ポリシー CSP - DeviceLock
ヒント
この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML でデータ型を <Format>chr</Format>として指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。
SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。
重要
DeviceLock CSP は、Exchange ActiveSync ポリシー エンジンを利用します。 パスワードの長さと複雑さの規則が適用されると、複雑さの要件が満たされるように、次のサインイン時にすべてのローカル ユーザーアカウントと管理者アカウントがパスワードを変更するようにマークされます。 詳細については、「 アカウントの種類でサポートされるパスワードの長さと複雑さ」を参照してください。
AccountLockoutPolicy
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11、バージョン 24H2 [10.0.26100] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AccountLockoutPolicy
アカウントロックアウトのしきい値 - このセキュリティ設定は、ユーザー アカウントがロックアウトされる原因となる失敗したログオン試行の数を決定します。ロックアウトされたアカウントは、管理者によってリセットされるまで、またはアカウントのロックアウト期間が切れるまで使用できません。 ログオン試行に失敗した 0 から 999 までの値を設定できます。 値を 0 に設定した場合、アカウントはロックアウトされません。Ctrl + Alt + DELETE またはパスワードで保護されたスクリーン セーバーを使用してロックされているワークステーションまたはメンバー サーバーに対するパスワード試行の失敗は、ログオン試行の失敗とカウントされます。 既定値: 0 アカウントロックアウト期間 - このセキュリティ設定は、ロックアウトされたアカウントが自動的にロック解除されるまでのロックアウトされた時間 (分) を決定します。 使用可能な範囲は、0 分から 99,999 分です。 アカウントのロックアウト期間を 0 に設定した場合、管理者が明示的にロックを解除するまで、アカウントはロックアウトされます。 アカウントロックアウトのしきい値が定義されている場合、アカウントロックアウト期間はリセット時間以上である必要があります。 既定値: なし。このポリシー設定は、アカウント ロックアウトのしきい値が指定されている場合にのみ意味があるためです。 アカウント ロックアウト カウンターのリセット後 - このセキュリティ設定は、失敗したログオン試行カウンターが 0 回の不正なログオン試行にリセットされるまでのログオン試行の失敗後に経過する必要がある分数を決定します。 使用可能な範囲は 1 分から 99,999 分です。 アカウントロックアウトのしきい値が定義されている場合、このリセット時間はアカウントロックアウト期間以下である必要があります。 既定値: なし。このポリシー設定は、アカウント ロックアウトのしきい値が指定されている場合にのみ意味があるためです。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
AllowAdministratorLockout
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11、バージョン 24H2 [10.0.26100] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowAdministratorLockout
[管理者アカウントのロックアウトを許可する] このセキュリティ設定は、組み込みの管理者アカウントがアカウント ロックアウト ポリシーの対象かどうかを決定します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | 範囲: [0-1] |
| 既定値 | 1 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 管理者アカウントのロックアウトを許可する |
| パス | Windows 設定 > セキュリティ設定 > アカウント ポリシー > アカウント ロックアウト ポリシー |
AllowIdleReturnWithoutPassword
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
❌ Pro ❌ Enterprise ❌ Education ❌ Windows SE ❌ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowIdleReturnWithoutPassword
デバイスがアイドル状態から再開するときに、ユーザーが PIN またはパスワードを入力する必要があるかどうかを指定します。
注
現在、このポリシーは、HoloLens 2、HoloLens (第 1 世代) Commercial Suite、HoloLens (第 1 世代) 開発エディションでのみサポートされています。
注
このポリシーは Atomic コマンドでラップする必要があります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
| 依存関係 [DeviceLock_AllowIdleReturnWithoutPassword_DependencyGroup] | 依存関係の種類: DependsOn 依存関係 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 依存関係の許可される値: [0] 依存関係の許可される値の種類: Range |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | 許可されていません。 |
| 1 (既定値) | 許可されます。 |
AllowScreenTimeoutWhileLockedUserConfig
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1607 [10.0.14393] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowScreenTimeoutWhileLockedUserConfig
Windows 10 Mobile デバイスのロック画面で、画面のタイムアウトを制御するユーザー構成可能な設定を表示するかどうかを指定します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 1 | 適用可能です。 |
| 0 (既定値) | ブロック: |
AllowSimpleDevicePassword
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AllowSimpleDevicePassword
PIN またはパスワード (1111 や 1234 など) を許可するかどうかを指定します。 デスクトップの場合、ピクチャ パスワードの使用も制御します。
このポリシーの詳細については、「Exchange ActiveSync ポリシー エンジンの概要」を参照してください。
注
このポリシーは Atomic コマンドでラップする必要があります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
| 依存関係 [DeviceLock_AllowSimpleDevicePassword_DependencyGroup] | 依存関係の種類: DependsOn 依存関係 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 依存関係の許可される値: [0] 依存関係の許可される値の種類: Range |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | 許可されていません。 |
| 1 (既定値) | 許可されます。 |
AlphanumericDevicePasswordRequired
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired
必要な PIN またはパスワードの種類を決定します。 このポリシーは、DeviceLock/DevicePasswordEnabled ポリシーが 0 に設定されている場合にのみ適用されます。
注
英数字DevicePasswordRequired が 1 または 2 に設定されている場合、MinDevicePasswordLength = 0、MinDevicePasswordComplexCharacters = 1。 英数字DevicePasswordRequired が 0 に設定されている場合、MinDevicePasswordLength = 4、MinDevicePasswordComplexCharacters = 2。
注
このポリシーは Atomic コマンドでラップする必要があります。 デスクトップ エディション (ホーム、Pro、Enterprise、Education) の Windows では、このポリシーの [追加] ではなく [置換] コマンドを常に使用します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 2 |
| 依存関係 [DeviceLock_AlphanumericDevicePasswordRequired_DependencyGroup] | 依存関係の種類: DependsOn 依存関係 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 依存関係の許可される値: [0] 依存関係の許可される値の種類: Range |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | パスワードまたは英数字の PIN が必要です。 |
| 1 | パスワードまたは数値 PIN が必要です。 |
| 2 (既定値) | パスワード、数値 PIN、または英数字 PIN が必要です。 |
ClearTextPassword
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11、バージョン 24H2 [10.0.26100] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ClearTextPassword
元に戻せる暗号化を使用してパスワードを保存する このセキュリティ設定は、オペレーティング システムが元に戻せる暗号化を使用してパスワードを格納するかどうかを決定します。 このポリシーは、認証目的でユーザーのパスワードに関する知識を必要とするプロトコルを使用するアプリケーションのサポートを提供します。 元に戻せる暗号化を使用してパスワードを格納することは、基本的にプレーンテキスト バージョンのパスワードを格納する場合と同じです。 このため、アプリケーションの要件がパスワード情報を保護する必要性を上回らない限り、このポリシーを有効にしないでください。 このポリシーは、リモート アクセスまたはインターネット認証サービス (IAS) を介して Challenge-Handshake 認証プロトコル (CHAP) 認証を使用する場合に必要です。 インターネット インフォメーション サービス (IIS) でダイジェスト認証を使用する場合も必要です。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | 範囲: [0-1] |
| 既定値 | 0 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 暗号化を元に戻せる状態でパスワードを保存する |
| パス | Windows 設定 > セキュリティ設定 > アカウント ポリシー > パスワード ポリシー |
DevicePasswordEnabled
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled
デバイス ロックが有効かどうかを指定します。
注
このポリシーは Atomic コマンドでラップする必要があります。 デスクトップ エディションの Windows では、このポリシーの [追加] ではなく [置換] コマンドを常に使用します。
重要
次のポリシー設定を有効にするには、 DevicePasswordEnabled 設定を 0 (デバイス パスワードが有効) に設定する必要があります。
- AllowSimpleDevicePassword
- MinDevicePasswordLength
- AlphanumericDevicePasswordRequired
- MaxDevicePasswordFailedAttempts
