前回までの続きで Intune 設定カタログのまとめになります。
本記事のポリシーは 2022/3/1 時点での情報となります。
前提
今回の記事ではWindows 10向けの [構成プロファイル] - [設定カタログ] の中で以下のカテゴリーを一覧でご紹介しています。
ポリシー名の後ろに(ユーザー)とついているものはユーザー向けのポリシーです。
Enterprise Cloud Print
Exploit Guard
Kerberos
Kiosk Browser
Lanman ワークステーション
Device Guard
| カテゴリー名 | ポリシー名(Intune) | サポートするWindows10エディション | 説明 | ||||
| Home | Pro | Business | Enterprise | Education | |||
| Enterprise Cloud Print | Mopria 検出のリソース ID (ユーザー) | × | 〇 | 〇 | 〇 | 〇 | OAuth 認証中に Mopria 検出クライアントによってアクセスを要求されたリソース URI |
| クラウド プリンターの検出エンドポイント (ユーザー) | × | 〇 | 〇 | 〇 | 〇 | このポリシーは、クラウド プリンターを検出するための、ユーザーごとの検出エンドポイントを設定します | |
| クラウド印刷 OAuth クライアント ID (ユーザー) | × | 〇 | 〇 | 〇 | 〇 | OAuthAuthority から OAuth トークンを取得する権限を持つクライアント アプリケーションを識別する GUID | |
| クラウド印刷 OAuth 機関 (ユーザー) | × | 〇 | 〇 | 〇 | 〇 | OAuth トークンを取得するための認証エンドポイントです | |
| クラウド印刷のリソース ID (ユーザー) | × | 〇 | 〇 | 〇 | 〇 | OAuth 認証中に Enterprise Cloud Print クライアントによってアクセスを要求されたリソース URI | |
Exploit Guard
| カテゴリー名 | ポリシー名(Intune) | サポートするWindows10エディション | 説明 | ||||
| Home | Pro | Business | Enterprise | Education | |||
| Exploit Guard | Exploit Protection の設定 | × | 〇 | 〇 | 〇 | 〇 | IT 管理者が、システムとアプリケーションの必要な軽減策オプションを表す構成を組織内のすべてのデバイスにプッシュアウトできるようにします。構成は XML で記述されます。Exploit Protection の詳細については、デバイスで Exploit Protection を有効化することに関するページと、「Exploit Protection 構成のインポート、エクスポート、展開」を参照してください。システムの設定には再起動が必要です。アプリケーションの設定には再起動は不要です。 |
Kerberos
| カテゴリー名 | ポリシー名(Intune) | サポートするWindows10エディション | 説明 | ||||
| Home | Pro | Business | Enterprise | Education | |||
| Kerberos | UPN 名のヒント | × | 〇 | 〇 | 〇 | 〇 | ハイブリッド環境で Azure Active Directory に参加しているデバイスは、Active Directory ドメイン コントローラーと対話する必要がありますが、ドメイン参加済みのデバイスのドメイン コントローラーを検出する組み込みの機能がありません。これにより、そのようなデバイスで AAD UPN を Active Directory プリンシパルに解決する必要がある場合にエラーが発生する可能性があります。 このパラメーターにより、他の方法で UPN をプリンシパルに解決できない場合に、Azure Active Directory に参加しているデバイスが接続を試みるドメインの一覧が追加されます。 |
Kiosk Browser
| カテゴリー名 | ポリシー名(Intune) | サポートするWindows10エディション | 説明 | ||||
| Home | Pro | Business | Enterprise | Education | |||
