Windowsにはシステムやアプリケーションの設定情報を一元管理するデータベースであるレジストリがあります。
このレジストリの変更するレジストリエディターがありますが、レジストリの内容を誤って編集すると、システムやアプリケーションの動作に悪影響を与え、最悪の場合はシステムが起動しなくなる可能性もあります。
そのため、今回はIntuneでレジストリエディターの起動を禁止します。
なお、あくまでレジストリエディターの起動を禁止するだけで、コマンドプロンプトやPowerShellによるレジストリの設定変更を禁止するものではありません。
1.構成プロファイルの作成
1.Intune管理センターを開き、構成プロファイルの新しいポリシーを作成します。
2.下記の通り設定し、「作成」をクリックします。
- プラットフォーム:Windows 10 以降
- プロファイルの種類:設定カタログ
3.任意の名前を設定し、「次へ」をクリックします。
4.下記の設定を検索し、設定します。
- Disable regedit from running silently? (User):Yes
- Prevent access to registry editing tools (User):Enabled
5.任意の「スコープタグ」と「割り当て」を設定し、「作成」をクリックします。
なお、適用対象は「ユーザー」です。
ADMX_ShellCommandPromptRegEditTools ポリシー CSP
ポリシー CSP のADMX_ShellCommandPromptRegEditTools領域について詳しくは、こちらをご覧ください。
learn.microsoft.com
2.ポリシーの適用確認
レジストリエディターを起動しようとすると下記のメッセージが表示されます。
コメント