第8回 単一アプリの実行だけを許可するキオスクモード:Windows 8.1クロスロード
「割り当てられたアクセス」とは、Windows 8.1をキオスク端末モードにするための新機能だ。このモードに設定しておくと、電源オンで特定のWindowsストアアプリだけを実行する専用端末にできる。
「Windows 8.1クロスロード」は、2013年10月から出荷されているWindows 8.1の注目機能について解説するコーナーです。
前回は、Windows 8.1の設定を初期化する「PCのリフレッシュ」と「PCのリセット」について解説した。いずれもシステムを初期化してインストールした直後の状態に戻すための機能だが、ユーザーがカスタムイメージを作成しておけば、イメージを作成した時点の状態に戻すことも可能である。今回は、Windows 8.1をキオスク端末にするための機能、「割り当てられたアクセス」について解説する。本機能を Windows 8.1タブレットあるいはタッチパネル搭載ディスプレイなどと組み合わせて利用すると、単機能の受付用端末などを簡単に実現できる。設定方法もWindows 7など従来のWindows OSに比べて非常に容易だ(TIPS「セキュリティを強化して公共の場所にPCを設置する」、連載「Windows Thin PCで本格的なシンクライアントを実現する」などを参照)。
Windows 8.1をキオスク端末モードで運用する
Windows 8.1では新しく「割り当てられたアクセス(Assigned Access)」という機能が用意された。意味が非常に分かりづらい用語だが、別の言葉で言えば、Windows 8.1を「キオスク端末モード」で運用させるための機能である。キオスク端末とは、駅や図書館、公共の場所、受付などに置かれている、情報を表示させるためだけに使われるような単機能の端末のことだ(参考:Internet Explorerでは[F11]キーを押すと疑似的なキオスクモードになる)。Windows 8.1ではこのモードを有効にすることにより、PCを起動すると、限定されたWindowsストアアプリだけを実行できるようになる。限られた機能だけにアクセスできるようにPCの利用を制限するため、「割り当てられたアクセス」と呼ばれているようだが、分かりづらいので、以下「キオスクモード」と呼ぶことにする。
キオスクモードのWindows 8.1 Proの画面例
このモードでは、あらかじめ許可されたWindowsストアアプリだけが利用できる。キー操作なども制限され、例えばタスクを切り替えたり、通常のスタート画面やデスクトップ画面へ移行したり、設定チャームを呼び出したりすることはできない。これはキオスクモードでInternet Explorerを使っているところだが、Internet Explorerを手動で起動した場合と見た目は何ら変わることはない。もっとも、ユーザーの操作に対する制限を設定しにくいため、Internet ExplorerのようなWebブラウザーはキオスク端末モードで利用するには、あまり向かないアプリである。実際に利用する場合は、グループポリシーやアクセス先を厳しく制限するファイアウォールなど、その他の制限手段の併用が必要だろう。
このモードでは、管理者があらかじめ設定したWindowsストアアプリしか実行できない。PCを起動すると通常のサインイン画面が表示されるが、キオスクモードのアカウントでサインインするとそのWindowsストアアプリがすぐに起動し、全画面を占有する。アプリを終了させたり、他のアプリやデスクトップ/スタート画面に切り替えるような操作は行えない。次の表のようなキー操作などが無効になる。唯一可能なのは、電源スイッチを押してシステムを終了させるか、[Windows]キーを連続5回押して(このキーが存在するならば)、サインアウト画面に戻ることだけである。
| 無効になる操作 | 意味 |
|---|---|
| [Alt]+[F4]/[Ctrl]+[F4] | アプリケーションやウィンドウの終了 |
| [Ctrl]+[Alt]+[Del] | セキュリティ画面の呼び出し |
| [Ctrl]+[Shift]+[Esc] | タスクマネージャの起動 |
| [Alt]+[Space] | ウィンドウのショートカットメニューの表示 |
| [Ctrl]+[Esc]/[Windows] | スタート画面へ切り替え |
