次の方法で共有


Windows 10 および Windows 11 オペレーティング システム コンポーネントから Microsoft サービスへの接続を管理する

適用対象

  • Windows 11 Enterprise
  • Windows 10 Enterprise バージョン 1607 以降
  • Windows Server 2016
  • Windows Server 2019

この記事では、Windows 10 および Windows 11 コンポーネントが Microsoft に対して行うネットワーク接続と、Microsoft と共有されるデータを管理するために IT 担当者が利用できる Windows 設定、グループ ポリシー、レジストリ設定について説明します。 Windows から Microsoft サービスへの接続を最小限にしたり、プライバシー設定を構成したりする場合は、いくつかの設定を考慮する必要があります。 たとえば、診断データを Windows のエディションの最下位レベルに構成し、この記事の手順を使って、オフにする Microsoft サービスに対して Windows が行う他の接続を評価できます。 Microsoft へのネットワーク接続を最小限に減らすことはできますが、これらの通信が既定で有効になっているのには、マルウェア定義の更新や最新の証明書失効リストの維持など、いくつかの理由が存在します。 このデータは、セキュリティで保護された信頼性の高い最新のエクスペリエンスを提供するために役立ちます。

Microsoft は、Windows 10、Microsoft 11 から Microsoft への接続を制限するため、このドキュメントで説明されている設定を組織がすばやく構成できる Windows Restricted Traffic Limited Functionality Baseline パッケージを提供しています。 Windows Restricted Traffic Limited Functionality Baseline は、グループ ポリシー管理用テンプレートの機能に基づいています。また、ダウンロードされるパッケージには、組織内のデバイスに展開する詳しい手順が含まれています。 一部の設定ではデバイスの機能とセキュリティ構成が低下する可能性があります。Windows 制限付きトラフィック制限機能ベースラインを展開する前に、環境に適切な設定構成を選択し、Windows と Microsoft Defender ウイルス対策が完全に最新の状態に保たれる必要があります。 そうしないと、エラーや予期しない動作が発生する可能性があります。 このパッケージは正しく適用されないため、windows\system32 フォルダーに抽出しないでください。

重要

  • ダウンロード可能な Windows 10 バージョン 1903 のスクリプト/設定は、Windows 10 バージョン 1909 デバイスで使用できます。
  • 許可されているトラフィック エンドポイントが一覧表示されています (許可されているトラフィック)。
    • CRL (証明書失効リスト) と OCSP (オンライン証明書ステータスプロトコル) ネットワーク トラフィックを無効にすることはできません。また、ネットワーク トレースにも表示されます。 発行元の証明書機関に対して、CRL および OCSP のチェックが行われます。 Microsoft は、証明書機関の 1 つです。 DigiCert、Thawte、Google、Symantec、VeriSign など、他にも多くの証明書機関があります。
  • 設定によってはデバイスのセキュリティが低下することがあるため、セキュリティ上の理由から、構成する設定を決める際は注意してください。 デバイス構成のセキュリティを下げる可能性がある設定の例として、Windows Update、ルート証明書の自動更新、Microsoft Defender ウイルス対策などがあります。 したがって、これらの機能を無効にすることはお勧めしません。
  • デバイスの構成を変更した後は、デバイスを再起動することをお勧めします。
  • 問い合わせフィードバックの送信のリンクは、Windows Restricted Traffic Limited Functionality Baseline を適用すると動作しなくなります。

Warning

  • ユーザーが [この PC をリセットする] コマンド (設定 -> 更新とセキュリティ -> 回復) を [ファイルを保持する] オプション (または [すべてを削除する] オプション) を使用して実行した場合、デバイスを再制限するには、Windows Restricted Traffic Limited Functionality Baseline 設定を再適用する必要があります。 出力トラフィックは、Restricted Traffic Limited Functionality Baseline 設定が再適用される前に発生することがあります。
  • デバイスを効果的に制限するため (初回またはその後)、オフライン モードで Restricted Traffic Limited Functionality Baseline 設定パッケージを適用することをお勧めします。
  • Windows の更新またはアップグレード中に、Egress トラフィックが発生する場合があります。

Microsoft Intune のクラウドベースのデバイス管理を使ってトラフィックを制限する場合には、「Microsoft Intune MDM Server を使用して Windows 10 および Windows 11 オペレーティング システム コンポーネントから Microsoft サービスへの接続を管理する」を参照してください。

Microsoft では、常にドキュメントの品質向上に努めており、皆様からのフィードバックをお待ちしております。 フィードバックの送信先は、telmhelp@microsoft.com です。

各設定の管理オプション

以下の各セクションでは、Microsoft サービスへのネットワーク接続を既定で確立するコンポーネントを紹介しています。 これらの設定を構成して、Microsoft に送信されるデータを制御できます。 Windows から Microsoft へのすべてのデータ送信を遮断するには、診断データをセキュリティ レベルで構成し、Microsoft Defender ウイルス対策の診断データと MSRT の報告を無効にして、Microsoft へのすべての接続を無効にします。

Windows 10 および Windows 11 Enterprise エディションの設定

次の表は、各設定の管理オプションの一覧です。Windows 10 (Windows 10 Enterprise バージョン 1607 以降) と Windows 11 用です。

重要

トラブルシューティングに関するサポートが必要な場合は、「:
」を参照してください。

設定 UI グループ ポリシー レジストリ
1. ルート証明書の自動更新 チェック マーク チェック マーク。
2. Cortana と検索 チェック マーク。 チェック マーク。
3. 日付と時刻 チェック マーク。 チェック マーク。 チェック マーク
4. デバイス メタデータの取得 チェック マーク。 チェック マーク。
5. デバイスの検索 チェック マーク。 チェック マーク。 チェック マーク
6. フォント ストリーミング チェック マーク。 チェック マーク。
7. Insider Preview ビルド チェック マーク。 チェック マーク。 チェック マーク。
8. Internet Explorer チェック マーク。 チェック マーク。
9. ライセンス マネージャー チェック マーク。
10. ライブ タイル チェック マーク。 チェック マーク。
11. メールの同期 チェック マーク。 チェック マーク
12. Microsoft アカウント チェック マーク
13. Microsoft Edge チェック マーク。 チェック マーク
14. ネットワーク接続状態インジケーター チェック マーク。 チェック マーク
15. オフライン マップ チェック マーク。 チェック マーク。 チェック マーク
16. OneDrive チェック マーク。 チェック マーク
17. プレインストール アプリ チェック マーク
18. 設定 > プライバシーとセキュリティ
     18.1 全般 チェック マーク。 チェック マーク。 チェック マーク
     18.2 位置情報 チェック マーク。 チェック マーク。 チェック マーク
     18.3 カメラ チェック マーク。 チェック マーク。 チェック マーク
     18.4 マイク チェック マーク。 チェック マーク。 チェック マーク
     18.5. 通知 チェック マーク。 チェック マーク。 チェック マーク
     18.6 音声認識 チェック マーク。 チェック マーク。 チェック マーク
     18.7 アカウント情報 チェック マーク。 チェック マーク。 チェック マーク
     18.8 連絡先 チェック マーク。 チェック マーク。 チェック マーク
     18.9 カレンダー チェック マーク。 チェック マーク。 チェック マーク
     18.10 通話履歴 チェック マーク。 チェック マーク。 チェック マーク
     18.11 メール チェック マーク。 チェック マーク。 チェック マーク
     18.12 メッセージング チェック マーク。 チェック マーク。 チェック マーク
     18.13 通話 チェック マーク。 チェック マーク。 チェック マーク
     18.14 無線 チェック マーク。 チェック マーク。 チェック マーク
     18.15 他のデバイス チェック マーク。 チェック マーク。 チェック マーク
     18.16 フィードバックと診断 チェック マーク。 チェック マーク。 チェック マーク
     18.17 バックグラウンド アプリ チェック マーク。 チェック マーク。 チェック マーク
     18.18 モーション チェック マーク。 チェック マーク。 チェック マーク
     18.19 タスク チェック マーク。 チェック マーク チェック マーク
     18.20 アプリの診断 チェック マーク。 チェック マーク チェック マーク
     18.21 インク操作、入力 チェック マーク。 チェック マーク
     18.22 アクティビティの履歴 チェック マーク。 チェック マーク チェック マーク
     18.23 音声によるアクティブ化 チェック マーク。 チェック マーク チェック マーク
19. ソフトウェア保護プラットフォーム チェック マーク チェック マーク
20. 記憶域の正常性 チェック マーク チェック マーク
21. 設定の同期 チェック マーク。 チェック マーク。 チェック マーク
22. Teredo チェック マーク チェック マーク
23. Wi-Fi センサー チェック マーク。 チェック マーク。 チェック マーク
24. Microsoft Defender ウイルス対策 チェック マーク。 チェック マーク
25. Windows スポットライト チェック マーク チェック マーク。 チェック マーク
26. Microsoft Store チェック マーク。 チェック マーク
27. Web サイト用のアプリ チェック マーク。 チェック マーク
28. 配信の最適化 チェック マーク。 チェック マーク。 チェック マーク
29. Windows Update チェック マーク チェック マーク
30. クラウド クリップボード チェック マーク
31. サービス構成 チェック マーク チェック マーク
32. ウィジェット チェック マーク チェック マーク
33. 推奨事項 チェック マーク チェック マーク チェック マーク

デスクトップ エクスペリエンスがインストールされている Windows Server 2016 の設定

デスクトップ エクスペリエンスがインストールされている Windows Server 2016 の管理設定の概要については、次の表をご覧ください。

設定 UI グループ ポリシー レジストリ
1. ルート証明書の自動更新 チェック マーク チェック マーク
2. Cortana と検索 チェック マーク。 チェック マーク
3. 日付と時刻 チェック マーク。 チェック マーク。 チェック マーク
4. デバイス メタデータの取得 チェック マーク。 チェック マーク
6. フォント ストリーミング チェック マーク。 チェック マーク
7. Insider Preview ビルド チェック マーク。 チェック マーク。 チェック マーク
8. Internet Explorer チェック マーク。 チェック マーク
10. ライブ タイル チェック マーク。 チェック マーク
12. Microsoft アカウント チェック マーク
14. ネットワーク接続状態インジケーター チェック マーク。 チェック マーク
16. OneDrive チェック マーク。 チェック マーク
18. 設定 > プライバシーとセキュリティ
19. ソフトウェア保護プラットフォーム チェック マーク チェック マーク
22. Teredo チェック マーク チェック マーク
24. Microsoft Defender ウイルス対策 チェック マーク チェック マーク
26. Microsoft Store チェック マーク チェック マーク
27. Web サイト用のアプリ チェック マーク チェック マーク
29. Windows Update チェック マーク チェック マーク

Windows Server 2016 Server Core の設定

Windows Server 2016 Server Core の管理設定の概要については、次の表をご覧ください。

設定 グループ ポリシー レジストリ
1. ルート証明書の自動更新 チェック マーク チェック マーク
3. 日付と時刻 チェック マーク チェック マーク
6. フォント ストリーミング チェック マーク チェック マーク
14. ネットワーク接続状態インジケーター チェック マーク チェック マーク
19. ソフトウェア保護プラットフォーム チェック マーク チェック マーク
22. Teredo チェック マーク チェック マーク
24. Microsoft Defender ウイルス対策 チェック マーク チェック マーク
29. Windows Update チェック マーク チェック マーク

