S モード デバイスで Win32 アプリを有効にする

Windows 10 S モード は、ストア アプリのみを実行するロックダウン オペレーティング システムです。 既定では、Windows S モード デバイスでは、Win32 アプリのインストールと実行は許可されません。 これらのデバイスには、単一の Win 10S 基本ポリシーが含まれており、S モード デバイスで Win32 アプリが実行されないようにロックされます。 ただし、Intune で S モード補足ポリシー を作成して使用することで、Windows 10 S モードの管理対象デバイスに Win32 アプリをインストールして実行できます。 Microsoft Defender アプリケーション制御 (WDAC) PowerShell ツールを使用すると、Windows S モードの 1 つ以上の補足ポリシーを作成できます。 Device Guard 署名サービス (DGSS) または SignTool.exe を使用して補足ポリシーに署名し、Intune 経由でポリシーをアップロードして配布する必要があります。 別の方法として、組織のコード署名証明書を使用して補足ポリシーに署名することもできますが、推奨される方法は DGSS を使用することです。 組織のコード署名証明書を使用するインスタンスでは、コード署名証明書がチェーンアップするルート証明書がデバイスに存在する必要があります。

Intune で S モード補足ポリシーを割り当てることで、デバイスがデバイスの既存の S モード ポリシーに対して例外を作成できるようにします。これにより、アップロードされた対応する署名済みアプリ カタログが許可されます。 このポリシーは、S モード デバイスで使用できるアプリ (アプリ カタログ) の許可リストを設定します。

Windows 10 デバイスで S モードで Win32 アプリを実行できるようにする手順は次のとおりです。

1. Windows 10 S 登録プロセスの一環として、Intune を介して S モード デバイスを有効にします。
2. Win32 アプリを許可する補足ポリシーを作成します。
   • Microsoft Defender アプリケーション制御 (WDAC) ツールを使用して、補足ポリシーを作成できます。 ポリシー内の基本ポリシー ID は、S モードの基本ポリシー ID (クライアントでハードコーディング) と一致する必要があります。 また、ポリシーのバージョンが以前のバージョンよりも高いことを確認します。
   • DGSS を使用して補足ポリシーに署名します。 詳細については、「 Device Guard 署名を使用してコード整合性ポリシーに署名する」を参照してください。
   • Windows 10 S モードの補足ポリシーを作成して、署名済みの補足ポリシーを Intune にアップロードします (以下を参照)。
3. Intune を使用して Win32 アプリ カタログを許可します。
   • カタログ ファイル (アプリごとに 1 つ) を作成し、DGSS またはその他の証明書インフラストラクチャを使用して署名します。
   • Microsoft Win32 コンテンツ準備ツールを使用して、署名済みカタログを .intunewin ファイルにパッケージ化します。 Microsoft Win32 コンテンツ準備ツールを使用してカタログ ファイルを作成する場合、名前付けの制限はありません。 指定したソース フォルダーとセットアップ ファイルから .intunewin ファイルを生成する場合は、-a cmdline オプションを使用して、カタログ ファイルのみを含む別のフォルダーを指定できます。 詳細については、「 Win32 アプリ管理 - Win32 アプリコンテンツをアップロード用に準備する」を参照してください。
   • Intune は、署名されたアプリ カタログを適用して、 Intune 管理拡張機能を使用して S モード デバイスに Win32 アプリをインストールします。

Windows 10 S モード補助ポリシーを作成するには、次の手順に従います。

1. Microsoft Intune 管理センターにサインインします。

2. [ アプリ>S モードの補足ポリシー>ポリシーの作成] を選択します。

3. ポリシー ファイルを追加する前に、作成して署名する必要があります。 詳細については、以下を参照してください:

   • PowerShell ツールを使用して WDAC ポリシーを作成し、バイナリ形式に変換する
   • Device Guard 署名サービスを使用して署名する (推奨)

4. [基本] ページで、次の値を追加します。

   値	説明
   ポリシー ファイル	WDAC ポリシーを含むファイル。
   名前	このポリシーの名前。
   説明	[省略可能]このポリシーの説明。

5. [ 次へ: スコープ タグ] を選択します。
   [ スコープ タグ] ページで、必要に応じてスコープ タグを構成して、Intune でアプリ ポリシーを表示できるユーザーを決定できます。 スコープ タグの詳細については、「分散 IT のためのロールベースのアクセス制御とスコープのタグの使用」をご覧ください。

6. [次へ: 割り当て] を選択します。
   [ 割り当て] ページでは、ユーザーとデバイスにポリシーを割り当てることができます。 デバイスが Intune によって管理されているかどうかに関係なく、デバイスにポリシーを割り当てることができることに注意してください。

7. [ 次へ: 確認と作成 ] を選択して、プロファイルに入力した値を確認します。

8. 完了したら、[ 作成 ] を選択して、Intune で S モード補助ポリシーを作成します。

ポリシーが作成されると、Intune の S モード補足ポリシーの一覧に追加されます。 ポリシーが割り当てられると、ポリシーはデバイスに展開されます。 補足ポリシーと同じセキュリティ グループにアプリをデプロイする必要があることに注意してください。 ターゲット設定を開始し、それらのデバイスにアプリを割り当てることができます。 これにより、エンド ユーザーは S モード デバイスにアプリをインストールして実行できます。

S モード ポリシーの削除

現在、デバイスから S モード補足ポリシーを削除するには、空のポリシーを割り当てて展開して、既存の S モード補助ポリシーを上書きする必要があります。

ポリシー レポート

デバイス レベルで適用される S モード補足ポリシーには、デバイス レベルのレポートのみが含まれます。 デバイス レベルのレポートは、成功とエラーの条件で使用できます。

S モード レポート ポリシーの Microsoft Intune 管理センターに表示されるレポート値:

• 成功: S モードの補足ポリシーが有効です。
• 不明: S モード補足ポリシーの状態が不明です。
• TokenError: S モードの補足ポリシーは構造的には問題ありませんが、トークンを承認するとエラーが発生します。
• NotAuthorizedByToken: トークンは、この S モード補足ポリシーを承認しません。
• PolicyNotFound: S モードの補足ポリシーが見つかりません。

次の手順

• 詳細については、「 s モードでの Win32 アプリ」を参照してください。
• Intune にアプリを追加する方法の詳細については、「Microsoft Intune にアプリを追加する」を参照してください。
• Win32 アプリの詳細については、「 Intune Win32 アプリ管理」を参照してください。