割り当てられたアクセスを使用して制限付きユーザーエクスペリエンス (マルチアプリキオスク) を構成する

2025-03-11
適用対象: ✅ Windows 11, ✅ Windows 10

割り当てられたアクセス制限付きユーザーエクスペリエンスは、デスクトップから 1 つ以上のアプリを実行します。キオスクを使用するPeopleには、許可されているアプリのタイルのみを表示するカスタマイズされたスタートメニューがあります。この方法により、さまざまなアカウントの種類に対してロックダウンエクスペリエンスを構成できます。マルチアプリキオスクは、共有デバイスに適しています。

割り当て済みアクセスで制限付きユーザーエクスペリエンスを構成するには、目的のエクスペリエンスの設定を含む XML 構成ファイルを作成する必要があります。 XML ファイルは、次のいずれかのオプションを使用して、割り当てられたアクセス CSP を介してデバイスに適用されます。

Microsoft Intune などのモバイルデバイス管理 (MDM) ソリューション
プロビジョニングパッケージ
MDM ブリッジ WMI プロバイダーでの PowerShell

割り当てアクセス XML ファイルを構成する方法については、「割り当てられたアクセス構成ファイルを作成する」を参照してください。

次の手順では、デバイスを構成する方法の詳細を示します。ニーズに最適なオプションを選択します。

[割り当てられたアクセス CSP] でカスタムポリシーを使用してデバイスを構成できます。

設定:./Vendor/MSFT/AssignedAccess/Configuration
値: XML 構成ファイルの内容

構成するデバイスをメンバーとして含むグループにポリシーを割り当てます。

MDM Bridge WMI プロバイダーを使用して PowerShell スクリプトを使用してデバイスを構成します。

重要

すべてのデバイス設定で、WMI ブリッジクライアントをシステム (LocalSystem) アカウントとして実行する必要があります。

PowerShell スクリプトをテストするには、次の操作を行うことができます。

psexec ツールをダウンロード
管理者特権のコマンドプロンプトを開き、次を実行します: psexec.exe -i -s powershell.exe
PowerShell セッションでスクリプトを実行する

$assignedAccessConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Assigned Access configuration"

詳細については、「WMI ブリッジプロバイダーで PowerShell スクリプトを使用する」を参照してください。

ヒント

実際の例については、「クイックスタート: 割り当てられたアクセスを使用して制限付きユーザーエクスペリエンスを構成する」を参照してください。

ユーザーエクスペリエンス

キオスクの構成を検証するには、構成ファイルで指定したユーザーアカウントでサインインします。

割り当てられたアクセス構成は、次に対象ユーザーがサインインした時点で有効になります。構成を適用するときにそのユーザーアカウントがサインインしている場合は、サインアウトしてサインインし直してエクスペリエンスを検証します。

オートトリガータッチキーボード

タッチキーボードは、必要な入力があり、タッチ対応デバイスに物理キーボードが接続されていない場合に自動的にトリガーされます。この動作を適用するために、他の設定を構成する必要はありません。

ヒント

タッチキーボードは、テキストボックスをタップするときにのみトリガーされます。マウスをクリックしてもタッチキーボードはトリガーされません。この機能をテストする場合は、タッチキーボードが VM でトリガーされないため、仮想マシン (VM) ではなく物理デバイスを使用します。

割り当てられたアクセスからのサインアウト

既定では、キオスクエクスペリエンスを終了するには、Ctrl + Alt + Del キーを押します。キオスクアプリは自動的に終了します。割り当てられたアクセスアカウントとしてもう一度サインインするか、サインイン画面のタイムアウトを待つと、キオスクアプリが再起動します。既定のタイムアウトは 30 秒ですが、レジストリキーを使用してタイムアウトを変更できます。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

割り当てられたアクセスが再開される既定の時刻を変更するには、 IdleTimeOut (DWORD) を追加し、値データをミリ秒単位で 16 進数で入力します。

注

IdleTimeOut は Microsoft Edge キオスクモードには適用されません。

Ctrl + Alt + Del のブレークアウトシーケンスは既定ですが、このシーケンスは別のキーシーケンスに構成できます。ブレイクアウトシーケンスでは、書式設定 modifiers + keys を使用します。ブレークアウトシーケンスの例としては 、CTRL + ALT + A があります。 ここで、Ctrl + ALT は修飾子、 A はキー値です。詳細については、「割り当てられたアクセス構成 XML ファイルを作成する」を参照してください。

割り当てられたアクセスを削除する

割り当てられたアクセス構成を削除すると、ユーザーに関連付けられているポリシー設定が削除されますが、すべての変更を元に戻すことはできません。たとえば、マルチアプリキオスクシナリオでは、[スタート] メニューの構成が維持されます。

割り当てられたアクセス構成を削除するには、構成を含むポリシーの割り当てを解除または削除します。

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = $null
Set-CimInstance -CimInstance $obj

次のステップ

割り当て済みアクセスをデプロイする前に、推奨事項を確認します。

割り当てられたアクセスに関する推奨事項

次の方法で共有

割り当てられたアクセスを使用して制限付きユーザー エクスペリエンス (マルチアプリ キオスク) を構成する

ユーザー エクスペリエンス

オートトリガー タッチ キーボード