Windows Server 2016 Nano Server の設定

Windows Server 2016 Nano Server の管理設定の概要については、次の表をご覧ください。

設定 レジストリ
1. ルート証明書の自動更新 チェック マーク
3. 日付と時刻 チェック マーク
22. Teredo チェック マーク
29. Windows Update チェック マーク

Windows Server 2019 の設定

Windows Server 2019 の管理設定の概要については、次の表をご覧ください。

設定 UI グループ ポリシー レジストリ
1. ルート証明書の自動更新 チェック マーク チェック マーク
2. Cortana と検索 チェック マーク チェック マーク
3. 日付と時刻 チェック マーク。 チェック マーク チェック マーク
4. デバイス メタデータの取得 チェック マーク チェック マーク
5. デバイスの検索 チェック マーク。 チェック マーク チェック マーク
6. フォント ストリーミング チェック マーク チェック マーク
7. Insider Preview ビルド チェック マーク。 チェック マーク チェック マーク
8. Internet Explorer チェック マーク チェック マーク
10. ライブ タイル チェック マーク チェック マーク
11. メールの同期 チェック マーク。 チェック マーク
12. Microsoft アカウント チェック マーク
13. Microsoft Edge チェック マーク チェック マーク
14. ネットワーク接続状態インジケーター チェック マーク チェック マーク
15. オフライン マップ チェック マーク。 チェック マーク チェック マーク
16. OneDrive チェック マーク チェック マーク
17. プレインストール アプリ チェック マーク
18. 設定 > プライバシーとセキュリティ
     18.1 全般 チェック マーク。 チェック マーク チェック マーク
     18.2 位置情報 チェック マーク。 チェック マーク チェック マーク
     18.3 カメラ チェック マーク。 チェック マーク チェック マーク
     18.4 マイク チェック マーク。 チェック マーク チェック マーク
     18.5. 通知 チェック マーク。 チェック マーク チェック マーク
     18.6 音声認識 チェック マーク。 チェック マーク チェック マーク
     18.7 アカウント情報 チェック マーク。 チェック マーク チェック マーク
     18.8 連絡先 チェック マーク。 チェック マーク チェック マーク
     18.9 カレンダー チェック マーク。 チェック マーク チェック マーク
     18.10 通話履歴 チェック マーク。 チェック マーク チェック マーク
     18.11 メール チェック マーク。 チェック マーク チェック マーク
     18.12 メッセージング チェック マーク。 チェック マーク チェック マーク
     18.13 通話 チェック マーク。 チェック マーク チェック マーク
     18.14 無線 チェック マーク。 チェック マーク チェック マーク
     18.15 他のデバイス チェック マーク。 チェック マーク チェック マーク
     18.16 フィードバックと診断 チェック マーク。 チェック マーク チェック マーク
     18.17 バックグラウンド アプリ チェック マーク。 チェック マーク チェック マーク
     18.18 モーション チェック マーク。 チェック マーク チェック マーク
     18.19 タスク チェック マーク。 チェック マーク チェック マーク
     18.20 アプリの診断 チェック マーク。 チェック マーク チェック マーク
     18.21 インク操作、入力 チェック マーク。 チェック マーク
     18.22 アクティビティの履歴 チェック マーク。 チェック マーク チェック マーク
     18.23 音声によるアクティブ化 チェック マーク。 チェック マーク チェック マーク
19. ソフトウェア保護プラットフォーム チェック マーク チェック マーク
20. 記憶域の正常性 チェック マーク チェック マーク
21. 設定の同期 チェック マーク。 チェック マーク チェック マーク
22. Teredo チェック マーク チェック マーク
23. Wi-Fi センサー チェック マーク。 チェック マーク チェック マーク
24. Microsoft Defender ウイルス対策 チェック マーク チェック マーク
25. Windows スポットライト チェック マーク チェック マーク チェック マーク
26. Microsoft Store チェック マーク チェック マーク
27. Web サイト用のアプリ チェック マーク。 チェック マーク
28. 配信の最適化 チェック マーク。 チェック マーク チェック マーク
29. Windows Update チェック マーク チェック マーク
30. クラウド クリップボード チェック マーク
31. サービス構成 チェック マーク チェック マーク

各設定の構成方法

各設定の構成方法の詳細については、以下の各セクションを参照してください。

1. ルート証明書の自動更新

ルート証明書の自動更新コンポーネントは、Windows Update の信頼された機関の一覧を自動的に調べ、更新プログラムが利用できるかどうかを確認するように設計されています。 詳しくは、「Automatic Root Certificates Update Configuration」(ルート証明書の自動更新の構成) をご覧ください。 推奨されていませんが、ルート証明書の自動更新をオフにすることができます。これをオフにすると、許可されない証明書一覧および PIN の規則一覧の更新プログラムも確認されなくなります。

注意

ルート証明書を自動的にダウンロードしないことにより、デバイスから一部の Web サイトに接続できない場合があります。

Windows 10、Windows Server 2016 デスクトップ エクスペリエンス、Windows Server 2016 Server Core、および Windows 11 の場合:

  • グループ ポリシーを有効にします。[コンピューターの構成]>[管理用テンプレート]>[システム]>[インターネット通信の管理]>[インターネット通信の設定]>[ルート証明書の自動更新をオフにする] の順に選択します。

    および

  1. [コンピューターの構成]>[Windows の設定]>[セキュリティの設定]>[公開キーのポリシー] に移動します。
  2. [証明書パス検証の設定] をダブルクリックします。
  3. [ネットワークの取得] タブで、[これらのポリシーの設定を定義する] チェック ボックスをオンにします。
  4. [Microsoft ルート証明書プログラムで証明書を自動更新する (推奨)] チェック ボックスをオフにして、[OK] をクリックします。

または

  • レジストリ パス HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot を作成し、DisableRootAutoUpdate という名前の REG_DWORD レジストリ設定を 1 で追加します。

    および

  1. [コンピューターの構成]>[Windows の設定]>[セキュリティの設定]>[公開キーのポリシー] に移動します。
  2. [証明書パス検証の設定] をダブルクリックします。
  3. [ネットワークの取得] タブで、[これらのポリシーの設定を定義する] チェック ボックスをオンにします。
  4. [Microsoft ルート証明書プログラムで証明書を自動更新する (推奨)] チェック ボックスをオフにして、[OK] をクリックします。

Windows Server 2016 Nano Server の場合:

  • レジストリ パス HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\SystemCertificates\AuthRoot を作成し、DisableRootAutoUpdate という名前の REG_DWORD レジストリ設定を 1 で追加します。

現在、CRL および OCSP ネットワーク トラフィックが許可されているトラフィックに登録されており、これらがネットワーク トレースに引き続き表示されます。 発行元の証明書機関に対して、CRL および OCSP のチェックが行われます。 Microsoft もこうした証明書機関の 1 つですが、DigiCert、Thawte、Google、Symantec、VeriSign など他にも多数の証明書機関があります。

グループ ポリシーを使って Cortana の設定を管理します。 詳しくは、「Cortana、検索、プライバシー: FAQ」をご覧ください。

2.1 Cortana と 検索のグループ ポリシー

Cortana のグループ ポリシー オブジェクトは、[コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[検索] の順に移動した場所にあります。

ポリシー 説明
Cortana を許可する Cortana をデバイスにインストールして実行することを許可するかどうかを選択します。

Cortana をオフにするには、このポリシーを無効にします。
検索と Cortana による位置情報の使用を許可する Cortana および検索で位置情報に対応する検索結果を提供するかどうかを選択します。

Cortana の位置情報へのアクセスをブロックするには、このポリシーを無効にします。
Web 検索を許可しない Windows デスクトップ サーチから Web を検索するかどうかを選択します。

Cortana からインターネットを検索するためのオプションを削除するには、このポリシーを有効にします。
Web を検索したり [検索] に Web の検索結果を表示したりしない Cortana から Web を検索するかどうかを選択します。

Web に対するクエリの実行を停止したり、[検索] に検索結果を表示しないようにするには、このポリシーを有効にします。

次のレジストリ キーを使用して、グループ ポリシーを適用することもできます。

ポリシー レジストリ パス
Cortana を許可する HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows 検索
REG_DWORD: AllowCortana
値: 0
検索と Cortana による位置情報の使用を許可する HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows 検索
REG_DWORD: AllowSearchToUseLocation
値: 0
Web 検索を許可しない HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows 検索
REG_DWORD: DisableWebSearch
値: 1
Web を検索したり [検索] に Web の検索結果を表示したりしない HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows 検索
REG_DWORD: ConnectedSearchUseWeb
値: 0

重要

グループ ポリシー エディターを使用する場合、サポートされているすべてのバージョンの Windows 10 と Windows 11 でこれらの手順が必要になりますが、Windows 10 バージョン 1607 または Windows Server 2016 を実行しているデバイスでは必要ありません。

  1. [コンピューターの構成]>[Windows の設定]>[セキュリティの設定]>[セキュリティが強化された Windows Defender ファイアウォール]>[セキュリティが強化された Windows Defender ファイアウォール - LDAP name を展開し、[送信の規則] をクリックします。

  2. [送信の規則] を右クリックし、[新しい規則] をクリックします。 新規の送信の規則ウィザードが開始します。

  3. [規則の種類] ページで、[プログラム] をクリックし、[次へ] をクリックします。

  4. [プログラム] ページで、[このプログラムのパス] をクリックして「%windir%\systemapps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe」と入力し、[次へ] をクリックします。

    • Windows 11 では、代わりに 「%windir%\SystemApps\MicrosoftWindows.Client.CBS_cw5n1h2txyewy\SearchHost.exe」 と入力します。
  5. [アクション] ページで、[接続をブロックする]をクリックし、[次へ]をクリックします。

  6. [プロファイル] ページで、 [ドメイン][プライベート]、および [パブリック] チェック ボックスがオンになっていることを確認し、 [次へ]をクリックします。

  7. [名前] ページに規則の名前 ( Cortana firewall configurationなど) を入力し、 [完了]をクリックします。

  8. 新しい規則を右クリックし、 [プロパティ]をクリックして、 [プロトコルおよびポート]をクリックします。

  9. [プロトコルおよびポート] ページで次の情報を構成し、 [OK]をクリックします。

    • [プロトコルの種類]では [TCP]を選択します。

    • [ローカル ポート] では [すべてのポート] を選択します。

    • [リモート ポート] では [すべてのポート] を選択します。

または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\FirewallRules{0DE40C8E-C126-4A27-9371-A27DAB1039F7} という名前の新しい REG_SZ レジストリ設定を作成し、v2.25|Action=Block|Active=TRUE|Dir=Out|Protocol=6|App=%windir%\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\searchUI.exe|Name=Block outbound Cortana| の値に設定します

  • Windows 11では、代わりに前のセクションに従って、グループ ポリシー エディターを使用します。

組織でネットワーク トラフィックをテストする場合、Windows ファイアウォールはプロキシのトラフィックをブロックしないため、ネットワーク プロキシを使用しないでください。 代わりに、ネットワーク トラフィック アナライザーを使用します。 必要に応じて、無料で利用できる多数のネットワーク トラフィック アナライザーが存在します。

3. 日付&時刻

Windows が自動的に時間を設定しないように指定できます。

  • UI でこの機能をオフにするには、[設定]>[時刻と言語]>[日付と時刻]>[時刻を自動的に設定する] の順に選択します。

    または

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\TypeNoSync の値を持つ REG_SZ レジストリ設定作成します。

