こんにちは。Windows プラットフォーム サポートの工藤でございます。
今回は、Windows 10 モバイル デバイスに関する技術情報をご紹介したいと思います。
組織内で利用されるモバイル デバイスの管理者は、BYOD (Bring Your Own Device) を含め、組織から提供されるデバイスを安全に使うことができるように管理しなければなりません。
例えば、デバイスが紛失するなどの万が一の有事を想定した場合、デバイスにログインするためのパスワード (PIN) を事前に設定しておけば、もし、悪意ある第三者の手に渡ってしまったとしても、すぐには悪用されないでしょう。
さらに、定期的にパスワードを変更するように構成しておけば、より安全性が高まります。
Windows 10 モバイル デバイスの場合であれば、 Windows イメージおよび構成デザイナー (ICD) を利用すれば、そのようにデバイスを管理者側で構成した上でユーザーに配布することが可能です。
今回は、この Windows ICD を使って、デバイスにログインするためのパスワード (PIN) を設定し、かつ、指定した有効期間を過ぎたパスワードの変更を求めるポリシーの設定ファイルを作成して、モバイル デバイス用のプロビジョニング パッケージ化する方法を、画像イメージを含めながらご紹介いたします。
そもそも Windows ICD が一体どのようなものかという点についての詳しい説明は今回省略しますが、その点については以下のページでご紹介していますので、まずはご参照いただければと存じます。
– 参考資料
Windows イメージングおよび構成デザイナー
https://msdn.microsoft.com/ja-jp/library/windows/hardware/dn916113(v=vs.85).aspx
================
A. 事前準備
================
まずはじめに、Windows ADK より イメージおよび構成デザイナー (ICD) をインストールします。
以下のサイトよりダウンロードできます。
– 参考資料
Windows ADK のダウンロード
https://msdn.microsoft.com/ja-jp/windows/hardware/dn913721.aspx
– インストール手順
1. 上記のサイトより [Windows ADK for Windows 10 を入手する] を押下します。
2. 任意の場所に保存して、adksetup.exe を実行します。
3. “Windows アセスメント & デプロイメント キット – Windows 10” のウィザード画面が起動しますので、
画面にしたがって、イメージおよび構成デザイナー (ICD) をインストールしてください。
※ より詳細なインストール方法や Windows ICD がサポートされているプラットフォーム、は、以下のサイトでご紹介しています。
– 参考資料
Windows ICD の概要
https://msdn.microsoft.com/ja-jp/library/windows/hardware/dn916112(v=vs.85).aspx
Supported platforms for Windows ICD
https://msdn.microsoft.com/ja-jp/library/windows/hardware/dn916114(v=vs.85).aspx
================
B. ポリシー設定
================
それでは、イメージおよび構成デザイナー (ICD) を実際に使って、ポリシーの設定が記載されたパッケージを作成します。
今回は、例として、指定した有効期間 (30日) をパスワードの変更を求めるポリシー設定を作成したいと思います。
(実際の動作を検証するには、有効期間を 1 日に設定すれば、最短で 24 時間後に、モバイル上でパスワードの変更画面を確認することができます)
– 設定手順
1. イメージおよび構成デザイナー (ICD) を起動します。
2. 以下のような画面が表示されますので、”新しいプロビジョニング パッケージ” のタイルをクリックします。
3. 以下のように、新しいプロジェクトの名前、プロジェクトのフォルダー、構成する設定 (Common to all Windows mobile editions を選択) を設定します。
4. 新しいプロジェクトを作成すると、先ほど設定したプロジェクト名の新しいタブが表示されます。
5. [利用可能なカスタマイズ] から [実行時の設定] – [Policies] – [DeviceLock] と展開します。
6. [DevicePasswordEnabled] をポイントして、以下のように “NOT CONFIGURED” から “Enabled” に変更します。
※ このポリシーを設定しないと、パスワードの有効期限や、パスワードの履歴といった他ののポリシーを設定しても有効化されません。
そのため、このポリシーは必須設定項目となります。
現時点では正式な公開技術情報への記載がないため、本ブログにて公開させていただきました。
7. [DevicePasswordExpiration] をポイントして、以下のようにパスワードの有効期間 (日数) を設定します。
以上でポリシーの設定ファイルは完成です。
続いて、設定ファイルをプロビジョニング パッケージとしてエクスポートする手順に移ります。
– 参考資料
DevicePasswordEnabled
https://msdn.microsoft.com/en-us/library/windows/hardware/mt219129(v=vs.85).aspx
DevicePasswordExpiration
https://msdn.microsoft.com/en-us/library/windows/hardware/mt219130(v=vs.85).aspx
================
C. プロビジョニング パッケージの作成
================
– 作成手順
1. エクスポート メニューより、”プロビジョニング パッケージ” を選択します。
2. 以下のように任意の場所に、プロビジョニング パッケージをエクスポートします。
特に要件がなければ、エクスポート場所とパッケージ名の指定意外は、デフォルト設定でも作成できます。
3. エクスポートした場所に、*.ppkg ファイルができていることを確認します。
以上で ”プロビジョニング パッケージ” が完成です。
あとは、モバイル デバイスにこのパッケージを読み込ませれば、ポリシーが反映され、デバイスにログインするためのパスワード (PIN) を設定し、かつ、モバイル デバイスに対して指定した有効期間を過ぎたパスワードの変更が求められます。
※ モバイル デバイスにパッケージを読み込ませる方法に関しましては、デバイスの機種によって異なる場合がございますので、本記事での記載は割愛させていただきますが、以下の技術情報もご参考いただければと存じます。
– 参考資料
Windows 10 Mobile イメージをビルドして展開する
https://msdn.microsoft.com/ja-jp/library/windows/hardware/dn916106(v=vs.85).aspx
いかがでしたでしょうか。
思ったよりも簡単に設定できたのではないかと思います。
イメージおよび構成デザイナー (ICD) では他にもさまざまな設定ファイルを作成することができますので、是非お試しいただければ幸いです。