目次
UWPアプリから個人向けマイクロソフトアカウントのログインを抑制する
技術書典も無事に終え、仕事も落ち着きようやく技術系記事の執筆に取り組めるようになりました。
また精力的に更新して参りますのでどうぞ宜しくお願い致します。
さて、Windows 10ではMicrosoftアカウント、OneDriveの連携機能が強化され、OSの至る所でOneDriveへのログインを行い、外部と通信ができるようになりました。
基本的には便利な機能ではあるのですが、企業内PCだと一般ユーザーに個人向けのクラウド機能は利用して欲しくないのが本音です。
技術書典で出版した「ゼロからはじめるWindows 10マスタイメージ作成 ~Fall Creator Update~」では、エクスプローラとOfficeスイートからOneDriveへのアクセスを抑制する方法をご紹介しました。
今回は筆者が見落としていた、フォトなどのWindows 10にプリインストールされているUWPアプリの個人向けOneDriveへのログイン機能を抑制する方法をご紹介します。
フォトを立ち上げるとOneDriveへのログインを促される
フォトをスタートメニューから立ち上げると、上図の様にOneDriveへのログイン画面が表示されます。
画像を見て分かるとおりOffice 365だけでなく、個人向けOneDriveへもログインできてしまうことが確認できます。
この個人向けOneDriveへのログイン機能を抑制するには、ローカルグループポリシーまたはグループポリシーオブジェクト(GPO)を利用します。
ローカルグループポリシーの場合
ファイル名を指定して実行から「gpedit.msc」を実行し、ローカルグループポリシーエディタを立ち上げます。
そして、「コンピューターの構成」->「管理用テンプレート」->「Windowsコンポーネント」->「Microsoftアカウント」の
「すべてのコンシューマーMicrosoftアカウントユーザーの認証をブロックする」
ポリシーを有効化します。
えぇそうなんです。困ったことに「コンピュータポリシー」なんですよね・・・
Windows 10は設定パネルの抑制ポリシーと言い何故ユーザ毎に事情が変わるポリシーがことごとくコンピュータポリシーなのでしょうか・・・
まさに管理者泣かせ。当ブログのコーナー「Windows Server管理者の憂鬱」にぴったりな一品です。
グループポリシーオブジェクトの場合
グループポリシーオブジェクトで制限したい場合は、グループポリシー管理コンソールを立ち上げて、新規でグループポリシーオブジェクトを作成し、
「コンピューターの構成」->「管理用テンプレート」->「Windowsコンポーネント」->「Microsoftアカウント」の
「すべてのコンシューマーMicrosoftアカウントユーザーの認証をブロックする」
ポリシーを有効化します。
なお、このポリシーはWindows 10の管理用テンプレートが必要ですので、導入されていない場合は「Administrative Templates (.admx) for Windows 10」をダウンロードします。
管理用PCでmsiファイルを実行すると、不思議なことに管理用テンプレートが「C:\Program Files (x86)\Microsoft Group Policy」に展開されるので、ダウンロードしてきたバージョンと同じディレクトリを開き、「PolicyDefinitions」ディレクトリを「\\<Domain FQDN>\SYSVOL\<Domain FQDN>\Policies」の中にコピーします。
結果
このポリシーを有効化してもログイン画面は抑制することはできませんが、個人向けOneDriveにログインしようとすると・・・?
上図の通り、「このプログラムはグループポリシーによりブロックされています。」と表示され、個人向けOneDriveへのログインを抑制することができます。
まとめ
エクスプローラのOneDriveを抑制しただけでは、OSのそこら中にはびこるOneDriveログイン機能を抑制するに至りませんでしたが、このポリシーを使えば完全に抑制することが出来そうです。
しかしながら、ユーザポリシーではなく、コンピュータポリシーですので管理面は少し面倒臭いことになります・・・