その後、次の設定を構成します。

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[システム]>[Windows タイム サービス]>[タイム プロバイダー]>[Windows NTP クライアントを有効にする]無効にします。

    または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\W32time\TimeProviders\NtpClientEnabled という名前の新しいREG_DWORD レジストリ設定を作成し、 0 (ゼロ)に設定します。

4. デバイス メタデータの取得

デバイス メタデータをインターネットから取得しないようにするには、次の手順に従います。

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[システム]>[デバイスのインストール]>[デバイス メタデータをインターネットから取得しない]有効にします。

    または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Device MetadataPreventDeviceMetadataFromNetwork という名前の新しい REG_DWORD レジストリ設定を作成し、1 に設定します。

5. デバイスの検索

デバイスの検索をオフにするには:

  • [設定] - >[更新と[セキュリティ] - >[デバイスの検索] に移動し、[変更] ボタンをクリック して値を [オフ] に設定して、UI の機能を オフ にします

    - または -

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[デバイスの検索]>[デバイスの検索をオン/オフにする]無効にします。

    または

  • 新しい REG_DWORD レジストリ設定 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\FindMyDevice\AllowFindMyDevice0 (ゼロ)に作成することもできます。

6. フォント ストリーミング

Windows に含まれているが、ローカル デバイスに格納されていないフォントは、オンデマンドでダウンロードできます。

Windows 10 バージョン 1607、Windows Server 2016 以降を実行している場合は:

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[フォント]>[フォント プロバイダーを有効にします]無効にします。

    または

  • 新しい REG_DWORD レジストリ設定 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\EnableFontProviders0 (ゼロ)に作成します。

このポリシーを適用した後、デバイスを再起動してこのポリシー設定を有効化する必要があります。

7. Insider Preview ビルド

Windows Insider Preview プログラムを利用すると、Windows の未来を形成し、コミュニティの一員となって、Windows 10 および Windows 11 のリリースをいち早く体験したりすることができます。 この設定は、新しいビルドをチェックする Windows Insider Preview サービスとの通信を停止します。 Windows Insider Preview ビルドは Windows 10 と Windows 11 にのみ適用され、Windows Server 2016 では利用できません。

Windows から Microsoft サービスへの接続が最小限になるように構成されたデバイス (つまり、Restricted Traffic が構成されたデバイス) を Windows Insider Preview ビルドにアップグレードした場合、[フィードバックと診断] 設定が自動的に [オプション (完全)] に設定されます。 診断データ レベルは、最初、[必須 (基本)] と表示されることがありますが、UI が更新されるかコンピューターが再起動してから数時間が経過すると、設定が [オプション (完全)] になります。

Windows 10 または Windows 11 のリリース バージョンで Insider Preview ビルドをオフにするには:

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[データの収集とプレビュー ビルド]>[Insider ビルドに関するユーザー コントロールの切り替え]無効にします。

Windows 10 および Windows 11 で Insider Preview ビルドをオフにするには:

Windows 10 または Windows 11 のプレビュー版を実行している場合は、Insider Preview ビルドをオフにする前にリリース済みのバージョンにロールバックする必要があります。

  • UI でこの機能をオフにするには、[設定]>[更新とセキュリティ]>[Windows Insider Program]>[Insider Preview ビルドの停止] を選択します。

    または

  • [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[データの収集とプレビュー ビルド] でグループ ポリシー [Insider ビルドに関するユーザー コントロールの切り替え]有効にします。

    - または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PreviewBuildsAllowBuildPreview という名前の新しい REG_DWORD レジストリ設定を作成し、 値を 0 (ゼロ) を設定します

8. Internet Explorer

Windows Server のいずれかのエディションで Internet Explorer を使おうとすると、セキュリティ強化の構成 (ESC) によって制限が適用されていることに注意してください。 次のグループ ポリシーとレジストリ キーは、一般的なアイドル トラフィック シナリオではなく、ユーザー対話型シナリオ向けです。 コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > Internet Explorer でInternet Explorer グループ ポリシー オブジェクトを見つけて、次の設定を行います:

ポリシー 説明
おすすめサイトを有効にする 従業員がおすすめサイトを構成できるようにするかどうかを選択します。
設定する値: 無効
UI で [インターネット オプション]>[詳細設定]>[おすすめサイトを有効にする] チェック ボックスをオフにして、これを無効にすることもできます。
ユーザーがアドレス バーに入力した文字に合わせて検索候補の拡張表示を提供することを Microsoft サービスに許可する 従業員がアドレス バーに入力したときに表示される拡張候補を、従業員が構成できるかどうかを選択します。
設定する値: 無効
Web アドレスのオートコンプリート機能を無効にする オートコンプリート機能で、従業員がブラウザーのアドレス バーに入力しようとしている Web アドレスを推測して、一致する候補を表示するかどうかを選択します。
値の設定先: 有効
UI でこれをオフにするには、[インターネット オプション]>[詳細設定]>[Internet Explorer アドレス バーでインライン オートコンプリートを使用し、ダイアログ を開く] チェック ボックスをオフにします。
ブラウザーの地理位置情報を無効にする Web サイトが Internet Explorer から位置情報データを要求できるかどうかを選択します。
設定する値: 有効
Microsoft Defender SmartScreen の管理を禁止する 従業員が Internet Explorer で Microsoft Defender SmartScreen を管理できるかどうかを選択します。
値を [有効] に設定し、[Windows Defender SmartScreen モードの選択][オフ] に設定します。
レジストリ キー レジストリ パス
おすすめサイトを有効にする HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Suggested Sites
REG_DWORD: 有効
設定する値: 0
ユーザーがアドレス バーに入力した文字に合わせて検索候補の拡張表示を提供することを Microsoft サービスに許可する HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer
REG_DWORD: AllowServicePoweredQSA
設定する値: 0
Web アドレスのオートコンプリート機能を無効にする HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Explorer\AutoComplete
REG_SZ: AutoSuggest
設定する値: いいえ
ブラウザーの地理位置情報を無効にする HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Geolocation
REG_DWORD: PolicyDisableGeolocation
設定する値: 1
Microsoft Defender SmartScreen の管理を禁止する HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\PhishingFilter
REG_DWORD: EnabledV9
設定する値: 0

Internet Explorer で使用される、他のグループ ポリシー オブジェクトがあります。

パス ポリシー 説明
[コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Internet Explorer]>[互換表示]>[互換表示を無効にする] 互換表示を無効にする。 従業員が閲覧中に発生する可能性がある Web サイトの表示に関する問題を解決できるかどうかを選択します。
設定: 有効
[コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Internet Explorer]>[インターネット コントロール パネル]>[[詳細設定] ページ] ページ予測付きのページ フリップを無効にする 従業員が画面を横方向にスワイプするか、または [進む] をクリックすることで、あらかじめ読み込まれている Web サイトの次のページに移動できるかどうかを決定します。
設定: 有効
[コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[RSS フィード] フィードと Web スライスのバックグラウンド同期を無効にする フィードと Web スライスのバックグラウンド同期を行うかどうかを選択します。
設定: 有効
[コンピューターの構成]>[管理用テンプレート]>[コントロール パネル]>[オンライン ヒントを許可] オンライン ヒントを許可 設定アプリのオンライン ヒントとヘルプの取得を有効または無効にします。
設定: 無効

また、レジストリ キーを使ってこれらのポリシーを設定することもできます。

レジストリ キー レジストリ パス
従業員が互換表示を構成できるかどうかを選択します。 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\BrowserEmulation
REG_DWORD: DisableSiteListEditing
値を 1 に設定する
ページ予測付きページ フリップ機能を無効にする HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\FlipAhead
REG_DWORD: 有効
値を 0 に設定する
フィードと Web スライスのバックグラウンド同期を無効にする HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Feeds
REG_DWORD: BackgroundSyncStatus
値を 0 に設定する
オンライン ヒントを許可 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
REG_DWORD: AllowOnlineTips
値を 0 に設定する

ホーム ページをオフにするには、次の操作を行います。

  • グループ ポリシー [ユーザーの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Internet Explorer]>[ホーム ページの設定の変更を許可しない]有効にして、「about:blank」に設定します。

    または

  • HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\Mainスタート ページ という名前の新しい REG_SZ レジストリ設定を作成して、「about:blank」 に設定します。

    および

  • HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\コントロール パネルHomePageという名前の新しいREG_DWORD レジストリ設定を作成し、1 に設定します

初回実行ウィザードを構成するには、次の操作を行います。

  • グループ ポリシー [ユーザーの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Internet Explorer]>[初回実行ウィザードを実行しないようにする]有効にして、[ホーム ページに直接移動する] に設定します。

    - または -

  • HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\MainDisableFirstRunCustomizeという名前の新しい REG_DWORD レジストリ設定を作成し、 1 を設定します

新しいタブの動作を構成するには、次の操作を行います。

  • グループ ポリシー [ユーザーの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Internet Explorer]>[新規タブの既定動作を指定]有効にして、「about:blank」に設定します。

    または

  • HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Internet Explorer\TabbedBrowsingNewTabPageShowという名前の新しいREG_DWORDレジストリ設定を作成し、0 (ゼロ) に設定します

8.1 ActiveX コントロールのブロック

ActiveX コントロールのブロックでは、ブロックする必要がある使用されていない ActiveX コントロールの新しい一覧を定期的にダウンロードしています。

この機能は、次の方法によって無効にできます。

  • グループ ポリシー [ユーザーの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Internet Explorer]>[セキュリティの機能]>[アドオン管理]>[ActiveX VersionList の自動ダウンロードを無効にする]有効にします。

    - または -

  • REG_DWORDレジストリ設定 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\VersionManager\DownloadVersionList0 (ゼロ)に変更しています。

詳しくは、「使用されなくなった ActiveX コントロールのブロック」をご覧ください。

9. ライセンス マネージャー

次のレジストリ エントリを設定してトラフィックに関連するライセンス マネージャーをオフにすることができます。

  • Start という名前のREG_DWORD 値を HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LicenseManager に追加し、 値を 4 に設定します

  • 値 4 は、サービスを無効にすることです。 レジストリを設定するために使用できるオプションを次に示します。

    • 0x00000000 = ブート

    • 0x00000001 = システム

    • 0x00000002 = 自動

    • 0x00000003 = 手動

    • 0x00000004 = 無効

10. ライブ タイル

ライブ タイルをオフにするには:

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[タスク バーと [スタート] メニュー]>[通知]>[ネットワークを使用した通知をオフにする]有効にします。

    または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotificationsNoCloudApplicationNotification という名前の REG_DWORD レジストリ設定を作成し、 値を 1に設定します

11. メールの同期

メール アプリとメールの同期は、Windows Server では使用できません。

デバイスで構成される Microsoft アカウントのメールの同期をオフにするには次のようにします。

  • [設定]>[アカウント]>[自分のメールとアカウント] の順に移動し、接続しているすべての Microsoft アカウントを削除します。

    または

  • メール アプリですべての Microsoft アカウントを削除します。

Windows メール アプリをオフにするには:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows MailManualLaunchAllowed という名前の REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ)に設定します。

