ここでは、デフォルトポリシーを設定する方法を説明します。
デフォルトポリシーを作成・適用する
デフォルトポリシーを作成し、全ての管理対象デバイスに適用します。
デフォルトポリシーは、DMコード内の全ての管理対象デバイスに共通で適用するポリシーです。
デフォルトポリシーとして設定できる項目は以下のとおりです。
| 項目 | 説明 |
|---|---|
| パスワードポリシー設定 | 管理対象デバイスに設定するパスワードを制御する場合に設定します。 |
| Windows Update自動更新設定 | 管理対象デバイスでWindows Update自動更新やWindows 10更新プログラムの自動インストールを行うかどうかを設定します。 |
| ソフトウェア起動禁止設定 | 管理者が指定した起動禁止ソフトウェアを、管理対象デバイスで起動できないようにする場合に設定します。 |
| 外部メディア制御設定 | CD/DVDやポータブルデバイスなどの挿入/接続時に動作を制御する場合に設定します。 |
| データ消去設定 | 遠隔操作で、特定のフォルダやファイルをデバイスから削除する場合に設定します。 |
| Chromeポリシー設定 | Webブラウザ「Chrome」のポリシー設定を行います。 |
| ・デフォルトポリシーは、Windowsデバイスにのみ適用されます。Macデバイスには適用されません。
・デフォルトポリシーの適用を除外したいデバイスには、個別ポリシーを設定して適用することもできます。詳細は、「5.5.3. 個別ポリシーを設定する」を参照してください。個別ポリシーを設定するには、あらかじめデフォルトポリシーを設定しておく必要があります。 |
パスワードポリシー設定
1.「プロファイル」をクリックし、「Windows」の「デフォルトポリシー」をクリックします。
「デフォルトポリシー一覧」画面が表示されます。
2.「パスワードポリシー設定」をクリックします。
「パスワードポリシー設定 基本設定」画面が表示されます。
3. 各項目を入力します。
| 項目 | 説明 |
|---|---|
| パスワードポリシー設定 | パスワードポリシーの制御を行うかどうかを選択します。 初期設定は「設定しない」になっています。 ・「設定しない」を選択すると、デフォルトポリシーを適用した後もデバイスの設定は変更されません。デバイス上で設定した値のままとなります。 |
| 最小文字数 | パスワードに設定できる最小文字数を設定します。 初期設定は「設定しない」になっています。 ・「設定しない」を選択すると、任意の文字数のパスワードを設定できます。 |
| 変更禁止期間 | パスワードの変更禁止期間を設定します。 初期設定は「設定しない」になっています。 ・「設定しない」を選択すると、パスワードを任意のタイミングで変更できます。 ・「設定する」を選択すると、パスワードを変更した後、変更禁止期間の間はパスワードを変更できなくなります。 |
| 有効期間 | パスワードの有効期間を設定します。 初期設定は「設定しない」になっています。 ・「設定しない」を選択すると、パスワードを無期限で利用できます。 ・「設定する」を選択すると、有効期間が経過した後にパスワードを変更する必要があります。 |
| 履歴記録件数 | パスワードの履歴記録件数を設定します。 初期設定は「設定しない」になっています。 ・「設定しない」を選択すると、パスワード変更時に変更前のパスワードを再利用できます。 ・「設定する」を選択すると、以前に使用した履歴記録件数分のパスワードは利用できなくなります。 |
| 設定確認周期 | 管理者が設定した更新方法を利用者が変更した場合に、更新方法を修正する周期を、「1時間」、「30分」、「15分」、「10分」、「5分」の中から選択します。 |
4.「設定確認へ」ボタンをクリックします。
設定内容の確認画面が表示されます。
5.内容を確認し、「登録」ボタンをクリックします。
パスワードポリシー設定のデフォルトポリシーが作成され、デバイスに適用されます。
Windows Update自動更新設定
1.「プロファイル」をクリックし、「Windows」の「デフォルトポリシー」をクリックします。
「デフォルトポリシー一覧」画面が表示されます。
2.「Windows Update自動更新設定」をクリックします。
「WindowsUpdate自動更新設定 基本設定」画面が表示されます。
3. 各項目を入力します。
| 項目 | 説明 |
|---|---|
| WindowsUpdate自動更新設定 | Windows Update自動更新を行うかどうかを選択します。 初期設定は「行わない」になっています。
