Google の Windows デバイス管理で組織の Microsoft Windows 10 または 11 デバイスを管理している場合、Google 管理コンソールでカスタム設定を追加できます。この記事は、一般的な設定の参考として使用してください。管理コンソールで設定を追加する方法については、Windows 10 または 11 デバイスのカスタム設定を追加、編集、削除するをご覧ください。
注: 以下の説明はあくまで参考のため提供されるもので、Microsoft はこれらの設定の動作を変更する場合があります。
これらの設定を適用する前に
- サードパーティの製品や設定について、Google が技術サポートを提供したり、責任を負ったりすることはありません。設定とサポートに関する最新情報については、その製品のウェブサイトをご参照ください。
- 対象範囲、エディション、適用可能な OS を確認してください。
- Microsoft のドキュメントを確認してください。以下に示す設定の説明で、「名前」の後の設定名がドキュメントになっています。
- 本番環境でこれらの設定を適用する前に、動作をテストしてください。
デバイス管理
ユーザーがデバイスを登録解除できないようにする
名前: AllowManualMDMUnenrollment
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowManualMDMUnenrollment
データ型: Integer
値: 0 = ユーザーは登録を解除できない、1 = ユーザーは登録を解除できる(デフォルト)。
注 0 に設定すると、ローカル管理者権限を持つユーザー アカウントでもデバイスの登録を解除できません。0 に設定したデバイスの登録を解除するには、管理コンソールを使用します。詳細
セキュリティ
ユーザーが VPN 設定を変更できないようにする
名前: AllowVPN
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/AllowVPN
データ型: Integer
値: 0 = ユーザーは VPN 設定を変更できない、1 = ユーザーは VPN 設定を変更できる(デフォルト)
設定へのユーザー アクセスを制御する
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/PageVisibilityList
データ型: 文字列
値: 先頭に showonly: または hide: を付けて、表示または非表示にするページを指定します。たとえば、VPN 設定を非表示にするには、hide:network-vpn と記述します。デフォルトは空の文字列で、すべてのページが表示されます。
表示または非表示にするページの完全なリストについては、Microsoft のリファレンスをご覧ください。ページの URI のプレフィックス ms-settings: を除いた 2 番目の部分のみを入力します。
ユーザーが自動再生設定を変更できないようにする
名前: AllowAutoPlay
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Settings/AllowAutoPlay
データ型: Integer
値: 0 = ユーザーは自動再生設定を変更できない、1 = ユーザーは自動再生設定を変更できる(デフォルト)
一定時間(分)アイドル状態になったデバイスを自動的にロックする
タイムアウトを設定するには、デバイスのロックも明示的に有効にする必要があります。
- アイドル タイムアウトを設定します。
名前: MaxInactivityTimeDeviceLock
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock
データ型: Integer
値: 0〜999、0 = タイムアウトなし(デフォルト)
- デバイスのロックを有効にする。
リモート デスクトップを使ったリモート接続をブロックする
名前: AllowUsersToConnectRemotely
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/RemoteDesktopServices/AllowUsersToConnectRemotely
データ型: 文字列
値: リモート デスクトップ接続をブロックするには、「<disabled />」と入力します。
攻撃対象領域の削減ルールを設定する
名前: AttackSurfaceReductionRules
OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/AttackSurfaceReductionRules
データ型: 文字列
値: ルール GUID とその値のリスト。形式は {GUID-1}=値|{GUID-2}=値|...{GUID-N}=値 です。値は、0 = 無効、1 = ブロック、2 = 監査のいずれかになります。
たとえば、次のルールを適用するには:
- メール クライアントとウェブメールからの実行可能コンテンツをブロックする
- Office アプリケーションが他のプロセスにコードを挿入することをブロックする
「{BE9BA2D9-53EA-4CDC-84E5-9B1EEEE46550}=1|{75668C1F-73B5-4CF0-BB93-3ECF5CB7CC84}=1」と入力します。
ルールとその GUID の完全なリストについては、Microsoft のドキュメントをご覧ください。
デバイスでポリシーが意図したとおりに機能していることを確認するには、デバイスで Microsoft の攻撃面削減デモ シナリオを使用し、イベント ビューアー アプリでデバイスの応答を追跡します。詳細
デバイスのパスワードを必須にしてデバイスのロックを有効にする
Windows 用 Google 認証情報プロバイダ(GCPW)を使用するデバイスではサポートされていません。代わりに、管理コンソールでパスワードの要件を設定します。詳細
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
データ型: Integer
値: 0 = 有効(デフォルト)、1 = 無効
デバイスのロックをオンにすると、いくつかのパスワード要件が Microsoft によって適用されます。設定に関するドキュメントをご確認いただくことをおすすめします。
ロック画面でスライドショーを再生しないようにする
名前: PreventLockScreenSlideShow
OMA-URI: ./Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow
データ型: 文字列
値: ロック画面でスライドショーを再生しないようにするには、「<enabled />」と入力します(大文字と小文字は区別されます)。
ハードウェアとネットワーク
Wi-Fi プロファイルを設定する
名前: WlanXml
OMA-URI: ./Vendor/MSFT/WiFi/Profile/<SSID を入力>/WlanXml