12. Microsoft アカウント

Microsoft アカウントのクラウド認証サービスへの通信を防ぐためには、以下の設定を使います。 Microsoft アカウントの認証に依存している多くのアプリとシステム コンポーネントは、機能を失う可能性があります。 それらの一部は、予期しない動作をする可能性があります。 たとえば、Windows 10 1709 以上や Windows 11 を実行しているデバイスに、Windows Update による機能更新プログラムが提供されなくなります。 「他の更新プログラムは提供されるのに、機能更新プログラムが提供されない」を参照してください。

Microsoft アカウント サインイン アシスタントを無効にするには:

  • HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\wlidsvcStart REG_DWORD レジストリ設定を 4の値に変更します。

13. Microsoft Edge

グループ ポリシーを使って Microsoft Edge の設定を管理します。 詳細については、「Microsoft Edge とプライバシー: FAQ」および「Windows で Microsoft Edge ポリシー設定を構成する」を参照してください。

Microsoft Edge で利用可能なポリシーの一覧については、「Microsoft Edge のグループ ポリシーとモバイル デバイス管理 (MDM) の設定」をご覧ください。

13.1 Microsoft Edge のグループ ポリシー

Microsoft Edge のグループ ポリシー オブジェクトは、[コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Microsoft Edge] の順に移動した場所にあります。

ポリシー 説明
アドレス バーのドロップダウン リスト候補を許可する アドレス バーのドロップダウン リストを表示するかどうかを選択する
無効に設定する
Allow configuration updates for the Books Library (書籍ライブラリの構成の更新を許可する) 書籍ライブラリの構成の更新を行うかどうかを選択します。
無効に設定する
オートフィルの構成 従業員が Web サイトでオートフィルを使用できるかどうかを選択します。
無効に設定する
トラッキング拒否を構成する 従業員がトラッキング拒否ヘッダーを送信できるかどうかを選択します。
有効に設定する
パスワード マネージャーの構成 従業員が各自のデバイスにローカルにパスワードを保存できるかどうかを選択します。
無効に設定する
アドレス バーで検索候補を構成する アドレス バーに検索候補を表示するかどうかを選択します。
無効に設定する
Windows Defender SmartScreen (Windows 10 バージョン 1703) を構成する Microsoft Defender SmartScreen を有効にするか、無効にするかを選択します。
無効に設定する
[新しいタブ] ページでの Web コンテンツの許可 新しいタブ ページが表示されるかどうかを選択します。
無効に設定する
スタート ページを構成する ドメインに参加しているデバイス用のスタート ページを選択します。
[有効] にし、[<<about:blank>> に設定] します
Microsoft Edge で最初の実行時の Web ページを開かない 最初の実行時の Web ページを従業員に表示するかどうかを選択します。
設定: 有効
Microsoft 互換性一覧を許可 Microsoft Edge で Microsoft 互換性リストを使うかどうかを選択します。
設定: 無効

または、説明されているとおり次のレジストリ キーを構成することもできます。

レジストリ キー レジストリ パス
アドレス バーのドロップダウン リスト候補を許可する HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\ServiceUI
REG_DWORD 名: ShowOneBox
0 に設定
Allow configuration updates for the Books Library (書籍ライブラリの構成の更新を許可する) HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\BooksLibrary
REG_DWORD 名: AllowConfigurationUpdateForBooksLibrary
0 に設定
オートフィルの構成 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main
REG_SZ 名: FormSuggest を使う
値: いいえ
トラッキング拒否の構成 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main
REG_DWORD 名: DoNotTrack
REG_DWORD: 1
パスワード マネージャーの構成 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main
REG_SZ 名: FormSuggest パスワード
REG_SZ: いいえ
アドレス バーで検索候補を構成する HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\SearchScopes
REG_DWORD 名: ShowSearchSuggestionsGlobal
値: 0
Windows Defender SmartScreen (Windows 10 バージョン 1703) を構成する HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\PhishingFilter
REG_DWORD 名: EnabledV9
値: 0
[新しいタブ] ページでの Web コンテンツの許可 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\ServiceUI
REG_DWORD 名: AllowWebContentOnNewTabPage
値: 0
企業のホーム ページを構成する HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Internet Settings
REG_SZ 名: ProvisionedHomePages
値: <<about:blank>>
Microsoft Edge で最初の実行時の Web ページを開かない HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\Main
REG_DWORD 名: PreventFirstRunPage
値: 1
従業員が互換表示を構成できるかどうかを選択します。 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\MicrosoftEdge\BrowserEmulation
REG_DWORD: MSCompatibilityMode
値: 0

13.2 Microsoft Edge Enterprise

Microsoft Edge で利用可能なポリシーの一覧については、「Microsoft Edge のグループ ポリシーとモバイル デバイス管理 (MDM) の設定」をご覧ください。

重要

  • 次の設定は、Microsoft Edge バージョン 77 以降に適用できます。
  • サポートされるオペレーティング システムの詳細については、「Microsoft Edge でサポートされるオペレーティング システム」を参照してください。
  • これらのポリシーでは、Microsoft Edge 管理用テンプレートを適用する必要があります。 Microsoft Edge 管理用テンプレートの詳細については、「Windows で Microsoft Edge ポリシー設定を構成する」を参照してください。
  • 一部のポリシーを有効にするには、デバイスがドメインに参加している必要があります。
ポリシー グループ ポリシー パス レジストリ パス
SearchSuggestEnabled コンピューターの構成/管理用テンプレート/Windows コンポーネント/Microsoft Edge - 検索候補を有効にする
無効に設定する
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD名: SearchSuggestEnabled を 0 に設定する
AutofillAddressEnabled コンピューター構成/管理用テンプレート/Windows コンポーネント/Microsoft Edge - アドレスのオートフィルを有効にする
無効に設定する
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD名: AutofillAddressEnabled を 0 に設定する
AutofillCreditCardEnabled コンピューター構成/管理用テンプレート/Windows コンポーネント/Microsoft Edge - クレジット カードのオートフィルを有効にする
無効に設定する
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD名: AutofillCreditCardEnabled を 0 に設定する
ConfigureDoNotTrack コンピューターの構成/管理用テンプレート/Windows コンポーネント/Microsoft Edge - トラッキング拒否を構成する
有効に設定する
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD名: ConfigureDoNotTrack を 1 に設定
PasswordManagerEnabled コンピューターの構成/管理用テンプレート/Windows コンポーネント/Microsoft Edge/パスワード マネージャーと保護 - パスワード マネージャーへのパスワードの保存を有効にする
無効に設定する
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD名: PasswordManagerEnabled を 0 に設定する
DefaultSearchProviderEnabled コンピューターの構成/管理用テンプレート/Windows コンポーネント/Microsoft Edge/既定の検索プロバイダー - 既定の検索プロバイダーを有効にする
無効に設定する
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD名: DefaultSearchProviderEnabled を 0 に設定する
HideFirstRunExperience コンピューター構成/管理用テンプレート/Windows コンポーネント/Microsoft Edge/初回実行時のエクスペリエンスとスプラッシュ画面を非表示にする
有効に設定する
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD名: HideFirstRunExperience を 1 に設定する
SmartScreenEnabled コンピューターの構成/管理用テンプレート/Windows コンポーネント/Microsoft Edge/Microsoft Defender SmartScreen を構成する
無効に設定する
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD名: SmartScreenEnabled を 0 に設定する
NewTabPageLocation コンピューターの構成/管理用テンプレート/Windows コンポーネント/Microsoft Edge/スタートアップ、ホーム ページ、新規タブ ページ - 新規タブ ページの URL を構成する
Enabled-Value “about:blank” に設定する
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_SZ名: NewTabPageLocation を about:blank に設定する
RestoreOnStartup コンピューターの構成/管理用テンプレート/Windows コンポーネント/Microsoft Edge/スタートアップ、ホーム ページ、および新しいタブ ページ - 起動時に実行する操作
無効に設定する
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge
REG_DWORD名: RestoreOnStartup を 5 に設定
RestoreOnStartupURLs コンピューターの構成/管理用テンプレート/Windows コンポーネント/Microsoft Edge/スタートアップ、ホーム ページ、新しいタブ ページ - ブラウザーの起動時に開くサイト
無効に設定する
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\RestoreOnStartupURLs
REG_SZ名: 1 から about:blank に設定する
UpdateDefault コンピューターの構成/管理用テンプレート/Windows コンポーネント/Microsoft Edge Update/Applications-Update ポリシーのオーバーライド
[有効] に設定する - '更新プログラムが無効'
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate
REG_DWORD名: UpdateDefault を 0 に設定する
AutoUpdateCheckPeriodMinutes コンピューターの構成/管理用テンプレート/Windows コンポーネント/Microsoft Edge Update/基本設定 - 自動更新チェック期間のオーバーライド
[有効] に設定 - 更新チェックの間の時間の値 (分) を 0 に設定する
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate
REG_DWORD名: AutoUpdateCheckPeriodMinutes を 0 に設定する
実験と構成サービス コンピューターの構成/管理用テンプレート/Windows コンポーネント/Microsoft Edge Update/基本設定 - 自動更新チェック期間のオーバーライド
RestrictedMode に設定する
HKEY_LOCAL_MACHINE \SOFTWARE\Policies\Microsoft\Edge\EdgeUpdate
REG_DWORD名: ExperimentationAndConfigurationServiceControl を 0 に設定

14. ネットワーク接続状態インジケーター

ネットワーク接続状態インジケーター (NCSI) は、インターネット接続や企業のネットワーク接続の状態を検出します。 NCSI は、DNS 要求と HTTP クエリを http://www.msftconnecttest.com/connecttest.txt に送信し、デバイスがインターネットと通信できるかどうかを判別します。 詳しくは、Microsoft ネットワーク ブログをご覧ください。

Windows 10 バージョン 1607 より前のバージョンおよび Windows Server 2016 では、URL は http://www.msftncsi.com/ncsi.txt でした。

次のいずれかにより NCSI をオフにできます。

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[システム]>[インターネット通信の管理]>[インターネット通信の設定]>[Windows ネットワーク接続状態インジケーターのアクティブなテストを無効にする]有効にします。

    このポリシーを適用した後、デバイスを再起動してこのポリシー設定を有効化する必要があります。

- または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicatorNoActiveProbe という名前のREG_DWORDレジストリ設定を作成し、値は 1 に設定します。

15. オフライン マップ

オフライン マップをダウンロードして更新できる機能を無効にすることができます。

  • UI の機能を オフにするには、設定 - > アプリ - > オフライン マップ - > マップの更新 に移動し、[マップの自動更新][オフ]に切り替えます。

    - または -

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[マップ]>[地図データの自動ダウンロードおよび自動インストールをオフにする]有効にします。

    - または -

  • AutoDownloadAndUpdateMapData という名前のREG_DWORD レジストリ設定を HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Maps に作成し、値は 0 (ゼロ) に設定します。

    -および-

  • Windows 10 バージョン 1607 以降および Windows 11 では、グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[マップ]>[[オフライン マップ設定] ページで要請していないネットワーク トラフィックを無効にする]有効にします。

    - または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\MapsAllowUntriggeredNetworkTrafficOnSettingsPage という名前の REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

16. OneDrive

組織で OneDrive を無効にするには

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[OneDrive]>[OneDrive をファイル記憶域として使用できないようにする]有効にします。

    - または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\OneDriveDisableFileSyncNGSC という名前の REG_DWORD レジストリ設定を作成し、値は 1 に設定します。

    および

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[OneDrive]>[OneDrive にサインインするまで OneDrive のネットワーク トラフィックが生成されないようにします (有効)]有効にします。