・Windows 10の場合、「 Windows Update自動更新 設定」を「行う」に設定したデフォルトポリシーが適用されると、デバイス上で設定の変更ができません。 |
| Windows 10更新プログラムのインストール設定 | Windows10更新プログラムのインストールを延期するかどうかを選択します。
・Windows 10用の更新プログラムのインストール設定が可能なバージョンは、1607以降です。
・「未構成」を選択すると、デフォルトポリシーを適用した後もデバイスの設定は変更されません。デバイス上で設定した値のままとなります。 ・「無効」を選択すると、デバイス上の「自動更新を無効にする」の設定が適用されます。 ・「有効」を選択すると、「機能更新プログラム」と「品質更新プログラム」のインストール延期可能日数を設定できます。延期可能日数は、デバイスにデフォルトポリシーが適用されてからの日数です。 |
| 更新方法 | デバイスのOSの更新スケジュールを選択します。
・Windows 8/8.1の場合、「更新方法」の設定内容はデバイスに適用されません。
・「自動(推奨)推奨される更新を自動的にダウンロードし、次の時刻に実行する」を選択すると、推奨される更新プログラムを自動的にダウンロードし、インストールする曜日と時刻を設定できます。曜日は、毎日、または毎週日曜日から土曜日までの任意の曜日に設定できます。時刻は、1時間単位で設定できます。 ・「更新は自動的にダウンロードするが、インストールは手動で実行する」を選択すると、更新プログラムを自動的にダウンロードしますが、利用者が手動でインストールを実行するまで適用されません。 ・「更新は通知するのみで、自動的なダウンロードまたはインストールを実行しない」を選択すると、必要な更新があることは通知されますが、更新プログラムのダウンロードやインストールは実行されません。 ・「自動更新を無効にする」を選択すると、OSの自動更新は行われません。 ・「バッチ適用後の再起動を抑止する」にチェックを入れると、ダウンロードした更新プログラムをインストールした後、デバイスの再起動を行わないように設定できます。 |
| 設定確認周期 | 管理者が設定した更新方法を利用者が変更した場合に、更新方法を修正する周期を、「1時間」、「30分」、「15分」、「10分」、「5分」の中から選択します。 |
| Windowsの機能や設定方法の詳細については、Microsoft社のホームページを参照してください。 |
4.「設定確認へ」ボタンをクリックします。
設定内容の確認画面が表示されます。
5. 内容を確認し、「登録」ボタンをクリックします。
Windows Update自動更新設定のデフォルトポリシーが作成され、デバイスに適用されます。
ソフトウェア起動禁止設定
1.「プロファイル」をクリックし、「Windows」の「デフォルトポリシー」をクリックします。
「デフォルトポリシー一覧」画面が表示されます。
2.「ソフトウェア起動禁止設定」をクリックします。
「ソフトウェア起動禁止設定 基本設定」画面が表示されます。
3. 各項目を入力します。
| 項目 | 説明 |
|---|---|
| 禁止ソフトウェアの起動制御 | 禁止ソフトウェアの起動制御を行うかどうかを選択します。 初期設定は「行わない」になっています。 |
| 起動制御メッセージ表示 | 管理者が指定した起動禁止ソフトウェアを利用者が起動しようとした場合に、メッセージを表示させるかどうかを選択します。 初期設定は「表示しない」になっています。 |
| 起動制御メッセージ | 「起動制御メッセージ表示」で「表示する」を選択した場合に、表示させるメッセージを入力します。
・Windows 10の場合、60文字までメッセージが表示されます。60文字を超えるメッセージは省略されます。 |
4.「禁止ソフトウェア設定へ」ボタンをクリックします。
・「ソフトウェア起動禁止設定 禁止ソフトウェア設定」画面が表示され、起動禁止の対象となるソフトウェアの一覧が表示されます。
・あらかじめ用意されている起動禁止の推奨ソフトウェアに加えて、最後のページに管理対象デバイスにインストールされているソフトウェアの一覧が表示されます。
・「推奨禁止リスト」をクリックすると、起動禁止を推奨するソフトウェアの一覧をCSV形式のファイルでダウンロードできます。
5.「禁止ソフトウェア変更」ボタンをクリックします。
「禁止ソフトウェア変更」画面が表示されます。
6. 起動を禁止したいソフトウェアにチェックを入れます。
| 項目 | 説明 |
|---|---|
