演習 3: IoT デバイスのポリシー設定を構成する

演習 2 では、カスタム イメージでデバイスのロックダウン機能を有効にしました。 デバイス パートナーは、Windows IoT Enterprise のロックダウン機能に加えて、グループ ポリシーと機能のカスタマイズの組み合わせを使用して、目的のユーザー エクスペリエンスを実現できます。

この演習では、IoT デバイス パートナーがよく使用する一般的な構成設定の推奨事項を示します。 個々の構成設定がデバイスのシナリオに適用されるかどうかを検討します。

Windows Update の制御

デバイス パートナーからの最も多い要望の 1 つは、Windows IoT デバイスの自動更新の制御に関するものです。 IoT デバイスの性質としては、予期しない中断 (計画外の更新など) によって、不適切なデバイス エクスペリエンスが発生する可能性があります。 Windows 更新プログラムの制御方法を検討する際には、次の点を確認する必要があります。

  • ワークフローの中断が許容されないようなデバイス シナリオはありますか?
  • 更新プログラムはデプロイ前にどのように検証されますか?
  • デバイス自体でのユーザー エクスペリエンスの更新について教えてください。

ユーザー エクスペリエンスの中断が許容できないデバイスがある場合は、次のことを行う必要があります。

  • 更新を特定の時間のみに制限することを検討する
  • 自動更新を無効にすることを検討する
  • 手動で、または制御されたサード パーティソリューションを使用して更新プログラムを展開することを検討してください。

更新プログラムによる再起動の制限

アクティブ時間のグループ ポリシー、モバイル デバイス管理 (MDM)、またはレジストリ設定を使用して、更新を特定の時間に限定できます。

  1. グループ ポリシー エディター (gpedit.msc) を開き、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[エンド ユーザー エクスペリエンスの管理] の順に移動し、[アクティブ時間内の更新プログラムの自動再起動をオフにします] ポリシー設定を開きます。
  2. このポリシーを 有効に設定します。
  3. [アクティブ時間] ウィンドウで、[Start (開始時刻)][End (終了時刻)] を設定します。 たとえば、アクティブ時間の [Start (開始時刻)] を午前 4 時 00 分に設定し、[End (終了時刻)] を午前 2 時 00 分に設定します。 これにより、システムは午前 2 時 00 分と午前 4 時 00 分の間の更新後に再起動できます。

Windows Update クライアントからの UI 通知を制御する

デバイスを設定することで、Windows Update の UI を非表示にし、サービス自体はバックグラウンドで実行され、システムをアップデートできます。 Windows Update クライアントは自動更新を構成するために設定されたポリシーを引き続き受け入れます。このポリシーは、そのエクスペリエンスの UI 部分を制御します。

  1. グループ ポリシー エディター (gpedit.msc) を開き、[コンピュータの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[エンド ユーザー エクスペリエンスの管理] の順に移動し、[更新通知の表示オプション] ポリシー設定を開きます。
  2. このポリシーを 有効に設定します。
  3. [更新通知の表示オプションを指定する]1 - "再起動の警告を除き、すべての通知を無効にする" または 2 - "再起動の警告を含む、すべての通知を無効にする" に設定します。

Windows の自動更新を完全に無効にする

IoT プロジェクトを成功させるには、セキュリティと安定性が核となります。また Windows Update に、Windows IoT Enterprise に適用可能な最新のセキュリティと安定性の更新プログラムが含まれていることを確認します。 しかし、Windows の更新を手動で行わなければならないデバイスのシナリオがあるかもしれません。 この種類のシナリオでは、Windows Update を使用した自動更新を無効にすることを推奨します。 以前のバージョンの Windows デバイス パートナーは、Windows Update サービスの停止と無効化ができましたが、これは自動更新を無効にする方法としてはサポートされていません。 Windows には、複数の方法で Windows Update を構成できるポリシーが多数あります。

Windows Update による Windows の自動更新を完全に無効にする手順は次の通りです。

  1. グループ ポリシー (gpedit.msc) を開き、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[エンド ユーザー エクスペリエンスの管理] の順に移動し、[自動更新を構成する] ポリシー設定を開きます。
  2. ポリシーを明示的に無効に設定します。 この設定が無効に設定されている場合、Windows Update から利用可能なすべての更新プログラムを手動でダウンロードしてインストールする必要があります。これは、設定アプリの [Windows Update] でできます。

