※本ページにはプロモーション(広告)が含まれています

【2026年最新版】Windowsのグループポリシー設定完全ガイド【セキュリティ強化・制限設定】

「グループポリシー」という言葉を聞いたことがあっても、「企業のIT管理者が使うものでしょ？」と思っていませんか？実はグループポリシーは、個人PCのセキュリティ強化や不要な機能の無効化にも活用できる強力な設定ツールです。

本記事では、グループポリシーの基本的な概念から、実際に役立つ設定例（パスワードポリシー・USBデバイス制限・Windows Update設定・画面ロック等）まで初心者にもわかりやすく解説します。Windows 10/11 Pro以上のエディションで利用できますので、ぜひ参考にしてください。

この記事でわかること

• グループポリシーとは何か・どのエディションで使えるか
• グループポリシーエディター（gpedit.msc）の起動方法
• パスワードポリシーの設定方法
• USBデバイス・外部メディアの接続制限
• Windows Updateの自動更新設定
• 画面ロック・スクリーンセーバーの強制設定
• 設定を元に戻す方法とトラブル対処

グループポリシーとは

グループポリシーの基本概念

グループポリシーは、Windowsシステムの動作を細かく制御するための設定機能です。もともとは企業のActive Directory環境で複数台のPCを一括管理するために設計されたものですが、ローカルグループポリシー（gpedit.msc）として個人PCでも利用できます。

具体的には以下のような設定が可能です。

• パスワードの長さ・複雑さの最低条件を強制する
• USBメモリや外付けHDDの接続を禁止する
• Windows Updateの適用タイミングをコントロールする
• 特定のアプリケーションの実行を禁止する
• コントロールパネルやタスクマネージャーへのアクセスを制限する
• 画面ロックまでの時間を強制設定する

対応するWindowsエディション

エディション	gpedit.msc	備考
Windows 10/11 Home	非対応	レジストリ編集で一部対応可能
Windows 10/11 Pro	対応	個人・小規模向けにも最適
Windows 10/11 Enterprise	対応	企業向け全機能利用可能
Windows Server	対応	ドメイン管理も可能

グループポリシーエディターの起動方法

方法1：ファイル名を指定して実行（最も簡単）

1. Windows + R キーを押して「ファイル名を指定して実行」を開く
2. gpedit.msc と入力してEnterを押す
3. 「ローカルグループポリシーエディター」が起動する

方法2：検索から起動

1. タスクバーの検索ボックスに「グループポリシー」または「gpedit」と入力する
2. 「グループポリシーの編集」をクリックする

画面の見方

グループポリシーエディターは以下の構成になっています。

• コンピューターの構成: PC全体（全ユーザー共通）に適用する設定
• ユーザーの構成: 現在のユーザーに適用する設定

それぞれの下に「ソフトウェアの設定」「Windowsの設定」「管理用テンプレート」という3つのカテゴリがあり、さらに細かい設定項目が階層化されています。

パスワードポリシーの設定

パスワードポリシーとは

パスワードポリシーでは、ログインパスワードに関する最低基準を強制できます。設定することで、短すぎるパスワードや単純なパスワードの使用を防ぎ、アカウントのセキュリティを高められます。

パスワードポリシーを設定する手順

1. グループポリシーエディターを起動する
2. 左ペインで「コンピューターの構成」→「Windowsの設定」→「セキュリティの設定」→「アカウントポリシー」→「パスワードのポリシー」を開く
3. 右ペインに設定項目が一覧表示される
4. 変更したい項目をダブルクリックして設定を開く

主なパスワードポリシー設定項目

ポリシー名	説明	推奨設定
パスワードの長さ	パスワードの最低文字数	12文字以上
パスワードは複雑さの要件を満たす	大文字・小文字・数字・記号の組み合わせを要求	有効
パスワードの有効期間	パスワードの最長有効日数	90日（個人は0で無期限も可）
パスワードの変更禁止期間	同じパスワードへ戻せない最低日数	1日以上
パスワードの履歴を記録する	過去に使ったパスワードの再利用を禁止する件数	5件以上

