App Control for Business ポリシーと Microsoft Intune 用マネージド インストーラーを使用して、Windows デバイスの承認済みアプリを管理する

この機能はパブリック プレビュー段階です。

毎日新しい悪意のあるファイルやアプリが野生で表示されます。 組織内のデバイスで実行すると、リスクが発生し、管理や防止が困難になる可能性があります。 管理された Windows デバイスで望ましくないアプリが実行されないようにするには、Microsoft Intune App Control for Business ポリシーを使用できます。

Intune の App Control for Business ポリシーはエンドポイント セキュリティの一部であり、Windows ApplicationControl CSP を使用して Windows デバイスで許可されているアプリを管理します。

App Control for Business ポリシーでも使用できます。マネージド インストーラー ポリシーを使用して、 Intune 管理拡張機能 を マネージド インストーラーとしてテナントに追加できます。 この拡張機能をマネージド インストーラーとして使用すると、Intune 経由で展開するアプリには、インストーラーによって自動的にタグが付けられます。 タグ付けされたアプリは、App Control for Business ポリシーによって、デバイスでの実行を許可できる安全なアプリとして識別できます。

• Intune 管理拡張機能は、Windows 10 および Windows 11 デバイスの Windows 10 MDM 機能を補完する Intune サービスです。 これは、管理対象デバイスへの Win32 アプリと PowerShell スクリプトのインストールを容易にします。

• マネージド インストーラーでは、AppLocker 規則を使用して、組織によって信頼されているとしてインストールしたアプリケーションにタグを付けます。詳細については、Windows セキュリティドキュメントの「マネージド インストーラーによってインストールされたアプリを許可する」を参照してください。

  App Control for Business ポリシーを使用するには、マネージド インストーラーを使用する必要はありません。

この記事の情報は、次の場合に役立ちます。

• Intune 管理拡張機能をマネージド インストーラーとして構成します。
• エンドポイント セキュリティ App Control for Business ポリシーを構成します。

関連情報については、Windows セキュリティドキュメントの 「Windows Defender アプリケーションコントロール 」を参照してください。

適用対象:

• Windows 10
• Windows 11

前提条件

デバイス

Intune に登録されている App Control for Business ポリシーでは、次のデバイスがサポートされます。

• Windows Enterprise または Education:

  • Windows 10 バージョン 1903 以降。
  • Windows 11 バージョン 1903 以降

• Windows Professional:

  • windows 10 with KB5019959
  • Windows 11:
    • バージョン 22H2 とKB5019980
    • バージョン 21H2 とKB5019961

• Windows 11 SE:

  • Windows 11 SE は、教育機関向けテナントでのみサポートされています。 詳細については、この記事の後半の「 Education テナントのビジネス 向けアプリ制御ポリシー 」を参照してください。

• Azure Virtual Desktop (AVD):

  • AVD デバイスは、App Control for Business ポリシーを使用するためにサポートされています
  • AVD マルチセッション デバイスをターゲットにするには、エンドポイント セキュリティの [App Control for Business] ノードを使用します。 ただし、App Control for Business はデバイス スコープのみです。

• 共同管理デバイス:

  • 共同管理デバイスでビジネス ポリシーのアプリケーション制御をサポートするには、[Endpoint Protection] スライダーのスライダーを Intune に設定します。

Windows Defender App Control for Business

Windows セキュリティドキュメントの「Windows のアプリケーション制御について」の「Windowsエディションとライセンス要件」を参照してください。

ロールベースのアクセス制御

ビジネス 向けアプリ制御ポリシーを管理するには、必要なタスクを完了するための十分なアクセス許可と権限を含む Intune ロールベースのアクセス制御 (RBAC) ロールがアカウントに割り当てられている必要があります。

必要なアクセス許可と権限を持つ使用可能なタスクを次に示します。

• マネージド インストーラーの使用を有効にする - アカウントには 、グローバル管理者 または Intune 管理者のロールが割り当てられている必要があります。 インストーラーの有効化は、1 回限りのイベントです。

