学校・企業・店舗など、1台のPCを複数ユーザーが利用する場面は多くあります。
そんなとき便利なのが Microsoft Intune『共有PCモード』 です。
個人データを残さず、セキュアな共有端末が実現できます
本記事では、画像つきで設定手順を解説します!
目次
1.共有PC管理の課題とは?
| 課題 | 具体例 |
| 個人データの残留 | ログイン情報やファイルが消えない |
| セキュリティリスク | 前の利用者のアカウントが悪用される |
| 運用負荷 | 毎回手動で初期化が必要 |
| ストレージ圧迫 | ゴミファイルが蓄積 |
Windows共有PCモードを利用すれば、
これらを自動で解決できます!
2.共有PCモードとは?
共有PCモードは、複数の利用者が使用する Windows PC を
安全に効率よく使えるように制御する Intune の機能です。
主な特徴
・ログアウトするとユーザーデータを自動削除
・ダウンロードフォルダのみファイル操作可
・組織アカウントでログイン(ゲスト制御可能)
教育機関、会議室端末、来客用PCなどに最適!
3.プロファイル作成(設定手順)
・必要条件
Microsoft Intune 管理者権限
1.Intune 管理センターへアクセス
→ https://endpoint.microsoft.com
事前準備として、共有PCというセキュリティグループを作成して同モードで利用するWindowsPCをメンバーとして追加します。
まず、「グループ」-「新しいグループ」をクリックします。
「グループ名」を共有PCとして、「メンバーが選択されていません」より同モードで利用するWindowsPCを選択し作成をクリック。
「グループ名」を共有PCとして、同モードで利用するWindowsPCを選択。
「メンバー」-「デバイス」より対象のデバイスにチェックを入れ選択、作成をクリック。
これで事前準備完了です!
2.「デバイス」→プラットフォーム別「Windows」をクリックします。
3.「構成」-「作成」-「新しいポリシー」をクリックします。
4.プラットフォームの項目にて、「Windows10以降」を選択し、プロファイルの種類項目にて「テンプレート」をクリックします。
5.テンプレレート名の項目にて、「共有されたマルチユーザーデバイス」を選択し、「作成」をクリックします。
6.名前欄に、任意のポリシー名を入力し、「次へ」をクリックします。
7.次の設定を変更し、「次へ」をクリックします。
| 設定項目 | 設定値 |
| 共有PCモード | 有効にする |
| Guestアカウント ※ 共有PCにサインインできるユーザーの種類として、ドメイン、ゲストユーザー等を選択します。 | ドメイン |
| アカウントの削除 | ログアウトの直後に |
| ローカルストレージ | 無効 |
| スリープタイムアウト(秒) | 900 |
8.「グループ追加」をクリックし、事前に作成した”共有PC”グループを検索し、チェックを入れたら、「選択」をクリックします。「次へ」をクリックします。
9.こちらも「次へ」をクリックします。
11.設定内容を確認後「作成」をクリックします。
4.設定した共有PCにログインしてみる
対象PCでは、組織のユーザーIDとパスワードを入力してサインインします。
共有PCモードではユーザー情報のキャッシュが保存されないため、
毎回ユーザーIDを入力する必要があります。
一見手間に感じるかもしれませんが、
前回利用者の情報が残らないという点では、
セキュリティ面で非常に安心できる挙動です。
ログイン後は、通常のWindowsデスクトップが表示されますが、
ファイルの作成や保存が制限されています。
共有PCモードの制限がどの程度かを確認するため、
実際にメモ帳を使って文字を入力し、保存できるかを試してみました。
まず、Windows標準の「メモ帳」を起動し、
簡単なテキストを入力します。
入力自体は通常のPCと同じように行うことができ、
文字入力や編集に制限はありません。
保存しようとすると…
次に、このメモを保存しようとすると、
保存先として選択できるフォルダーが「ダウンロード」フォルダーのみであることが分かります。
・デスクトップ:選択不可
・ドキュメント:表示されない
・ダウンロード:保存可能
つまり、
意図しない場所にファイルを残すことができない仕組みになっています。
サインアウト後の挙動
ダウンロードフォルダーにメモを保存した状態でサインアウトし、
再度サインインして確認してみます。
すると、
先ほど保存したメモファイルは完全に削除されていました。
このことから、
・利用中は一時的に作業可能
・利用終了後はデータが自動削除
という挙動が、
実際の操作でも確認できました。
今回のメモ作成テストから、以下の点が分かりました。
・アプリの利用や文字入力は通常通り可能
・保存先は厳密に制御されている
・ログアウトすれば作成したデータは残らない
共有PCとして非常に理にかなった制御であり、
個人情報や作業データが端末に残らない設計になっていることが確認できました。
5.まとめ
・サインイン時の挙動
対象PCでは、組織のユーザーIDとパスワードを入力してサインインします。
共有PCモードではユーザー情報のキャッシュが保存されないため、
毎回ユーザーIDを入力する必要があります。
・デスクトップ表示と保存制限
サインインに成功すると、通常と同じWindowsのデスクトップ画面が表示されます。
見た目は普段使っているPCと変わりませんが、
デスクトップ上ではファイルの作成や保存ができない状態になっています。
・フォルダーエクスプローラの挙動
フォルダーエクスプローラを起動すると、
「ダウンロード」フォルダー以外のディレクトリが非表示になっています。
ドキュメントやピクチャ、デスクトップなどのフォルダーは表示されず、
ファイルの操作は ダウンロードフォルダーのみ可能 という構成です。
・ログアウト後の自動削除
利用を終えてサインアウトすると、
ダウンロードフォルダー内のファイルも自動的に削除されます。
つまり、
・利用中:一時的にファイル操作が可能
・利用終了後:データは完全に削除
という流れになります。