アカウントロックアウトポリシーの設定

ロックアウトポリシーとは

パスワードを一定回数間違えたときにアカウントをロックする設定です。総当たり攻撃（ブルートフォース攻撃）を防ぐ効果があります。

設定手順

1. グループポリシーエディターで「コンピューターの構成」→「Windowsの設定」→「セキュリティの設定」→「アカウントポリシー」→「アカウントのロックアウトのポリシー」を開く
2. 「アカウントのロックアウトのしきい値」をダブルクリックして5回などに設定する
3. 「アカウントのロックアウトの期間」で30分などの自動ロック解除時間を設定する
4. 「アカウントのロックアウトカウンターのリセット」も同様に設定する

USBデバイス・リムーバブルメディアの制限

USBメモリの接続を禁止する

情報漏洩対策として、USBメモリや外付けストレージの接続を禁止できます。

1. グループポリシーエディターで「コンピューターの構成」→「管理用テンプレート」→「システム」→「リムーバブルストレージへのアクセス」を開く
2. 右ペインの項目から制限したいものを設定する

ポリシー名	設定内容
リムーバブルディスク：読み取りアクセスを拒否する	有効にするとUSBメモリ等の読み取りが不可になる
リムーバブルディスク：書き込みアクセスを拒否する	有効にするとUSBメモリへの書き込みが不可になる
すべてのリムーバブルストレージクラス：すべてのアクセスを拒否する	有効にするとすべての外部ストレージデバイスが使用不可になる

Windows Updateの設定

自動更新の動作をコントロールする

Windows Updateが業務中に勝手に再起動しないよう制御できます。

1. グループポリシーエディターで「コンピューターの構成」→「管理用テンプレート」→「Windowsコンポーネント」→「Windows Update」→「エンドユーザーエクスペリエンスの管理」を開く
2. 「自動更新を構成する」をダブルクリックして「有効」にする
3. 自動更新の構成を以下から選択する

設定値	動作
2 – ダウンロードと自動インストールの通知	ダウンロード前に通知。手動でインストール
3 – 自動ダウンロードとインストールの通知	自動ダウンロードするが、インストール前に通知
4 – 自動ダウンロードとスケジュールされたインストール	指定した曜日・時刻に自動でインストール
5 – ローカル管理者が設定を変更できる	ユーザーが細かく設定可能

画面ロック・スクリーンセーバーの強制設定

スクリーンセーバーの有効時間を強制する

一定時間操作がなければ自動的に画面をロックする設定です。情報セキュリティの観点から重要な設定です。

1. グループポリシーエディターで「ユーザーの構成」→「管理用テンプレート」→「コントロールパネル」→「個人用設定」を開く
2. 「スクリーンセーバーを有効にする」をダブルクリックして「有効」にする
3. 「スクリーンセーバーのタイムアウト」をダブルクリックして「有効」にし、秒数を入力する（例：600 = 10分）
4. 「スクリーンセーバーをパスワードで保護する」を「有効」にすると、解除時にパスワードが必要になる

その他のセキュリティ強化設定

コントロールパネルへのアクセスを制限する

1. 「ユーザーの構成」→「管理用テンプレート」→「コントロールパネル」を開く
2. 「コントロールパネルとPC設定へのアクセスを禁止する」をダブルクリック
3. 「有効」を選択してOKをクリック

コマンドプロンプトの実行を禁止する

1. 「ユーザーの構成」→「管理用テンプレート」→「システム」を開く
2. 「コマンドプロンプトへのアクセスを防ぐ」をダブルクリック
3. 「有効」を選択してOKをクリック

タスクマネージャーを無効にする

1. 「ユーザーの構成」→「管理用テンプレート」→「システム」→「Ctrl+Alt+Delオプション」を開く
2. 「タスクマネージャーを削除する」を「有効」にする

設定を元に戻す方法

個別のポリシーを元に戻す

1. グループポリシーエディターで変更したポリシーを開く
2. 「未構成」を選択してOKをクリックする

「未構成」に戻すとWindowsのデフォルト設定が復元されます。「有効」「無効」「未構成」の3状態のうち、「未構成」がデフォルト（グループポリシーで制御しない）状態です。

すべてのローカルグループポリシーをリセットする

管理者権限のコマンドプロンプトまたはPowerShellで以下のコマンドを実行します。

RD /S /Q "%WinDir%\System32\GroupPolicyUsers"
RD /S /Q "%WinDir%\System32\GroupPolicy"
gpupdate /force