    - または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OneDrivePreventNetworkTrafficPreUserSignIn という名前の REG_DWORD レジストリ設定を作成し、 値を 1 に設定します

17. プレインストール アプリ

プレインストールされたアプリの一部は、アプリを開く前にコンテンツを取得することによって優れたエクスペリエンスを保証します。 この項の手順を使用して、これらを削除できます。

ニュース アプリを削除するには:

  • スタート画面でアプリを右クリックして、[アンインストール] をクリックします。

    - または -

    重要

    次のコマンドに問題がある場合は、システムを再起動し、スクリプトを再試行してください。

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingNews"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

  • 現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.BingNews | Remove-AppxPackage

天気アプリを削除するには:

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingWeather"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

  • 現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.BingWeather | Remove-AppxPackage

マネー アプリを削除するには:

  • スタート画面でアプリを右クリックして、[アンインストール] をクリックします。

    - または -

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingFinance"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

  • 現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.BingFinance | Remove-AppxPackage

スポーツ アプリを削除するには:

  • スタート画面でアプリを右クリックして、[アンインストール] をクリックします。

    - または -

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.BingSports"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

  • 現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.BingSports | Remove-AppxPackage

Twitter アプリを削除するには:

  • スタート画面でアプリを右クリックして、[アンインストール] をクリックします。

    - または -

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "*.Twitter"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

  • 現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します:Get-AppxPackage *.Twitter | Remove-AppxPackage

XBOX アプリを削除するには:

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.XboxApp"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

  • 現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.XboxApp | Remove-AppxPackage

Sway アプリを削除するには:

  • スタート画面でアプリを右クリックして、[アンインストール] をクリックします。

    - または -

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.Office.Sway"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

  • 現在のユーザーのアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.Office.Sway | Remove-AppxPackage

OneNote アプリを削除するには:

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.Office.OneNote"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

  • 現在のユーザーのアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.Office.OneNote | Remove-AppxPackage

Get Office アプリを削除するには:

  • スタート画面でアプリを右クリックして、[アンインストール] をクリックします。

    - または -

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online | Where-Object {$_.PackageName -Like "Microsoft.MicrosoftOfficeHub"} | ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_.PackageName}

    および

  • 現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.MicrosoftOfficeHub | Remove-AppxPackage

Get Skype アプリを削除するには:

  • スタート画面でスポーツ アプリを右クリックして、[アンインストール] をクリックします。

    または

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトから、次のWindows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online |Where-Object {$_.PackageName -Like "Microsoft.SkypeApp"} |ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_。PackageName}

    および

  • 現在のユーザーのアプリを削除します。 管理者特権のコマンド プロンプトから、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.SkypeApp | Remove-AppxPackage

付箋アプリを削除するには:

  • 新しいユーザー アカウントに対してアプリを削除します。 管理者特権でのコマンド プロンプトから、次のWindows PowerShell コマンドを実行します: Get-AppxProvisionedPackage -Online |Where-Object {$_.PackageName -like "Microsoft.MicrosoftStickyNotes"} |ForEach-Object { Remove-AppxProvisionedPackage -Online -PackageName $_。PackageName}

    および

  • 現在のユーザーのアプリを削除します。 管理者特権でのコマンド プロンプトで、次の Windows PowerShell コマンドを実行します: Get-AppxPackage Microsoft.MicrosoftStickyNotes | Remove-AppxPackage

18.設定 > プライバシーとセキュリティ

[設定] > [プライバシーとセキュリティ] を使って、組織にとって重要ないくつかの設定を構成します。 [フィードバックと診断] ページを除き、PC にサインインするすべてのユーザー アカウントについて、以下の設定を構成する必要があります。

18.1 全般

[全般] には他の領域に該当しないオプションが含まれています。

Windows 10 バージョン1703 のオプション

[アプリの使用状況に基いてユーザーに合わせた広告を表示するために、広告識別子の使用をアプリに許可します (オフにすると、ID がリセットされます)] をオフにするには:

  • UI でこの機能をオフにします。

    UI でこの機能をオフにした場合、広告 ID は無効になりますが、ID はリセットされません。

    - または -

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[システム]>[ユーザー プロファイル]>[広告 ID を無効にする]有効にします。

    - または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfoEnabled という名前の REG_DWORD レジストリ設定を作成し、値は 0 (ゼロ) に設定します。

    および

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfoDisabledByGroupPolicy という名前のREG_DWORDレジストリ設定を作成し、値は 1 に設定します。

[Web サイトが言語リストにアクセスできるようにして、地域に適したコンテンツを表示する] をオフにするには:

  • UI でこの機能をオフにします。

    - または -

  • HKEY_CURRENT_USER\Control Panel\International\User ProfileHttpAcceptLanguageOptOut という名前の新しいREG_DWORD レジストリ設定を作成し、値は 1 に設定します。

[Windows 追跡アプリの起動を許可してスタート画面と検索結果の質を向上します] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AdvancedStart_TrackProgs という名前のREG_DWORDレジストリ設定を作成し、値を 0 (ゼロ) に設定します。

Windows Server 2016 および Windows 10 バージョン 1607 以前のオプション

[アプリ間のエクスペリエンスのために、アプリで自分の広告 ID を使うことを許可する (この設定をオフにすると、ID がリセットされます)] をオフにするには:

  • UI でこの機能をオフにします。

    UI でこの機能をオフにした場合、広告 ID は無効になりますが、ID はリセットされません。

    - または -

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[システム]>[ユーザー プロファイル]>[広告 ID を無効にする]有効にします。

- または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\AdvertisingInfoEnabled という名前の REG_DWORD レジストリ設定を作成し、値は 0 (ゼロ) に設定します。

    または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AdvertisingInfoDisabledByGroupPolicy という名前のREG_DWORDレジストリ設定を作成し、値は 1 に設定します。

[Microsoft Defender SmartScreen をオンにして Microsoft Store アプリが使う Web コンテンツ (URL) を確認する] をオフにするには

  • UI でこの機能をオフにします。

    または

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\AppHostEnableWebContentEvaluation という名前のREG_DWORDレジストリ設定を作成し、値を 0 (ゼロ) に設定します。

[入力に関する情報を Microsoft に送信して、タイピングと手書きの今後の改善に役立てる] をオフにするには

診断データのレベルが基本またはセキュリティに設定されている場合、この機能は自動的にオフになります。

  • UI でこの機能をオフにします。

[Web サイトが言語リストにアクセスできるようにして、地域に適したコンテンツを表示する] をオフにするには:

  • UI でこの機能をオフにします。

    - または -

  • HKEY_CURRENT_USER\Control Panel\International\User ProfileHttpAcceptLanguageOptOut という名前の新しいREG_DWORD レジストリ設定を作成し、値は 1 に設定します。

[他のデバイス上のアプリを開くことを許可し、このデバイスでのエクスペリエンスを続行する] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[システム]>[グループ ポリシー]>[このデバイスでのエクスペリエンスを続行する] を無効にします。

    または

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SystemEnableCdp という名前のREG_DWORDレジストリ設定を作成し、値は 0 (ゼロ) に設定します。

[他のデバイス上のアプリで Bluetooth を使用してアプリを開くことを許可し、このデバイスでのエクスペリエンスを続行する] をオフにするには:

  • UI でこの機能をオフにします。

18.2 位置情報

[位置情報] 領域で、デバイスが位置情報固有のセンサーにアクセスできるかどうかや、デバイスの位置情報にアクセスできるアプリを選択します。

[このデバイスの位置情報]をオフにするには

  • UI で [変更] をクリックします。

    または

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[場所とセンサー]>[場所を無効にする]有効にします。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\LocationAndSensorsDisableLocation という名前の REG_DWORD レジストリを作成し、値を 1 に設定します。

[アプリが位置情報にアクセスできるようにする] をオフにするには、

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを有効にします: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリで位置情報にアクセスする] の順に選択し、[設定を選択] ボックスを [強制的に拒否] に設定します。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsAccessLocation という名前の REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

[場所の履歴] をオフにするには:

  • UI の [クリア] を使用して履歴を消去します。

[位置情報を使えるようにするアプリを選ぶ] をオフにするには

  • UI を使用して各アプリをオフにします。

18.3 カメラ

[カメラ] 領域で、デバイスのカメラにアクセスできるアプリを選択できます。

[アプリがカメラを使うことを許可する]をオフにするには

  • UI でこの機能をオフにします。

    または

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリでカメラにアクセスする] を適用します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

    または

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsAccessCamera という名前の REG_DWORD レジストリ設定を作成し、値 2 を設定します。

[カメラを使用できるアプリの選択] をオフにするには

  • 各アプリについて UI でこの機能をオフにします。

18.4 マイク

[マイク] 領域で、デバイスのマイクにアクセスできるアプリを選択できます。

[アプリがマイクを使うことを許可する]をオフにするには

  • UI でこの機能をオフにします。

    または

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリでマイクにアクセスする] を適用します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsAccessMicrophone という名前の REG_DWORD レジストリ設定を作成し、値 2 を設定します。

[マイクを使用できるアプリの選択] をオフにするには:

  • 各アプリについて UI でこの機能をオフにします。

18.5 通知

ネットワークを使用した通知をオフにするには

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[タスク バーと [スタート] メニュー]>[通知]>[ネットワークを使用した通知をオフにする]有効にします。

    または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotificationsNoCloudApplicationNotification という名前の REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

[通知] 領域で、通知へのアクセスができるアプリを選択することもできます。

[アプリが通知にアクセスすることを許可する] をオフにするには

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します。[コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリで通知にアクセスする] の順に選択します。

    • [設定を選択] ボックスを [強制的に拒否] に設定します。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsAccessNotifications という名前の REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

18.6 音声認識

[音声認識] 領域で、次のように機能を構成できます。

音声のディクテーション (Cortana や他のアプリに話しかける) をオフにし、音声入力が Microsoft Speech サービスに送信されないようにするには、次の操作を行います。

  • [設定 ] -> [プライバシー] -> [音声] ->[オンライン音声認識] スイッチを [オフ] に切り替える

    - または -

  • グループ ポリシーを 無効にする: コンピューターの構成 > 管理用テンプレート > コントロール パネル > 地域と言語のオプション > ユーザーがオンライン音声認識サービスを有効にすることを許可

    - または -

  • HKEY_CURRENT_USER\Software\Microsoft\Speech_OneCore\Settings\OnlineSpeechPrivacyHasAccepted という名前の REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

Windows 10 バージョン 1703 から Windows 10 バージョン 1803 までを実行している場合、音声認識と音声合成モデルの更新をオフにすることができます。

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windowsコンポーネント]>[音声認識]>[音声認識データの自動更新を許可する]無効にします。

    または

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\SpeechAllowSpeechModelUpdate という名前の REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

18.7 アカウント情報

[アカウント情報] 領域で、自分の名前、画像、その他のアカウント情報にアクセスできるアプリを選択できます。

[自分の名前、画像、その他のアカウント情報にアプリがアクセスすることを許可する]をオフにするには

  • UI でこの機能をオフにします。

    または

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリでアカウント情報にアクセスする] を適用します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

    または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppPrivacyLetAppsAccessAccountInfo という名前の REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

[アカウント情報にアクセスできるようにするアプリを選ぶ] をオフにするには:

