英語で読む

次の方法で共有

割り当てられたアクセス ポリシー設定

割り当てられたアクセス構成がデバイスに適用されると、特定のポリシー設定と AppLocker 規則が適用され、デバイスにアクセスするユーザーに影響します。 ポリシー設定では、構成サービス プロバイダー (CSP) とグループ ポリシー (GPO) 設定の組み合わせを使用します。

このリファレンス記事では、割り当てられたアクセスによって適用されるポリシー設定と AppLocker 規則の一覧を示します。

注意

他のチャネルを使用して、割り当てられたアクセスによって異なる値に適用されるポリシー設定を構成することはお勧めしません。 割り当てられたアクセスは、ロックダウンエクスペリエンスを提供するように最適化されています。

デバイス ポリシー設定

制限付きユーザー エクスペリエンスを展開すると、次のポリシー設定がデバイス レベルで適用されます。 デバイスにアクセスするすべてのユーザーは、管理者アカウントを含むポリシー設定の対象となります。

パス名前/説明
CSP./Vendor/MSFT/Policy/Config/Experience/AllowCortanaCortana を無効にする
CSP./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDocuments[ドキュメントの開始] アイコンを無効にする
CSP./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDownloads[ダウンロードの開始] アイコンを無効にする
CSP./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderFileExplorerエクスプローラーの起動アイコンを無効にする
CSP./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderHomeGroup[ホーム グループの開始] アイコンを無効にする
CSP./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderMusic音楽の開始アイコンを無効にする
CSP./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderNetwork[ネットワークの開始] アイコンを無効にする
CSP./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPersonalFolder個人用フォルダーの開始アイコンを無効にする
CSP./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPictures[スタート画像] アイコンを無効にする
CSP./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderSettings[スタート設定を無効にする] アイコン
CSP./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderVideos[ビデオの開始] アイコンを無効にする
CSP./Vendor/MSFT/Policy/Config/Start/HideChangeAccountSettings[ アカウント設定の変更 ] がユーザー タイルに表示されないように非表示にする
CSP./Vendor/MSFT/Policy/Config/Update/SetAutoRestartNotificationDisableすべての更新通知を非表示にします
CSP./Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel更新プログラムの自動再起動通知を無効にします
CSP./Vendor/MSFT/Policy/Config/WindowsInkWorkspace/AllowWindowsInkWorkspaceインク ワークスペースへのアクセスが無効になっている
CSP./Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUIログオン画面と "セキュリティ オプション" UI でネットワーク UI を非表示にする

ユーザー ポリシー設定

制限付きユーザー エクスペリエンスを展開すると、管理者以外のアカウントに次のポリシー設定が適用されます。

パス名前/説明
CSP./User/Vendor/MSFT/Policy/Config/Start/DisableContextMenusスタート メニュー アプリのコンテキスト メニューを無効にする
CSP./User/Vendor/MSFT/Policy/Config/Start/HidePeopleBarタスク バー People表示されないようにする
CSP./User/Vendor/MSFT/Policy/Config/Start/HideRecentlyAddedApps最近追加したアプリが [スタート] メニューに表示されないようにする
CSP./User/Vendor/MSFT/Policy/Config/Start/HideRecentJumplistsスタート メニュー/タスク バーに最近のジャンプリストが表示されないようにする
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー終了時に最近使ったファイルの履歴を消去する
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニューバルーン通知がトーストとして表示されないようにする
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュージャンプ リストでの項目の固定を許可しない
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュータスク バーへのプログラムの固定を許可しない
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュージャンプ リストで遠隔地からの項目は表示および追跡しない
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニューデスクトップ上のすべての項目を非表示または無効にする
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー[タスク ビュー] ボタンを非表示にする
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニューすべてのタスク バー設定をロックする
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュータスク バーをロックする
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニューユーザーがツール バーを追加または削除できないようにする
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニューユーザーがスタート画面をカスタマイズできないようにする
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニューユーザーがタスク バーを別の画面ドックの場所に移動できないようにする
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニューユーザーがツールバーを再配置できないようにする
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニューユーザーがタスク バーをサイズ変更できないようにする
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニューユーザーに [スタート] からアプリケーションをアンインストールさせないようにする
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュータスク バーのショートカット メニューへのアクセスを削除する
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー[スタート] メニューから [すべてのプログラム] を削除する
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニューコントロール センターを削除する
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー[スタート] メニューから頻繁に利用するプログラムの一覧を削除する
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー通知とアクション センターを削除する
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュークイック設定を削除する
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー[スタート] メニューから [ファイル名を指定して実行] を削除する
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー[セキュリティとメンテナンス] アイコンを削除する
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニューバルーン通知をオフにする
Gpoユーザーの構成\管理用テンプレート\タスク バーと [スタート] メニュー機能の広告バルーン通知を無効にする
Gpoユーザー構成\管理用テンプレート\スタート メニューとタスク バー\通知トースト通知をオフにする
Gpoユーザーの構成\管理用テンプレート\システム\Ctrl + Alt + Del オプションパスワードの変更を削除する
Gpoユーザーの構成\管理用テンプレート\システム\Ctrl + Alt + Del オプションログオフの削除
Gpoユーザーの構成\管理用テンプレート\システム\Ctrl + Alt + Del オプションタスク マネージャーを削除する
Gpoユーザー構成\管理用テンプレート\Windows コンポーネント\エクスプローラーマップ ネットワーク ドライブを削除し、ネットワーク ドライブを切断する
Gpoユーザー構成\管理用テンプレート\Windows コンポーネント\エクスプローラーエクスプローラーの既定のコンテキスト メニューを削除する