  重要

  Microsoft では、アクセス許可が最も少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 グローバル管理者と Intune 管理者は、高い特権を持つロールであり、別のロールを使用できないシナリオに限定する必要があります。

• ビジネス向けアプリ制御ポリシーの管理 - アカウントには、削除、読み取り、割り当て、作成、更新、およびレポートの表示の権限を含むアプリケーション制御アクセス許可が必要です。

• App Control for Business ポリシーのレポートを表示 する - アカウントには、次のいずれかのアクセス許可と権限が必要です。

  • レポートの表示に関する App Control for Business アクセス許可。
  • 読み取りを使用した組織のアクセス許可。

Intune App Control for Business ポリシーを管理するための適切なレベルのアクセス許可と権限の割り当てに関するガイダンスについては、「 Assign-role-based-access-controls-for-endpoint-security-policy」を参照してください。

政府機関向けクラウド サポート

Intune エンドポイント セキュリティ アプリケーション制御ポリシーとマネージド インストーラーの構成は、次のソブリン クラウド環境でサポートされています。

• 米国政府機関向けクラウド
• 21Vianet

マネージド インストーラーの概要

Intune のエンドポイント セキュリティ App Control for Business では、ポリシーを使用して、管理対象の Windows デバイスに管理対象インストーラーとして Intune 管理拡張機能を追加できます。

マネージド インストーラーを有効にすると、Intune を介して Windows デバイスに展開する後続のすべてのアプリケーションが、マネージド インストーラー タグでマークされます。 タグは、アプリが既知のソースによってインストールされ、信頼できることを示します。 アプリのマネージド インストーラー のタグ付けは、App Control for Business ポリシーによって使用され、環境内のデバイスでの実行が承認されたアプリを自動的に識別します。

App Control for Business ポリシーは、Windows Defender アプリケーションコントロール (WDAC) の実装です。 WDAC とアプリのタグ付けの詳細については、 Windows Defender アプリケーション制御ドキュメントの「Windows および WDAC アプリケーション ID (AppId) タグ付けガイド のアプリケーション制御について」を参照してください。

マネージド インストーラーの使用に関する考慮事項:

• マネージド インストーラーの設定は、すべてのマネージド Windows デバイスに適用されるテナント全体の構成です。

• Intune 管理拡張機能をマネージド インストーラーとして有効にすると、Intune を介して Windows デバイスに展開するすべてのアプリに、マネージド インストーラーのマークが付けられます。

• このタグ自体は、デバイスで実行できるアプリには影響しません。 タグは、管理対象デバイスで実行できるアプリを決定する WDAC ポリシーも割り当てる場合にのみ使用されます。

• 遡及的なタグ付けがないため、マネージド インストーラーを有効にする前に展開されたデバイス上のすべてのアプリにはタグは付けられません。 WDAC ポリシーを適用する場合は、これらのタグなしアプリの実行を許可する明示的な構成を含める必要があります。

• このポリシーをオフにするには、マネージド インストーラー ポリシーを編集します。 ポリシーをオフにすると、後続のアプリがマネージド インストーラーでタグ付けされなくなります。 以前にインストールされ、タグ付けされたアプリはタグ付けされたままになります。 ポリシーをオフにした後のマネージド インストーラーの手動クリーンアップの詳細については、この記事の後半の「 Intune 管理拡張機能をマネージド インストーラーとして削除する 」を参照してください。

Intune でマネージド インストーラーを設定する方法の詳細については 、Windows セキュリティに関するドキュメントを参照してください。

マネージド インストーラーをテナントに追加する

次の手順では、テナントのマネージド インストーラーとして Intune 管理拡張機能を追加する手順について説明します。 Intune では、1 つのマネージド インストーラー ポリシーがサポートされています。

1. Microsoft Intune 管理センターで、[ エンドポイント セキュリティ (プレビュー)] に移動し、[ マネージド インストーラー ] タブを選択し、[*追加] を選択します。 [ マネージド インストーラーの追加] ウィンドウが開きます。

   