| 検索ボックス/検索 | ソフトウェア名またはソフトウェアファイル名を入力し、ソフトウェアを検索します。 指定した条件に合うソフトウェアのみが一覧表示されます。 |
| 起動許可 起動禁止 |
チェックを入れると、起動を許可/禁止しているソフトウェアのみが一覧表示されます。 |
| 全て選択 | クリックすると、ソフトウェア一覧に表示されている全てのソフトウェアにチェックが入ります。 |
| 全て解除 | クリックすると、ソフトウェア一覧に表示されている全てのソフトウェアのチェックが外れます。 |
| ・explorer.exeを起動禁止に設定しないでください。デバイスが正常に動作しなくなります。
・「全て選択」ボタンをクリックした場合、ソフトウェア一覧に表示されている全てのソフトウェアにチェックが入るため、利用許可中のソフトウェアがないかを確認した上で設定してください。 |
7.「OK」ボタンをクリックします。
起動禁止に設定したソフトウェアの一覧が表示されます。
8. 内容を確認し、「設定確認へ」ボタンをクリックします。
設定内容の確認画面が表示されます。
9. 内容を確認し、「登録」ボタンをクリックします。
ソフトウェア起動禁止設定のデフォルトポリシーが作成され、デバイスに適用されます。
外部メディア制御設定
1.「プロファイル」をクリックし、「Windows」の「デフォルトポリシー」をクリックします。
「デフォルトポリシー一覧」画面が表示されます。
2.「外部メディア制御設定」をクリックします。
「外部メディア制御設定 基本設定」画面が表示されます。
3.各項目を入力します。
| 項目 | 説明 |
|---|---|
| 外部メディア挿入時に警告メッセージの表示 | 外部メディアがデバイスに挿入/接続された場合に、警告メッセージを表示させるかどうかを選択します。 初期設定は「行わない」になっています。
・警告メッセージは、「登録済み外部メディア」が「読取許可」と「書込許可」になっている場合、または「その他外部メディア」が「読取許可」と「書込許可」になっている場合に表示されます。 |
| 警告メッセージ | 「外部メディア挿入時に警告メッセージの表示」で「行う」を選択した場合に、表示させるメッセージを入力します。
・Windows 10の場合、60文字までメッセージが表示されます。60文字を超えるメッセージは省略されます。 |
| 外部メディアの自動起動抑止 | 外部メディアがデバイスに挿入/接続された場合に、自動再生の確認画面を表示させるかどうかを選択します。
・「行わない」を選択すると、デバイス上の設定に依存します。 |
| 外部メディア制御 | 外部メディアがデバイスに挿入/接続された場合に、読取/書込/動作/接続を制御するかどうかを選択します。 |
| 外部メディア制御方法 | 「外部メディア制御」で「行う」を選択した場合に、外部メディアの挿入/接続時に許可する動作を指定します。
・「読取許可」にチェックを入れると、外部メディアの内容をデバイスで読み取ることを許可します。「読取許可」のチェックを外すと、読取を禁止します。 ・「書込許可」にチェックを入れると、デバイスから外部メディアへの書込を許可します。また、同時に「読取許可」にチェックが入ります。「書込許可」のチェックを外すと、書込を禁止します。 ・「接続許可」にチェックを入れると、iOSデバイスをデバイスに接続した場合に、iTunesへの接続を許可します。「接続許可」のチェックを外すと、接続を禁止します。 ・デバイスをデバイスに接続した場合に、iTunesへの接続を許可します。「接続許可」のチェックを外すと、接続を禁止します。 |
| CD/DVD | CDまたはDVDが挿入された場合に、読取/書込を許可するかどうかを指定します。 |
| ポータブルデバイス | デジタルカメラ(PTP、MTPモード)、イメージスキャナ(PTPモード)、フィーチャーフォン(MTPモード)、Androidデバイス、iOSデバイス、WindowsPhoneが接続された場合に、読取/書込を許可するかどうかを指定します。 |
| iTunes | iOSデバイスが接続された場合に、iTunesへの接続を許可するかどうかを指定します。 |
| 登録済み外部メディア | 外部メディア登録しているメディアがデバイスに挿入/接続された場合に、読取/書込を許可するかどうかを指定します。 |
| その他外部メディア | CD/DVDと登録済み外部メディア以外のメディアが挿入/接続された場合に、読取/書込を許可するかどうかを指定します。 |
4.「設定確認へ」ボタンをクリックします。
設定内容の確認画面が表示されます。
5. 内容を確認し、「登録」ボタンをクリックします。