<SSID を入力> の部分を Wi-Fi ネットワークの名前に置き換えます。
データ型: String(XML)
値: 以下の形式の XML ファイルをアップロードします。既存の Wi-Fi 接続から XML ファイルを作成するか、以下のサンプル テンプレートを編集できます。次のように、必要に応じてネットワーク パラメータを更新します。
SSID(<name>内) - Wi-Fi ネットワークの名前を入力します。Password(<keyMaterial>内)- 認証にパスワードを使用している場合は、Wi-Fi パスワードを入力します。別の種類の認証を使用している場合は、書式設定の方法について、スキーマ要素の WLAN_profile をご覧ください。- デバイスを Wi-Fi ネットワークに自動的に接続するには、
<connectionMode>で「auto」と入力します。ユーザーによる手動での接続を求める場合は、「manual」と入力します。
パラメータの詳細とオプションについて詳しくは、Microsoft のドキュメント WLAN_profile Schema Elements をご覧ください。
<?xml version="1.0"?>
<WLANProfile xmlns="http://www.microsoft.com/networking/WLAN/profile/v1">
<name>SSID</name>
<SSIDConfig>
<SSID>
<name>SSID</name>
</SSID>
</SSIDConfig>
<connectionType>ESS</connectionType>
<connectionMode>auto</connectionMode>
<MSM>
<security>
<authEncryption>
<authentication>WPA2PSK</authentication>
<encryption>AES</encryption>
<useOneX>false</useOneX>
</authEncryption>
<sharedKey>
<keyType>passPhrase</keyType>
<protected>false</protected>
<keyMaterial>Password</keyMaterial>
</sharedKey>
</security>
</MSM>
</WLANProfile>
カメラを無効にする
名前: AllowCamera
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Camera/AllowCamera
データ型: Integer
値: 0 = カメラを無効にする、1 = カメラを有効にする(デフォルト)
USB ドライブと SD カードを無効にする
名前: AllowStorageCard
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/AllowStorageCard
データ型: Integer
値: 0 = USB ドライブを無効化し、SD カードを使用不可にする、1 = USB ドライブを有効化し、SD カードを使用可能にする(デフォルト)
Bluetooth アドバタイズを無効にする
名前: AllowAdvertising
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Bluetooth/AllowAdvertising
データ型: Integer
値: 0 = アドバタイズを無効にする。デバイスを Bluetooth デバイスで検出できません。1 = アドバタイズを有効にする。デバイスを Bluetooth デバイスで検出できます(デフォルト)。
Bluetooth を無効にする
名前: AllowBluetooth
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Connectivity/AllowBluetooth
データ型: Integer
値: 0 = Bluetooth を無効にする、2 = Bluetooth を有効にする(デフォルト)
リムーバブル ディスクへの書き込みアクセスをブロックする
名前: RemovableDiskDenyWriteAccess
OMA-URI: ./[Device|User]/Vendor/MSFT/Policy/Config/Storage/RemovableDiskDenyWriteAccess
データ型: Integer
値: 0 = リムーバブル ディスクへの書き込みアクセスを許可(デフォルト)、1 = リムーバブル ディスクへの書き込みアクセスをブロック
ユーザーがプリンタを追加できないようにする
OMA-URI: ./User/Vendor/MSFT/Policy/Config/Education/PreventAddingNewPrinters
データ型: Integer
値: 0 = ユーザーによるプリンタの追加を許可(デフォルト)、1 = プリンタとスキャナの追加をブロック
ソフトウェア
Cortana を無効にする
名前: AllowCortana
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowCortana
データ型: Integer
値: 0 = Cortana を無効にする、1 = Cortana を有効にする(デフォルト)
アクション センターで Windows スポットライト通知をブロックする
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Experience/AllowWindowsSpotlight
データ型: Integer
値: 0 = スポットライト通知を無効にする、1 = スポットライト通知を有効にする(デフォルト)
一定時間アイドル状態になったデバイスを自動的にスリープ状態にする
ポリシー名: StandbyTimeoutOnBattery
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Power/StandbyTimeoutOnBattery
データ型: SyncML XML ファイル
値: 無効にするか未構成の場合、ユーザーが設定を制御します。
Microsoft Store 以外のアプリをブロックする
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAllTrustedApps
データ型: Integer
値: 0 = Microsoft Store 以外のアプリをブロック、1 = すべてのアプリを許可、65535 = 未設定(デフォルト)
OneDrive を無効にする
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/DisableOneDriveFileSync
データ型: Integer
値: 0 = OneDrive ファイル ストレージへのアクセスを許可(デフォルト)、1 = OneDrive ファイル ストレージへのアクセスをブロック
