割り当てられたアクセスとは

[割り当てられたアクセス CSP] で カスタム ポリシー を使用してデバイスを構成できます。

• 設定:./Vendor/MSFT/AssignedAccess/Configuration
• 値: XML 構成ファイルの内容

構成するデバイスをメンバーとして含むグループにポリシーを割り当てます。

プロビジョニング パッケージを作成 するには、次の設定を使用します。

• パス:AssignedAccess/AssignedAccessSettings
• 価値： アプリの AUMID を使用して、割り当てられたアクセスに使用するアカウントとアプリケーションを入力します。 例:
  • {"Account":"domain\user", "AUMID":"Microsoft.WindowsCalculator_8wekyb3d8bbwe!App"}

プロビジョニング パッケージ を構成するデバイスに適用します。

Windows PowerShellを使用してデバイスを構成するには:

1. 管理者としてサインインする

2. 割り当て済みアクセスのユーザー アカウントを作成する

3. 割り当て済みアクセス ユーザー アカウントとしてサインインする

4. 必要な UWP アプリをインストールする

5. 割り当て済みアクセス ユーザー アカウントとしてサインアウトする

6. 管理者としてサインインし、管理者特権の PowerShell プロンプトから次のいずれかのコマンドを使用します。

   #Configure Assigned Access by AppUserModelID and user name
   Set-AssignedAccess -AppUserModelId <AUMID> -UserName <username>
   
   #Configure Assigned Access by AppUserModelID and user SID
   Set-AssignedAccess -AppUserModelId <AUMID> -UserSID <usersid>
   
   #Configure Assigned Access by app name and user name
   Set-AssignedAccess -AppName <CustomApp> -UserName <username>
   
   #Configure Assigned Access by app name and user SID**:
   Set-AssignedAccess -AppName <CustomApp> -UserSID <usersid>
   
   

詳しくは、次のトピックをご覧ください。

• インストール済みアプリのアプリケーション ユーザー モデル ID の検索
• Set-AssignedAccess

割り当てられたられたアクセスを削除するには、PowerShell で次のコマンドレットを実行します。

Clear-AssignedAccess

XML 構成ファイルを使用する高度なカスタマイズの場合は、 MDM Bridge WMI プロバイダーを使用して PowerShell スクリプトを使用できます。

PowerShell スクリプトをテストするには、次の操作を行うことができます。

1. psexec ツールをダウンロード
2. 管理者特権のコマンド プロンプトを開き、次を実行します: psexec.exe -i -s powershell.exe
3. PowerShell セッションでスクリプトを実行する

$shellLauncherConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Shell Launcher configuration"

詳細については、「WMI ブリッジ プロバイダーで PowerShell スクリプトを使用する」を参照してください。

設定アプリを使用してキオスクを構成する手順を次に示します。

1. 設定アプリを開き、デバイスをキオスクとして表示および構成します。 [設定>アカウント] [その他の>ユーザー] に移動するか、次のショートカットを使用します。

   その他のユーザー

2. [キオスクのセットアップ] で、[作業の開始] を選択します。

3. [アカウントの作成] ダイアログで、アカウント名を入力し、[次へ] を選択します。

   注

   ローカルの標準ユーザー アカウントが既にある場合は、[アカウントの作成] ダイアログで [既存のアカウントを選択する] オプションが表示されます

4. キオスク アカウントのサインイン時に実行するアプリケーションを選択します。 選択できるアプリの一覧には、ロック画面の上で実行できるアプリのみが表示されます。 キオスク アプリとして [Microsoft Edge] を選択した場合は、次のオプションを構成します。

   • Microsoft Edge で Web サイトを全画面表示 (デジタル 署名) で表示するか、一部のブラウザー コントロールを使用できるか (パブリック ブラウザー)
   • キオスク アカウントがサインインするときに開く URL
   • 非アクティブな期間が経過した後に Microsoft Edge を再起動する場合 (パブリック ブラウザーとして実行することを選択した場合)

5. [閉じる] を選択します

デバイスが Active Directory ドメインまたはMicrosoft Entra IDに参加していない場合、キオスク アカウントの自動サインインが自動的に構成されます。

• キオスク アカウントが自動的にサインインし、デバイスの再起動時にキオスク アプリが起動する場合は、何もする必要はありません
• デバイスの再起動時にキオスク アカウントでサインインすることが望ましくない場合は、デバイスをキオスクとして構成する前に既定の設定を変更する必要があります。 キオスク アカウントとして使用するアカウントでサインインします。 [設定>アカウント]サインイン オプションを>開きます。 [更新後にサインイン情報を使ってデバイスのセットアップを自動的に完了するか、再起動] 設定を [オフ] に設定します。 設定を変更した後、キオスク構成をデバイスに適用できます

[割り当てられたアクセス CSP] で カスタム ポリシー を使用してデバイスを構成できます。

• 設定:./Vendor/MSFT/AssignedAccess/ShellLauncher
• 値: XML 構成ファイルの内容

構成するデバイスをメンバーとして含むグループにポリシーを割り当てます。

プロビジョニング パッケージを作成 するには、次の設定を使用します。

• パス:AssignedAccess/MultiAppAssignedAccessSettings
• 値: XML 構成ファイルの内容

プロビジョニング パッケージ を構成するデバイスに適用します。

MDM Bridge WMI プロバイダーを使用して PowerShell スクリプトを使用してデバイスを構成します。

PowerShell スクリプトをテストするには、次の操作を行うことができます。

1. psexec ツールをダウンロード
2. 管理者特権のコマンド プロンプトを開き、次を実行します: psexec.exe -i -s powershell.exe
3. PowerShell セッションでスクリプトを実行する

$assignedAccessConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = [System.Net.WebUtility]::HtmlEncode($assignedAccessConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Assigned Access configuration"

詳細については、「WMI ブリッジ プロバイダーで PowerShell スクリプトを使用する」を参照してください。

このオプションは、[設定] を使用して使用することはできません。