このコマンドはすべてのローカルグループポリシー設定をリセットします。実行前に現在の設定をメモしておくことをおすすめします。

グループポリシーの設定を反映させる

グループポリシーの変更はPCを再起動するか、管理者としてコマンドプロンプトで以下を実行することで即座に反映できます。

gpupdate /force

このコマンドはコンピューターポリシーとユーザーポリシーの両方を強制更新します。

Windows HomeでもグループポリシーライクにPC管理する方法

レジストリエディターを使う方法

Windows Homeにはgpedit.mscがありませんが、レジストリを直接編集することで同等の設定が可能な場合があります。

• レジストリエディターを開く: Windows + R → regedit と入力してEnter
• 対応するレジストリキーを変更することでポリシーと同等の制御ができる

ただし、レジストリの誤編集はシステムに深刻な問題を引き起こす可能性があります。変更前に必ずレジストリのバックアップ（エクスポート）を取ってください。

レジストリのバックアップ手順

1. レジストリエディターで「ファイル」→「エクスポート」をクリック
2. 保存先を選択して名前を付けて保存する
3. 問題が発生した場合は保存した.regファイルをダブルクリックして復元する

よくある質問（FAQ）

Q1. グループポリシーの変更が反映されません

以下を試してください。

• 管理者としてコマンドプロンプトで gpupdate /force を実行する
• PCを再起動する
• 設定を「未構成」に戻してから再度設定し直す
• 同じポリシーが「コンピューターの構成」と「ユーザーの構成」の両方に存在する場合、「コンピューターの構成」の設定が優先される

Q2. グループポリシーを変更したらシステムが不安定になりました

まず前述の「すべてのローカルグループポリシーをリセットする」コマンドを試してください。それでも解決しない場合は、Windowsのシステムの復元（コントロールパネル → 回復 → システムの復元を開く）で変更前の状態に戻してください。

Q3. グループポリシーはどのタイミングで適用されますか？

ローカルグループポリシーは以下のタイミングで適用されます。

• PCの起動時（コンピューターの構成）
• ユーザーのログオン時（ユーザーの構成）
• gpupdate /force コマンド実行時
• バックグラウンドで定期的に（通常90分ごと）

Q4. Windows 11でグループポリシーエディターが起動できません

Windows 11 Homeエディションにはgpedit.mscが含まれていません。エディションを確認するには「設定」→「システム」→「バージョン情報」で「Windowsの仕様」を確認してください。Homeの場合はProへのアップグレード（有料）が必要です。

Q5. 設定したパスワードポリシーが管理者アカウントに適用されません

ローカルグループポリシーのアカウントポリシーはローカルアカウントにのみ適用されます。Microsoftアカウントでサインインしている場合は、Microsoft側のアカウント設定が優先されます。また、管理者アカウントはロックアウトポリシーが一部適用されないことがあります。

Q6. 企業のドメイン環境でローカルグループポリシーを設定しても効きません

Active Directoryのドメインに参加しているPCでは、ドメインのグループポリシーがローカルグループポリシーより優先されます。ローカル設定よりドメイン設定の方が強いため、IT管理者に相談してドメインポリシーを変更してもらう必要があります。

Q7. 特定のユーザーだけにグループポリシーを適用できますか？

ローカルグループポリシーエディター（gpedit.msc）では基本的にPC全体または現在のユーザーへの適用です。特定ユーザーのみへの適用には「Microsoft Management Console（mmc）」を使って「ローカルユーザーとグループ」のポリシーを作成する方法があります。

まとめ

グループポリシーはWindowsのセキュリティと運用管理を大幅に強化できる機能です。本記事のポイントをまとめます。

• グループポリシーはWindows Pro以上のエディションで利用できる
• gpedit.mscはWindows + R → gpedit.msc で起動できる
• パスワードポリシーで強固なパスワードの使用を強制できる
• ロックアウトポリシーで総当たり攻撃を防止できる
• USBメモリの接続制限で情報漏洩リスクを軽減できる
• 設定を元に戻すときは「未構成」を選択するだけでよい
• 変更を即座に反映するには gpupdate /force を実行する

初めてグループポリシーを設定する場合は、まずパスワードポリシーや画面ロックの設定など、影響範囲が限定的なものから試してみることをおすすめします。設定変更前にはシステムの復元ポイントを作成しておくとより安心です。