- MaxInactivityTimeDeviceLock
- MinDevicePasswordComplexCharacters
DevicePasswordEnabled が 0 に設定されている (デバイス パスワードが有効になっている) 場合、次のポリシーが設定されます。
- MinDevicePasswordLength が 4 に設定されている
- MinDevicePasswordComplexCharacters が 1 に設定されている
DevicePasswordEnabled が 1 に設定されている (デバイス パスワードが無効になっている) 場合、次の DeviceLock ポリシーは 0 に設定されます。
- MinDevicePasswordLength
- MinDevicePasswordComplexCharacters
WINDOWS 8.x との下位互換性のためにポリシー CSP で既定で有効になっている場合、WMI を使用して EAS DeviceLock ポリシーを設定する場合は、DevicePasswordEnabled を [有効] (0) に設定しないでください。 DevicePasswordEnabled が Enabled(0) に設定されている場合、Policy CSP は DevicePasswordEnabled が既に存在することを示すエラーを返します。 Windows 8.x は DevicePassword ポリシーをサポートしていません。 DevicePasswordEnabled (1) を無効にする場合、次に示すポリシーの DeviceLock グループからの唯一のポリシー セットである必要があります。
- AllowSimpleDevicePassword
- MinDevicePasswordLength
- AlphanumericDevicePasswordRequired
- MinDevicePasswordComplexCharacters
- DevicePasswordExpiration
- DevicePasswordHistory
- MaxDevicePasswordFailedAttempts
- MaxInactivityTimeDeviceLock
注
DevicePasswordExpiration は MDMWinsOverGP ではサポートされていません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 | 有効。 |
| 1 (既定値) | 無効。 |
DevicePasswordExpiration
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordExpiration
パスワードの有効期限 (日数) を指定します。
すべてのポリシー値が 0 の場合は、0。それ以外の場合は、最小ポリシー値が最も安全な値です。
このポリシーの詳細については、「Exchange ActiveSync ポリシー エンジンの概要」を参照してください。
注
このポリシーは Atomic コマンドでラップする必要があります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | 範囲: [0-730] |
| 既定値 | 0 |
| 依存関係 [DeviceLock_DevicePasswordExpiration_DependencyGroup] | 依存関係の種類: DependsOn 依存関係 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 依存関係の許可される値: [0] 依存関係の許可される値の種類: Range |
DevicePasswordHistory
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordHistory
使用できない履歴に格納できるパスワードの数を指定します。
値には、ユーザーの現在のパスワードが含まれます。 この値は、1 の設定では、ユーザーが新しいパスワードを選択するときに現在のパスワードを再利用できないことを示し、5 の設定は、ユーザーが現在のパスワードまたは以前の 4 つのパスワードのいずれかに新しいパスワードを設定できないことを意味します。
最大ポリシー値が最も制限されます。
このポリシーの詳細については、「Exchange ActiveSync ポリシー エンジンの概要」を参照してください。
注
このポリシーは Atomic コマンドでラップする必要があります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | 範囲: [0-50] |
| 既定値 | 0 |
| 依存関係 [DeviceLock_DevicePasswordHistory_DependencyGroup] | 依存関係の種類: DependsOn 依存関係 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 依存関係の許可される値: [0] 依存関係の許可される値の種類: Range |
EnforceLockScreenAndLogonImage
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1607 [10.0.14393] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage
ユーザーがサインインしていないときに表示される既定のロック画面とログオン イメージを指定します。 また、すべてのユーザーに対して指定されたイメージが設定され、既定のイメージが置き換えられます。 ロック画面とログオン画面の両方に同じイメージが使用されます。 ユーザーはこのイメージを変更できません。 値型は、完全なイメージ ファイルパスとファイル名である文字列です。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
EnforceLockScreenProvider
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1607 [10.0.14393] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenProvider
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
MaxDevicePasswordFailedAttempts
