割り当てアクセスは、キオスクまたは制限されたユーザー エクスペリエンスでデバイスを構成するために使用できる Windows 機能です。
キオスク エクスペリエンスを構成すると、ロック画面の上にある 1 つのユニバーサル Windows プラットフォーム (UWP) アプリケーションまたは Microsoft Edge が全画面表示で実行されます。 ユーザーはそのアプリケーションのみを使用できます。 キオスク アプリが閉じられた場合、自動的に再起動します。 実際の例を次に示します。
制限付きユーザー エクスペリエンスを構成する場合、ユーザーは、カスタマイズされた [スタート] メニューとタスク バーを使用して、定義されたアプリケーションの一覧のみを実行できます。 さまざまなポリシー設定と AppLocker 規則が適用され、ロックダウン エクスペリエンスが作成されます。 ユーザーは、使い慣れた Windows デスクトップにアクセスしながら、アクセスを制限し、気を散らし、不注意による使用の可能性を減らすことができます。 共有デバイスに最適で、ユーザーごとに異なる構成を作成できます。 実際の例を次に示します。
注意
制限付きユーザー エクスペリエンスを構成すると、デバイスに異なるポリシー設定が適用されます。 一部のポリシー設定は標準ユーザーにのみ適用され、一部は管理者アカウントにも適用されます。 詳細については、「 割り当てられたアクセス ポリシー設定」を参照してください。
割り当てられたアクセスの要件を次に示します。
次の表に、割り当て済みアクセスをサポートする Windows エディションを示します。
| エディション | 割り当てられたアクセスのサポート |
|---|---|
| Education | ✅ |
| Enterprise | ✅ |
| Enterprise LTSC | ✅ |
| IoT Enterprise | ✅ |
| IoT Enterprise LTSC | ✅ |
| Pro Education | ✅ |
| Pro | ✅ |
キオスク エクスペリエンスを構成するには、いくつかのオプションがあります。 ローカル アカウントで 1 つのデバイスを構成する必要がある場合は、次を使用できます。
Set-AssignedAccess PowerShell コマンドレットを使用して、ローカル標準アカウントを使用してキオスク エクスペリエンスを構成できます高度なカスタマイズの場合は、 割り当てられたアクセス CSP を使用してキオスク エクスペリエンスを構成できます。 CSP を使用すると、キオスク アプリ、ユーザー アカウント、キオスク アプリの動作を構成できます。 CSP を使用する場合は、キオスク アプリとユーザー アカウントを指定する XML 構成ファイルを作成する必要があります。 XML ファイルは、次のいずれかのオプションを使用してデバイスに適用されます。
シェル 起動ツール XML ファイルを構成する方法については、「 割り当てられたアクセス構成ファイルを作成する」を参照してください。
次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。
Windows PowerShell を使用してデバイスを構成するには:
管理者としてサインインする
割り当て済みアクセスのユーザー アカウントを作成する
割り当て済みアクセス ユーザー アカウントとしてサインインする
必要な UWP アプリをインストールする
割り当て済みアクセス ユーザー アカウントとしてサインアウトする
管理者としてサインインし、管理者特権の PowerShell プロンプトから次のいずれかのコマンドを使用します。
Intune/CSP
PPKG
PowerShell
設定#Configure Assigned Access by AppUserModelID and user name
Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
#Configure Assigned Access by AppUserModelID and user SID
Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
#Configure Assigned Access by app name and user name
Set-AssignedAccess -AppName <CustomApp> -UserName <username>
#Configure Assigned Access by app name and user SID**:
Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
注意
-AppNameを使用して割り当てられたアクセスを設定するには、割り当てられたアクセスに入力したユーザー アカウントが少なくとも 1 回サインインしている必要があります。
詳しくは、次のトピックをご覧ください。
割り当てられたられたアクセスを削除するには、PowerShell で次のコマンドレットを実行します。
Clear-AssignedAccess
XML 構成ファイルを使用する高度なカスタマイズの場合は、 MDM Bridge WMI プロバイダーを使用して PowerShell スクリプトを使用できます。
重要
すべてのデバイス設定で、WMI ブリッジ クライアントをシステム (LocalSystem) アカウントとして実行する必要があります。
PowerShell スクリプトをテストするには、次の操作を行うことができます。
psexec.exe -i -s powershell.exe$shellLauncherConfiguration = @"
# content of the XML configuration file
"@
$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
Write-Error -ErrorRecord $cimSetError[0]
$timeout = New-TimeSpan -Seconds 30
$stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
do{
$events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
} until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available
if($events.Count) {
$events | ForEach-Object {
Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
}
} else {
Write-Warning "Timed-out attempting to retrieve event logs..."
}
Exit 1
}
Write-Output "Successfully applied Shell Launcher configuration"
詳細については、「WMI ブリッジ プロバイダーで PowerShell スクリプトを使用する」を参照してください。
ヒント
実際の例については、「 クイック スタート: 割り当てられたアクセスを使用してキオスクを構成する」を参照してください。
割り当て済みアクセスで制限付きユーザー エクスペリエンスを構成するには、目的のエクスペリエンスの設定を含む XML 構成ファイルを作成する必要があります。 XML ファイルは、次のいずれかのオプションを使用して、 割り当てられたアクセス CSP を介してデバイスに適用されます。
割り当てアクセス XML ファイルを構成する方法については、「割り 当てられたアクセス構成ファイルを作成する」を参照してください。
次の手順では、デバイスを構成する方法の詳細を示します。 ニーズに最適なオプションを選択します。
MDM Bridge WMI プロバイダーを使用して PowerShell スクリプトを使用してデバイスを構成します。
重要
すべてのデバイス設定で、WMI ブリッジ クライアントをシステム (LocalSystem) アカウントとして実行する必要があります。
PowerShell スクリプトをテストするには、次の操作を行うことができます。
psexec.exe -i -s powershell.exe$assignedAccessConfiguration = @"
# content of the XML configuration file
"@
$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
Write-Error -ErrorRecord $cimSetError[0]
$timeout = New-TimeSpan -Seconds 30
$stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
do{
$events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
} until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available
if($events.Count) {
$events | ForEach-Object {
Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
}
} else {
Write-Warning "Timed-out attempting to retrieve event logs..."
