IT 担当者向けの構成サービス プロバイダー

• 適用対象:

  ✅ Windows 11, ✅ Windows 10

この記事では、IT 担当者とシステム管理者が、構成サービス プロバイダー (CSP) で利用できる多くの設定を利用して、組織で Windows クライアントを実行しているデバイスを構成する方法について説明します。 CSP は、Windows クライアントでデバイス構成設定を公開します。 CSP はモバイル デバイス管理 (MDM) サービス プロバイダーによって使用され、 ハードウェア デベロッパー センターに記載されています。

CSP とは

クライアント オペレーティング システムでは、CSP は、プロビジョニング ドキュメントで指定されている構成設定とデバイス上の構成設定の間のインターフェイスです。 CSP は、特定の機能の構成設定を読み取り、設定、変更、または削除するためのインターフェイスを提供するという点で、クライアント側拡張機能グループ ポリシー似ています。 通常、これらの設定はレジストリ キー、ファイル、またはアクセス許可にマップされます。 これらの設定の一部は構成可能であり、一部は読み取り専用です。

Windows クライアント プラットフォームでは、デスクトップの管理アプローチでは CSP を使用して、Windows クライアントを実行しているすべてのデバイスを構成および管理します。

各 CSP では、特定の設定にアクセスできます。 たとえば、Wi-Fi CSP には Wi-Fi プロファイルを作成する設定が含まれます。

CSP は、Microsoft Intuneと Microsoft 以外の MDM サービス プロバイダーの両方で、Windows クライアントの管理タスクとポリシーの多くを支えています。 たとえば Intune では、Microsoft Edge のアドレス バーへの検索候補の表示を許可するポリシーは、ポリシー CSP の Browser/AllowSearchSuggestionsinAddressBar を使用しています。

CSP は、MICROSOFT INTUNEなどの MDM 準拠の管理サーバーからプッシュされた XML ベースの同期マークアップ言語 (SyncML) 形式の構成ポリシーを受け取ります。 Microsoft Configuration Managerなどの従来のエンタープライズ管理システムでは、クライアント側の Windows 管理インストルメンテーション (WMI) から CSP へのブリッジを使用して、CSP をターゲットにすることもできます。

同期マークアップ言語 (SyncML)

Open Mobile Alliance デバイス管理 (OMA-DM) プロトコルは、準拠しているサーバーとクライアント間のデータ交換に XML ベースの SyncML を使用します。 SyncML にはオープンな標準が用意されており、ベンダー固有の管理ソリューション (WMI など) の代わりに使うことができます。 業界標準の管理プロトコルを採用する企業にとってのメリットは、1 つのプラットフォーム (Microsoft Intune など) で広範なベンダーのデバイスを管理できるという点です。 VPN 接続プロファイルを含むデバイス ポリシーは、SyncML の形式でクライアント デバイスに配信されます。 ターゲットの CSP はこの情報を読み取り、必要な構成を適用します。

WMI と CSP 間のブリッジ

WMI から CSP へのブリッジは、スクリプトを使用した Windows クライアント CSP と、WMI を使用したConfiguration Managerなどの従来のエンタープライズ管理ソフトウェアの構成を可能にするコンポーネントです。 ブリッジでは WMI コマンドを読み取り、コモン デバイス コンフィギュレーターと呼ばれるコンポーネント経由して、これらのコマンドをデバイス上にあるアプリケーションの CSP に渡します。

PowerShell で WMI ブリッジ プロバイダーを使用する方法について確認してください。

CSP について理解する理由

一般に、企業はグループ ポリシーまたは MDM を利用してデバイスの構成と管理を行います。 Windows を実行しているデバイスでは、MDM サービスは CSP を使用してデバイスを構成します。

また、管理されていないデバイスや、管理に登録する前に構成する多数のデバイスがある場合があります。 また、MDM サービスでは使用できないカスタム設定を適用することもできます。 設定の構成とクエリについては「CSP のドキュメント」をご覧ください。 また、使用可能なすべての構成設定について学習することもできます。

Windows 構成デザイナーの CSP

Windows 構成Designerを使用してプロビジョニング パッケージを作成し、既定のエクスペリエンス (OOBE) の間、およびデバイスのセットアップ後にデバイスに設定を適用できます。 プロビジョニング パッケージを使用して、デバイスの接続を構成し、MDM にデバイスを登録することもできます。 Windows 構成デザイナーの実行時の設定の多くは、CSP に基づいています。

多くの Windows 構成デザイナーの設定では、中央のウィンドウに設定のドキュメントが表示され、設定が CSP を使用している場合には、CSP への参照を示します。次のように表示されます。

Windows クライアントのプロビジョニング パッケージでは、Windows Configuration Designer ツールを使用してランタイム プロビジョニング パッケージを作成する方法について説明します。

MDM の CSP

すべてではありませんが、ほとんどの CSP は MDM サービスで表示されます。 使用する機能を CSP が提供しており、その機能がお使いの MDM サービスで見つからない場合には、MDM プロバイダーにお問い合わせください。 予期した名前とは異なる名前になる場合があります。 MDM がサポートする CSP について詳しくは、「構成サービス プロバイダーのリファレンス」をご覧ください。

CSP を利用できるが、お使いの MDM ソリューションに明示的に含まれていない場合、OMA URI 設定を使用して CSP を使用できる場合があります。 たとえば、Intune では カスタム ポリシー設定 を使用して設定を展開できます。 Intune のドキュメント「設定の一部の一覧」では、MDM サービスがその拡張機能を提供している場合に、カスタム ポリシーの [OMA URI 設定] セクションに入力できる内容を示しています。 この一覧では有効な値と既定の値の意味が説明されていません。それらの情報については「CSP リファレンス ドキュメント」をご覧ください。

