Microsoft Intune MDM サーバーを使って、Windows 10 および Windows 11 オペレーティング システム コンポーネントから Microsoft サービスへの接続を管理する

適用対象

• Windows 11
• Windows 10 Enterprise バージョン 1903 以降

この記事では、Windows 10 および Windows 11 コンポーネントが Microsoft とモバイル デバイス管理/構成サービス プロバイダー (MDM/CSP) に対して行うネットワーク接続と、Microsoft と共有されるデータを管理するために Microsoft Intune を使用して IT 担当者が利用できるカスタムの Open Mobile Alliance Uniform Resource Identifier (OMA URI) ポリシーについて説明します。 Windows から Microsoft サービスへの接続を最小限にしたり、プライバシー設定を構成したりする場合は、いくつかの設定を考慮する必要があります。 たとえば、診断データを Windows のエディションの最下位レベルに構成し、この記事の手順を使って、オフにする Microsoft サービスに対して Windows が行う他の接続を評価できます。 Microsoft へのネットワーク接続を最小限に減らすことはできますが、これらの通信が既定で有効になっているのには、マルウェア定義の更新や最新の証明書失効リストの維持など、いくつかの理由が存在します。 このデータは、セキュリティで保護された信頼性の高い最新のエクスペリエンスを提供するために役立ちます。

重要

• MDM 構成の許可されているトラフィック エンドポイントが表示されています (許可されているトラフィック)。
  • CRL (証明書失効リスト) と OCSP (オンライン証明書ステータスプロトコル) ネットワーク トラフィックを無効にすることはできません。また、ネットワーク トレースにも表示されます。 発行元の証明書機関に対して、CRL および OCSP のチェックが行われます。 Microsoft は、証明書機関の 1 つです。 DigiCert、Thawte、Google、Symantec、VeriSign など、他にも多数あります。
  • Windows 10 および Windows 11 デバイスの Microsoft Intune ベースの管理に特に必要なトラフィックがいくつかあります。 このトラフィックには、Windows 通知サービス (WNS)、ルート証明書の自動更新 (ARCU)、一部の Windows Update 関連トラフィックが含まれます。 上記のトラフィックは、Windows 10 および Windows 11 デバイスを管理するため、Microsoft Intune MDM サーバーの許可されているトラフィックで構成されています。
• 設定によってはデバイスのセキュリティが低下することがあるため、セキュリティ上の理由から、構成する設定を決める際は注意してください。 デバイス構成のセキュリティを下げる可能性がある設定の例として、Windows Update の無効化、ルート証明書の自動更新の無効化、Windows Defender の無効化などがあります。 したがって、これらの機能を無効にすることはお勧めしません。
• 競合が発生した場合にグループ ポリシーよりも CSP が優先されるようにするには、ControlPolicyConflict ポリシーを使います。
• MDM/CSP 設定の一部またはすべてを適用すると、Windows の [問い合わせ] と [フィードバックの送信] のリンクが機能しなくなることがあります。

Warning

ユーザーが [すべて削除] オプションを使用して [この PC を初期状態に戻す] コマンド ([設定] -> [更新とセキュリティ] -> [回復]) を実行した場合、デバイスの出力トラフィックを再制限するために >Windows Restricted Traffic Limited Functionality 設定を再適用する必要があります。 >これを行うには、クライアントを Microsoft Intune サービスに再登録する必要があります。 出力トラフィックは、Restricted Traffic Limited Functionality 設定が再>適用されるまでの間に発生することがあります。 ユーザーが [ファイルを保持する] >オプションを指定して [この PC をリセットする] を実行すると、制限付きトラフィック制限機能の設定がデバイスに保持されるため、[ファイルを保持する] のリセット中およびリセット後もクライアントは >制限されたトラフィック構成のままになり、再登録は必要ありません。

Microsoft Intune の詳細情報については、「モダン ワークプレースのための IT サービス提供の変革」と「Microsoft Intune のドキュメント」を参照してください。

Windows の設定、グループ ポリシー、レジストリ設定を使用した Microsoft サービスへのネットワーク接続の管理について詳しくは、「Windows オペレーティング システム コンポーネントから Microsoft サービスへの接続を管理する」を参照してください。