外部メディア制御設定のデフォルトポリシーが作成され、デバイスに適用されます。
データ消去設定
データ消去設定を適用すると、以下の場合に指定したフォルダやファイルがデバイスから削除されます。
- 管理対象デバイスの詳細情報の画面で「データ消去」ボタンをクリックした後、データ消去エージェントが次回管理サイトにアクセスしたとき
- 管理対象デバイスが設定した日数以上ネットワークに接続できず、管理サイトにアクセスできなかった場合
| データ消去エージェントは15分ごとに管理サイトにアクセスします。 |
1.「プロファイル」をクリックし、「Windows」の「デフォルトポリシー」をクリックします。
「デフォルトポリシー一覧」画面が表示されます。
2.「データ消去設定」をクリックします。
「データ消去設定 対象フォルダ指定」画面が表示されます。
3. 消去対象フォルダにチェックを入れます。
任意のフォルダを指定する場合は、消去対象フォルダのフルパスを入力します。
利用者ごとに異なるフォルダを指定する場合は、絶対パスを入力する必要があります。環境変数は利用できません。
| 消去対象フォルダは、デスクトップ、マイドキュメント、管理者が指定する任意のフォルダを合わせて7つまで指定できます。 |
4.「時限消去設定へ」ボタンをクリックします。
「データ消去設定 時限消去設定」画面が表示されます。
5. 時限消去を行うかどうかを選択し、時限消去までの日数を入力します。
| 項目 | 説明 |
|---|---|
| 時限消去設定 | デバイスが設定した日数以上ネットワークに接続できず、管理サイトにアクセスできなかった場合に、指定したフォルダを削除するかどうかを選択します。 初期設定は「無効」になっています。 |
| 時限消去までの無通信日数 | 「時限消去設定」を「有効」に設定した場合に、デバイスがネットワークに接続しない日数を、1~365日の範囲で入力します。 デバイスが指定した日数以上ネットワークに接続できず、管理サイトにアクセスできなかった場合、指定したフォルダが削除されます。 初期設定は「7」日になっています。 |
6.「設定確認へ」ボタンをクリックします。
設定内容の確認画面が表示されます。
7. 内容を確認し、「登録」ボタンをクリックします。
データ消去設定のデフォルトポリシーが作成され、デバイスに適用されます。
Chromeポリシー制御
1.「プロファイル」をクリックし、「Windows」の「デフォルトポリシー」をクリックします。
「デフォルトポリシー一覧」画面が表示されます。
2.「Chromeポリシー制御」をクリックします。
「Chromeポリシー設定 基本設定」画面が表示されます。
3. 各項目を入力します。
| 項目 | 説明 |
|---|---|
| Google Workspace へのアクセス許可ドメイン定義 | Chrome の制限付きログイン機能を Google Workspace で有効にするとともに、ユーザーがこの設定を変更できないようにできます。 初期設定は「設定しない」になっています。 |
| デベロッパーツールの使用許可管理 | 拡張機能のデベロッパツールの使用可否について設定できます。「企業ポリシーによってインストールされた拡張機能でのデベロッパー ツールの使用を禁止し、その他の状況におけるデベロッパー ツールの使用を許可する」に設定した場合、デベロッパー ツールと JavaScript コンソールにアクセスできますが、企業ポリシーによってインストールされた拡張機能でのアクセスは許可されません。 JavaScript コンソールを開くためのキーボード ショートカット、メニューのエントリ、コンテキスト メニューのエントリも無効になります。 ・初期設定は「デベロッパーツールの使用を許可する」になっています。 |
| 拡張機能インストールの拒否リストを設定 | ユーザーがインストールできない拡張機能を指定できます。すでにインストールされている拡張機能をブロック設定した場合、その拡張機能は無効になり、ユーザーが有効にすることはできません。インストール拒否リストに登録して無効になった拡張機能は、拒否リストから削除すると自動的に再度有効になります。
削除リストで指定することで、既に端末内に導入されているものを削除することができます。 このポリシーを未設定のままにした場合、ユーザーは Google Chrome にあらゆる拡張機能をインストールできます。
インストール拒否リスト、削除リストの設定方法は、「備考:拡張機能のリスト設定」を参照してください。 |