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxDevicePasswordFailedAttempts
デバイスがワイプされるまでに許可された認証エラーの数。 値 0 を指定すると、デバイスのワイプ機能が無効になります。
注
このポリシーは Atomic コマンドでラップする必要があります。 このポリシーは、モバイル デバイスとデスクトップで動作が異なります。 モバイル デバイスでは、ユーザーがこのポリシーによって設定された値に達すると、デバイスはワイプされます。 デスクトップでは、ユーザーがこのポリシーによって設定された値に達しても、ワイプされません。 代わりに、デスクトップは BitLocker 回復モードになり、データにアクセスできなくなりますが、回復可能になります。 BitLocker が有効になっていない場合は、ポリシーを適用できません。 失敗した試行の制限に達する前に、ユーザーはロック画面に送信され、失敗した試行が多いほどコンピューターがロックされることを警告します。 ユーザーが制限に達すると、デバイスが自動的に再起動し、[BitLocker 回復] ページが表示されます。 このページでは、BitLocker 回復キーの入力をユーザーに求めます。 すべてのポリシー値が 0 の場合、最も安全な値は 0 です。それ以外の場合は、最小ポリシー値が最も安全な値です。 このポリシーの詳細については、「Exchange ActiveSync ポリシー エンジンの概要」を参照してください。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | 範囲: [0-999] |
| 既定値 | 0 |
| 依存関係 [DeviceLock_MaxDevicePasswordFailedAttempts_DependencyGroup] | 依存関係の種類: DependsOn 依存関係 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 依存関係の許可される値: [0] 依存関係の許可される値の種類: Range |
MaximumPasswordAge
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11、バージョン 24H2 [10.0.26100] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaximumPasswordAge
このセキュリティ設定は、ユーザーがパスワードの変更をシステムに要求する前にパスワードを使用できる期間 (日数) を決定します。 パスワードの有効期限は、1 から 999 までの日数の後に設定することも、日数を 0 に設定することでパスワードの有効期限が切れないことを指定することもできます。 パスワードの最大有効期間が 1 日から 999 日の間の場合、最小パスワードの有効期間は最大パスワードの有効期間より小さくする必要があります。 パスワードの最大有効期間が 0 に設定されている場合、最小パスワードの有効期間は 0 から 998 日の任意の値にすることができます。
注
環境に応じて、パスワードの有効期限を 30 日から 90 日ごとに設定することをお勧めします。 これにより、攻撃者は、ユーザーのパスワードを解読し、ネットワーク リソースにアクセスできる限られた時間を持ちます。 既定値: 42。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | 範囲: [0-999] |
| 既定値 | 42 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | パスワードの有効期間 |
| パス | Windows 設定 > セキュリティ設定 > アカウント ポリシー > パスワード ポリシー |
MaxInactivityTimeDeviceLock
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLock
デバイスがアイドル状態になった後に許可される最大時間 (分単位) を指定します。これにより、デバイスが PIN またはパスワードロックされます。 ユーザーは、設定アプリで指定した最大時間未満の既存のタイムアウト値を選択できます。
HoloLens では、このタイムアウトは、このポリシーによって設定された値に関係なく、デバイスのシステム スリープ タイムアウトによって制御されます。
注
このポリシーは Atomic コマンドでラップする必要があります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | 範囲: [0-999] |
| 既定値 | 0 |
| 依存関係 [DeviceLock_MaxInactivityTimeDeviceLock_DependencyGroup] | 依存関係の種類: DependsOn 依存関係 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 依存関係の許可される値: [0] 依存関係の許可される値の種類: Range |
MaxInactivityTimeDeviceLockWithExternalDisplay
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
❌ Pro ❌ Enterprise ❌ Education ❌ Windows SE ❌ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1709 [10.0.16299] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MaxInactivityTimeDeviceLockWithExternalDisplay
外部ディスプレイの最大タイムアウト値を設定します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | 範囲: [1-999] |
| 既定値 | 0 |
MinDevicePasswordComplexCharacters
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordComplexCharacters
強力な PIN またはパスワードに必要な複合要素の種類 (大文字と小文字、数字、句読点) の数。
次の一覧は、サポートされている値と実際に適用される値を示しています。