高度なゲームサービスをブロックする
高度なゲームサービスは、Microsoft やゲームのパブリッシャーにデータを送信することがあります。
名前:AllowAdvancedGamingServices
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/Games/AllowAdvancedGamingServices
データ型: Integer
値: 0 = 高度なゲームサービスをブロック、1 = 高度なゲームサービスを許可(デフォルト)
署名されていないすべてのアプリケーションまたは特定のアプリケーションをブロックする
名前: Policy(AppLocker CSP の一部)
OMA-URI:./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<グループ分けを入力>/[EXE | StoreApps | MSI | Script | DLL]/Policy
データ型: String(XML)
値: アプリケーションと、ポリシーが適用されるグループまたはユーザーを指定する XML ファイル。手順については、カスタム設定でアプリケーションをブロックするをご覧ください。
Microsoft Store アプリをブロックする
名前: DisableStoreOriginatedApps
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/DisableStoreOriginatedApps
データ型: Integer
値: 0 = Microsoft Store のすべてのアプリ(プリインストールまたはダウンロードされたアプリ)の実行を許可(デフォルト)、1 = Microsoft Store のアプリの実行をブロック
組織の限定公開ストアのアプリのみを Microsoft Store で許可する
OMA-URI: ./Device/Vendor/MSFT/Policy/ApplicationManagement/RequirePrivateStoreOnly
データ型: Integer
値: 0 = 一般公開ストアと限定公開ストアの両方でアプリへのアクセスを許可(デフォルト)、1 = 一般公開ストアへのアクセスを禁止し、限定公開ストアへのアクセスのみを許可
位置情報サービスを強制的に有効または無効にする
名前: AllowLocation
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/System/AllowLocation
データ型: Integer
値: 0 = 位置情報サービスを強制的に無効にする。どのアプリも位置情報サービスにアクセスできず、ユーザーは設定を変更できません。1 = ユーザーが各アプリで位置情報サービスのプライバシー設定を行えるようにする(デフォルト)。2 = 位置情報サービスを強制的に有効にする。すべてのアプリから位置情報サービスにアクセスできます。ユーザーは設定を変更したり、設定に同意したりすることができません。
Game DVR による画面キャプチャ、録画、ブロードキャストをブロックする
名前: AllowGameDVR
OMA-URI: ./Device/Vendor/MSFT/Policy/ApplicationManagement/AllowGameDVR
データ型: Integer
値: 0 = ゲームバーをブロック、1 = ゲームバーを許可(デフォルト)
カスタマイズ
デスクトップ画像を設定する
名前: DesktopImageUrl
OMA-URI: ./Vendor/MSFT/Personalization/DesktopImageUrl
データ型: 文字列
値: 画像の URL(https://www.mycompany.com/desktopimage.JPG、file:///c:/images/desktopimage.jpg など)。
ロック画面の画像を設定する
OMA-URI: ./Vendor/MSFT/Personalization/LockScreenImageUrl
データ型: 文字列
値: 画像の URL(https://www.mycompany.com/desktopimage.JPG、file:///c:/images/desktopimage.jpg など)。
プライバシー
プライバシー設定画面をスキップする
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/DisablePrivacyExperience
データ型: Integer
値: 0 = ユーザーの初回ログイン時またはアップグレード後にプライバシー設定画面を表示する(デフォルト)。1 = プライバシー設定画面を表示しない。組織内のデバイスのプライバシー設定にポリシーを使っている場合は、ユーザーに設定の変更を求めるこの画面をスキップすることをおすすめします。
すべてのアプリでオンライン音声認識をブロックする
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/AllowInputPersonalization
データ型: Integer
値: 0 = 音声入力、Cortana、Microsoft の音声認識を使用するその他のアプリの音声認識をブロックする。1 = ユーザーがオンライン音声認識の有効化または無効化を設定できる(デフォルト)。
広告 ID を無効にする
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/DisableAdvertisingId
データ型: Integer
値: 0 = 広告 ID を無効にする、1 = 広告 ID を有効にし、ユーザーによる無効化をブロック、65535 = 未設定、ユーザーが制御(デフォルト)
アクティビティ フィードの更新をブロックする
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/EnableActivityFeed
データ型: Integer
値: 0 = アプリはデバイス アクティビティのアクティビティ フィードへの公開および Microsoft への送信ができない、1 = アプリはアクティビティ フィードを更新できる(デフォルト)
Windows アプリに対して位置情報サービスへのアクセスをブロックする
OMA-URI: ./Device/Vendor/MSFT/Policy/Privacy/LetAppsAccessLocation
データ型: Integer
値: 0 = ユーザーに制御を許可(デフォルト)、1 = Windows アプリに対して位置情報サービスへのアクセスを強制的に許可、2 = Windows アプリに対して位置情報サービスへのアクセスを強制的にブロック
注: AllowLocation は LetAppsAccessLocation よりも優先されます。
Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。