App Control for Business と AppLocker の概要
注
App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。
Windows 10とWindows 11には、organizationの特定のシナリオと要件に応じて、アプリケーション制御に使用できる 2 つのテクノロジ (App Control for Business と AppLocker) が含まれています。
ビジネス向けアプリ コントロール
App Control はWindows 10で導入され、組織は Windows クライアントで実行できるドライバーとアプリケーションを制御できます。 これは、Microsoft Security Response Center (MSRC) によって定義された サービス条件の下でセキュリティ機能として設計されました。
アプリ制御ポリシーは、マネージド コンピューター全体に適用され、デバイスのすべてのユーザーに影響します。 アプリ コントロール ルールは、次に基づいて定義できます。
- アプリとそのバイナリの署名に使用されるコード署名証明書の属性
- ファイルの署名済みメタデータ (元のファイル名とバージョン、ファイルのハッシュなど) から取得されるアプリのバイナリの属性
- Microsoft のインテリジェント セキュリティ グラフによって決定されるアプリの評判
- アプリとそのバイナリのインストールを開始したプロセスの ID (マネージド インストーラー)
- アプリまたはファイルの起動元のパス (バージョン 1903 以降Windows 10)
- アプリまたはバイナリを起動したプロセス
注
App Control はもともと Device Guard の一部としてリリースされ、構成可能なコード整合性と呼ばれています。 Device Guard と構成可能なコードの整合性は、グループ ポリシー経由でアプリ制御ポリシーを展開する場所を見つける以外は使用されなくなりました。
アプリ コントロールのシステム要件
アプリ制御ポリシーは、Windows 10またはWindows 11の任意のクライアント エディション、または Windows Server 2016 以降で作成および適用できます。 アプリ制御ポリシーは、モバイル デバイス管理 (MDM) ソリューション (Intune、Configuration Manager などの管理インターフェイス、PowerShell などのスクリプト ホストなど) を使用して展開できます。 グループ ポリシーは、アプリ制御ポリシーの展開にも使用できますが、Windows Server 2016と 2019 で動作する単一ポリシー形式のポリシーに制限されます。
特定のアプリ コントロール ビルドで使用できる個々のアプリ コントロール機能の詳細については、「 App Control 機能の可用性」を参照してください。
AppLocker
AppLocker は Windows 7 で導入され、組織は Windows クライアントで実行できるアプリケーションを制御できます。 AppLocker は、エンド ユーザーがコンピューターで承認されていないソフトウェアを実行できないようにするのに役立ちますが、セキュリティ機能であるというサービス条件を満たしていません。
AppLocker ポリシーは、コンピューター上のすべてのユーザー、または個々のユーザーとグループに適用できます。 AppLocker ルールは、次に基づいて定義できます。
- アプリとそのバイナリの署名に使用されるコード署名証明書の属性。
- ファイルの署名済みメタデータ (元のファイル名とバージョン、ファイルのハッシュなど) から取得されるアプリのバイナリの属性。
- アプリまたはファイルの起動元のパス。
AppLocker は、 マネージド インストーラー や インテリジェント セキュリティ グラフなど、App Control の一部の機能でも使用されます。
AppLocker システム要件
AppLocker ポリシーは、サポートされているバージョンと Windows オペレーティング システムのエディションで実行されているデバイスでのみ構成および適用できます。 詳細については、「 AppLocker を使用するための要件」を参照してください。 AppLocker ポリシーは、グループ ポリシーまたは MDM を使用して展開できます。
App Control または AppLocker を使用するタイミングを選択する
一般に、AppLocker ではなく App Control を使用してアプリケーション制御を実装できるお客様は、これを行う必要があります。 App Control は継続的な改善を行っており、Microsoft 管理プラットフォームからサポートが追加されています。 AppLocker は引き続きセキュリティ修正プログラムを受け取りますが、新機能の改善は得られません。
ただし、場合によっては、AppLocker がorganizationに適したテクノロジになる場合があります。 AppLocker は、次の場合に最適です。
- Windows オペレーティング システム (OS) 環境が混在しており、同じポリシー制御を Windows 10 以前のバージョンの OS に適用する必要があります。
- 共有コンピューター上のユーザーまたはグループごとに異なるポリシーを適用する必要があります。
- DLL やドライバーなどのアプリケーション ファイルに対してアプリケーション制御を適用する必要はありません。
AppLocker を App Control の補完として展開して、共有デバイス シナリオのユーザーまたはグループ固有のルールを追加することもできます。一部のユーザーが特定のアプリを実行できないようにすることが重要です。 ベスト プラクティスとして、organizationに対して可能な限り制限の厳しいレベルでアプリ制御を適用する必要があります。その後、AppLocker を使用して制限をさらに微調整できます。