シェル ランチャーの構成

コントロール パネルを使用してシェル起動ツールを有効にするには、次の手順に従います。

1. コントロール パネル>Programs を開く>Windows の機能をオンまたはオフにするか、コマンドを使用しますoptionalfeatures.exe
2. [デバイス ロックダウン] を展開し、[シェル 起動ツール] を選択します
3. [ OK] を 選択してシェル起動ツールを有効にする

PowerShell を使用してシェル起動ツールを有効にするには、次の手順に従います。

1. 管理者特権で PowerShell ウィンドウを開く

2. 次のコマンドを実行します。

   Enable-WindowsOptionalFeature -FeatureName Client-DeviceLockdown,Client-EmbeddedShellLauncher -Online
   

次の例では、 install.wim という Windows イメージを使用しますが、同じ手順を使用してプロビジョニング パッケージを適用できます。

1. 管理者特権でコマンド プロンプトを開きます。
2. install.wim をハード ドライブ上の一時フォルダーにコピーします (次の手順では、 C:\wimと呼ばれるものと想定しています)
3. 環境に合わせて次のスクリプトを変更します。

@echo off
REM Create a new directory
md c:\wim

REM Mount the image
dism /mount-wim /wimfile:c:\bootmedia\sources\install.wim /index:1 /MountDir:c:\wim

REM Enable the feature
dism /image:c:\wim /enable-feature /all /featureName:Client-EmbeddedShellLauncher

REM Commit the change
dism /unmount-wim /MountDir:c:\wim /Commit

DISM の詳細については、「 展開イメージのサービスと管理とは」を参照してください。

シェル 起動ツールを有効または無効にするには、Windows Management Instrumentation (WMI) クラスWESL_UserSettingでSetEnabled関数を呼び出します。

詳細については、「 WESL_UserSetting」を参照してください。

[割り当てられたアクセス CSP] で カスタム ポリシー を使用してデバイスを構成できます。

• 設定:./Vendor/MSFT/AssignedAccess/ShellLauncher
• 値: XML 構成ファイルの内容

構成するデバイスをメンバーとして含むグループにポリシーを割り当てます。

シェル起動ツールを構成するには、プロビジョニング パッケージを作成し、イメージのデプロイ時または実行時にプロビジョニング パッケージを適用します。

• イメージに Shell Launcher の設定が含まれたインストール メディアを作成している場合、またはセットアップ中にプロビジョニング パッケージを適用する場合は、プロビジョニング パッケージのインストール メディアで DISM を使用して Shell Launcher を有効にして、プロビジョニング パッケージを正常に適用する必要があります
• 実行時にプロビジョニング パッケージを実行する場合は、プロビジョニング パッケージを適用する前に Shell Launcher を有効に してください

プロビジョニング パッケージを作成 するには、次の設定を使用します。

プロビジョニング パッケージ を構成するデバイスに適用します。

MDM Bridge WMI プロバイダーを使用して PowerShell スクリプトを使用してデバイスを構成します。

PowerShell スクリプトをテストするには、次の操作を行うことができます。

1. psexec ツールをダウンロード
2. 管理者特権のコマンド プロンプトを開き、次を実行します: psexec.exe -i -s powershell.exe
3. PowerShell セッションでスクリプトを実行する

$shellLauncherConfiguration = @"

# content of the XML configuration file

"@

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.ShellLauncher = [System.Net.WebUtility]::HtmlEncode($shellLauncherConfiguration)
$obj = Set-CimInstance -CimInstance $obj -ErrorVariable cimSetError -ErrorAction SilentlyContinue
if($cimSetError) {
    Write-Output "An ERROR occurred. Displaying error record and attempting to retrieve error logs...`n"
    Write-Error -ErrorRecord $cimSetError[0]

    $timeout = New-TimeSpan -Seconds 30
    $stopwatch = [System.Diagnostics.Stopwatch]::StartNew()
    $eventLogFilterHashTable = @{ LogName='Microsoft-Windows-AssignedAccess/Admin' }
    do{
        $events = Get-WinEvent -FilterHashtable $eventLogFilterHashTable -ErrorAction Ignore
    } until ($events.Count -or $stopwatch.Elapsed -gt $timeout) # wait for the log to be available

    if($events.Count) {
        $events | ForEach-Object {
            Write-Output "$($_.TimeCreated) [$($_.LevelDisplayName.ToUpper())] $($_.Message -replace "`n|`r")"
        }
    } else {
        Write-Warning "Timed-out attempting to retrieve event logs..."
    }

    Exit 1
}

Write-Output "Successfully applied Shell Launcher configuration"

詳細については、「WMI ブリッジ プロバイダーで PowerShell スクリプトを使用する」を参照してください。

構成を含むポリシーの割り当てを解除または削除します。

構成を含むプロビジョニング パッケージをアンインストールします。

$namespaceName="root\cimv2\mdm\dmmap"
$className="MDM_AssignedAccess"
$obj = Get-CimInstance -Namespace $namespaceName -ClassName $className
$obj.Configuration = $null
Set-CimInstance -CimInstance $obj