Windows Update ユーザー エクスペリエンスへのアクセスを無効にする

場合によっては、自動更新を構成するだけでは、必要なデバイス エクスペリエンスを維持できないことがあります。 たとえば、エンド ユーザーが Windows Update の設定に引き続きアクセスできる場合、Windows Update を介した手動更新が可能になります。 設定で Windows Update へのアクセスを禁止するようグループ ポリシーを構成できます。

Windows Update へのアクセスを禁止するには:

  1. グループ ポリシー エディター (gpedit.msc) を開き、[コンピュータの構成]、[管理用テンプレート] から、[Windows コンポーネント]、[Windows Update]、[エンド ユーザー エクスペリエンスの管理] の順に移動し、[すべてのWindows Update機能を使用するためのアクセスの削除] ポリシー設定を開きます。
  2. このポリシーを有効に設定すると、ユーザーは「アップデートを確認する」オプションを使用できなくなります。 注: バック グラウンドでの更新プログラムのスキャン、ダウンロード、インストールは引き続き構成どおりに実行されます。 このポリシーは、ユーザーが手動で設定を確認できないようにするだけです。 スキャン、ダウンロード、インストールも無効にするには、前のセクションの手順を使用します。

重要

デバイスに対して適切に設計されたサービス戦略があることを確認してください。 デバイスが別の方法で更新プログラムを取得していない場合、Windows Update 機能を無効にすると、デバイスは脆弱な状態のままになります。

Windows Update によってドライバーがインストールされないようにする

Windows Update からインストールされたドライバーが原因で、デバイス エクスペリエンスに問題が発生する場合があります。 次の手順では、Windows Update によってデバイスに新しいドライバーがダウンロードされ、インストールされることを禁止します。

  1. グループ ポリシー エディター (gpedit.msc) を開き、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[Windows Update から提供されている更新プログラムを管理する] の順に移動し、[Windows 更新プログラムからドライバーを除外する] ポリシー設定を開きます。
  2. このポリシーを有効にします。これにより、Windows 品質更新プログラムからドライバーを除外するよう Windows に通知されます。

Windows Update の概要

Windows Update はいくつかの方法で構成できます。すべてのポリシーがすべてのデバイスに適用されるわけではありません。 原則として、IoT デバイスは、デバイスに使用されるサービスおよび管理戦略に特別な注意を払う必要があります。 サービス戦略が、ポリシーを使用して Windows Update のすべての機能を無効にすることである場合は、次の手順に従って各ポリシーを構成します。

  1. グループ ポリシー エディター (gpedit.msc) を開き、[コンピューターの構成]、[管理用テンプレート]、[システム]、[デバイスのインストール] の順に移動して、次のポリシーを設定します。
    1. [更新サーバーを選択する][管理されたサーバーを検索する] に設定して、[デバイス ドライバーの更新プログラムを検索するサーバーを指定する][有効] に設定
    2. [検索順序を選択する][Windows Update を検索しない] に設定して、[デバイス ドライバーを検索する場所の順序を指定する][有効] に設定
  2. グループ ポリシー エディターで、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update] の順に移動し、次のポリシーを設定します。
    1. [自動更新を構成する][無効] に設定
    2. [Windows Update からドライバーを除外する][有効] に設定
  3. グループ ポリシー エディターで、[コンピューターの構成]、[管理用テンプレート]、[システム]、[インターネット通信の管理]、[インターネット通信の設定] の順に移動し、[Windows Update のすべての機能へのアクセスをオフにする][有効] に設定します。
  4. グループ ポリシー エディターで、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Windows Update]、[更新通知の表示オプション] の順に移動し、[更新通知の表示オプションを指定する]2 に設定して、このポリシーを [有効] に設定します。

ブルー スクリーンを非表示にするようにシステムを構成する

システムのバグチェック (ブルー スクリーンまたは BSOD) は、さまざまな理由で発生する可能性があります。 IoT デバイスでは、これらのエラーが発生した場合にそれを非表示にすることが重要です。 システムはデバッグのためにメモリ ダンプを引き続き収集できますが、ユーザー エクスペリエンスでは、バグチェック エラー画面自体を表示しないようにする必要があります。 "ブルー スクリーン" を OS エラー用の空白の画面に置き換えるようにシステムを構成できます。