2. [ 追加] を選択し、[ はい ] を選択して、Intune 管理拡張機能をマネージド インストーラーとして追加することを確認します。

3. マネージド インストーラーを追加した後、まれに、新しいポリシーがテナントに追加されるまでに最大 10 分待つ必要がある場合があります。 [ 最新の情報に更新] を選択して、管理センターが使用可能になるまで定期的に更新します。

   Intune でマネージド インストーラーという名前のマネージド インストーラー ポリシーが表示され、状態が [アクティブ] の Intune 管理拡張機能が表示されると、このポリシーはサービスで準備が整います。 クライアント側から、ポリシーの配信が開始されるまで最大 1 時間待つ必要がある場合があります。

   

4. これで、ポリシーを選択してその構成を編集できます。 次の 2 つのポリシー領域のみが編集をサポートします。

   • 設定: ポリシー設定を編集すると、[ 管理インストーラーのオプトアウト ] ウィンドウが開きます。ここで、[ マネージド インストーラーの設定 ] の値を [オン ] と [オフ] の間で変更できます。 インストーラーを追加すると、[ マネージド インストーラーの設定 ] の既定の設定は [オン] になります。 構成を変更する前に、[ オン ] と [ オフ] のウィンドウで詳細な動作を確認してください。

   • スコープ タグ: このポリシーに割り当てられているスコープ タグを追加および変更できます。 これにより、ポリシーの詳細を表示できる管理者を指定できます。

ポリシーが有効になる前に、アプリコントロール for Business ポリシーを作成して展開して、Windows デバイスでアプリを実行できるルールを指定する必要があります。

詳細については、Windows セキュリティドキュメントの 「マネージド インストーラーによってインストールされたアプリを許可 する」を参照してください。

• マネージド インストーラーでは、GPO から適用された (ターゲット PC 上の) App-Locker ポリシーの停止または無効化を有効にできます。

Intune 管理拡張機能をマネージド インストーラーとして削除する

必要に応じて、テナントのマネージド インストーラーとして Intune 管理拡張機能の構成を停止できます。 これには、マネージド インストーラー ポリシーをオフにする必要があります。 ポリシーがオフになった後は、追加のクリーンアップ アクションを使用することを選択できます。

Intune 管理拡張機能ポリシーをオフにする (必須)

Intune 管理拡張機能を管理対象インストーラーとしてデバイスに追加するのを停止するには、次の構成が必要です。

1. 管理センターで、[ エンドポイント セキュリティ (プレビュー)] に移動し、[ マネージド インストーラー ] タブを選択し、[ マネージド インストーラー - Intune 管理拡張機能 ] ポリシーを選択します。

2. ポリシーを編集し、[ 管理対象インストーラーの設定] を [オフ] に変更し、ポリシーを保存します。

Intune 管理拡張機能をマネージド インストーラーとして使用して新しいデバイスを構成することはできません。 これにより、Intune 管理拡張機能は、既に使用するように構成されているデバイスからマネージド インストーラーとして削除されません。

デバイス上のマネージド インストーラーとして Intune 管理拡張機能を削除する (省略可能)

オプションのクリーンアップ手順として、スクリプトを実行して、Intune 管理拡張機能を既にインストールされているデバイスのマネージド インストーラーとして削除できます。 マネージド インストーラーを参照する App Control for Business ポリシーも使用しない限り、この構成はデバイスに影響しないため、この手順は省略可能です。

1. CatCleanIMEOnly.ps1 PowerShell スクリプトをダウンロードします。 このスクリプトは、download.microsoft.com からhttps://aka.ms/intune_WDAC/CatCleanIMEOnlyで使用できます。

2. Intune 管理拡張機能がマネージド インストーラーとして設定されているデバイスで、このスクリプトを実行します。 このスクリプトでは、管理対象インストーラーとして Intune 管理拡張機能のみが削除されます。

3. 上記の変更を有効にするには、Intune 管理拡張機能サービスを再起動します。

このスクリプトを実行するには、Intune を使用して PowerShell スクリプトや任意の他の方法を実行できます。

デバイスからすべての AppLocker ポリシーを削除する (省略可能)