| [Alt]+[Tab]/[Alt]+[Shift]+[Tab] | タスク切り替え |
| [Windows]+[……] | チャーム呼び出し |
| ジェスチャー/スワイプ | メニューバーの表示やチャーム呼び出しなど |
| キオスクモードで無効になる操作(主なもの) | |
キオスクモードを設定する
Windows 8.1でキオスクモードを利用するには、次のエディションのWindows 8.1が必要である。Windows 8.1の無印エディションでは利用できない。
- Windows 8.1 Pro(32bit/64bitエディション)
- Windows 8.1 Enterprise(32bit/64bitエディション)
- Windows RT 8.1
Windows 8.1でキオスクモードを利用するための手順は次の通りである。
- キオスクモード用のユーザーアカウントを用意する
- キオスクモード用のユーザーアカウントでサインインしてアプリを準備する
- キオスクモードのユーザーとアプリを選択する
- (必要なら)自動サインインを設定する
- システムを再起動し、設定したユーザーでサインインする
手順1―キオスクモード用アカウントの用意
キオスクモードは、指定したユーザーアカウントで、指定したWindowsストアアプリを1つだけ実行することによって実現されている。そのため、キオスクモードを利用するためには、最初にそのためのアカウントを1つ用意する。新規ユーザーアカウントを作成するためには、設定チャームの[PC設定の変更]画面から「アカウント」グループを選択し、「その他のアカウント」を開く。
「他のアカウントの管理」画面が表示されるので、[アカウントを追加する]を選択クリックして、新しいアカウントを作成する。インターネットに接続していなくても利用できるように、アカウントの種類は「Microsoftアカウント」ではなく「ローカルアカウント」で構わないだろう(実行したいアプリがMicrosoftアカウントでの使用を要求するなら、Mirosoftアカウントとして作成してもよい)。ただしセキュリティのため、管理者アカウントではなく、一般のユーザー権限を持つアカウント(標準ユーザー)として作成しておく。
キオスクモード用ユーザーアカウントの用意
「アカウントを追加する」をクリックして、キオスクモード用のアカウントを作成する。ここでは「kiosk」という名前の一般ユーザー権限のローカルアカウントを作成してみた。
(1)[PCの設定]−[アカウント]画面を開く。
(2)これを選択する。
(3)これをクリックして、新しいアカウントを作成する。
(4)作成したキオスクモード専用アカウントの例。一般ユーザー権限のローカルアカウントとして作成している。セキュリティのためには、このWindows 8.1システムには、(最初に作成した管理者アカウントの他には)これ以外の余計なアカウントを作成しない方がよいだろう。
手順2―キオスクモード用アカウントでのサインインとアプリの準備
アカウントを1つ用意したら、そのアカウントでいったんサインインしておく。作成したばかりで、一度もサインインしていないアカウントではキオスクモードを利用できないからだ。
Windows 8.1にサインイン後、実行させたいWindowsストアアプリをインストールし、アプリを起動して初期設定などを済ませておく。必要ならアプリの起動直後に行うべき処理の設定なども行っておく。例えばキオスクモードでInternet Explorerを実行させたいのなら、そのスタート画面(ホームページ)を設定しておく、などの設定を行う。ちなみに、Windowsストア版のInternet Explorerでホームページなどを設定するには、Internet Explorerが表示されている状態で設定チャーム([Windows]+[I]キー)の[オプション]メニューを呼び出して行う(キオスクモード中では設定チャームは呼び出せない)。
なお、標準で用意されているもの(Internet Explorerやメールや地図やニュースなど)以外のWindowsストアアプリを導入するには、ストアアプリ中で一時的にMicrosoftアカウントを指定する必要がある。インストールしたいストアアプリの紹介画面で[インストール]をクリックすると、次のような画面が表示されるので、画面下のリンクをクリックし、Microsoftアカウントを指定してアプリを導入する。
ローカルアカウントのままストアアプリを利用する