Microsoft では、常にドキュメントの品質向上に努めており、皆様からのフィードバックをお待ちしております。 フィードバック メールの送信先は、telmhelp@microsoft.com です。

Windows 10 Enterprise エディション 1903 以降と Windows 11 の設定

次の表に、各設定の管理オプションを示します。

Windows 10 および Windows 11 では、ポリシー CSP で次の MDM ポリシーを使用できます。

1. ルート証明書の自動更新

   1. MDM ポリシー: ルート証明書の自動更新に使うことができる MDM は、意図的に用意されていません。 この MDM が存在していないのは、デバイスの MDM 管理の運用および管理が妨害されるためです。

2. Cortana と検索

   1. MDM ポリシー: Experience/AllowCortana。 Cortana をデバイスにインストールして実行することを許可するかどうかを選択します。 0 (ゼロ) に設定
   2. MDM ポリシー: Search/AllowSearchToUseLocation。 Cortana および検索で位置情報に対応する検索結果を提供するかどうかを選択します。 0 (ゼロ) に設定

3. 日付/時刻

   1. MDM ポリシー: Settings/AllowDateTime。 ユーザーが日付と時刻の設定を変更できるようにします。 0 (ゼロ) に設定

4. デバイス メタデータの取得

   1. MDM ポリシー: DeviceInstallation/PreventDeviceMetadataFromNetwork。 Windows がデバイス メタデータをインターネットから取得できないようにするかどうかを選択します。 有効に設定する

5. デバイスの検索

   1. MDM ポリシー: Experience/AllowFindMyDevice。 このポリシーは、デバイスの検索を有効にします。 0 (ゼロ)に設定

6. フォント ストリーミング

   1. MDM ポリシー: System/AllowFontProviders。 Windows がオンライン フォント プロバイダーからフォントとフォント カタログ データをダウンロードすることを許可するかどうかを決定する設定です。 0 (ゼロ)に設定

7. Insider Preview ビルド

   1. MDM ポリシー: System/AllowBuildPreview。 このポリシー設定は、ユーザーが Windows Update の詳細オプションで Insider ビルド コントロールにアクセスできるかどうかを決定します。 0 (ゼロ)に設定

8. Internet Explorer: Internet Explorer CSP には、次の Microsoft Internet Explorer MDM ポリシーが用意されています。

   1. MDM ポリシー: InternetExplorer/AllowSuggestedSites。 ユーザーの閲覧アクティビティに基づいて Web サイトをお勧めします。 無効に設定する
   2. MDM ポリシー: InternetExplorer/PreventManagingSmartScreenFilter。 ユーザーが Windows Defender SmartScreen を管理できないようにします。Windows Defender SmartScreen を有効にすると、"フィッシング" を通じて個人情報を不正に収集することがわかっている Web サイト、または悪意のあるソフトウェアをホストしていることがわかっている Web サイトにアクセスしようとすると警告が表示されます。 次の値を含む文字列に設定
      1. <有効/><データ id=”IE9SafetyFilterOptions” 値=”1”/>
   3. MDM ポリシー: InternetExplorer/DisableFlipAheadFeature。 ユーザーが画面を横方向にスワイプするか、または [進む] をクリックすることで、あらかじめ読み込まれている Web サイトの次のページに移動できるかどうかを決定します。 有効に設定する
   4. MDM ポリシー: InternetExplorer/DisableHomePageChange。 ユーザーが既定のホームページを変更できるかどうかを決定します。 次の値を含む文字列に設定
      1. <enabled/><data id=”EnterHomePagePrompt” value=”Start Page”/>
   5. MDM ポリシー: InternetExplorer/DisableFirstRunWizard。 Internet Explorer または Windows をインストールした後でユーザーが初めてブラウザーを起動したときに、Internet Explorer が初回実行ウィザードを実行しなくなります。 次の値を含む文字列に設定
      1. <enabled/><data id=”FirstRunOptions” value=”1”/>

9. ライブ タイル

   1. MDM ポリシー: Notifications/DisallowTileNotification。 このポリシー設定は、タイル通知をオフにします。 このポリシー設定を有効にした場合、アプリケーションおよびシステムの機能は、スタート画面のタイルおよびタイル バッジを更新できなくなります。 整数値 1