デバイス からすべての Windows AppLocker ポリシーを削除するには、 CatCleanAll.ps1 PowerShell スクリプトを使用します。 このスクリプトは、管理対象インストーラーとしての Intune 管理拡張機能だけでなく、 すべての 管理対象インストーラーと、Windows AppLocker に基づく すべての ポリシーをデバイスから削除します。 このスクリプトを使用する前に、組織が AppLocker ポリシーを使用していることを確認してください。

1. CatCleanAll.ps1 PowerShell スクリプトをダウンロードします。 このスクリプトは、download.microsoft.com からhttps://aka.ms/intune_WDAC/CatCleanAllで使用できます。

2. Intune 管理拡張機能がマネージド インストーラーとして設定されているデバイスで、このスクリプトを実行します。 このスクリプトでは、管理対象インストーラーとして Intune 管理拡張機能のみが削除されます。

3. 上記の変更を有効にするには、Intune 管理拡張機能サービスを再起動します。

このスクリプトを実行するには、Intune を使用して PowerShell スクリプトや任意の他の方法を実行できます。

App Control for Business ポリシーの概要

Intune のエンドポイント セキュリティ App Control for Business ポリシーを使用すると、管理対象の Windows デバイスで実行を許可されるアプリを管理できます。 ポリシーによって明示的に実行が許可されていないアプリは、監査モードを使用するようにポリシーを構成していない限り、実行がブロックされます。 監査モードでは、ポリシーを使用すると、すべてのアプリを実行し、クライアントでローカルにそれらの詳細をログに記録できます。

許可またはブロックされるアプリを管理するために、Intune では Windows デバイスで Windows ApplicationControl CSP を使用します。

App Control for Business ポリシーを作成するときは、使用する 構成設定の形式 を選択する必要があります。

• xml データの入力 - xml データを入力する場合は、App Control for Business ポリシーを定義する一連のカスタム XML プロパティをポリシーに指定する必要があります。

• 組み込みのコントロール – このオプションは、構成する最も簡単なパスですが、強力な選択のままです。 組み込みのコントロールを使用すると、マネージド インストーラーによってインストールされているすべてのアプリを簡単に承認し、Windows コンポーネントとストア アプリの信頼を許可できます。

  これらのオプションの詳細については、ポリシーの作成時に UI から入手できます。また、ポリシーを作成する手順については、次の手順で詳しく説明します。

App Control for Business ポリシーを作成した後は、その元のポリシーに XML 形式でさらにルールを追加する補足ポリシーを作成することで、そのポリシーのスコープを拡張できます。 補足ポリシーを使用する場合、元のポリシーは基本ポリシーと呼ばれます。

App Control for Business ポリシーを作成する

次の手順を使用して、ビジネス向けアプリ制御ポリシーを正常に作成できます。 このポリシーを使用して定義した信頼の範囲を広げる補足ポリシーを作成する場合、このポリシーは基本ポリシーと見なされます。

1. Microsoft Intune 管理センターにサインインし、[エンドポイント のセキュリティ] に移動します>App Control for Business (プレビュー)> [App Control for Business] タブ >を選択し、[ポリシーの作成] を選択します。 App Control for Business ポリシーは、プラットフォームの種類 の Windows 10 以降に自動的に割り当てられます。

   

2. [ 基本] で、次のプロパティを入力します。

   • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるように、プロファイルに名前を付けます。
   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。

3. [ 構成設定] で、[ 構成設定] の形式を選択します。

   xml データの入力 - このオプションでは、App Control for Business ポリシーを定義するためのカスタム XML プロパティを指定する必要があります。 このオプションを選択しても、XLM プロパティをポリシーに追加しない場合は、[ 未構成] として機能します。 App Control for Business ポリシーが構成されていないと、デバイスで既定の動作が発生し、ApplicationControl CSP のオプションは追加されません。