  1. IoT デバイスでレジストリ エディターを開き、Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl に移動します。
  2. DWORD (32 ビット) 型で値データが 1 の、DisplayDisabled という名前の新しいレジストリを追加します。

通知、トースト、ポップアップを構成する

通常、IoT デバイスでは、PC のシナリオでは意味があっても、IoT デバイスのユーザー エクスペリエンスを中断させる可能性がある Windows の一般的なダイアログを非表示にします。 不要なダイアログを無効にする最も簡単な方法は、シェル ランチャーまたは割り当てられたアクセスを使用してカスタム シェルを使用することです。 カスタム シェルが適切な選択肢でない場合は、不要なポップアップや通知を無効にすることができる、ポリシー、設定、レジストリ調整の組み合わせを設定できます。

通知

個々の通知を無効にすることが望ましいシナリオもあります。 たとえば、デバイスがタブレット デバイスの場合、バッテリー節約機能の通知はユーザーに表示した方がよいかもしれませんが、OneDrive や写真などの他の通知は非表示にする必要があります。 また、通知を提供する OS コンポーネントに関係なく、デバイスですべての通知を非表示にすることもできます。

すべての通知の非表示

通知を無効にする方法の 1 つとして、Windows の "通知オフ" 機能を使用します。 通知オフは、多くのスマートフォンで見られる、特定の時間帯 (通常は夜間) に通知を非表示にする機能と同様に機能します。 Windows では、通知がまったく表示されないように、通知オフを 24 時間 365 日に設定できます。

24 時間 365 日の通知オフを有効にする

  1. グループ ポリシー エディター (gpedit.msc) を開き、[ユーザーの構成]、[管理用テンプレート]、[スタート メニューとタスク バー]、[通知] の順に移動します
  2. [通知の停止時間の開始時刻を設定する] のポリシーを有効にし、値を 0 に設定します。
  3. [通知の停止時間の終了時刻を設定する] のポリシーを有効にし、値を 1439 に設定します (1 日は 1440 分です)。

ヒント

[ユーザーの構成] - [管理用テンプレート] - [スタート メニューとタスク バー] - [通知] には、無効にする通知をより細かく設定できる他のポリシーもあります。 これらのオプションは、デバイスの一部のシナリオで役立つ場合があります。

メッセージ ボックスの既定の返信

レジストリを変更し、システムによってダイアログの既定のボタン ([OK] または [キャンセル]) が自動的に選択されるようにすることで、MessageBox クラスのボックスを無効にし、ポップアップ表示されないようにします。 これは、デバイス パートナーが制御していないサード パーティ アプリケーションで、MessageBox スタイルのダイアログが表示される場合に役立ちます。 このレジストリ値については、「メッセージ ボックスの既定の返信」を参照してください。

メッセージ ボックスの既定の返信を有効にする
  1. 管理者としてレジストリ エディターを開きます。
  2. HKLM\System\CurrentControlSet\Control\Error Message Instrument の下に、EnableDefaultReply という名前の新しい DWORD レジストリ値を作成します。
  3. EnableDefaultReply 値のデータを 1 に設定する
  4. シナリオをテストして、想定どおりに動作していることを確認する

セキュリティ ベースライン

Windows の最初のリリース以降、Windows のリリースごとに、セキュリティ ベースラインと呼ばれる一連の付属のポリシーが提供されています。 セキュリティ ベースラインとは、Microsoft のセキュリティ エンジニアリング チーム、製品グループ、パートナー、お客様からのフィードバックに基づいて、Microsoft が推奨する構成設定のグループです。 セキュリティ ベースラインは、IoT デバイスで推奨されるセキュリティ設定をすばやく有効にするのに適した方法です。

Note

STIG などの認定を必要とするデバイスの場合、セキュリティ ベースラインを出発点として使用することでメリットが得られます。 セキュリティ ベースラインは、Security Compliance Toolkit の一部として提供されます。

Security Compliance Toolkit は、ダウンロード センターからダウンロードできます。

  1. 上記のリンク先で [ダウンロード] をクリックします。 Windows Version xxxx Security Baseline.zipLGPO.zip を選択します。 展開する Windows のバージョンと一致するバージョンを必ず選択してください。

  2. IoT デバイス上で Windows Version xxxx Security Baseline.zip ファイルと LGPO.zip ファイルを抽出します。

  3. Windows Version xxxx Security BaselineScripts\Tools フォルダーに LGPO.exe をコピーします。 LGPO はセキュリティ ベースライン インストール スクリプトで必要ですが、別途ダウンロードする必要があります。