ストアアプリを導入するためには、通常はローカルアカウントではなく、MicrosoftアカウントでWindows 8.1にサインインしておく必要がある。ローカルアカウントでサインインしたままストアアプリで新しいアプリをインストールしようとすると、このように、Microsoftアカウントへの切り替えを促す画面が表示される。だがストアアプリ中で一時的にMicrosoftアカウントを指定すれば、Windows 8.1にローカルアカウントでサインインしたままアプリを導入できる。
(1)ローカルアカウントでサインインしている場合は、Microsoftアカウントへ切り替えるように促すダイアログが表示される。
(2)このリンクをクリックすると、ローカルアカウントのまま、アプリのダウンロード/インストール時に一時的にMicrosoftアカウントを指定するだけでよい。
一通りの設定が完了したら、サインアウトする。
手順3―キオスクモードのユーザーとアプリを選択する
次はもう一度管理者用のアカウントでサインインして、キオスクモードの設定を行う。
キオスクモードに設定するには、設定チャームを開き、[PC設定の変更]画面から「アカウント」グループを選択し、「その他のアカウント」を開く(管理者権限のないユーザーアカウントでは、「その他のアカウント」というメニュー項目が表示されない)。
「他のアカウント」画面が表示されたら、右の一番下にある[割り当てられたアクセスを使うアカウントをセットアップする]のリンクをクリックする。
すると次のような画面が表示されるので、まずキオスクモードで使用するアカウントを指定する。
次は、キオスクモードで実行するWindowsストアアプリを選ぶ(1つのみ有効)。
アプリの選択
キオスクモードで実行させたいWindowsストアアプリを選択する。
(1)これをクリックして、キオスクモードで実行するWindowsストアアプリを選択する。
(2)ここでは「Internet Explorer」を選択してみる。選択できるアプリは1つだけなので、すでに選択済みの場合は、新しいアプリに置き換えることになる。
ここでは例としてInternet Explorerを選んでいるが、Webブラウザーでは多彩なアドインを組み込むことにより、例えばシステムファイルにアクセスするといった、セキュリティ上問題となりそうな操作も行えることがある。このようなアプリを利用する場合は、ブラウザーの機能を可能な限り制限するように設定しておく必要がある(Internet Explorerならグループポリシーなどである程度制御可能。詳細は後述)。
アプリの設定が完了すると次のようになる。
キオスクモード設定後の状態
キオスクモードの設定が完了すると、このようになっているはずである。後は指定したアカウントでサインインすれば、自動的にアプリが起動する。
(1)キオスクモード用のアカウント。
(2)キオスクモードで実行するアプリケーション。
これで設定は完了なので、システムを一度必ず再起動しておく。
再起動後、通常のサインイン画面が表示されるので、キオスクモード用のアカウント(この例では「kiosk」アカウント)を選択し、パスワードを入力してサインインすればよい。するとサインインの完了と同時に指定したアプリが起動し、それ以外のアプリを起動したり、スタート画面やデスクトップ画面を表示することはできなくなる。
キオスクモードの終了方法
キオスクモードでは利用できるキー操作などに制限が加えられ、例えば[Windows]キーを押してスタート画面へ切り替えたり、[Ctrl]+[Alt]+[Del]キーを押してセキュリティ画面を表示させたりすることはできない。
キオスクモードを終了させたい場合は、[Windows]キーを連続5回押す(タブレットPCなら[Windows]ボタンを連続5回押す)。するとキオスクモードを終了して、通常のサインイン待ち画面に戻る(もちろん電源ボタンを押して終了やスリープもできるが)。終了するといっても実際には(サインアウトではなく)一時的に切断されているだけで、「ロック」状態と同じく、キオスクモードのユーザーセッションはそのまま待機状態になっている。そのため再度キオスクモード用のアカウントでサインインすると、先ほどのユーザーセッションに再接続される。
キオスクモードの解除