ロックダウン XML の CSP

CSP ドキュメントの使用方法

すべての CSP については、「 構成サービス プロバイダーリファレンス」を参照してください。

CSP リファレンスでは、Windows の各エディションでサポートされている CSP と、個々の CSP のドキュメントへのリンクが示されます。

各 CSP のドキュメントは、同じ構造になっています。 CSP の目的を説明する概要と、CSP の構成要素をツリー形式で示す図があります。

特定の構成設定への完全なパスは、その設定の Open Mobile Alliance - Uniform Resource Identifier (OMA-URI) によって表されます。 URI は、デバイスのルート ノード (MSFT など) を基準としています。 特定の CSP でサポートされる機能は、完全な OMA URI パスをアドレス指定することによって設定できます。

AssignedAccess CSP の図の例を次に示します。 図は、その CSP の XML にマップされます。 図のさまざまな図形に注目してください。丸められた要素はノード、四角形の要素は値を指定する必要がある設定またはポリシーです。

ツリー図のルート ノードの後の要素は、CSP の名前を示します。 この構造を理解することで、CSP の URI パスの構成要素を XML で認識できるようになります。この構造を XML として見た場合に、どの CSP リファレンスを検索すればよいかがわかります。 たとえば、キオスク モード アプリ設定の次の OMS-URI パスでは、 AssignedAccess CSP を使用していることがわかります。

./Vendor/MSFT/AssignedAccess/KioskModeApp

図の要素が 斜体 フォントを使用する場合、次の例のテナント ID など、特定の情報のプレースホルダーを示します。

ドキュメントでは、図に続いて各要素を説明しています。 ポリシーまたは設定ごとに、有効な値が示されています。

たとえば、「AssignedAccess CSP」では、設定は [KioskModeApp] です。 このドキュメントでは、[KioskModeApp] の値は、ユーザー アカウント名とキオスク モードのアプリのアプリケーション ユーザー モデル ID (AUMID) を含む JSON 文字列であることがわかります。

ほとんどの CSP のドキュメントには、XML の例も含まれています。

CSP の例

CSP は、企業に役立つ多くの設定へのアクセスを提供します。 このセクションでは、企業が役に立つ可能性がある CSP について説明します。

• Policy CSP

  ポリシー CSP を使用すると、企業は Windows クライアントでポリシーを構成できます。 これらのポリシー設定の中にはグループ ポリシーを使用して適用できるものもあります。CSP のドキュメントには、同等のグループ ポリシー設定の一覧が示されています。

  ポリシーの CSP で利用可能な設定の一部を次に示します。

  • Microsoft 以外のアカウントをデバイスに追加できるかどうかを示すアカウント。
  • Microsoft Store アプリのみを許可するかどうかなど、アプリケーション管理。
  • Bluetooth(使用が許可されているサービスなど)。
  • InPrivate の閲覧の制限など、ブラウザー。
  • デバイスを USB でコンピューターに接続できるかどうかを示す接続。
  • Defender (デスクトップのみ) (スキャンする日時など)。
  • デバイスロック(PIN の種類やデバイスのロック解除に必要なパスワードなど)。
  • Cortana の許可などのエクスペリエンス。
  • プロビジョニング パッケージを許可するかどうかなど、セキュリティ。
  • ユーザーが VPN 設定を変更できるようにするなどの設定。
  • 標準のスタート 画面レイアウトの適用など、開始します。
  • ユーザーがデバイスをリセットできるようにするなどのシステム。
  • デバイスが匿名化されたユーザー テキスト入力データ サンプルを Microsoft に送信できるようにするなど、テキスト入力。
  • デバイスで Microsoft Update、Windows Server Update Services (WSUS)、Microsoft Store のどちらを使用できるかなどの更新。
  • インターネット共有が有効かどうかなど、WiFi。

Windows 10 Enterpriseでサポートされている CSP の一覧を次に示します。

• ActiveSync CSP
• アプリケーション CSP
• AppLocker CSP
• AssignedAccess CSP
• Bootstrap CSP
• BrowserFavorite CSP
• CellularSettings CSP
• CertificateStore CSP
• ClientCertificateInstall CSP
• CM_CellularEntries CSP
• CM_ProxyEntries CSP
• CMPolicy CSP
• Defender CSP
• DevDetail CSP
• DeviceInstanceService CSP
• DeviceLock CSP
• DeviceStatus CSP
• DevInfo CSP
• DiagnosticLog CSP
• DMAcc CSP
• DMClient CSP
• Email2 CSP
• EnterpriseAPN CSP
• EnterpriseAssignedAccess CSP
• EnterpriseDesktopAppManagement CSP
• EnterpriseExt CSP
• EnterpriseModernAppManagement CSP
• FileSystem CSP
• HealthAttestation CSP
• HotSpot CSP
• Maps CSP
• NAP CSP
• NAPDEF CSP
• NodeCache CSP
• PassportForWork CSP
• Policy CSP
• PolicyManager CSP
• Provisioning CSP
• プロキシ CSP
• PXLOGICAL CSP
• Registry CSP
• RemoteFind CSP
• RemoteWipe CSP
• Reporting CSP
• RootCATrustedCertificates CSP
• SecurityPolicy CSP
• Storage CSP
• SUPL CSP
• UnifiedWriteFilter CSP
• Update CSP
• VPN CSP
• VPNv2 CSP
• Wi-Fi CSP
• WindowsLicensing CSP
• WindowsSecurityAuditing CSP