さまざまなシナリオでの App Control for Business の展開: デバイスの種類
注
App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。
通常、App Control for Business のデプロイは、単に "オンにする" 機能ではなく、フェーズで最適に行われます。フェーズの選択とシーケンスは、さまざまなコンピューターやその他のデバイスをorganizationで使用する方法と、IT がそれらのデバイスをどの程度管理するかによって異なります。 次の表は、organizationに App Control をデプロイするための計画の作成を開始するのに役立ちます。 組織では、説明されている各カテゴリのデバイス ユース ケースが一般的です。
デバイスの種類
| デバイスの種類 | アプリ コントロールとこの種類のデバイスの関係 |
|---|---|
|
緩やかに管理されたデバイス: 所有するのは会社ですが、ユーザーはソフトウェアを自由にインストールできます。 このようなデバイスでは、組織のウイルス対策ソリューションとクライアント管理ツールを実行する必要があります。 |
App Control for Business を使用すると、実行できるアプリケーションを制限するのではなく、カーネルを保護したり、問題のあるアプリケーションの監視 (監査) を行うことができます。 |
|
完全に管理されたデバイス: 許可されるソフトウェアは IT 部門によって制限されます。 ユーザーは、より多くのソフトウェアを要求したり、IT 部門が提供するアプリケーションの一覧からインストールしたりできます。 例: 会社が所有するロックダウンされたデスクトップ コンピューターやノート PC など。 |
最初のベースライン App Control for Business ポリシーを確立して適用できます。 IT 部門は、より多くのアプリケーションを承認するたびに、アプリ制御ポリシーと (署名されていない LOB アプリケーションの場合) カタログを更新します。 |
|
ワークロードが固定されたデバイス: 毎日同じタスクを実行します。 承認済みアプリケーションの一覧は、ほとんど変更されません。 例: キオスク デバイス、販売時点管理システム、コール センターのコンピューターなど。 |
App Control for Business は完全にデプロイでき、デプロイと進行中の管理は比較的簡単です。 App Control for Business のデプロイ後、承認されたアプリケーションのみを実行できます。 このルールは、App Control によって提供される保護が原因です。 |
| Bring Your Own Device: 従業員は自分のデバイスを持ち込むことが許可されており、それらのデバイスを業務以外で使用することもできます。 | ほとんどの場合、App Control for Business は適用されません。 代わりに、Microsoft Intune などの MDM ベースの条件付きアクセス ソリューションを使用した他の強化されたセキュリティ機能を検討してください。 ただし、これらのデバイスに監査モード ポリシーを展開するか、ブロックリストのみのポリシーを使用して、organizationによって悪意のある、または脆弱と見なされる特定のアプリまたはバイナリを防ぐことができます。 |
Lamna Healthcare Company の概要
次の一連の記事では、Lamna Healthcare Company という架空のorganizationを使用して、上記の各シナリオについて説明します。
Lamna Healthcare Company (Lamna) は、米国で運営されている大規模な医療プロバイダーです。 Lamna は、医師や看護師から会計士、社内弁護士、IT 技術者まで、何千人もの人々を雇用しています。 デバイスのユース ケースはさまざまであり、専門スタッフ用のシングル ユーザー ワークステーション、患者の記録にアクセスするために医師や看護師が使用する共有キオスク、MRI スキャナーなどの専用医療機器などが含まれます。 さらに、Lamnaは、プロのスタッフの多くのためのリラックスした持ち込みデバイスポリシーを持っています。
Lamna は、Configuration ManagerとIntuneの両方でハイブリッド モードでMicrosoft Intuneを使用します。 Microsoft Intuneを使用して多くのアプリケーションを展開していますが、Lamna では、個々のチームと従業員が自分のワークステーションでの役割に必要と思われるアプリケーションをインストールして使用できるようになりました。 また、Lamna は最近、エンドポイントの検出と応答を向上させるためにMicrosoft Defender for Endpointを使用し始めました。
最近、Lamna は、高価な回復プロセスを必要とするランサムウェア イベントを経験し、未知の攻撃者によるデータ流出が含まれている可能性があります。 攻撃の一部には、Lamna のウイルス対策ソリューションによる検出を回避したが、アプリ制御ポリシーによってブロックされていた悪意のあるバイナリのインストールと実行が含まれていました。 これに対し、Lamna の執行委員会は、アプリケーションの使用に関するポリシーの厳格化や App Control の導入など、多くの新しいセキュリティ IT 対応を承認しました。