}
Exit 1
}
Write-Output "Successfully applied Assigned Access configuration"
詳細については、「WMI ブリッジ プロバイダーで PowerShell スクリプトを使用する」を参照してください。
ヒント
実際の例については、「クイック スタート: 割り当てられたアクセスを使用して制限付きユーザー エクスペリエンスを構成する」を参照してください。
キオスクまたは制限付きユーザー エクスペリエンスを検証するには、構成ファイルで指定したユーザー アカウントでサインインします。
割り当てられたアクセス構成は、次に対象ユーザーがサインインした時点で有効になります。 構成を適用するときにそのユーザー アカウントがサインインしている場合は、サインアウトしてサインインし直してエクスペリエンスを検証します。
注意
Windows 11 以降では、制限付きユーザー エクスペリエンスで複数のモニターの使用がサポートされています。
タッチ キーボードは、必要な入力があり、タッチ対応デバイスに物理キーボードが接続されていない場合に自動的にトリガーされます。 この動作を適用するために、他の設定を構成する必要はありません。
ヒント
タッチ キーボードは、テキスト ボックスをタップするときにのみトリガーされます。 マウスをクリックしてもタッチ キーボードはトリガーされません。 この機能をテストする場合は、タッチ キーボードが VM でトリガーされないため、仮想マシン (VM) ではなく物理デバイスを使用します。
既定では、キオスク エクスペリエンスを終了するには、Ctrl + Alt + Del キーを押します。キオスク アプリは自動的に終了します。 割り当てられたアクセス アカウントとしてもう一度サインインするか、サインイン画面のタイムアウトを待つと、キオスク アプリが再起動します。 既定のタイムアウトは 30 秒ですが、レジストリ キーを使用してタイムアウトを変更できます。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI
割り当てられたアクセスが再開される既定の時刻を変更するには、 IdleTimeOut (DWORD) を追加し、値データをミリ秒単位で 16 進数で入力します。
注意
IdleTimeOut は Microsoft Edge キオスク モードには適用されません。
Ctrl + Alt + Del のブレークアウト シーケンスは既定ですが、このシーケンスは別のキー シーケンスに構成できます。 ブレイクアウト シーケンスでは、書式設定 modifiers + keys を使用します。 ブレークアウト シーケンスの例としては 、CTRL + ALT + A があります。 ここで、Ctrl + ALT は修飾子、 A はキー値です。 詳細については、「 割り当てられたアクセス構成 XML ファイルを作成する」を参照してください。
割り当てられたアクセス権を持つユーザー アカウントでは、次のキーボード ショートカットがブロックされます。
| キーボード ショートカット | 操作 |
|---|---|
| Ctrl + Shift + Esc キー | タスク マネージャーを開く |
| WIN + 、 (コンマ) | デスクトップを一時的にプレビューする |
| WIN + ある | アクション センターを開く |
| WIN + Alt + D | デスクトップで日付と時刻を表示または非表示にする |
| WIN + Ctrl + F | Active Directory でコンピューター オブジェクトを検索する |
| WIN + D | デスクトップを表示または非表示にする |
| WIN + E | エクスプローラーを開く |
| WIN + F | フィードバック Hub を開く |
| WIN + G | ゲームの実行中にゲーム バーを開く |
| WIN + 私 | [設定] を開く |
| WIN + J | 使用可能な場合に Windows ヒントにフォーカスを設定する |
| WIN + O | デバイスの向きをロックする |
| WIN + Q | 検索を開く |
| WIN + R | [ファイル名を指定して実行] ダイアログ ボックスを開く |
| WIN + S | 検索を開く |
| WIN + Shift + C | Cortana を聞き取りモードで開く |
| WIN + X | [クイック リンク] メニューを開く |
| LaunchApp1 | このキーに割り当てられているアプリを開く |
| LaunchApp2 | このキーに割り当てられたられているアプリを開きます。 多くの Microsoft キーボードでは、アプリは電卓です |
| LaunchMail | 既定のメール クライアントを開く |
キーボード ショートカットをカスタマイズする方法については、「 割り当てられたアクセスに関する推奨事項」を参照してください。
制限付きユーザー エクスペリエンスを削除すると、ユーザーに関連付けられているポリシー設定は削除されますが、すべての構成を元に戻すことはできません。 たとえば、[スタート] メニューの構成は維持されます。
割り当て済みアクセスをデプロイする前に、推奨事項を確認します。
トレーニング
モジュール
Microsoft Intune を使用した条件付きアクセス ポリシーについて理解する - Training
このモジュールでは、Microsoft Intune を使用したポリシーとセキュリティ管理について学習します。
認定資格
Microsoft Certified: Identity and Access Administrator Associate - Certifications
ID ソリューションの現代化、ハイブリッド ソリューションの実装、ID ガバナンスの実装を行う Microsoft Entra ID の機能を実証します。