開きます。
[ ランタイム設定>] [AssignedAccess>MultiAppAssignedAccessSettings] の順に展開します。
中央のウィンドウで、[参照] を選択 します。 作成した割り当てられたアクセス構成 XML ファイルを見つけて選択します。
省略可能: デバイスの初回セットアップ後にプロビジョニング パッケージを適用する場合、キオスク デバイスで管理者ユーザーが既に使用できる場合は、この手順をスキップします。 [ランタイム設定>] [アカウント] [ユーザー] で管理者ユーザーアカウントを作成します>。 [UserName] と [Password] を指定し、[UserGroup] として [Administrators] を選択します。 このアカウントを使うと、必要に応じてプロビジョニングのステータスとログを表示できます。
省略可能: キオスク デバイスに管理者以外のアカウントが既にある場合は、この手順をスキップします。 [ランタイム設定>] [アカウント] [ユーザー] でローカル標準ユーザーアカウントを作成します>。 [UserName] が、構成 XML で指定したアカウントと同じであることを確認します。 [UserGroup] として [Standard Users] を選択します。
[ファイル] メニューの [保存] をクリックします。
[エクスポート] メニューの [プロビジョニング パッケージ] をクリックします。
[所有者] を [IT 管理者] に変更して、このプロビジョニング パッケージの優先順位を他のソースからこのデバイスに適用されるプロビジョニング パッケージよりも高くします。次に、[次へ] を選択します。
(省略可能) [プロビジョニング パッケージ セキュリティ] ウィンドウで、パッケージの暗号化を選択してパッケージの署名を有効にできます。
[パッケージの暗号化を有効にする] - このオプションを選ぶと、自動生成されたパスワードが画面に表示されます。
[パッケージの署名を有効にする] - このオプションを選ぶと、パッケージの署名に使用する有効な証明書を選ぶ必要があります。 [参照] をクリックし、パッケージの署名に使う証明書を選んで、証明書を指定します。
[ 次へ ] を選択して、プロビジョニング パッケージをビルドするときに使用する出力場所を指定します。 既定では、Windows イメージングおよび構成デザイナー (ICD) はプロジェクト フォルダーを出力先として使います。
必要に応じて、[ 参照 ] を選択して、既定の出力場所を変更できます。
[次へ] を選択します。
[ ビルド] を 選択して、パッケージのビルドを開始します。 プロビジョニング パッケージのビルドにはそれほど時間はかかりません。 ビルド ページにプロジェクト情報が表示され、進行状況バーでビルドの状態が示されます。
ビルドを取り消す必要がある場合は、[キャンセル] を選択 します。 このアクションにより、現在のビルド プロセスが取り消され、ウィザードが閉じられ、[ カスタマイズ] ページに戻ります。
ビルドに失敗した場合は、プロジェクト フォルダーへのリンクが含まれたエラー メッセージが表示されます。 エラーの原因を特定するには、ログを調べることができます。 問題が解決したら、パッケージをもう一度ビルドしてみてください。
ビルドに成功した場合は、プロビジョニング パッケージの名前、出力ディレクトリ、プロジェクト ディレクトリが表示されます。
- 必要に応じて、パッケージの出力先として別のパスを選択し、もう一度プロビジョニング パッケージをビルドすることもできます。 このアクションを実行するには、[ 戻る ] を選択して出力パッケージの名前とパスを変更し、[ 次へ ] を選択して別のビルドを開始します。
- 完了したら、[ 完了] を選択してウィザードを閉じ、[ カスタマイズ] ページに戻ります。
プロビジョニング パッケージを USB ドライブのルート ディレクトリにコピーします。
プロビジョニング パッケージをデバイスに適用する
プロビジョニング パッケージは、初期セットアップ中 (すぐに使用できるエクスペリエンスまたは "OOBE") の後 ("ランタイム") の後にデバイスに適用できます。 詳しくは、「プロビジョニング パッケージの適用」をご覧ください。
注
プロビジョニング パッケージに割り当てられたアクセス ユーザー アカウントの作成が含まれていない場合は、マルチアプリ構成 XML で指定したアカウントがデバイスに存在することを確認します。
MDM を使って複数アプリ構成を展開する
複数アプリ キオスク モードは、AssignedAccess 構成サービス プロバイダー (CSP) により有効になります。 MDM ポリシーには、割り当てられたアクセス構成 XML を含めることができます。
割り当てられたアクセス構成の適用をサポートする MDM サービスにデバイスが登録されている場合は、デバイスを使用してリモートで設定を適用できます。
複数アプリ ポリシーの OMA URI は、./Device/Vendor/MSFT/AssignedAccess/Configuration です。
Windows Mixed Reality のイマーシブ ヘッドセットに関する考慮事項
Mixed Reality デバイス (ビデオ リンク) が出現したため、Mixed Reality アプリを実行するキオスクを作成できるようになりました。
Mixed Reality アプリを実行できる複数アプリ キオスクを作成するには、AllowedApps リストに次のアプリを含める必要があります。