| 自動インストールするアプリと拡張機能のリストの設定 | ユーザーに操作を求めずにサイレント インストールするアプリと拡張機能のリストを指定します。ここで指定されたアプリや拡張機能をアンインストールすることも無効化することもできません。 このポリシーが未設定の場合、どのアプリや拡張機能も自動的にインストールされることはなく、ユーザーは Google Chrome からアプリや拡張機能をアンインストールできます。(制限されません)削除リストで指定することで、既に端末内に導入されているものを削除することができます。※他アプリで設定したもの、ユーザ自身が導入したものも削除の対象となります。
インストールリスト、削除リストの設定方法は、「備考:拡張機能のリスト設定」を参照してください。 |
| サイトのポップアップを許可 | ポップアップの表示を許可するサイトの URL パターンリストを指定できます。
※「デフォルトの操作」が「ポップアップの使用を許可しない」になっている場合のみ、カスタマイズホワイトリストとして設定できます。 ※カスタマイズ済みのホワイトリストは「カスタマイズ削除リスト」より削除できます。
許可リスト、カスタマイズ削除リストの設定方法は、「備考:拡張機能のリスト設定」を参照してください。 |
| Chromeポリシー設定確認周期 | 設定したChromeポリシー設定の確認周期を設定します。 初期設定は「ログイン時」となっています。 |
4.「設定確認へ」ボタンをクリックします。
設定内容の確認画面が表示されます。
5. 内容を確認し、「登録」ボタンをクリックします。
外部メディア制御設定のデフォルトポリシーが作成され、デバイスに適用されます。
備考:拡張機能のリスト設定について
1. 以下のURLにアクセスし、chromeウェブストアを表示します。
https://chrome.google.com/webstore/category/extensions
2. 検索ボックスに拡張機能を入力して検索します。
3. 検索した拡張機能を選択します。
拡張機能の詳細情報が表示されます。
4. URLを確認し、以下の赤字部分をコピーします。
| 例 | 説明 |
|---|---|
| https://chrome.google.com/webstore/detail/(拡張機能名)/ophjlpahpchlmihnnnihgmmeilfjmjjc?hl=ja | 末尾の「?hl=ja」部分は不要です。 |
5. リストを設定したい項目に、コピーした内容を入力します。
| ・複数の拡張機能を入力する場合は、カンマ区切りで入力してください。
・インストール拒否リスト、削除リスト、インストールリスト、許可リスト、カスタマイズ削除リストは1024文字以内で入力してください。 |
デフォルトポリシーを確認する
ポリシー一覧で、作成したデフォルトポリシーの設定内容を確認できます。
1.「プロファイル」をクリックし、「Windows」の「デフォルトポリシー」をクリックします。
「デフォルトポリシー一覧」画面が表示されます。
2. 作成したデフォルトポリシーの内容を確認します。
| 項目 | 説明 |
|---|---|
| ポリシー名 | ポリシーの名前が表示されます。 デフォルトポリシーの場合は、「デフォルト」と表示されます。 |
| 適用デバイス数 | デフォルトポリシーが適用されているデバイスの数が表示されます。 |
| パスワードポリシー | パスワードポリシー設定が有効か無効かが表示されます。 |
| Windows Update自動更新 | WindowsUpdateの自動更新の設定が有効か無効かが表示されます。 |
| 禁止ソフトウェア件数 | 起動禁止ソフトウェアに指定しているソフトウェアの数が表示されます。 |
| 時限消去 | 時限消去が設定されている場合は、時限消去までの日数が表示されます。 |
| 外部メディア制御 | 外部メディア制御の設定が有効か無効かが表示されます。 |
| Chromeポリシー | Chromeポリシーが有効か無効かが表示されます。 |
デフォルトポリシーを変更する手順は、作成の手順と同様です。
|
デフォルトポリシーを即時適用する
作成したデフォルトポリシーは、管理対象デバイスが管理サイトにアクセスすると適用されます。管理対象デバイスは、1時間ごとに管理サイトにアクセスします。すぐに適用したい場合は、手動で適用することもできます。
ここでは、手動でデフォルトポリシーを適用する方法を説明します。
1. 管理対象デバイスで画面右下にあるISMCクライアントのアイコンを右クリックし、「インベントリ送信」をクリックします。
インベントリ情報が送信されます。
2.「デバイス一覧」画面を表示して、「最新情報に更新」ボタンをクリックします。
管理対象デバイスにデフォルトポリシーが適用されます。