   組み込みコントロール – このオプションでは、ポリシーではカスタム XML は使用されません。 代わりに、次の設定を構成します。

   • Windows コンポーネントとストア アプリの信頼を有効にする – この設定が [有効] (既定値) の場合、マネージド デバイスは、Windows コンポーネントを実行し、アプリを格納できます。また、信頼済みとして構成する可能性があるその他のアプリも実行できます。 このポリシーによって信頼済みとして定義されていないアプリは、実行がブロックされます。

     この設定では、 監査のみの モードもサポートされています。 監査モードでは、すべてのイベントがローカル クライアント ログに記録されますが、アプリの実行はブロックされません。

   • アプリを信頼するための追加オプションを選択する – この設定では、次のオプションのいずれかまたは両方を選択できます。

     • 評判の良いアプリを信頼 する – このオプションを使用すると、Microsoft Intelligent Security Graph で定義されている信頼できるアプリをデバイスで実行できます。 インテリジェント セキュリティ グラフ (ISG) の使用については、Windows セキュリティ ドキュメントの「インテリジェント セキュリティ グラフ (ISG) で信頼できるアプリを許可する」を参照してください。

     • マネージド インストーラーからアプリを信頼する – このオプションを使用すると、承認されたソースによって展開されたアプリ (マネージド インストーラー) をデバイスで実行できます。 これは、Intune 管理拡張機能をマネージド インストーラーとして構成した後に Intune を通じて展開するアプリに適用されます。

       このポリシーの規則で指定されていない他のすべてのアプリとファイルの動作は、 Windows コンポーネントとストア アプリの信頼を有効にするの構成によって異なります。

       • [有効] の場合、ファイルとアプリはデバイスでの実行がブロックされます。
       • [監査のみ] に設定されている場合、ファイルとアプリはローカル クライアント ログでのみ監査されます。

   

4. [スコープ タグ] ページで、適用するスコープ タグを選択し、[次へ] を選択します。

5. [ 割り当て] で、ポリシーを受け取るグループを選択しますが、WDAC ポリシーはデバイス スコープにのみ適用されることを検討してください。 続行するには、[Next] を選択します。

   プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

6. [ 確認と作成] で設定を確認し、[ 作成] を選択します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーは、ポリシーの一覧にも表示されます。

補足ポリシーを使用する

1 つ以上の補足ポリシーを使用すると、App Control for Business 基本ポリシーを拡張して、そのポリシーの信頼の輪を広げることができます。 補助ポリシーは 1 つの基本ポリシーのみを展開できますが、複数の補助ポリシーで同じ基本ポリシーを展開できます。 補足ポリシーを追加すると、基本ポリシーによって許可されるアプリケーションとその補足ポリシーは、デバイスで実行できます。

補足ポリシーは XML 形式である必要があり、基本ポリシーのポリシー ID を参照する必要があります。

App Control for Business 基本ポリシーのポリシー ID は、基本ポリシーの構成によって決まります。

• カスタム XML を使用して作成される基本ポリシーには、その XML 構成に基づく一意の PolicyID があります。

• App Control for Business の 組み込みコントロール を使用して作成される基本ポリシーには、組み込み設定の可能な組み合わせによって決定される 4 つの PolicyID の 1 つがあります。 次の表は、組み合わせと関連する PolicyID を示しています。

  基本ポリシーの PolicyID	WDAC ポリシーのオプション (監査 または 適用)
  {A8012CFC-D8AE-493C-B2EA-510F035F1250}	アプリ制御ポリシーを有効にして Windows コンポーネントとストア アプリを信頼する
  {D6D6C2D6-E8B6-4D8F-8223-14BE1DE562FF}	Windows コンポーネントとストア アプリを信頼するアプリ制御ポリシーを有効にする And 評判の良いアプリを信頼する
  {63D1178A-816A-4AB6-8ECD-127F2DF0CE47}	アプリ制御ポリシーを有効にして、Windows コンポーネントとストア アプリを信頼する And 管理対象インストーラーからアプリを信頼する
  {2DA0F72D-1688-4097-847D-C42C39E631BC}	Windows コンポーネントとストア アプリを信頼するアプリ制御ポリシーを有効にする And 信頼アプリと評判の良いアプリを信頼する And マネージド インストーラーからのアプリの信頼