<App AppUserModelId="MixedRealityLearning_cw5n1h2txyewy!MixedRealityLearning" />
<App AppUserModelId="HoloShell_cw5n1h2txyewy!HoloShell" />
<App AppUserModelId="Microsoft.Windows.HolographicFirstRun_cw5n1h2txyewy!App" />
<App AppUserModelId="Microsoft.MixedReality.Portal_8wekyb3d8bbwe!App" />
これらのアプリは、許可するすべての Mixed Reality アプリに加えてあります。
キオスク ユーザーがサインインする前に: 管理者ユーザーが PC にログインして、Mixed Reality デバイスに接続し、Mixed Reality ポータルのガイド付きセットアップを完了する必要があります。 初めて Mixed Reality ポータルがセットアップされると、いくつかのファイルとコンテンツがダウンロードされます。 キオスク ユーザーにはダウンロードするアクセス許可がないため、Mixed Reality ポータルのセットアップは失敗します。
管理者がセットアップを完了する、キオスク アカウントはサインインしてセットアップを繰り返すことができます。 管理者ユーザーは、PC を従業員または顧客に提供する前にキオスク ユーザーのセットアップを完了できます。
キオスク ユーザーと他のユーザーの Mixed Reality エクスペリエンスには違いがあります。 通常、ユーザーは Mixed Reality デバイスを接続するとき Mixed Reality ホームから始めます。 Mixed Reality ホームは、PC がキオスクとして構成されている場合に "サイレント" モードで実行されるシェルです。 キオスク ユーザーが Mixed Reality デバイスに接続すると、デバイスに空のディスプレイのみが表示され、ホームで使用できる機能にアクセスできなくなります。 Mixed Reality アプリを実行するには、キオスク ユーザーが PC のスタート画面からアプリを起動する必要があります。
複数アプリ キオスク構成により設定されたポリシー
ロックダウン エクスペリエンスを提供するようにマルチアプリ モードが最適化されているため、割り当てられたアクセス マルチアプリ モードで適用されるポリシーを他のチャネルを使用して異なる値に設定することはお勧めしません。
マルチアプリ割り当てアクセス構成がデバイスに適用されると、特定のポリシーがシステム全体に適用され、デバイス上の他のユーザーに影響します。
グループ ポリシー
次のローカル ポリシーは、ユーザーが割り当てられたアクセス ユーザーとして構成されているかどうかに関係なく、システムにおけるすべての非管理者ユーザーに影響を与えます。 この一覧には、ローカル ユーザー、ドメイン ユーザー、Azure Active Directory ユーザーが含まれます。
| 設定 | 設定値 |
|---|---|
| タスク バーのショートカット メニューへのアクセスを削除する | Enabled |
| 終了時に最近使ったファイルの履歴を消去する | Enabled |
| ユーザーがスタート画面をカスタマイズできないようにする | Enabled |
| ユーザーに [スタート] からアプリケーションをアンインストールさせないようにする | Enabled |
| [スタート] メニューから [すべてのプログラム] を削除する | Enabled |
| [スタート] メニューから [ファイル名を指定して実行] を削除する | Enabled |
| バルーン通知がトーストとして表示されないようにする | Enabled |
| ジャンプ リストでの項目の固定を許可しない | Enabled |
| タスク バーへのプログラムの固定を許可しない | Enabled |
| ジャンプ リストで遠隔地からの項目は表示および追跡しない | Enabled |
| 通知とアクション センターを削除する | Enabled |
| すべてのタスク バー設定をロックする | Enabled |
| タスク バーをロックする | Enabled |
| ユーザーがツール バーを追加または削除できないようにする | Enabled |
| ユーザーがタスク バーをサイズ変更できないようにする | Enabled |
| [スタート] メニューから頻繁に利用するプログラムの一覧を削除する | 有効 |
| [ネットワーク ドライブのマップ] と [ネットワーク ドライブの切断] を削除する | 有効 |
| [セキュリティとメンテナンス] アイコンを削除する | Enabled |
| バルーン通知をオフにする | Enabled |
| 機能の広告バルーン通知を無効にする | Enabled |
| トースト通知をオフにする | Enabled |
| タスク マネージャーを削除する | Enabled |
| セキュリティ オプション UI の [パスワードの変更] オプションを削除する | Enabled |
| セキュリティ オプション UI の [サインアウト] オプションを削除する | Enabled |
| スタート メニューから [すべてのプログラム] を削除する | 有効 - 設定の削除と無効化 |
| [マイ コンピューター] からドライブにアクセスできないようにする | Enabled - すべてのドライバーを制限する |
注