  • 各アプリについて UI でこの機能をオフにします。

18.8 連絡先

[連絡先] 領域で、従業員の連絡先の一覧にアクセスできるアプリを選択できます。

[連絡先にアクセスできるようにするアプリの選択]をオフにするには

  • 各アプリについて UI でこの機能をオフにします。

    または

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリで連絡先にアクセスする] を適用します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

    - または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppPrivacyLetAppsAccessContacts という名前の REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

18.9 カレンダー

[カレンダー] 領域で、従業員のカレンダーにアクセスできるアプリを選択できます。

[アプリがカレンダーにアクセスすることを許可する]をオフにするには

  • UI でこの機能をオフにします。

    または

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリで予定表にアクセスする] を適用します。 [設定を選択] ボックスを [強制的に拒否] に設定します。

    - または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppPrivacyLetAppsAccessCalendar という名前の REG_DWORD レジストリ設定を作成し、値 2 を設定します。

[カレンダーにアクセスできるようにするアプリの選択] をオフにするには

  • 各アプリについて UI でこの機能をオフにします。

18.10 通話履歴

[通話履歴] 領域で、従業員の通話履歴にアクセスできるアプリを選択できます。

[アプリが通話履歴にアクセスすることを許可する]をオフにするには

  • UI でこの機能をオフにします。

    または

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリですべての履歴にアクセスする] を適用します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

    または

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsAccessCallHistory という名前の REG_DWORD レジストリ設定を作成し、値 2 を設定します。

18.11 メール

[メール] 領域で、メールへのアクセスと送信ができるアプリを選択できます。

[アプリがメールにアクセスして送信することを許可する] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリでメールにアクセスする] を適用します。

    • [Select a setting] (設定を選択) ボックスを [Force Deny](強制拒否) に設定します。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsAccessEmaill という名前の REG_DWORD レジストリ設定を作成し、値 2 を設定します。

18.12 メッセージング

[メッセージング] 領域で、メッセージの読み取りや送信を行うことができるアプリを選択できます。

[アプリがメッセージ (SMS または MMS) の読み取りや送信を行うことを許可する]をオフにするには

  • UI でこの機能をオフにします。

    または

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリでメッセージングにアクセスする] を適用します。

    • [設定を選択] ボックスを [強制的に拒否] に設定します。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsAccessMessaging という名前の REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

[メッセージの読み取りや送信を行えるようにするアプリの選択] をオフにするには

  • 各アプリについて UI でこの機能をオフにします。

メッセージの同期をオフにするには

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\MessagingAllowMessageSync という名前の REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

    - または -

  • グループ ポリシー[コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[メッセージング] を適用します。

    • [メッセージ サービス クラウドの同期を許可する][無効] に設定します。

18.13 通話

[電話] 領域で、通話を行うことができるアプリを選択できます。

[アプリが電話をかけることを許可する] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリが電話をかけることを許可する] の順に選択し、[設定を選択] ボックスを [強制的に拒否] に設定します。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsAccessPhone という名前の REG_DWORD レジストリ設定を作成し、値 2 を設定します。

[通話を行うことができるアプリを選びます] をオフにするには:

  • 各アプリについて UI でこの機能をオフにします。

18.14 無線

[無線] 領域で、デバイスの無線機能のオンとオフを切り替えることができるアプリを選択できます。

[アプリが無線を制御することを許可する]をオフにするには

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを適用します: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリが無線を制御することを許可する] の順に選択し、[設定を選択] ボックスを [強制的に拒否] に設定します。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsAccessRadios という名前の REG_DWORD レジストリ設定を作成し、値 2 を設定します。

[無線を制御できるようにするアプリを選ぶ] をオフにするには:

  • 各アプリについて UI でこの機能をオフにします。

18.15 他のデバイス

[他のデバイス] 領域で、Xbox One など、PC とペアリングされていないデバイスで情報を共有および同期するかどうかを選択できます。

[PC、タブレット、またはスマートフォンと明示的にペアリングしないワイヤレス デバイスとの間で、アプリが自動的に情報の共有や同期を行えるようにする] をオフにするには:

  • [設定] > [プライバシーとセキュリティ] > [その他のデバイス] > [ペアリングされていないデバイスとの通信] に移動して、UI の機能をオフにします。 [PC、タブレット、電話と明示的にペアリングする必要がないワイヤレス デバイスとの間で、アプリが自動的に情報の共有や同期を行えるようにする] をオフにします

    - または -

  • グループ ポリシーを有効にします: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリがペアリングされていないデバイスと通信できるようにする] の順に選択し、[設定を選択] ボックスを [強制的に拒否] に設定します。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsSyncWithDevices という名前の REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

[アプリが信頼済みのデバイス (PC、タブレット、電話に既に接続されているか、付属していたデバイス) を使うことを許可します] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを有効にします: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリで信頼済みデバイスにアクセスする] の順に選択し、[設定を選択] ボックスを [強制的に拒否] に設定します。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsAccessTrustedDevices という名前の REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

18.16 フィードバックと診断

[フィードバックと診断] 領域で、フィードバックを求められる頻度と、Microsoft に送信される診断や使用状況に関する情報の量を選択できます。 各診断データ レベルの意味や、組織で診断データ レベルを構成する方法については、「組織内の Windows 診断データの構成」をご覧ください。

フィードバックの頻度はユーザー生成のフィードバックにのみ適用され、デバイスから送信される診断と使用状況データには適用されません。

[フィードバックを求められる頻度] で頻度を変更するには:

  • [自動 (推奨)] 以外の値に変更するには、UI でドロップダウン リストを使用します。

    - または -

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[データの収集とプレビュー ビルド]>[フィードバックの通知を表示しない]有効にします。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollectionDoNotShowFeedbackNotifications という名前の REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

    または

  • レジストリ キー (REG_DWORD 型) を作成します。

    • HKEY_CURRENT_USER\Software\Microsoft\Siuf\Rules\PeriodInNanoSeconds

    • HKEY_CURRENT_USER\Software\Microsoft\Siuf\Rules\NumberOfSIUFInPeriod

      以下の設定に基づいて設定します。

      設定 PeriodInNanoSeconds NumberOfSIUFInPeriod
      自動 レジストリの設定を削除する レジストリの設定を削除する
      しない 0 0
      常時 100000000 レジストリの設定を削除する
      1 日 1 回 864000000000 1
      1 週間に 1 回 6048000000000 1

[デバイスのデータを Microsoft に送信する] で送信される診断データと使用状況データの量を変更するには:

  • [必須 (基本)] または [オプション (完全)] オプションのいずれかをクリックします。

    - または -

  • グループ ポリシー: Computer Configuration\管理用テンプレート\Windows Components\Data Collection and Preview Builds\Allow Telemetry有効 にし、値を 0 に設定します。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection\AllowTelemetry に REG_DWORD レジストリ設定を作成し、値を 0 に設定します。

[セキュリティ] オプションがグループ ポリシーまたはレジストリを使用して構成されている場合、値は UI に反映されません。 [セキュリティ] オプションは、Windows 10 および Windows 11 Enterprise エディションでのみ利用できます。

[適切なヒントや推奨事項などユーザーに合ったエクスペリエンスが提供されるように、Microsoft に診断データの使用を許可する] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[クラウド コンテンツ]>[Microsoft コンシューマー エクスペリエンスを無効にする]有効にします。

    - または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CloudContentDisableWindowsConsumerFeatures という名前の REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

    および

  • グループ ポリシー [ユーザーの構成]>[管理用テンプレート]>[Windows コンポーネント]>[クラウド コンテンツ]>[ユーザーに合ったエクスペリエンスが提供されるように、Microsoft に診断データの使用を許可しない]有効にします。

    または

  • HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CloudContentDisableTailoredExperiencesWithDiagnosticData という名前の REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

18.17 バックグラウンド アプリ

[バックグラウンド アプリ] 領域で、バックグラウンドで実行できるアプリを選択できます。

[アプリのバックグラウンド実行を許可する] をオフにするには

  • [バックグラウンド アプリ] 設定ページで [アプリのバックグラウンド実行を許可する][オフ] に設定します。

    または

  • [バックグラウンド アプリ] 設定ページで、各アプリについてこの機能をオフにします。

- または -

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリのバックグラウンド実行を許可する]有効にし、[設定を選択] ボックスを [強制的に拒否] に設定します (Windows 10 バージョン 1703 以上および Windows 11 のみ適用されます)。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsRunInBackground という名前の REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

Cortana や検索などの一部のアプリは、[アプリのバックグラウンド実行を許可する][強制的に拒否] に設定すると正常に機能しないことがあります。

18.18 モーション

[モーション] 領域で、モーション データにアクセスできるアプリを選択できます。

[Windows やアプリがモーション データにアクセスしてモーションの履歴を集めることを許可する] をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシーを有効にします。[コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリでモーションにアクセスする] の順に選択し、[すべてのアプリの既定値][強制的に拒否] に設定します。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsAccessMotion という名前の REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

18.19 タスク

[タスク] 領域で、タスクへのアクセスができるアプリを選択できます。

この機能をオフにするには:

  • UI でこの機能をオフにします。

    - または -

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリでタスクにアクセスする] を適用します。 [設定を選択] ボックスを [強制的に拒否] に設定します。

    または

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsAccessTasks という名前の REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

18.20 アプリの診断

[アプリの診断] 領域で、診断情報にアクセスできるアプリを選択できます。

この機能をオフにするには:

  • UI でこの機能をオフにします。

    または

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[アプリのプライバシー]>[Windows アプリでアカウント情報にアクセスする]有効にします。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsGetDiagnosticInfo という名前の REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

18.21 インク操作、入力

[手書き入力とタイプ入力] 領域では、次のように機能を構成できます。

手書き入力とタイプ入力のデータ収集をオフにするには、次のとおり実行します。

  • UI で、[設定] - > [プライバシー] - > [診断とフィードバック] - > [手描き入力とタイプ入力の改善] に移動し、[オフ] に切り替えます

    または

    グループ ポリシーを無効にします: コンピューターの構成 > 管理用テンプレート >Windows コンポーネント >テキスト入力 > 手描き入力と テキスト入力認識の改善

    および

    グループ ポリシーを無効にします: ユーザー構成 > 管理用テンプレート > コントロール パネル > 地域と言語のオプション > の手書き個人用設定 > 自動学習をオフにする

    または

  • HKEY_CURRENT_USER\Software\Microsoft\InputPersonalizationRestrictImplicitTextCollection レジストリ REG_DWORD 設定の値を 1 に設定します。

    および

  • HKEY_CURRENT_USER\Software\Microsoft\InputPersonalizationRestrictImplicitInkCollection レジストリ REG_DWORD 設定の値を 1 に設定します。

18.22 アクティビティの履歴

[アクティビティの履歴] 領域では、アクティビティの履歴の追跡をオフにすることを選択できます。

UI でこの機能を無効にするには:

  • UI でこの機能 オフにするには、[設定] - > [プライバシー] - > [アクティビティの履歴] の順に移動し、 [このデバイスにアクティビティ履歴を保存する]チェック ボックスを外し、と [アクティビティの履歴を Microsoft に送信する] チェックボックスの チェックも外します

または

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[システム]>[OS ポリシー][アクティビティ フィードを有効にする]無効にします。

    および

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[システム]>[OS ポリシー][ユーザー アクティビティの公開を許可する]無効にします。