組み込みコントロールの同じ構成を使用する 2 つの App Control for Business ポリシーの PolicyID は同じですが、ポリシーの 割り当て に基づいて異なる補足ポリシーを適用できます。

次のシナリオを考えてみましょう。

• 同じ構成を使用し、同じ PolicyID を持つ 2 つの基本ポリシーを作成します。 そのうちの 1 つをエグゼクティブ チームにデプロイし、2 つ目のポリシーをヘルプ デスク チームに展開します。

• 次に、エグゼクティブ チームが必要とする他のアプリを実行できるようにする補足ポリシーを作成します。 この補足ポリシーは、同じグループであるエグゼクティブ チームに割り当てます。

• 次に、ヘルプ デスク チームに必要なさまざまなツールを実行できるようにする 2 つ目の補足ポリシーを作成します。 このポリシーは、ヘルプ デスク グループに割り当てられます。

これらのデプロイの結果、両方の補足ポリシーが基本ポリシーの両方のインスタンスを変更する可能性があります。 ただし、個別の割り当てと個別の割り当てにより、最初の補足ポリシーでは、エグゼクティブ チームに割り当てられた許可されたアプリのみが変更され、2 番目のポリシーではヘルプ デスク チームによって使用される許可されたアプリのみが変更されます。

補足ポリシーを作成する

1. Windows Defender アプリケーション制御ウィザードまたは PowerShell コマンドレットを使用して、XML 形式で App Control for Business ポリシーを生成します。

   ウィザードの詳細については、「 aka.ms/wdacWizard または Microsoft WDAC ウィザード」を参照してください。

   XML 形式でポリシーを作成する場合は、基本ポリシーの ポリシー ID を 参照する必要があります。

2. App Control for Business 補足ポリシーが XML 形式で作成されたら、Microsoft Intune 管理センターにサインインし、[エンドポイント セキュリティ>App Control for Business (プレビュー)] に移動> [App Control for Business] タブを選択し、[ポリシーの作成] を選択します。

3. [ 基本] で、次のプロパティを入力します。

   • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるように、プロファイルに名前を付けます。

   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。

4. [ 構成設定] の [ 構成設定の形式 ] で、[ Xml データの入力 ] を選択し、XML ファイルをアップロードします。

5. [ 割り当て] で、補助ポリシーを適用する基本ポリシーに割り当てられたグループと同じグループを選択し、[ 次へ] を選択します。

6. [ 確認と作成] で設定を確認し、[ 作成] を選択します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーは、ポリシーの一覧にも表示されます。

Education テナントのビジネス ポリシーのアプリ制御

教育機関向けテナントの App Control for Business ポリシーでは、「前提条件」でサポートされているプラットフォームに加えて、Windows 11 SE もサポートされています。

Windows 11 SE は、教室で使用できるように最適化されたクラウドファーストのオペレーティング システムです。 Intune for Education と同様に、Windows SE 11 は生産性、学生のプライバシー、学習を優先し、教育に不可欠な機能とアプリのみをサポートします。

この最適化を支援するために、WDAC ポリシーと Intune 管理拡張機能は、Windows 11 SE デバイス用に自動的に構成されます。

• Windows 11 SE デバイスに対する Intune サポートの範囲は、EDU テナント内のアプリのセット リストを含む 定義済みの WDAC ポリシーの展開 です。 これらのポリシーは自動的にデプロイされ、変更することはできません。

• Intune EDU テナントの場合、Intune 管理拡張機能はマネージド インストーラーとして自動的に設定されます。 この構成は自動であり、変更できません。

ビジネス向けアプリコントロールの削除ポリシー

「モバイル デバイス管理 (MDM) (Windows 10) を使用して WDAC ポリシーを展開する ( Windows 10) - Windows セキュリティ」のドキュメントで説明されているように、Intune UI から削除されたポリシーはシステムとデバイスから削除されますが、マシンの次回の再起動まで有効なままです。

WDAC の強制を無効または削除するには:

1. 既存のポリシーを、Windows デバイスで見つかったポリシー例のルールのように、 Allow /*する新しいバージョンのポリシーに置き換えます。 %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml

   この構成により、ポリシーが削除された後にデバイスに残っている可能性があるブロックが削除されます。

2. 更新されたポリシーが展開されたら、Intune ポータルから新しいポリシーを削除できます。

このシーケンスにより、何もブロックされず、次回の再起動時に WDAC ポリシーが完全に削除されます。

App Control for Business ポリシーとマネージド インストーラーを監視する

デバイスに App Control for Business ポリシーとマネージド インストーラー ポリシーが割り当てられたら、管理センター内でポリシーの詳細を表示できます。

• レポートを表示するには、アカウントに組織の Intune ロールベースのアクセス制御カテゴリの読み取りアクセス許可が必要です。

レポートを表示するには、Intune 管理センターにサインインし、[アカウント制御] ノードに移動します。 (エンドポイント セキュリティ>アカウント制御 (プレビュー))。 ここでは、表示するポリシーの詳細のタブを選択できます。

マネージド インストーラー

[ マネージド インストーラー ] タブでは、 マネージド インストーラー – Intune 管理拡張機能 ポリシーの状態、成功数、エラーの詳細を表示できます。

ポリシー名を選択して [概要] ページを開き、次の情報を表示できます。

• デバイスの状態。成功とエラーの静的カウント。

• デバイスの状態の傾向。各詳細カテゴリのタイムラインとデバイスの数を表示する履歴グラフ。

レポートの詳細は次のとおりです。

• 成功 - ポリシーを正常に適用したデバイス。

• エラー - エラーが発生したデバイス。

• 新しいデバイス – 新しいデバイスは、最近ポリシーを適用したデバイスを識別します。

  

[概要] で [ デバイスの状態 ] セクションと [ デバイスの状態の傾向 ] セクションが更新されるまでに最大 24 時間かかることがあります。

ポリシーの詳細を表示しているときに、[ デバイスの状態 ] ( [モニター] の下) を選択して、ポリシーの詳細のデバイス ベースのビューを開くことができます。 [デバイスの状態] ビューには、デバイスがポリシーを正常に適用できない場合に問題を特定するために使用できる次の詳細が表示されます。

• デバイス名
• ユーザー名
• OS のバージョン
• マネージド インストーラーの状態 (成功またはエラー)

デバイスが実際にポリシーを受信した後、ポリシーの詳細のデバイス ベースのビューが更新されるまでに数分かかることがあります。

ビジネス向けアプリ コントロール

[ App Control for Business ] タブでは、App Control for Business ポリシーの一覧と、割り当てられているかどうか、最後に変更された日時など、基本的な詳細を表示できます。

その他のレポート オプションを含むビューを開くには、ポリシーを選択します。

ポリシーのレポート オプションは次のとおりです。

• デバイスとユーザーのチェックインの状態 - このポリシーで使用可能な各状態を報告するデバイスの数を表示する単純なグラフ。

• レポートの表示 - このポリシーを受け取ったデバイスの一覧を含むビューが開きます。 ここでは、ドリルインするデバイスを選択し、その App Control for Business ポリシー設定の形式を表示できます。

ポリシー ビューには、次のレポート タイルも含まれています。

• デバイス割り当ての状態 - このレポートには、保留中のポリシー割り当て状態のデバイスを含め、ポリシーの対象となるすべてのデバイスが表示されます。

  このレポートでは、表示する 割り当て状態 の値を選択し、[レポートの 生成 ] を選択して、ポリシーを受け取った個々のデバイス、最後にアクティブなユーザー、割り当ての状態をレポート ビューに更新できます。

  また、ドリルインするデバイスを選択し、その App Control for Business ポリシー設定の形式を表示することもできます。

• [設定の状態ごと ] - このレポートには、このポリシーの設定の状態が [成功]、[ エラー]、または [競合 ] と報告されているデバイスの数が表示されます。

よく寄せられる質問

Intune 管理拡張機能をマネージド インストーラーとして設定する必要があるのはいつですか?