| アカウントの種類 | サポートされる値 | 実際に適用される値 |
|---|---|---|
| ローカル アカウント | 1,2,3 | 3 |
| Microsoft アカウント | 1,2 | <p2 |
| ドメイン アカウント | サポートされていません | サポートされていません |
ローカル アカウントと Microsoft アカウントに適用される値:
- ローカル アカウントでは 1、2、3 の値がサポートされていますが、常に値 3 が適用されます。
- ローカル アカウントのパスワードは、次の最小要件を満たす必要があります。
- ユーザーのアカウント名、または 2 文字を超えるユーザーのフル ネームの一部が含まれていない
- 長さが 6 文字以上である
- 次の 4 つのカテゴリのうちの 3 つの文字を含めます。
- 英語の大文字 (A から Z)
- 英語の小文字 (a から z)
- 10 進法の数字 (0 - 9)
- 特殊文字 (!、$、#、%など)
Microsoft アカウントのポリシーの適用はサーバー上で行われ、サーバーにはパスワードの長さが 8、複雑さが 2 である必要があります。 3 または 4 の複雑さの値はサポートされていません。サーバーでこの値を設定すると、Microsoft アカウントは非準拠になります。
このポリシーの詳細については、「Exchange ActiveSync ポリシー エンジンの概要と KB に関する記事」を参照してください。
注
このポリシーは Atomic コマンドでラップする必要があります。 デスクトップ エディションの Windows では、このポリシーの [追加] ではなく [置換] コマンドを常に使用します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 1 |
| 依存関係 [DeviceLock_MinDevicePasswordComplexCharacters_DependencyGroup] | 依存関係の種類: DependsOn DependsOn 依存関係 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled Device/Vendor/MSFT/Policy/Config/DeviceLock/AlphanumericDevicePasswordRequired 依存関係の許可される値: [0] [0] 依存関係の許可される値の種類: Range Range |
指定可能な値
| 値 | 説明 |
|---|---|
| 1 (既定値) | 数字のみ。 |
| 2 | 数字と小文字が必要です。 |
| 3 | 数字の小文字と大文字が必要です。 デスクトップ Microsoft アカウントとドメイン アカウントではサポートされていません。 |
| 4 | 数字小文字の大文字と特殊文字が必要です。 デスクトップではサポートされていません。 |
MinDevicePasswordLength
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1507 [10.0.10240] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength
PIN またはパスワードに必要な最小文字数を指定します。
最大ポリシー値が最も制限されます。
このポリシーの詳細については、「Exchange ActiveSync ポリシー エンジンの概要と KB に関する記事」を参照してください。
注
このポリシーは Atomic コマンドでラップする必要があります。 デスクトップ エディションの Windows では、このポリシーの [追加] ではなく [置換] コマンドを常に使用します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | 範囲: [4-16] |
| 既定値 | 4 |
| 依存関係 [DeviceLock_MinDevicePasswordLength_DependencyGroup] | 依存関係の種類: DependsOn 依存関係 URI: Device/Vendor/MSFT/Policy/Config/DeviceLock/DevicePasswordEnabled 依存関係の許可される値: [0] 依存関係の許可される値の種類: Range |
例:
次の例は、最小パスワード長を 4 文字に設定する方法を示しています。
<SyncML xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Replace>
<CmdID>$CmdID$</CmdID>
<Item>
<Target>
<LocURI>./Vendor/MSFT/Policy/Config/DeviceLock/MinDevicePasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
</Meta>
<Data>4</Data>
</Item>
</Replace>
<Final/>
</SyncBody>
</SyncML>
MinimumPasswordAge
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1709 [10.0.16299] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordAge
このセキュリティ設定は、ユーザーがパスワードを変更する前にパスワードを使用する必要がある期間 (日数) を決定します。 1 から 998 日の値を設定することも、日数を 0 に設定することですぐに変更を許可することもできます。 パスワードの有効期間の上限が 0 に設定されていない限り、パスワードの有効期間は最大パスワードの有効期間より小さくする必要があります。パスワードの有効期限が切れないことを示します。 パスワードの最大有効期間が 0 に設定されている場合、最小パスワードの有効期間は 0 ~ 998 の任意の値に設定できます。 パスワード履歴の適用を有効にする場合は、パスワードの最小有効期間を 0 より大きく構成します。 パスワードの有効期間を最小限に抑え、ユーザーは古いお気に入りに到達するまでパスワードを繰り返し繰り返すことができます。 既定の設定はこの推奨事項に従わないので、管理者はユーザーのパスワードを指定し、ユーザーがログオンするときに管理者が定義したパスワードの変更をユーザーに要求できます。 パスワード履歴が 0 に設定されている場合、ユーザーは新しいパスワードを選択する必要はありません。 このため、[パスワード履歴の強制] は既定で 1 に設定されています。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | 範囲: [0-998] |