10. メールの同期

    1. MDM ポリシー: Accounts/AllowMicrosoftAccountConnection。 電子メール関連ではない接続の認証とサービスのために Microsoft アカウントを使用することを、ユーザーに許可するかどうかを指定します。 0 (ゼロ) に設定

11. Microsoft アカウント

    1. MDM ポリシー: Accounts/AllowMicrosoftAccountSignInAssistant。 Microsoft アカウント サインイン アシスタントを無効にします。 0 (ゼロ) に設定

12. Microsoft Edge: ポリシー CSP では、次の Microsoft Edge の MDM ポリシーを使用できます。 Microsoft Edge のすべてのポリシーの一覧については、「Microsoft Edge で利用可能なポリシー」をご覧ください。

    1. MDM ポリシー: Browser/AllowAutoFill。 従業員が Web サイトでオートフィルを使用できるかどうかを選択します。 0 (ゼロ) に設定
    2. MDM ポリシー: Browser/AllowDoNotTrack。 従業員がトラッキング拒否ヘッダーを送信できるかどうかを選択します。 0 (ゼロ) に設定
    3. MDM ポリシー: Browser/AllowMicrosoftCompatbilityList。 Microsoft Edge で Microsoft 互換性一覧を指定します。 0 (ゼロ) に設定
    4. MDM ポリシー: Browser/AllowPasswordManager。 従業員が各自のデバイスにローカルにパスワードを保存できるかどうかを選択します。 0 (ゼロ) に設定
    5. MDM ポリシー: Browser/AllowSearchSuggestionsinAddressBar。 アドレス バーに検索候補を表示するかどうかを選択します。 0 (ゼロ)に設定
    6. MDM ポリシー: Browser/AllowSmartScreen。 Windows Defender SmartScreen を有効にするか、無効にするかを選択します。 0 (ゼロ)に設定

13. ネットワーク接続状態インジケーター

    1. Connectivity/DisallowNetworkConnectivityActiveTests。 注: このポリシーを適用した後、このポリシー設定を有効化するには、デバイスを再起動する必要があります。 1 に設定

14. オフライン マップ

    1. MDM ポリシー: AllowOfflineMapsDownloadOverMeteredConnection。 従量制課金接続でのマップ データのダウンロードと更新を許可します。
       0 (ゼロ) に設定
    2. MDM ポリシー: EnableOfflineMapsAutoUpdate。 マップ データの自動ダウンロードおよび更新を無効にします。 0 (ゼロ)に設定

15. OneDrive

    1. MDM ポリシー: DisableOneDriveFileSync。 アプリや機能による OneDrive 上のファイルの操作を IT 管理者が禁止できます。 1 に設定
    2. ADMX の取り込み - 最新の OneDrive ADMX ファイルを取得するには、最新の Windows 10 または Windows 11 クライアントが必要です。 ADMX ファイルは %LocalAppData%\Microsoft\OneDrive\ のパスにあります。ここには、現在の OneDrive ビルドを含むフォルダー ("18.162.0812.0001" など) があります。 "adm" という名前のフォルダーがあります。このフォルダーには、admx と adml のポリシー定義ファイルが含まれています。
    3. MDM ポリシー: ユーザーのサインイン前にネットワーク トラフィックがないようにします。 PreventNetworkTrafficPreUserSignIn。 OMA-URI 値: ./Device/Vendor/MSFT/Policy/Config/OneDriveNGSC~Policy~OneDriveNGSC/PreventNetworkTrafficPreUserSignIn、データ型: 文字列、値: <有効/>

16. プライバシー設定: [フィードバックと診断] ページを除き、PC にサインインするすべてのユーザー アカウントについて、以下の設定を構成する必要があります。

