グループ ポリシーを使用して App Control for Business ポリシーをデプロイする

単一ポリシー形式の App Control for Business ポリシー (1903 以前のポリシー スキーマ) は、グループ ポリシーで簡単に展開および管理できます。

これで、アプリ制御ポリシーがバイナリ形式に変換されます。 そうでない場合は、「 App Control for Business ポリシーの展開」で説明されている手順に従います。

次の手順では、Contoso GPO テストという GPO を使用して、SiPolicy.p7b というアプリ制御ポリシーをアプリコントロール対応 PC というテスト OU に展開する方法について説明します。

グループ ポリシーを使用して App Control for Business ポリシーをデプロイおよび管理するには、

1. RSAT がインストールされているクライアント コンピューターで、GPMC.MSC を実行して GPMC を開きます。

2. 新しい GPO を作成する: OU を右クリックし、[ このドメインに GPO を作成する] を選択し、ここにリンクします。

   注

   任意の OU 名を使用できます。 また、セキュリティ グループのフィルター処理は、「 プラン for App Control for Business ライフサイクル ポリシー管理」で説明されているように、アプリ制御ポリシーを組み合わせる (または個別に保持する) さまざまな方法を検討する場合にオプションです。

   

3. 新しい GPO の名前を指定します。 任意の名前を選択できます。

4. [グループ ポリシー管理] エディターを開きます。新しい GPO を右クリックし、[編集] を選択します。

5. 選択した GPO で、コンピューターの構成\管理用テンプレート\System\Device Guard に移動します。 [ Deploy App Control for Business ] を右クリックし、[編集] を選択 します。

   

6. [ App Control for Business の展開 ] ダイアログ ボックスで、[ 有効] オプションを選択し、アプリ制御ポリシーの展開パスを指定します。

   このポリシー設定では、ポリシーが各クライアント コンピューターに存在するローカル パスか、クライアント コンピューターがポリシーの最新バージョンを取得するために検索する汎用名前付け規則 (UNC) パスを指定します。 たとえば、「 App Control for Business ポリシーの展開 」で説明されている手順を使用する SiPolicy.p7b へのパスは、%USERPROFILE%\Desktop\SiPolicy.p7b になります。

   注

   このポリシー ファイルをすべてのコンピューターにコピーする必要はありません。 代わりに、アプリ制御ポリシーを、すべてのコンピューター アカウントがアクセスできるファイル共有にコピーできます。 ここで選んだすべてのポリシーは、個々のクライアント コンピューターに展開するときに、SIPolicy.p7b に変換されます。

   

   注

   GPO 設定が .p7b ファイルを参照していることに気付いたかもしれませんが、ファイル拡張子とポリシー バイナリの名前は関係ありません。 ポリシー バイナリの名前に関係なく、Windows 10を実行しているクライアント コンピューターに適用すると、すべて SIPolicy.p7b に変換されます。 異なるアプリ制御ポリシーをさまざまなデバイス セットに展開する場合は、各アプリコントロール ポリシーにフレンドリ名を付け、システムがポリシー名を変換して、共有または他の中央リポジトリで表示するときにポリシーを簡単に区別できるようにすることができます。

7. グループ ポリシー管理エディターを閉じ、Windows テスト コンピューターを再起動します。 コンピューターを再起動すると、アプリ制御ポリシーが更新されます。