キオスクモードの使用を止めるには、まず前述の方法でサインイン待ち画面に戻ってから管理者アカウントでサインインする。次に「PCの設定」の[アカウント]−[その他のアカウント]−[割り当てられたアクセスを使うアカウントをセットアップする]画面で、アカウント名をクリックしてメニューから[割り当てられたアクセスを使わない]を選ぶか、アプリ名をクリックしてメニューから[このアカウントでサインインしたときにアプリを開始しない]を選ぶ。
キオスクモードの解除
キオスクモードを解除するには、管理者用アカウントでサインインして、キオスクモードに割り当てたアカウント指定を解除する。
(1)現在キオスクモードに割り当てられているアカウント。これを選択する。
(2)これを選択する。
キオスクモードの運用について
キオスクモードでPCやタブレットを運用する場合に注意しておくべき点について、幾つか補足しておく。
自動サインインは手動で設定すること
キオスクモードの設定を行っても、実際にサインインするまでは通常のサインイン画面が表示されている。電源オンとともに自動的にサインインさせたければ、通常のWindows OSにおける自動ログオンの設定を行えばよい。方法は幾つかあるが(TIPS「システムに自動サインインする(Windows 8/Windows Server 2012編)」参照)、簡単なのはコントロールパネルから設定する方法だろう。まず[Windows]+[R]キーで[ファイル名を指定して実行]を開くか、コマンドプロンプトを開き、「control userpasswords2」か「netplwiz」コマンドを実行する。
自動ログオンの設定
システムを起動してすぐにキオスクモードにしたければ、キオスクモード用のアカウントを自動ログオン(自動サインイン)用アカウントとして登録しておく。「ファイル名を指定して実行」で「control userpasswords2」か「netplwiz」コマンドを実行するとこの画面が表示される。ただしこの画面は、ドメインに参加しているWindows 8.1では表示されない。その場合はTIPS「システムに自動サインインする(Windows 8/Windows Server 2012編)」などを参考にして、他の方法を利用する。
(1)このチェックボックスをオフにする(デフォルトはオンのはず)。
(2)このアカウントで自動ログオンするように設定する。
(3)(1)のチェックボックスをオフにして、これをクリックすると、自動ログオン用アカウントの指定画面が表示される。
(1)のチェックボックスをオフにして[OK]をクリックすると、自動ログオンするためのアカウント情報を入力する画面が表示されるので、アカウント名(この場合は「kiosk」)とパスワードを入力する。そしてシステムを再起動すると自動的にキオスクモードのユーザーでサインインしているはずだ。
不要なアカウントは極力作成しないこと
キオスクモードで利用するシステムは、不特定多数のユーザーが使うことが多いだろうから、セキュリティには特に気を付けておきたい。できることなら、管理用アカウント(Windows 8.1を最初にセットアップしたときに作成したもの)を1つと、キオスクモード用のアカウントを1つだけ作成し、それ以外のアカウントは作成しないことが望ましい。また管理用やキオスクモード用のパスワードも、推測されにくく安全性の高い、十分に長くて複雑なものにしておくべきだろう。
Webブラウザーの設定などに注意
Webブラウザーは、アドインを組み込めばさまざまなことが可能なため、他のWindowsストアアプリと比べるとセキュリティ上のリスクが高くなっている。そのため、キオスクモードでInternet ExplorerなどのWebブラウザーを運用する場合は、セキュリティ設定などに注意する必要がある。必要なら、アドレスバーからシステム内の特定のファイルへアクセスするのを防いだり、(アプリからの)カメラの使用を禁止したり、電源ボタンを無効にしたり、といった設定を行っておく。詳細について以下のサイトを参照していただきたい。
今回はWindows 8.1のキオスクモードを利用する方法を紹介した。Webブラウザーのようなセキュリティ上のリスクが少なくないアプリをこのモードで利用するのはあまり推奨できないが、特定の自作のWindowsストアアプリを稼働させたり、グループポリシーやその他の何らかの方法で機能を制限してWebブラウザーを動作させる、といった用途なら、十分実用に使えるだろう。
Copyright© Digital Advantage Corp. All Rights Reserved.