    1. 全般 - TextInput/AllowLinguisticDataCollection。 このポリシー設定は、手書き入力とタイプ入力を Microsoft に送信する機能を制御します。 0 (ゼロ) に設定
    2. 位置情報 - System/AllowLocation。 アプリが位置情報サービスにアクセスできるかどうかを指定します。 0 (ゼロ)に設定
    3. カメラ - Camera/AllowCamera. カメラを無効または有効にします。 0 (ゼロ)に設定
    4. マイク - Privacy/LetAppsAccessMicrophone。 Windows アプリがマイクにアクセスできるかどうかを指定します。 2 に設定
    5. 通知 - Privacy/LetAppsAccessNotifications。 Windows アプリが通知にアクセスできるかどうかを指定します。 2 に設定
    6. 通知 - Settings/AllowOnlineTips。 設定アプリのオンライン ヒントとヘルプの取得を有効または無効にします。 整数値 0
    7. 音声認識、手書き入力とタイプ入力 - Privacy/AllowInputPersonalization。 このポリシーは、デバイスのユーザーがオンライン音声認識を有効にできるかどうかを指定します。 0 (ゼロ) に設定
    8. 音声認識、手書き入力とタイプ入力 - TextInput/AllowLinguisticDataCollection。 このポリシー設定は、手描き入力と入力データを Microsoft 0 (ゼロ)に送信する機能を制御します。
    9. アカウント情報 - Privacy/LetAppsAccessAccountInfo。 Windows アプリがアカウント情報にアクセスできるかどうかを指定します。 2 に設定
    10. 連絡先 - Privacy/LetAppsAccessContacts。 Windows アプリが連絡先にアクセスできるかどうかを指定します。 2 に設定
    11. カレンダー - Privacy/LetAppsAccessCalendar。 Windows アプリがカレンダーにアクセスできるかどうかを指定します。 2 に設定
    12. 通話履歴 - Privacy/LetAppsAccessCallHistory。 Windows アプリがアカウント情報にアクセスできるかどうかを指定します。 2 に設定
    13. メール - Privacy/LetAppsAccessEmail。 Windows アプリがメールにアクセスできるかどうかを指定します。 2 に設定
    14. メッセージング - Privacy/LetAppsAccessMessaging。 Windows アプリがメッセージ (SMS または MMS) を読んだり送信したりできるかを指定します。 2 に設定
    15. 通話 - Privacy/LetAppsAccessPhone。 Windows アプリで電話をかけることができるかどうかを指定します。 2 に設定
    16. 無線 - Privacy/LetAppsAccessRadios。 Windows アプリに無線を制御するためのアクセス権を付与するかどうかを指定します。 2 に設定
    17. その他のデバイス - Privacy/LetAppsSyncWithDevices。 Windows アプリとデバイスの同期を許可するかどうかを指定します。 2 に設定
    18. その他のデバイス - Privacy/LetAppsAccessTrustedDevices。 Windows アプリが信頼済みデバイスにアクセスできるかどうかを指定します。 2 に設定
    19. フィードバックと診断 - System/AllowTelemetry。 デバイスが診断と使用状況の統計データ (ワトソン博士など) を送信できるようにします。 0 (ゼロ) に設定
    20. フィードバックと診断 - Experience/DoNotShowFeedbackNotifications。 デバイスに Microsoft によるフィードバックに関する質問が表示されないようにします。 1 に設定
    21. バックグラウンド アプリ - Privacy/LetAppsRunInBackground。 Windows アプリをバックグラウンドで実行できるかどうかを指定します。 2 に設定
    22. モーション - Privacy/LetAppsAccessMotion。 Windows アプリがモーション データにアクセスできるかどうかを指定します。 2 に設定
    23. タスク - Privacy/LetAppsAccessTasks。 タスクにアクセスできるアプリを選ぶ機能を無効にします。 2 に設定
    24. アプリの診断 - Privacy/LetAppsGetDiagnosticInfo。 強制的に許可、強制的に拒否、または他の実行中のアプリに関する診断情報を取得できるアプリをユーザーが制御できるようにします。 2 に設定

17. ソフトウェア保護プラットフォーム - Licensing/DisallowKMSClientOnlineAVSValidation。 KMS クライアントがライセンス認証データを自動的に Microsoft に送信しないように設定します。 1 に設定

18. 記憶域の正常性 - Storage/AllowDiskHealthModelUpdates。 ディスクの正常性モデルの更新を許可します。 0 (ゼロ) に設定

