組み込み機器に必要なWindows 10 IoT Enterpriseの“ロックダウン機能”とは：待ったなし！組み込み機器のWindows 10 IoT移行（3）（3/3 ページ）

[上中村英登（東京エレクトロン デバイス），MONOist]

ロックダウン機能を使用した専用端末の構築

　ここまで紹介してきたロックダウン機能は、組み合わせることでより高い効果を発揮します。例えば以下に挙げるような、あらかじめ指定されたアプリケーションだけを使用し、特定業務のみを行う専用の端末を構築するとします。

• このデバイスは、電源を投入すると、ユーザーにあらかじめ指定されたアプリケーションのみが起動します
• この環境からはデスクトップやコントロールパネルにアクセスすることはできず、端末内にあるファイルの持ち出しも行うことができません
• ユーザーがデータや設定の変更を行っても再起動やシャットダウンで電源投入前の状態に戻ります
• 管理者は、Windowsのフル機能にアクセスすることが可能で、設定変更やメンテナンス等を行うことができます

　これらの要件を満たす専用端末は、以下の表1に示すロックダウン機能で実現することができます。

適用する設定	使用する機能	実現した要件
Windowsブランド要素の非表示化	Unbranded Boot Custom Logon	起動・再起動・終了時やサインイン時のWindows要素の表示を抑制します
カスタムシェルの設定	Shell Launcher	電源投入で、デバイスは指定されたプログラムのみが動作する環境にサインインします
キーボードショートカットの禁止	Keyboard Filter	タスクマネージャの起動やプログラムの終了などを抑制します
管理者によるメンテナンス	Keyboard Filter	Keyboard Breakoutにより、管理者アカウントにサインインし、Windowsのフル機能にアクセスできます
ディスク変更の永続化禁止	Unified Write Filter	ユーザーが行ったデバイスへの変更は永続化しません。再起動やシャットダウンで変更前の状態へ戻ります
表1　ロックダウン機能の使用例

　このように、システムの要件や管理／メンテナンスの計画に応じて、ロックダウン機能を選択、設計することで、一貫性のあるユーザーエクスペリエンスと、高い安定性を持った専用の装置を構築できます。また、アプリケーションごとに実行を許可／禁止できるAppLockerやグループポリシーによるリムーバブルメディアへのアクセス制御など、Windows 10で利用できるロックダウン以外の機能も使用することで、さらに信頼性を高められます。

次回

　次回は、ロックダウン機能の詳細や、Windows 10 IoT Enterpriseでの具体的な設定方法や注意事項について解説していく予定です。