| Kiosk Browser | [セッションの終了] ボタンを有効にする | × | 〇 | 〇 | 〇 | 〇 | キオスク ブラウザーの [セッションの終了] ボタンを有効または無効にします。 |
| [セッションの終了] ボタンを有効にする (ユーザー) | × | 〇 | 〇 | 〇 | 〇 | ||
| [ホーム] ボタンを有効にする | × | 〇 | 〇 | 〇 | 〇 | キオスク ブラウザーの [ホーム] ボタンを有効または無効にします。 | |
| [ホーム] ボタンを有効にする (ユーザー) | × | 〇 | 〇 | 〇 | 〇 | ||
| アイドル時に再起動 | × | 〇 | 〇 | 〇 | 〇 | キオスク ブラウザーを初期状態で再起動するまでの、セッションのアイドル時間の長さ (分) です。 | |
| アイドル時に再起動 (ユーザー) | × | 〇 | 〇 | 〇 | 〇 | ||
| ナビゲーション ボタンを有効にする | × | 〇 | 〇 | 〇 | 〇 | キオスク ブラウザーのナビゲーション ボタン ([進む] または [戻る]) を有効または無効にします。 | |
| ナビゲーション ボタンを有効にする (ユーザー) | × | 〇 | 〇 | 〇 | 〇 | ||
| ブロックされた URL | × | 〇 | 〇 | 〇 | 〇 | ブロックする Web サイトの URL の一覧 (ワイルドカードのサポートあり)。これを使用して、キオスク ブラウザーが移動できない、ブロックする URL を構成します。 | |
| ブロックされた URL 例外 | × | 〇 | 〇 | 〇 | 〇 | ブロックする Web サイトの URL の例外の一覧 (ワイルドカードのサポートあり)。これを使用して、キオスク ブラウザーが移動できる URL を構成します。これはブロックする URL のサブセットです。 | |
| ブロックされた URL 例外 (ユーザー) | × | 〇 | 〇 | 〇 | 〇 | ||
| ブロックする URL (ユーザー) | × | 〇 | 〇 | 〇 | 〇 | ブロックする Web サイトの URL の一覧 (ワイルドカードのサポートあり)。これを使用して、キオスク ブラウザーが移動できない、ブロックする URL を構成します。 | |
| 既定の URL | × | 〇 | 〇 | 〇 | 〇 | 起動時と再起動時にナビゲートする既定のキオスク ブラウザー URL を構成します。 | |
| 既定の URL (ユーザー) | × | 〇 | 〇 | 〇 | 〇 | ||
Lanman ワークステーション
| カテゴリー名 | ポリシー名(Intune) | サポートするWindows10エディション | 説明 | ||||
| Home | Pro | Business | Enterprise | Education | |||
| Lanman ワークステーション | 安全でないゲスト ログオンを有効にする | × | 〇 | 〇 | 〇 | 〇 | このポリシー設定では、SMB クライアントが SMB サーバーへの安全でないゲスト ログオンを許可するかどうかを決定します。このポリシー設定を有効にした場合、またはこのポリシー設定を構成しなかった場合、SMB クライアントは安全でないゲスト ログオンを許可します。このポリシー設定を無効にした場合、SMB クライアントは安全でないゲスト ログオンを拒否します。安全でないゲスト ログオンがファイル サーバーによって使用されるのは、共有フォルダーに対する認証されていないアクセスを許可することが目的です。エンタープライズ環境では一般的ではありませんが、ファイル サーバーとして動作しているコンシューマー NAS (ネットワーク接続ストレージ) アプライアンスでは、安全でないゲスト ログオンが頻繁に使用されています。既定で Windows ファイル サーバーでは認証を要求し、安全でないゲスト ログオンを使用しません。安全でないゲスト ログオンは認証されていないため、SMB 署名、SMB 暗号化などの重要なセキュリティ機能が無効になります。結果として、安全でないゲスト ログオンを許可するクライアントは、さまざまな中間者攻撃に対して脆弱になり、データ損失、データの破損、マルウェアに対するリスクにつながる可能性があります。また、安全でないゲスト ログオンを使用してファイル サーバーに書き込まれたデータには、ネットワーク上のすべてのユーザーからアクセスできる可能性があります。Microsoft では、安全でないゲスト ログオンを無効にして、認証されたアクセスを要求するようにファイル サーバーを構成することをお勧めします。 |