| 既定値 | 1 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | パスワードの変更禁止期間 |
| パス | Windows 設定 > セキュリティ設定 > アカウント ポリシー > パスワード ポリシー |
MinimumPasswordLength
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11、バージョン 24H2 [10.0.26100] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLength
このセキュリティ設定は、ユーザー アカウントのパスワードに含まれる可能性のある最小文字数を決定します。 この設定の最大値は、[パスワードの最小長の制限を緩和する] 設定の値によって異なります。 [パスワードの最小長制限を緩和する] 設定が定義されていない場合、この設定は 0 から 14 に構成できます。 [パスワードの最小長制限の緩和] 設定が定義され、無効になっている場合は、この設定を 0 から 14 に構成できます。 [パスワードの最小長制限の緩和] 設定が定義され、有効になっている場合は、この設定を 0 から 128 に構成できます。 必要な文字数を 0 に設定すると、パスワードは必要ありません。
注
既定では、メンバー コンピューターはドメイン コントローラーの構成に従います。 既定値: スタンドアロン サーバーのドメイン コントローラー 0 で 7 この設定を 14 より大きく構成すると、クライアント、サービス、アプリケーションとの互換性に影響する可能性があります。 この設定は、最小パスワード長監査設定を使用して、新しい設定で潜在的な非互換性をテストした後にのみ、14 を超えて構成することをお勧めします。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | 範囲: [0-128] |
| 既定値 | 0 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | パスワードの長さ |
| パス | Windows 設定 > セキュリティ設定 > アカウント ポリシー > パスワード ポリシー |
MinimumPasswordLengthAudit
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11、バージョン 24H2 [10.0.26100] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/MinimumPasswordLengthAudit
このセキュリティ設定は、パスワード長監査警告イベントが発行される最小パスワード長を決定します。 この設定は、1 から 128 に構成できます。 この設定を有効にして構成するのは、環境内の最小パスワード長の設定を増やすことの潜在的な影響を判断する場合のみです。 この設定が定義されていない場合、監査イベントは発行されません。 この設定が定義されていて、パスワードの最小長設定以下の場合、監査イベントは発行されません。 この設定が定義されていて、パスワードの最小長の設定より大きく、新しいアカウント パスワードの長さがこの設定より小さい場合は、監査イベントが発行されます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | 範囲: [1-128] |
| 既定値 | 4294967295 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | パスワードの最小長監査 |
| パス | Windows 設定 > セキュリティ設定 > アカウント ポリシー > パスワード ポリシー |
PasswordComplexity
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11、バージョン 24H2 [10.0.26100] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordComplexity
パスワードは複雑さの要件を満たす必要があります。 このセキュリティ設定は、パスワードが複雑な要件を満たす必要があるかどうかを決定します。 このポリシーが有効になっている場合、パスワードは次の最小要件を満たす必要があります。
- ユーザーのアカウント名、または 2 文字を超えるユーザーのフル ネームの一部が含まれていない
- 長さが 6 文字以上である
- 次の 4 つのカテゴリのうちの 3 つの文字を含めます。
- 英語の大文字 (A から Z)
- 英語の小文字 (a から z)
- 10 進法の数字 (0 - 9)
- アルファベット以外の文字 (!、$、#、%) など
複雑さの要件は、パスワードの変更時や作成時に適用されます。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | 範囲: [0-1] |
| 既定値 | 1 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | 複雑さの要件を満たす必要があるパスワード |
| パス | Windows 設定 > セキュリティ設定 > アカウント ポリシー > パスワード ポリシー |
PasswordHistorySize
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11、バージョン 24H2 [10.0.26100] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PasswordHistorySize
[パスワード履歴の適用] このセキュリティ設定は、古いパスワードを再利用する前にユーザー アカウントに関連付ける必要がある一意の新しいパスワードの数を決定します。 値は、0 から 24 個のパスワードの間である必要があります。 このポリシーにより、管理者は、古いパスワードが継続的に再利用されないようにすることで、セキュリティを強化できます。 既定値: ドメイン コントローラーでは 24。 スタンドアロン サーバーでは 0。
注