[[マイ コンピューター] からドライブにアクセスできないようにする] 設定を有効にした場合、ユーザーは [マイ コンピューター] またはエクスプローラー内の選択されたドライブのディレクトリ構造を参照することはできますが、フォルダーを開いたり内容にアクセスしたりすることはできなくなります。 また、[ファイル名を指定して実行] ダイアログ ボックスまたは [ネットワーク ドライブの割り当て] ダイアログ ボックスを使ってこれらのドライブの内容を参照することはできません。 指定したドライブを表すアイコンは引き続きエクスプローラーに表示されますが、ユーザーがアイコンをダブルクリックすると、設定によってアクションが妨げるというメッセージが表示されます。 この設定を有効にしてもユーザーはローカル ドライブやネットワーク ドライブへアクセスするプログラムを使用できます。 ユーザーがディスクの管理スナップインを使用して、ドライブ文字を表示および変更できなくなることもありません。
MDM ポリシー
ポリシー構成サービス プロバイダー (CSP) に基づく MDM ポリシーの一部は、システム上のすべてのユーザーに影響します。
| 設定 | 設定値 | システム全体 |
|---|---|---|
| Experience/AllowCortana | 0 - 許可しない | はい |
| Start/AllowPinnedFolderDocuments | 0 - ショートカット非表示になり、設定アプリの設定が無効になる | ○ |
| Start/AllowPinnedFolderDownloads | 0 - ショートカット非表示になり、設定アプリの設定が無効になる | ○ |
| Start/AllowPinnedFolderFileExplorer | 0 - ショートカット非表示になり、設定アプリの設定が無効になる | ○ |
| Start/AllowPinnedFolderHomeGroup | 0 - ショートカット非表示になり、設定アプリの設定が無効になる | ○ |
| Start/AllowPinnedFolderMusic | 0 - ショートカット非表示になり、設定アプリの設定が無効になる | ○ |
| Start/AllowPinnedFolderNetwork | 0 - ショートカット非表示になり、設定アプリの設定が無効になる | はい |
| Start/AllowPinnedFolderPersonalFolder | 0 - ショートカット非表示になり、設定アプリの設定が無効になる | ○ |
| Start/AllowPinnedFolderPictures | 0 - ショートカット非表示になり、設定アプリの設定が無効になる | ○ |
| Start/AllowPinnedFolderSettings | 0 - ショートカット非表示になり、設定アプリの設定が無効になる | はい |
| Start/AllowPinnedFolderVideos | 0 - ショートカット非表示になり、設定アプリの設定が無効になる | ○ |
| Start/DisableContextMenus | 1 - スタート アプリのコンテキスト メニューが非表示 | なし |
| Start/HidePeopleBar | 1 - True (非表示) | なし |
| Start/HideChangeAccountSettings | 1 - True (非表示) | ○ |
| WindowsInkWorkspace/AllowWindowsInkWorkspace | 0 - インク ワークスペースへのアクセスが無効になり、機能が無効になる | はい |
| Start/StartLayout | 構成による | なし |
| WindowsLogon/DontDisplayNetworkSelectionUI | <Enabled/> | ○ |
Windows 構成デザイナーを使って .lnk ファイルをプロビジョニングする
まず、既定のインストール場所を使用して、テスト デバイスにアプリをインストールして、デスクトップ アプリのショートカット ファイルを作成します。 インストールされたアプリケーションを右クリックし、[送る]>[デスクトップ (ショートカットを作成)] を選択します。 ショートカットの名前を に変更する <appName>.lnk
次に、2 つのコマンドを使ってバッチ ファイルを作成します。 デスクトップ アプリがターゲット デバイスに既にインストールされている場合、MSI インストール用の最初のコマンドをスキップします。
msiexec /I "<appName>.msi" /qn /norestart
copy <appName>.lnk "%AllUsersProfile%\Microsoft\Windows\Start Menu\Programs\<appName>.lnk"
Windows 構成デザイナーの [ProvisioningCommands]>[DeviceContext] で、次のようにします。
[ CommandFiles] で、バッチ ファイル、.lnk ファイル、デスクトップ アプリのインストール ファイルをアップロードします。
重要
[CommandFiles] フィールドの .lnk ファイルへの完全なファイル パスを貼り付けます。 を参照して .lnk ファイルを選択すると、ファイル パスが .lnk のターゲットのパスに変更されます。
[ CommandLine] に「」と入力します
cmd /c *FileName*.bat。
その他のメソッド
WMI を使用する環境では、 MDM Bridge WMI プロバイダーを使用してキオスクを構成できます。