    および

  • グループ ポリシーを無効にする: ユーザー アクティビティのアップロードを許可する という名前の コンピューターの構成>管理用テンプレート>システム>OS ポリシー>

または

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SystemEnableActivityFeed という REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

    および

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SystemPublishUserActivities という名前の REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

    および

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SystemUploadUserActivities という名前の REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

18.23 音声によるアクティブ化

[音声によるアクティブ化] 領域で、音声キーワードを聞き取るアプリの機能をオフにすることを選択できます。

UI でこの機能を無効にするには:

  • UI でこの機能をオフ にするには、[設定] -> [プライバシー] -> [音声アクティベーション] の順に移動し、[アプリが音声によるアクティブ化を使用することを許可する]オフ にして、[このデバイスがロックされた状態でアプリが音声によるアクティブ化を使用することを許可する]オフ にします。

または

  • グループ ポリシーを有効にする: Windowsアプリを音声でアクティブ化させる という名前の コンピューターの構成> 管理用テンプレート> Windows コンポーネント >アプリのプライバシー> を有効にし、[設定の選択] ボックスを [強制的に拒否] に設定します

    および

  • グループ ポリシーを有効にする: システムがロックされているときに Windows アプリを音声でアクティブ化する という名前の コンピューターの構成 >管理用テンプレート>Windows コンポーネント>アプリのプライバシー> を有効にし、チェック ボックスをオンにして 強制的に拒否します

または

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsActivateWithVoice という名前の REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

    および

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\AppPrivacyLetAppsActivateWithVoiceAboveLock という名前の REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

18.24 ニュースと関心事

[アプリの診断] 領域で、診断情報にアクセスできるアプリを選択できます。

この機能をオフにするには:

  • HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows FeedsEnableFeeds という名前の REG_DWORD レジストリ設定を、値 0 (ゼロ) で作成します。

19. ソフトウェア保護プラットフォーム

企業ユーザーは、オンプレミスのキー マネージメント サーバーを使い、ボリューム ライセンスに基づいて Windows のライセンス認証の状態を管理することができます。 KMS クライアントがライセンス認証データを自動的に Microsoft に送信しないように設定するには、次のいずれかを実行します:

Windows 10 および Windows 11 の場合:

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[ソフトウェア保護プラットフォーム]>[KMS クライアント オンライン AVS 検証を無効にする]有効にします。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection PlatformNoGenTicket という名前の REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

Windows Server 2019 以降の場合:

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[ソフトウェア保護プラットフォーム]>[KMS クライアント オンライン AVS 検証を無効にする]有効にします。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection PlatformNoGenTicket という名前の REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

Windows Server 2016 の場合:

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\CurrentVersion\Software Protection PlatformNoAcquireGT という名前の REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

既知の問題が原因で、[KMS クライアント オンライン AVS 検証を無効にする] グループ ポリシーが Windows Server 2016 で意図したとおりに動作しない場合、代わりに NoAcquireGT 値を設定する必要があります。 Windows のライセンス認証の状態は、KMS に対して毎週ライセンス認証状態チェックが行われる 180 日の周期的期間の間有効になります。

20. 記憶域の正常性

エンタープライズのお客様は、ディスク障害予測モデルの更新プログラムを管理できます。

Windows 10 および Windows 11 の場合:

  • 次のグループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[システム]>[記憶域の正常性]>[ディスク エラー予測モデルに対する更新プログラムのダウンロードを許可する]無効にします。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\StorageHealthAllowDiskHealthModelUpdates という名前の REG_DWORD レジストリ設定を作成し、値を 0 に設定します。

21. 設定の同期

設定を同期するかどうかを制御できます。

  • UI で、[設定]>[アカウント]>[設定の同期] の順に選択します。

    または

  • グループ ポリシーを有効にします: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[設定の同期]>[同期しない] の順に選択します。[ユーザーが同期をオンにできるようにする] チェック ボックスはオフのままにします。

    - または -

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SettingSyncDisableSettingSync という名前の REG_DWORD レジストリ設定を作成して値を 2 に設定し、HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SettingSyncDisableSettingSyncUserOverride という名前の設定を作成して値を 1 に設定します。

メッセージング クラウドの同期をオフにするには:

  • HKEY_CURRENT_USER\SOFTWARE\Microsoft\MessagingCloudServiceSyncEnabled という名前の REG_DWORD レジストリ設定を作成し、値を 0 に設定します

    このレジストリ キーに対応するグループ ポリシーはありません。

22. Teredo

netsh.exe コマンドまたはグループ ポリシーを使用して Teredo を無効にすることができます。 Teredo について詳しくは、「インターネット プロトコル バージョン 6、Teredo、および関連するテクノロジ」をご覧ください。

Teredo を無効にすると、一部の Xbox ゲーム機能と配信の最適化 (グループまたはインターネット ピアリング) を使用は動作しなくなります。

  • グループ ポリシーを有効にします: [コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[TCPIP 設定]>[IPv6 移行テクノロジ]>[Teredo 状態を設定する] を選択し、[無効状態] に設定します。

    - または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\TCPIP\v6TransitionTeredo_State という名前の新しい REG_SZ レジストリ設定を作成し、値を Disabled に設定します。

23. Wi-Fi センサー

重要

Windows 10 バージョン 1803 以降、Wi-Fi センサーは利用できなくなりました。 次のセクションは、Windows 10 バージョン 1709 およびそれ以前のバージョンにのみ適用されます。 詳しくは、「Windows 10 でのオープン Wi-Fi スポットへの接続」をご覧ください。

Wi-Fi センサーは、既知のホットスポットや、ユーザーの連絡先と共有しているワイヤレス ネットワークに、自動的にデバイスを接続します。

[推奨されたオープン ホットスポットに接続する][連絡先によって共有されたネットワークに接続する] をオフにするには

  • [設定] > [ネットワークとインターネット] > [Wi-Fi] で UI の機能をオフにする

    または

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[WLAN サービス]>[WLAN 設定]>[推奨されるオープン ホットスポット、連絡先によって共有されたネットワーク、有料サービスを提供するホットスポットに Windows が自動的に接続することを許可する]無効にします。

    - または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WcmSvc\wifinetworkmanager\configAutoConnectAllowedOEM という名前の新しい REG_DWORD レジストリ設定を作成し、 値を 0 に設定します。

Wi-Fi センサーを無効にしても、Wi-Fi センサーの設定は引き続き Wi-Fi 設定画面に表示されますが、設定は機能せず、従業員が制御することはできません。

24. Microsoft Defender ウイルス対策

Microsoft Antimalware Protection Service から切断することができます。

重要

Windows 10 バージョン 1903 で Microsoft Defender ウイルス対策グループ ポリシーまたはレジストリ キーを設定する前に必要な手順

  1. Windows と Microsoft Defender ウイルス対策が完全に最新版であることを確認します。
  2. Windows の [スタート] ボタンの横にある検索アイコンをクリックして、[改ざん防止] のスタート メニューを検索します。 次に、[改ざん防止] トグルまで下にスクロールしてオフにします。 これにより、レジストリ キーを変更し、グループ ポリシーで設定を行うことができるようになります。 または、[Windows セキュリティ設定] - > [ウイルスと脅威に対する保護] に移動し、[設定の管理] リンクをクリックし、[改ざん防止] トグルまで下にスクロールして [オフ] に設定することもできます。
  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Microsoft Defender ウイルス対策]>[MAPS]>[Microsoft MAPS に参加する]有効にし、[Microsoft MAPS に参加する] ドロップダウン ボックスから [無効] を選択します。

または

  • レジストリを使って REG_DWORD 値 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet\SpyNetReporting0 (ゼロ) に設定します。

    および

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Updates でレジストリ設定 named を削除します。

ファイルのサンプルを Microsoft に送信することを停止できます。

  • グループ ポリシーを有効にします: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Microsoft Defender ウイルス対策]>[MAPS]>[詳細な分析が必要な場合はファイルのサンプルを送信する] の順に選択し、[送信しない] に設定します。

    または

  • レジストリを使って REG_DWORD 値 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows Defender\Spynet\SubmitSamplesConsent2 ([送信しない] の場合) に設定します。

定義ファイルの更新のダウンロードを停止することができます。

バージョン 1809 以前のグループ ポリシーのパスは、[コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Microsoft Defender ウイルス対策]>[署名の更新]です。

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Microsoft Defender ウイルス対策]>[セキュリティ インテリジェンスの更新]>[定義の更新をダウンロードするための更新元の順序を定義する][FileShares] に設定して、有効にします。

    および

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Microsoft Defender ウイルス対策]>[セキュリティ インテリジェンスの更新]>[定義の更新をダウンロードするためのファイル共有を定義する][なし] に設定して、無効にします。

    または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Signature UpdatesFallbackOrder という名前の新しい REG_SZ レジストリ設定を作成し、値を FileShares に設定します。

    および

  • DefinitionUpdateFileSharesSources レジストリ値が HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\Signature Updates にある場合、この値を削除します。

次の方法で、Malicious Software Reporting Tool (MSRT) の診断データをオフにできます。

  • REG_DWORD 値 HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\MRT\DontReportInfectionInformation1 に設定します。

    Malicious Software Reporting Tool の診断データを無効にするグループ ポリシーはありません。

次の方法で、拡張通知をオフにできます。

  • UI の [設定] - > [更新とセキュリティ] - > [Windows セキュリティ] - > [ウイルスと脅威に対する保護] - > [ウイルスと脅威に対する保護の設定の管理] - > [通知] まで下にスクロールし、[通知設定の変更] - > [通知] - > [通知の管理] - > [一般の通知] を順にクリックしてオフにします。

    - または -

  • [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Microsoft Defender ウイルス対策]>[レポート] で、グループ ポリシー [拡張通知をオフにする]有効にします。

    - または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\ReportingDisableEnhancedNotifications という名前の新しい REG_DWORD レジストリ設定を作成し、10 進数の値 1 を入力します。

24.1 Microsoft Defender SmartScreen

Microsoft Defender SmartScreen を無効にするには、以下のとおり操作します。

グループ ポリシーで、次を構成します。

  • コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > Windows Defender SmartScreen > エクスプローラー > 構成Windows Defender SmartScreen 無効にする

    および

  • コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > ファイル エクスプローラー > Windows Defender SmartScreen の 構成 : 無効にする

    および

  • コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > Windows Defender SmartScreen > エクスプローラー > アプリのインストール制御 を構成する: 有効にしアプリの推奨事項をオフにする を選択

または

  • HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\SystemEnableSmartScreen という名前の REG_DWORD レジストリ設定を作成し、値を 0(ゼロ) に設定します。

    および

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SmartScreenConfigureAppInstallControlEnabled という名前の REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

    および

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender\SmartScreenConfigureAppInstallControl という名前の SZ レジストリ設定を作成し、値を [Anywhere] に設定します。

25. パーソナライズされたエクスペリエンス

パーソナライズされたエクスペリエンスは、ロック画面上のさまざまな背景画像やテキスト、提案されたアプリ、Microsoft アカウント通知、Windows のヒントなどの機能を提供します。 機能の例には、[Windows スポットライト] および [提案の開始] が含まれます。 それらを制御するには、グループ ポリシーを使用します。

これには、Windows 設定でユーザーが個々のエクスペリエンス (Windows スポットライトなど) を制御する方法は含まれません。

Windows 10 バージョン 1607 以降、または Windows 11 を実行している場合は、次の操作を行う必要があります:

  • グループ ポリシー [ユーザーの構成]>[管理用テンプレート]>[Windows コンポーネント]>[クラウド コンテンツ]>[Windows スポットライト機能をすべて無効にする]有効にします。

    - または -

  • HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CloudContentDisableWindowsSpotlightFeatures という名前の新しい REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

および

  • 次のグループポリシーを有効にする コンピューターの構成>管理用テンプレート>Windowsコンポーネント>クラウドコンテンツ>クラウドに最適化されたコンテンツを無効にする

    - または -

  • HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\CloudContentDisableCloudOptimizedContent という名前の新しい REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

    これは、Windows 10 または Windows 11 のインストール後、15 分以内に実行する必要があります。 代わりに、この設定を含むイメージを作成することができます。

26. Microsoft Store

プレインストールまたはダウンロードされている Microsoft Store のアプリを起動する機能をオフにすることができます。 これによりアプリの自動更新もオフになり、Microsoft Store が無効になります。 さらに、[設定]>[アカウント]>[メール & アプリのアカウント]>[アカウントの追加] をクリックして新しいメール アカウントを作成することはできません。 Windows Server 2016では、これにより、ユニバーサル Windows アプリからの Microsoft Store の呼び出しがブロックされます。

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Store]>[Microsoft Store からすべてのアプリを無効にする]無効にします。

    - または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStoreDisableStoreApps という名前の新しい REG_DWORD レジストリ設定を作成し、値を 1 に設定します。

および

  • グループ ポリシー: [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Store]>[更新プログラムの自動ダウンロードおよび自動インストールをオフにする]有効にします。

    または

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStoreAutoDownload という名前の新しい REG_DWORD レジストリ設定を作成し、値を 2 に設定します。

27. Web サイト用のアプリ

Web サイト用のアプリを無効にして、関連付けられているアプリが登録された Web サイトをユーザーが訪問したときに、直接アプリを起動することを防止できます。

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[システム]>[グループ ポリシー]>[アプリ URI ハンドラーを使用した Web とアプリのリンクを構成します]無効にします。

    - または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SystemEnableAppUriHandlers という名前の新しい REG_DWORD レジストリ設定を作成し、値を 0 (ゼロ) に設定します。

28. 配信の最適化

配信の最適化は、Microsoft からの Windows 更新、Microsoft Store アプリ、Office、およびその他のコンテンツのダウンローダー型です。 配信の最適化は、Microsoft に加えてソースからダウンロードすることもできます。これは、インターネット接続が制限されている場合や、信頼性が低い場合に便利であることに加えて、組織のすべての PC を最新の状態に保つために必要な帯域幅の量を減らすことができます。 配信の最適化のピアツーピア オプションを有効にした場合、ネットワーク上の PC は、ローカル ネットワーク上の他の PC や、インターネット上の PC (選択した場合) との間で更新プログラムやアプリを送受信できるようになります。

既定では、Windows 10 または Windows 11 を実行している PC では、配信の最適化のみを使用して、ローカル ネットワーク上で PC の更新プログラムやアプリを取得できます。

配信の最適化を設定するには、UI、グループ ポリシー、またはレジストリ キーを使います。

Windows 10、バージョン 1607 以降、および Windows 11 では、以下で説明するように ダウンロード モードSimple Mode (99) に設定することで、配信の最適化 Cloud Service に関連するネットワーク トラフィックを停止できます。

28.1 設定 > 更新セキュリティ

配信の最適化のピアツーピアは、 [設定] の UI から設定できます。

  • [設定]>[更新とセキュリティ]>[Windows Update]>[詳細オプション]>[更新プログラムの提供方法を選ぶ] の順に選択します。

28.2 配信の最適化のグループ ポリシー

配信の最適化のグループ ポリシー オブジェクトを表示するには、[コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[配信の最適化] の順に選択します。

ポリシー 説明
ダウンロード モード 配信の最適化で、次のように更新プログラムやアプリを取得または送信する場所を選択できます。
  • なし。 配信の最適化を無効にします。

  • グループ。 更新プログラムとアプリを同じローカル ネットワーク ドメインの PC から取得または PC に送信します。

  • インターネット。 更新プログラムとアプリをインターネット上の PC から取得または PC に送信します。

  • LAN。 更新プログラムとアプリを同じ NAT 上の PC から取得または PC に送信します。

  • シンプル。 ピアリングなしの簡易なダウンロード モードです。

  • バイパス。 Windows Update の配信の最適化は使用されず、代わりに BITS が使用されます。 トラフィックを制限するためにバイパスするように設定します。

グループ ID アプリと更新プログラムを共有できる PC を制限するグループ ID を指定できます。
注意: この ID には GUID を指定する必要があります。
最大キャッシュ時間 ファイルが配信の最適化のキャッシュに保持される最大時間 (秒単位) を指定できます。
既定値は 259200 秒 (3 日) です。
最大キャッシュ サイズ 最大キャッシュ サイズをディスク サイズに対する割合で指定できます。
既定値は 20 で、ディスクの 20% を表します。
最大アップロード帯域幅 すべての同時アップロード アクティビティでデバイスが使用する最大アップロード帯域幅 (KB/秒単位) を指定できます。
既定値は 0 で、可能な範囲で無制限の帯域幅を意味します。

配信の最適化ポリシーの包括的なリストについては、「配信の最適化リファレンス」を参照してください。

28.3 配信の最適化

  • [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[配信の最適化] にある [ダウンロード モード] グループ ポリシーを有効にし、[ダウンロード モード][簡易モード] (99) に設定して、ピア間のトラフィックと配信の最適化のクラウド サービスへのトラフィックを防止します。

- または -

  • HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimizationDODownloadMode という名前の新しい REG_DWORD レジストリ設定を作成し、値を 99 に設定します。

配信の最適化について詳しくは、「Windows Update の配信の最適化に関する FAQ のページ」をご覧ください。

IT 担当者の場合、配信の最適化に関する情報は、「Windows 10 の更新プログラムの配信の最適化」で入手できます。

29. Windows Update

次のレジストリ エントリを設定して Windows Update をオフにすることができます。

  • DoNotConnectToWindowsUpdateInternetLocations という名前の REG_DWORD 値を HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate に追加し、値を 1 に設定します。

    および

  • DisableWindowsUpdateAccessという名前の REG_DWORD 値を HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate に追加し、値を 1 に設定します。

    および

  • WUServer という名前の REG_SZ 値を HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate に追加し、スペース文字 " " を使って空白になっていることを確認します。

    および

  • WUStatusServer という名前の REG_SZ 値を HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate に追加し、スペース文字 " " を使って空白になっていることを確認します。

    および

  • UpdateServiceUrlAlternate という名前の REG_SZ 値を HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate に追加し、スペース文字 " " を使って空白になっていることを確認します。

    および

  • UseWUServer という名前の REG_DWORD 値を HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate\AU に追加し、値を 1 に設定します。

または

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Update]>[インターネット上の Windows Update に接続しない][有効] に設定します。

    および

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[システム]>[インターネット通信の管理]>[インターネット通信の設定]>[Windows Update のすべての機能へのアクセスをオフにする][有効] に設定します。

    -および-

  • グループ ポリシー [コンピューターの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Update]>[イントラネットの Microsoft 更新サービスの場所を指定する][有効] に設定し、すべてのオプション設定 (イントラネット更新サービス、イントラネット統計サーバー、代替ダウンロード サーバー) が " " に設定されていることを確認します。

    -および-

  • グループ ポリシー [ユーザーの構成]>[管理用テンプレート]>[Windows コンポーネント]>[Windows Update]>[Windows Update のすべての機能へのアクセスを削除する][有効] に設定し、[コンピューターの構成]0 (ゼロ) に設定します。

自動更新をオフにするには、次の操作を行います。 これはお勧めしません。

  • AutoDownload という名前の REG_DWORD 値を HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\WindowsStore\WindowsUpdate に追加し、値を 5 に設定します。

Windows 10 の中国版では、トラフィックを防ぐためにもう 1 つのレジストリ キーを設定することができます。

  • HapDownloadEnabled という名前の REG_DWORD 値を HKEY_LOCAL_MACHINE\Software\Microsoft\LexiconUpdate\loc_0804 に追加し、値を 0 に設定します。

30. クラウド クリップボード

クリップボード アイテムをデバイス間でローミングするかどうかを指定します。 これを許可すると、クリップボードにコピーされたアイテムがクラウドにアップロードされ、他のデバイスでアクセスできます。 クラウド内のクリップボード アイテムは、Windows 10 および Windows 11 デバイス間でダウンロードして貼り付けできます。

最も制限された値は 0 です。

ADMX の情報:

  • GP フレンドリ名: デバイス間でのクリップボードの同期を許可する
  • GP 名: AllowCrossDeviceClipboard
  • GP パス: System/OS Policies
  • GP ADMX ファイル名: OSPolicy.admx

サポートされている値は次のとおりです。

  • 0 - 許可しない
  • 1 (既定値) – 許可する

31. サービス構成

サービス構成は、テレメトリ サービスなどの Windows コンポーネントで動的に構成を更新するために使用されます。 このサービスをオフにした場合、このサービスを使用しているアプリが動作しなくなる場合があります。

次のレジストリ エントリを設定して、サービス構成をオフにすることができます。

DisableOneSettingsDownloadsという名前の REG_DWORD 値を HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\DataCollection に追加し、値を 1 に設定します。

32. ウィジェット

ウィジェットは、ユーザーがカスタマイズできるニュースおよびフィード サービスです。 このサービスをオフにした場合、このサービスを使用しているアプリが動作しなくなる場合があります。

ウィジェットを無効にするには、グループ ポリシーまたは Microsoft Intune などの MDM ソリューションのカスタム設定を使用できます。

  • グループ ポリシーには "ウィジェットを許可する" ポリシーを使用できます。これは、Intune 設定カタログでも使用できます。
  • MDM ソリューションでは、NewsandInterests 構成サービス プロバイダー (CSP) の AllowNewsAndInterests 設定を使用できます。

AllowNewsAndInterests と "ウィジェットを許可する” ポリシーの詳細については、こちらの情報を参照してください

33. 推奨事項

スタート メニューの [推奨] セクションには、推奨されるアプリとファイルの一覧が表示されます。

これらの推奨事項をオフにするには、次のいずれかの方法を使用できます。

  • グループ ポリシーで、[ユーザーの構成]>[管理用テンプレート]>[スタート メニューとタスクバー] の下にある "スタート メニューから推奨を削除する" ポリシーを [有効] に設定します。
  • Microsoft Intune などの MDM ソリューションでは、スタート画面のポリシー構成サービス プロバイダー (CSP) の HideRecentJumplists 設定を使用できます。
  • レジストリで、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_TrackDocs を 0 に設定できます。
  • UI では、[設定]>[個人用設定]>[開始]で、[[スタート]、[ジャンプ リスト]、[ファイル エクスプローラー]で最近開いた項目を表示する] をオフにすることができます。

Windows 制限付きトラフィック制限機能ベースラインの許可トラフィック リスト

許可されているトラフィック エンドポイント
activation-v2.sls.microsoft.com/*
crl.microsoft.com/pki/crl/*
ocsp.digicert.com/*
www.microsoft.com/pkiops/*

詳しくは、「デバイスの更新管理」および「グループ ポリシーを使用して自動更新を構成する」をご覧ください。