Windows10の会社用の初歩的な制限を掛ける

スポンサーリンク
PC
スポンサーリンク

※この記事は新人グループポリシー管理者向けです。

2019年もそろそろ12月になろうかという時期ですが、Windows7のサポートもそろそろ終わります。そろそろWindows10の配布を考えないとなぁ~

今からWindows10の社内展開を考えてるなんて遅いって?

まあ遅いかもしれないけど、これぐらいやっておけば形にはなると思います。

プリインストールアプリの制限

Windows10ってproバージョンをクリーンインストールしてもXBOXアプリ等が入って来るのは如何かと思いますが、社内展開向けOSインストールオプション何かを付けて欲しいと思うこの頃。

XBOXだったりその他ゲームアプリは削除したい所ですが、削除した場合に以降のフィーチャーアップデート(今だと1903等表記されるOSのバージョンアップ)に影響がなきにしもあらずとの噂もあるため、起動制限する方向としました。

グループポリシーのソフトウェアの制限のポリシーを使用

制限にはWindowsのポリシー機能を使います。社内展開するという前提なので当たり前ですね。まずはADサーバーのグループポリシーエディタを開くか、練習であればローカルグループポリシーエディタを開きましょう。

※ローカルグループポリシーエディタの開き方は「Winキー+R」からの「gpedit.msc」か、mmcからスナップインの追加で行きましょう。私はmmc派です。

ポリシーの場所は「Windowsの設定」>「セキュリティの設定」>「ソフトウェアの制限のポリシー」から追加の規則にて設定します。コンピューターポリシーでもユーザーポリシーでも制限できますので、運用に合う方で設定を行いましょう。

新しいパスの規則を追加することで、制限を追加していきます。

Windowsアプリの場所は「C:\Program Files\WindowsApps」

Windowsアプリは回りまわって最終的には「C:\Program Files\WindowsApps」に断片的に配置されていますので、ここにアクセスを行ったアプリを起動制限する形で設定を行います。

まずは、「C:\Program Files\WindowsApps」を覗いてみましょう。しかし、「 C:\Program Files\ 」を開いてもフォルダが隠しフォルダになっているので、隠しファイルの表示を有効にすると以下のように隠しフォルダが出てくるはずです。

さらに、閲覧には管理者ユーザーへ所有権を変更が必要なため、フォルダの右クリックメニューのセキュリティ画面から所有者を変更しておきましょう。設定変更を行いフォルダを表示させたのが以下の画像になります。

何やらXboxだけでもたくさんのフォルダがありますが、ワイルドカードが利用できますので、パスの追加画面に以下のように入力すれば大丈夫です。

C:\Program Files\WindowsApps\Microsoft.Xbox*

設定を追加すると以下画像のようになります。

動作テスト

それではXBOXアプリを起動してみましょう。以下のような画面が出てアプリの起動がブロックされれば成功です。他にも起動させたくないアプリがあれば同様に追加して行きましょう。

その他こまごました所の制限

その他私が設定してみた部分を箇条書きで紹介します。

コンピューターポリシー

  • Windowsの設定>セキュリティの設定>アプリケーション制御ポリシー>Windowsインストーラーの規則からEveryoneを拒否
  • 管理用テンプレート>Windowsコンポーネント>OneDrive> OneDrive をファイル記憶域として使用できないようにする 有効
  • 同じく、Windows 8.1 で OneDrive をファイル記憶域として使用できないようにする 有効
  • 管理用テンプレート>Windowsコンポーネント>Windows のゲーム録画とブロードキャスト>Windows のゲーム録画とブロードキャスト 無効
  • 管理用テンプレート>Windowsコンポーネント>検索> Cortana を許可する 無効 
  • 同じく ロック画面で Cortana を許可する 無効

ユーザーポリシー

  • 管理用テンプレート> タスク バーと [スタート] メニュー > [スタート] メニューから [ゲーム] アイコンを削除する 有効
  • 同じく [スタート] メニューから [既定のプログラム] を削除する 有効 
  • 同じく [セキュリティとメンテナンス] のアイコンを削除する 有効 
  • 同じく Windows Update へのリンクとアクセスを削除する 有効

終わりに

ここまでは会社用PCであればどのような用途でも利用可能な明らかに不必要そうな機能を制限しました。

ここから先は業務内容や社内ポリシーに従って細かい制限を掛けみましょう。

コメント

タイトルとURLをコピーしました