Microsoft Edge でキオスク エクスペリエンスを構成すると、キオスク アカウントに次のポリシー設定が適用されます。

パス名前/説明
Gpoユーザー構成\管理用テンプレート\スタート メニューとタスク バー\通知指定した Windows アプリケーションのみを実行する >msedge.exe
Gpoユーザー構成\管理用テンプレート\Systemトースト通知をオフにする
Gpoユーザー構成\管理用テンプレート\Windows コンポーネント\添付ファイル マネージャー添付 > ファイルの既定のリスク レベル 高リスク
Gpoユーザー構成\管理用テンプレート\Windows コンポーネント\添付ファイル マネージャーファイルの種類が低い場合の包含リスト >.pdf;.epub
Gpoユーザー構成\管理用テンプレート\Windows コンポーネント\エクスプローラーエクスプローラーの既定のコンテキスト メニューを削除する

AppLocker ルール

割り当てられたアクセス制限付きユーザー エクスペリエンスを展開すると、AppLocker ルールが生成され、構成に一覧表示されているアプリが許可されます。 定義済みの割り当てアクセス AppLocker 規則を次に示します。

ユニバーサル Windows プラットフォーム (UWP) アプリルール

  1. 既定のルールでは、すべてのユーザーが署名済みのパッケージ アプリを起動できます
  2. パッケージ 化されたアプリ 拒否リスト は、割り当てられたアクセス ユーザーがサインインしたときに実行時に生成されます。
    1. ユーザー アカウントで使用できるインストール済みのアプリに基づいて、割り当てられたアクセスによって拒否リストが生成されます。 この一覧には、システムが機能するために重要な既定の許可された受信トレイ パッケージ アプリが除外され、割り当てられたアクセス構成で定義されている許可されたパッケージが除外されます
    2. 同じパッケージ内に複数のアプリがある場合、すべてのアプリが除外されます

拒否リストは、ユーザーがアプリにアクセスできないようにするために使用されます。ユーザーは現在使用できますが、許可されている一覧にはアクセスできません。

注意

MMC スナップインの制限付きユーザー エクスペリエンスによって生成される AppLocker ルールを管理することはできません。割り当て済みアクセスによって生成された AppLocker ルールと競合する AppLocker ルールを作成しないでください。

割り当てられたアクセスでは、organizationまたはユーザーが UWP アプリをインストールできなくなります。 割り当てアクセス セッション中に新しい UWP アプリがインストールされると、アプリは拒否リストに含まれません。 ユーザーがサインアウトしてもう一度サインインすると、インストールされているアプリが拒否リストに含まれます。 許可するアプリが一元的にデプロイされている場合 (基幹アプリなど)、割り当て済みアクセス構成を更新し、 アプリを許可アプリの一覧に含めます。

デスクトップ アプリルール

  1. 既定の規則では、システムが起動して機能するために、すべてのユーザーが Microsoft Certificate で署名されたデスクトップ プログラムを起動できるようにします。 このルールでは、すべてのデスクトップ プログラムの起動を管理者ユーザー グループにも許可します。
  2. 割り当てられたアクセスのユーザー アカウントの定義済みの受信トレイ デスクトップ アプリの拒否リストがあります。これは、割り当て済みアクセス構成で定義した デスクトップ アプリ許可リスト に基づいて更新されます
  3. エンタープライズ定義の許可されたデスクトップ アプリが AppLocker 許可リストに追加される