モバイル デバイス管理 (MDM) を使用してアプリ制御ポリシーを展開する

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。

モバイル デバイス管理 (MDM) ソリューション (Microsoft Intune など) を使用して、クライアント コンピューターで App Control for Business を構成できます。 Intuneには、アプリ コントロールのネイティブ サポートが含まれています。これは出発点として役立ちますが、お客様は使用可能な信頼のサークル オプションが制限されすぎる場合があります。 Intuneを使用してカスタム ポリシーをデプロイし、独自の信頼の円を定義するには、カスタム OMA-URI を使用してプロファイルを構成できます。 organizationが別の MDM ソリューションを使用している場合は、アプリ制御ポリシーのデプロイ手順をソリューション プロバイダーにチェックします。

重要

既知の問題のため、メモリ整合性が有効になっているシステムで再起動を行い、新しい署名されたアプリコントロールベースポリシー常にアクティブにする必要があります。 Mobile デバイス管理 (MDM) の代わりに、スクリプトを使用して新しい署名済みアプリ コントロール ベース ポリシーを展開し、システムを再起動してポリシーをアクティブ化します。

この問題は、システムで既にアクティブになっている署名済みの基本ポリシー、署名されていないポリシーの展開、または補足ポリシーの展開 (署名済みまたは署名なし) の更新には影響しません。 また、メモリ整合性を実行していないシステムへのデプロイにも影響しません。

Intuneの組み込みポリシーを使用する

Intuneの組み込みの App Control for Business サポートを使用すると、Windows クライアント コンピューターを実行するように構成できます。

  • Windows コンポーネント
  • サード パーティ製のハードウェアとソフトウェアのカーネル ドライバー
  • Microsoft Store に署名されたアプリ
  • [省略可能]インテリジェント セキュリティ グラフ (ISG) によって定義された評判の良いアプリ

Intuneの組み込みポリシーでは、DefaultWindows ポリシーの 1903 より前の単一ポリシー形式バージョンが使用されます。 現在パブリック プレビュー中の改善されたIntune アプリコントロール エクスペリエンスを使用して、複数ポリシー形式のファイルを作成して展開します。 または、Intuneのカスタム OMA-URI 機能を使用して、独自の複数ポリシー形式のアプリ制御ポリシーをデプロイし、このトピックで後述するように、Windows 10 1903 以降またはWindows 11で使用できる機能を利用できます。

Intune現在、AppLocker CSP を使用して組み込みのポリシーをデプロイしています。 AppLocker CSP は、アプリ制御ポリシーを適用するときに常にデバイスの再起動を要求します。 現在パブリック プレビュー中の改善されたIntuneアプリコントロール エクスペリエンスを使用して、再起動せずに独自のアプリコントロール ポリシーをデプロイします。 または、ApplicationControl CSP でIntuneのカスタム OMA-URI 機能を使用することもできます。

Intuneの組み込みのアプリ制御ポリシーを使用するには、Windows 10の Endpoint Protection (以降) を構成します。

カスタム OMA-URI を使用してアプリ制御ポリシーをデプロイする

Intuneカスタム OMA-URI を介してデプロイされるポリシーには、350,000 バイトの制限が適用されます。 お客様は、署名ベースのルール、インテリジェント セキュリティ グラフ、および実用的なマネージド インストーラーを使用する App Control for Business ポリシーを作成する必要があります。 デバイスで 1903 以上のビルドの Windows を実行しているお客様は、より詳細なポリシーを許可する 複数のポリシーを 使用することをお勧めします。

これで、1 つ以上のアプリ制御ポリシーがバイナリ形式に変換されます。 そうでない場合は、「 App Control for Business ポリシーの展開」で説明されている手順に従います。

Windows 10 1903 以降にカスタム アプリ制御ポリシーをデプロイする

Windows 10 1903 以降、カスタム OMA-URI ポリシーのデプロイでは、複数のポリシーと再起動なしのポリシーをサポートする ApplicationControl CSP を使用できます。

OMA-URI を使用してデプロイする前に、カスタム ポリシー XML をバイナリ 形式に変換する必要があります。

Intuneのカスタム OMA-URI 機能を使用する手順は次のとおりです。

  1. Microsoft Intune ポータルを開き、カスタム設定でプロファイルを作成します

  2. [名前][説明] を指定し、残りのカスタム OMA-URI 設定に次の値を使用します。

    • OMA-URI: ./Vendor/MSFT/ApplicationControl/Policies/_Policy GUID_/Policy
    • データ型: Base64 (ファイル)
    • 証明書ファイル: バイナリ形式のポリシー ファイルをアップロードします。 これを行うには、{GUID}.cip ファイルを {GUID}.binに変更します。 アップロードした.binファイルをユーザーの代わりに Base64 に変換Intune、Base64 ファイルをアップロードする必要はありません。

    カスタム アプリ コントロールを構成します。

[ポリシー GUID] の値には、中かっこを含めないでください。

Windows 10 1903 以降のアプリ制御ポリシーを削除する

削除時に、ApplicationControl CSP を介してIntuneを介してデプロイされたポリシーはシステムから削除されますが、次回の再起動まで有効なままです。 App Control for Business の適用を無効にするには、まず、既存のポリシーを、%windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml のポリシー例のルールのように、"許可 *" する新しいバージョンのポリシーに置き換えます。 更新されたポリシーがデプロイされたら、Intune ポータルからポリシーを削除できます。 この削除により、何もブロックされず、次回の再起動時にアプリ制御ポリシーが完全に削除されます。

1903 より前のシステムの場合

ポリシーの展開

Intuneのカスタム OMA-URI 機能を使用して AppLocker CSP を適用し、1903 より前のシステムにカスタム アプリ制御ポリシーを展開する手順は次のとおりです。

  1. デプロイするために ConvertFrom-CIPolicy コマンドレットを使用して、ポリシー XML をバイナリ形式に変換します。 バイナリ ポリシーは、署名または署名されていない可能性があります。

  2. Microsoft Intune ポータルを開き、カスタム設定でプロファイルを作成します

  3. [名前][説明] を指定し、残りのカスタム OMA-URI 設定に次の値を使用します。

    • OMA-URI: ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/_Grouping_/CodeIntegrity/Policy
    • データ型: Base64 (ファイル)
    • 証明書ファイル: バイナリ形式のポリシー ファイルをアップロードする

    AppLocker CSP を使用してポリシーを展開すると、OOBE 中に強制的に再起動されます。

ポリシーの削除

AppLocker CSP を介してIntuneを介して展開されたポリシーは、Intune コンソールから削除することはできません。 App Control for Business ポリシーの適用を無効にするには、監査モード ポリシーをデプロイするか、スクリプトを使用して既存のポリシーを削除します。