19. 設定の同期 - Experience/AllowSyncMySettings。 設定を同期するかどうかを制御します。 0 (ゼロ) に設定

20. Teredo - MDM は必要ありません。 Teredo は既定ではオフになっています。 配信の最適化 (DO) は、Teredo をオンにすることができますが、DO 自体は MDM を通じてオフになります。

21. Wi-Fi センサー - MDM は必要ありません。 Wi-Fi センサーは、Windows 10 バージョン 1803 以降または Windows 11 では利用できなくなりました。

22. Windows Defender

    1. Defender/AllowCloudProtection。 Microsoft Antimalware Protection Service から切断します。 0 (ゼロ) に設定
    2. Defender/SubmitSamplesConsent。 ファイルのサンプルを Microsoft に送信することを停止します。 2 に設定
    3. Defender/EnableSmartScreenInShell. Windows でアプリとファイル実行について、SmartScreen を無効にします。 0 (ゼロ) に設定
    4. Windows Defender SmartScreen - Browser/AllowSmartScreen。 Windows Defender SmartScreen を無効にします。 0 (ゼロ) に設定
    5. Windows Defender SmartScreen EnableAppInstallControl - SmartScreen/EnableAppInstallControl。 Microsoft Store 以外の場所からアプリをインストールすることをユーザーに許可するかどうかを制御します。 0 (ゼロ) に設定
    6. Windows Defender 望ましくない可能性があるアプリケーション (PUA) からの保護 - Defender/PUAProtection。 望ましくない可能性のあるアプリケーション (PUA) の検出レベルを指定します。 1 に設定
    7. Defender/SignatureUpdateFallbackOrder。 複数の定義の更新元の接続順を定義できます。 OMA-URI: ./Vendor/MSFT/Policy/Config/Defender/SignatureUpdateFallbackOrder、データ型: String、値: FileShares

23. Windows スポットライト - Experience/AllowWindowsSpotlight。 Windows スポットライトを無効にします。 0 (ゼロ) に設定

24. Microsoft Store

    1. ApplicationManagement/DisableStoreOriginatedApps。 プレインストールまたはダウンロードされている Microsoft Store のすべてのアプリの起動を無効にするブール値。 1 に設定
    2. ApplicationManagement/AllowAppStoreAutoUpdate。 Microsoft Store からのアプリの自動更新が許可されるかどうかを指定します。 0 (ゼロ) に設定

25. Web サイト用のアプリ - ApplicationDefaults/EnableAppUriHandlers。 このポリシー設定は、Windows がアプリの URI ハンドラーを使用した Web とアプリのリンクをサポートするかどうかを決定します。 0 (ゼロ) に設定

26. Windows Update の配信の最適化 - 次の配信の最適化 MDM ポリシーがポリシー CSP に用意されています。

    1. DeliveryOptimization/DODownloadMode。 配信の最適化で更新プログラムやアプリを取得または送信する場所を選択できます。 99 に設定

27. Windows Update

    1. Update/AllowAutoUpdate。 自動更新を制御します。 5 に設定
    2. Windows Update の [更新サービスを許可する] - Update/AllowUpdateService。 デバイスが Microsoft Update、Windows Server Update Services (WSUS)、Microsoft Store を使用できるかどうかを指定します。 0 (ゼロ) に設定
    3. Windows Update サービス URL - Update/UpdateServiceUrl。 デバイスが Microsoft Update ではなく WSUS サーバーで更新プログラムを確認できるようにします。 次の値を含む文字列に設定
       1. <置換><CmdID>$CmdID$<項目><メタ><形式>chr<タイプ>テキスト/プレーン</Meta><ターゲット><LocURI>./Vendor/MSFT/Policy/Config/Update/UpdateServiceUrl</Target><Data>http://abcd-srv:8530</Item></Replace>

28. 推奨事項
    a. スタート画面のポリシー構成サービス プロバイダー (CSP) の HideRecentJumplists 設定。 [スタート] メニューの [推奨] セクションで推奨されるアプリとファイルの一覧を非表示にします。

Microsoft Intune/MDM 構成の許可トラフィック

許可されているトラフィック エンドポイント
activation-v2.sls.microsoft.com/*
cdn.onenote.net
client.wns.windows.com
crl.microsoft.com/pki/crl/*
ctldl.windowsupdate.com
*displaycatalog.mp.microsoft.com
dm3p.wns.windows.com
*microsoft.com/pkiops/*
ocsp.digicert.com/*
r.manage.microsoft.com
tile-service.weather.microsoft.com
settings-win.data.microsoft.com
msedge.api.cdp.microsoft.com
*.dl.delivery.mp.microsoft.com
edge.microsoft.com