次に利用可能な機会に、Intune 管理拡張機能をマネージド インストーラーとして構成することをお勧めします。

設定すると、デバイスに展開する後続のアプリに適切なタグが付けられます。これは、 管理対象インストーラーからアプリを信頼する WDAC ポリシーをサポートします。

マネージド インストーラーが構成される前にアプリが展開された環境では、新しい WDAC ポリシーを 監査モード で展開することをお勧めします。そのため、アプリが展開されたが、信頼済みとしてタグ付けされていないことを特定できます。 その後、監査結果を確認し、信頼するアプリを決定できます。 信頼して実行を許可するアプリの場合は、それらのアプリを許可するカスタム WDAC ポリシーを作成できます。

Microsoft Defender for Endpoint の機能である Advanced Hunting を調べるのに役立ちます。これにより、IT 管理者が管理し、ポリシーを作成するのに役立つ多数のマシンで監査イベントのクエリを簡単に実行できます。

攻撃面の縮小ポリシーから古いアプリケーション制御ポリシーを使用して何を行うか

アプリケーション制御ポリシーのインスタンスは、Intune UI の [ エンドポイント セキュリティ>Attach Surface の削減 ] または [ デバイス>管理デバイス>Configuration] の下に表示される場合があります。 これらは、今後のリリースで非推奨となる予定です。

同じデバイスに複数の基本ポリシーまたは補足ポリシーがある場合はどうなりますか?

Windows 10 1903 より前のバージョンでは、App Control for Business では、特定の時点でシステムで 1 つのアクティブ なポリシーのみがサポートされました。 この動作により、意図が異なる複数のポリシーが役に立つ状況では、顧客が大幅に制限されます。 現在、同じデバイスで複数の基本ポリシーと補足ポリシーがサポートされています。 複数の App Control for Business ポリシーのデプロイの詳細を確認してください。

関連するメモでは、App Control for Business の同じデバイスでアクティブな 32 ポリシーの制限はなくなりました。 この問題は、2024 年 3 月 12 日以降に Windows セキュリティ更新プログラムがリリースされた Windows 10 1903 以降を実行するデバイスで解決されます。 以前のバージョンの Windows は、今後の Windows セキュリティ更新プログラムでこの修正プログラムを受け取ることが予想されます。

Configuration Manager からインストールされたテナント セット アプリのマネージド インストーラーオプトイン機能は、適切なタグを使用していますか?

いいえ。 このリリースでは、Intune 管理拡張機能をマネージド インストーラーとして使用して、Intune からインストールされたアプリを設定することに重点を置いています。 Configuration Manager をマネージド インストーラーとして設定することはできません。

管理インストーラーとして Configuration Manager を設定する必要がある場合は、Configuration Manager 内からその動作を許可できます。 管理インストーラーとして Configuration Manager が既に設定されている場合、予期される動作は、新しい Intune 管理拡張機能 AppLocker ポリシーが既存の Configuration Manager ポリシーとマージされるということです。

マネージド インストーラーを使用する組織内の Entra Hybrid Join (ハードル) デバイスに関して、どのような考慮事項が必要ですか?

Entra ハイブリッド参加デバイスでは、(AppLocker を介して) マネージド インストーラー ポリシーを含むグループ ポリシーを適用するために、オンプレミス ドメイン コントローラー (DC) への接続が必要です。 DC 接続がない場合(特に Autopilot プロビジョニング中)、マネージド インストーラー ポリシーは正常に適用されません。 考慮対象:

1. 代わりに、Entra 結合で Autopilot を使用します。 詳細については、 Entra 参加オプション を選択するための推奨事項を参照してください。

2. [Entra ハイブリッド結合] で、次のいずれかまたは両方を選択します。

   • Autopilot がここで機能しない可能性があるため、アプリのインストール時に DC 接続を提供するデバイス プロビジョニング方法を使用します。
   • アプリのインストール時に DC 接続が確立され、マネージド インストーラー ポリシーを適用できるように、Autopilot プロビジョニングが完了した後にアプリを展開します。

次の手順

エンドポイント セキュリティ ポリシーを構成する