2016年12月24日土曜日

microsoftアカウントでログイン(ログオン&サインイン)させたくない(無印windows10でmicrosoft accountの使用を禁止・制限・ブロックする)

いわゆるpro版なら、グループポリシーエディタがあるので、GUIでなんとでも出来るが、こと無印(≒HOME)windows10だとグループポリシーエディタを弄れない。ただ、無印でも機能としては存在するので、それを有効にするtips。

要は、GUI環境が提供されていないなら直接弄ってしまえ、ということ。
そう、レジストリを編集する。

google先生にお伺いを立てまくった結果出てきたのがこちら。

http://www.trainingtech.net/how-to-disable-microsoft-account-in-windows-10/

内容は、
レジストリエディタを起動(regedit.exe)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PolicyManager\default\Settings\AllowYourAccount

の数値を、デフォルトの1から0にする

これで完了。

するはずだったのだけれども、特に民生のpcで有効にならない。
有効になった場合、アカウント画面に赤字で「一部の設定は組織によって管理されています」と出て、microsoftアカウントをクリック出来るところがグレーアウトする。

更に調べると、別のレジストリもいじらなければならないようで(というか、民生のPCはレジストリキーが削除されていることが多い)、

 http://www.top-password.com/blog/block-or-disable-microsoft-account-in-windows-10-8/

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoConnectedUser

値を3にする事が必要になる。

 レジストリキーが存在しない場合、DWORDで、名前をNoConnectedUserとして作成する。

数値の内訳は
  • 0 = Allow Microsoft Accounts
  • 1 = Users can’t add Microsoft Accounts
  • 3 = Users can’t add or log on with Microsoft accounts
 とのことで、状況に合わせて変える必要がある。

この2つのレジストリキーを変更することで、マイクロソフトアカウントでのログインが出来なくなる。

何でこれをやらなければならなくなったかというと、会社で使うPCが、AD組まずにネットワーク構成をしているため、proが入っているPCが少ないこと、また、辞めた社員のPCで、マイクロソフトアカウントを使っていた奴が居たりして、処理が面倒だったことという切ない事情もある。

これ何かおかしくて、マイクロソフトも
https://technet.microsoft.com/ja-jp/library/mt634168(v=vs.85).aspx
とかで

脆弱性

Microsoft アカウントはパスワードで保護されていますが、社外でのより大きな漏えいの可能性もあります。また、Microsoft アカウントの所有者が簡単に識別できない場合、監査およびフォレンジクスが難しくなります。
と言ってるのに、無印だと弄りにくくしているっていう・・・まあ、pro使えということなんだろうけど、中小企業だと価格の割にメリットが少ないので選択から外れるんですよ・・・。

求められていないのか、検索してもなかなか見つからなかった件なので、一助になればと。

0 件のコメント:

コメントを投稿