  4. 管理コマンド プロンプトから、次のコマンドを実行します。

    Client_Install_NonDomainJoined.cmd
    

    または、IoT デバイスが Active Directory ドメインに含まれるようになる場合は、次のコマンドを実行します。

    Client_Install_DomainJoined.cmd
    
  5. スクリプトを実行するように求めるメッセージが表示されたら Enter キーを押し、IoT デバイスを再起動します。

期待できること

セキュリティ ベースラインの一部として多くの設定が含まれています。 Documentation フォルダーに、ベースラインによって設定されたすべてのポリシーの概要を示す Excel スプレッドシートがあります。 ユーザー アカウントのパスワードの複雑さが既定値から変更されていることにすぐに気付くでしょう。そのため、システム上で、または展開の一部として、ユーザー アカウントのパスワードを更新することが必要な場合があります。 さらに、USB ドライブのデータ アクセスに関するポリシーも構成されています。 システムからのデータのコピーが既定で保護されるようになります。 セキュリティ ベースラインによって追加されたその他の設定を引き続き確認します。

Microsoft Defender

IoT デバイスの多くのシナリオ、特に、より完全な機能を備え、Windows IoT Enterprise のようなオペレーティング システムを実行しているデバイスでは、ウイルス対策保護が必須となります。 キオスク、Retail POS、ATM などのデバイスでは、Windows IoT Enterprise インストールの一部として Microsoft Defender が含まれており、既定で有効になっています。 既定の Microsoft Defender ユーザー エクスペリエンスを変更する必要があるシナリオもあります。 たとえば、実行されたスキャンに関する通知を無効にする場合や、リアルタイム スキャンのみを使用するために、スケジュールされたディープ スキャンを無効にする場合です。 次のポリシーは、Microsoft Defender によって不要な UI が作成されないようにするのに役立ちます。

  1. グループ ポリシー エディター (gpedit.msc) を開き、[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Microsoft Defender ウイルス対策]、[スキャン] の順に移動して、次のように設定します。

    1. [スケジュールされたスキャンの実行前に最新のウイルスおよびスパイウェア定義をチェックする][無効] に設定
    2. [スキャン中の最大 CPU 使用率を指定する]5 に設定
    3. [キャッチアップ フル スキャンを有効にする][無効] に設定
    4. [キャッチアップ クイック スキャンを有効にする][無効] に設定
    5. [システムの復元ポイントを作成する][無効] に設定
    6. [キャッチアップ スキャンが強制となるまでの日数を定義する]20 に設定 (これは "念のための設定" であり、キャッチアップ スキャンが有効になっている場合は不要です)
    7. [スケジュールされたスキャンに使用するスキャンの種類を指定する][クイック スキャン] に設定
    8. [スケジュールされたスキャンを実行する曜日を指定する][0x8 (実行しない)] に設定
  2. グループ ポリシー エディターで、[コンピューターの構成] - [管理用テンプレート] - [Windows コンポーネント] - [Microsoft Defender ウイルス対策] - [セキュリティ インテリジェンスの更新] の順に移動して、次のように設定します。

    1. [スパイウェア セキュリティ インテリジェンスが有効期限切れと見なされるまでの経過日数を定義する]30 に設定
    2. [ウイルス セキュリティ インテリジェンスが有効期限切れと見なされるまでの経過日数を定義する]30 に設定
    3. [セキュリティ インテリジェンスの更新後にスキャンを有効にする][無効] に設定
    4. [起動時にセキュリティ インテリジェンスの更新を開始する][無効] に設定
    5. [セキュリティ インテリジェンスの更新をチェックする曜日を指定する][0x8 (実行しない)] に設定
    6. [キャッチアップ セキュリティ インテリジェンスの更新が必要になるまでの日数を定義する]30 に設定

Windows コンポーネント\Microsoft Defender ウイルス対策には追加のポリシーがあります。各設定の説明をチェックして、自分の IoT デバイスに適用されるかどうかを確認してください。

次のステップ

目的のユーザー エクスペリエンスに合わせて調整されたイメージを作成したら、そのイメージをキャプチャして、必要な数のデバイスに展開できるようにします。 演習 4 では、キャプチャ用にイメージを準備し、デバイスに展開する方法について説明します。