Autopilotの自己展開モードでキオスクPCを用意する
特定のアプリのみ利用ができるキオスクPCをAutoPilotを利用してセットアップする手順です。
AutoPilotとIntuneを利用することで、ローカルユーザーを作成する必要もなく、表示するURLもリモートで変更できるキオスクPCを用意できます。
下記の流れで実施していきます。
- グループを作成する
- Autopilotデバイスとして登録する
- グループタグを設定する
- デプロイプロファイルを設定する
- キオスクプロファイルを設定する
1.グループを作成する
メンバーシップの種類を動的デバイスを選択する
動的メンバーシップルールを設定する
(device.devicePhysicalIds -any (_ -eq "[OrderID]:任意の値"))
任意の値の部分は、以降の手順で出てくるグループタグと値を合わせます。
2.Autopilotデバイスとして登録する
Autopilotへの登録方法は以下の公式マニュアルを参照してください。
PCの販売店と相談することで事前に登録してもらうことや、登録用のcsvだけをもらうと言ったことも可能です。
3.グループタグを設定する
Autopilot登録されたデバイスのデバイスグループを作成した際に設定した値と同じ値を設定してください
4.デプロイプロファイルを作成する
配置モードは「自己展開」を選択する
割り当てるグループは、作成したグループを割り当てます
プロファイルが割り当たっていることを確認する
5.キオスクプロファイルを設定する
登録したデバイスを初期化状態で起動するとAutoPilotにより自動でIntuneへの登録が行われます。
そのまましばらく待機しているとキオスクプロファイルで設定したキオスクURLにアクセスした状態でブラウザが立ち上がります。
MEM (Intune)で外部メモリの制限
USBメモリ等の持ち出し可能な記憶装置には、簡単にデータのやり取りができる一方で、データの不正な持ち出しや紛失してしまうというリスクがあります。
これらのリスクに対してIntuneを利用して出来る制限をかけてみましょう。
リムーバブル記憶域へのアクセスをブロックする
- 構成プロファイル > デバイス制限プロファイル > 全般 から「リムーバブル記憶域」設定をブロックする
このポリシーがパソコンに配布されると以下の挙動となりました
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevicesのDeny_Allの値が1になる
- リムーバブルディスクを開こうとするとアクセスが拒否される
- USBメモリ、SDカード(PC搭載のスロット)、DVD(PC搭載)、スマホ(ファイル転送/PTP)で全てアクセスが拒否されました
リムーバブル記憶域への書き込みをブロックする
- エンドポイントセキュリティ > デバイス制御プロファイルを作成する
- 「リムーバブル記憶域への書き込みアクセスをブロックする」を【はい】に設定する
このプロファイルをパソコンに配布すると以下の挙動となりました
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\RemovableStorageDevices\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}のDeny_Writeの値が 1 になる
- 接続したUSBメモリにファイルを書き込もうとするとアクセスが拒否される
- 「続行」を選択しても拒否されます
- USBメモリへの書き込みはブロックされました
- SDカード(PC搭載のスロット)、DVD(PC搭載)、スマホスマホ(ファイル転送/PTP)はブロックされませんでした
網羅的に検証できているわけではないので環境の問題とかあるかもしれませんが、
SDカード、DVD、スマホについては、管理用テンプレートから書き込みアクセス権の拒否を設定したところブロックされることを確認できました。
- 構成プロファイル > 管理用テンプレートから「CDおよびDVD:書き込みアクセス権の拒否」設定を有効にする
- 「WPDデバイス:書き込みアクセス権の拒否」を有効にする
CBCMでchromeのアップデートを推奨する
MEMでChromeを管理対象ブラウザに登録する
MEMでPCロック時間の設定
MEMのプロファイルを設定することで、アイドル状態が一定期間続いた場合に自動でロックすることが可能です。
PCから離れるときはWindows+Lショートカットでロックする癖をつけることも重要ですが、不正にPCを使用されることを防ぐためにもシステムで強制しましょう。
- デバイス>Windows>構成プロファイル>プロファイルの作成からデバイスの制限プロファイルを作成する
- パスワードの設定から画面がロックされるまでの非アクティブな最長時間 (分)に任意の値を設定する
- ユーザーかデバイスに割り当てる
これを配布するとクライアントPC側で以下の動作となりました。
- ロックがかかるまでの時間MaxInactivityTimeDeviceLockが設定される*1
- ロックがかかった際に求めるDevicePasswordEnabledが設定される
- 指定した時間無操作だとロックがかかる
- ディスプレイがオフになった際もロックがかかる
- スクリーンセーバーがかかった際もロックがかかる*2
スクリーンセーバー設定はユーザーごとでも変更できる気がしますが、あまり分けるケースが思いつかないのでロックで良いのかなと思いました。
MEMでSlackを展開
これまではストア版SlackをMEM(Intune)から配布していましたが、Microsoft Store for Businessが2023年に終了するみたいなのでパッケージ版を配布する方法を検証してみました。
SlackのヘルプページからMicrosoft インストーラー (MSI) パッケージをダウンロードすることができます。今回はユーザー別展開用MSIを使います。
Microsoft インストーラーを使って Slack をデプロイする | Slack
- MEMの管理画面からアプリの追加を選択します
- 基幹業務アプリを選択します
- ダウンロードしたSlackSetup.msiを選択してアップロードします
- アプリのインストールコンテキストは強制的に【デバイス】が選択されます
- 自動更新に対応しているのでアプリのバージョンを無視するは【はい】を選択します
- その他の補足的な設定は任意で問題ないと思います
これを配布するとクライアントPC側で以下の動作となりました。
- %LOCALAPPDATA%フォルダ内にSlackがインストールされます。
- デスクトップ画面にショートカットが作成されます。
- Program Filesフォルダ内にSlackインストーラが保存されます。
- 共通のスタートアップにSlackインストーラが登録されます。*1
- 新しいユーザーでWindowsにログインしてもSlackがインストールされます。
Win32(intunewin)ツールを使うか、あとはパッケージマネージャーを使うというパターンもあると思いますが、intunewin形式への変換が不要であったり管理ツールやスクリプトの学習しなくて済むので今回のやり方が一番手っ取り早いかなと思いました。
ちなみにStore for Businessに変わる新しいサービスは22年の前半にプレビュー、後半に一般公開となるらしいです!