既定では、メンバー コンピューターはドメイン コントローラーの構成に従います。 パスワード履歴の有効性を維持するために、[パスワードの有効期間の最小セキュリティ ポリシー] 設定も有効にして、パスワードが変更された直後にパスワードを変更できないようにします。 パスワードの有効期間の最小セキュリティ ポリシー設定の詳細については、「最小パスワードの有効期間」を参照してください。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | 範囲: [0-24] |
| 既定値 | 24 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | パスワードの履歴を記録する |
| パス | Windows 設定 > セキュリティ設定 > アカウント ポリシー > パスワード ポリシー |
PreventEnablingLockScreenCamera
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10、バージョン 1803 [10.0.17134] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventEnablingLockScreenCamera
PC の設定でロック画面のカメラトグル スイッチを無効にし、ロック画面でカメラが呼び出されないようにします。
既定では、ユーザーはロック画面で使用可能なカメラの呼び出しを有効にすることができます。
この設定を有効にすると、ユーザーは PC の設定でロック画面のカメラ アクセスを有効または無効にできなくなり、ロック画面でカメラを呼び出すことはできません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | CPL_Personalization_NoLockScreenCamera |
| フレンドリ名 | ロックスクリーンカメラを有効にしないようにする |
| Location | [コンピューターの構成] |
| パス | コントロール パネル >のパーソナル化 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\パーソナル化 |
| レジストリ値の名前 | NoLockScreenCamera |
| ADMX ファイル名 | ControlPanelDisplay.admx |
PreventLockScreenSlideShow
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1703 [10.0.15063] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/PreventLockScreenSlideShow
PC の設定でロック画面のスライド ショーの設定を無効にし、ロック画面でスライド ショーが再生されないようにします。
既定では、ユーザーはマシンをロックした後に実行されるスライド ショーを有効にすることができます。
この設定を有効にすると、ユーザーは PC の設定でスライド ショーの設定を変更できなくなり、スライド ショーは開始されません。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 |
chr (string) |
| アクセスの種類 | 追加、削除、取得、置換 |
ヒント
これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。
ADMX マッピング:
| 名前 | 値 |
|---|---|
| 名前 | CPL_Personalization_NoLockScreenSlideshow |
| フレンドリ名 | ロック画面スライド ショーを有効にできないようにする |
| Location | [コンピューターの構成] |
| パス | コントロール パネル >のパーソナル化 |
| レジストリ キー名 | Software\Policies\Microsoft\Windows\パーソナル化 |
| レジストリ値の名前 | NoLockScreenSlideshow |
| ADMX ファイル名 | ControlPanelDisplay.admx |
RelaxMinimumPasswordLengthLimits
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11、バージョン 24H2 [10.0.26100] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/RelaxMinimumPasswordLengthLimits
この設定は、パスワードの最小長の設定を従来の制限である 14 を超えて増やすことができるかどうかを制御します。 この設定が定義されていない場合は、最小パスワード長を 14 以下に構成できます。 この設定を定義して無効にすると、パスワードの最小長を 14 以下に構成できます。 この設定を定義して有効にすると、パスワードの最小長が 14 を超える場合があります。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 既定値 | 0 |
指定可能な値
| 値 | 説明 |
|---|---|
| 0 (既定値) | 無効。 |
| 1 | 有効。 |
グループ ポリシー マッピング:
| 名前 | 値 |
|---|---|
| 名前 | パスワードの最小長を緩和する |
| パス | Windows 設定 > セキュリティ設定 > アカウント ポリシー > パスワード ポリシー |
ScreenTimeoutWhileLocked
| 適用範囲 | エディション | 対象となる OS |
|---|---|---|
|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 10バージョン 1607 [10.0.14393] 以降 |
./Device/Vendor/MSFT/Policy/Config/DeviceLock/ScreenTimeoutWhileLocked
Windows 10 Mobile デバイスのロック画面で、画面のタイムアウトを制御するユーザー構成可能な設定を表示するかどうかを指定します。
説明フレームワークのプロパティ:
| プロパティ名 | プロパティ値 |
|---|---|
| 形式 | int |
| アクセスの種類 | 追加、削除、取得、置換 |
| 指定可能な値 | 範囲: [10-1800] |
| 既定値 | 10 |