App Control for Business ポリシーと managed Installers for Microsoft Intuneを使用して Windows デバイスの承認済みアプリを管理する
この機能はパブリック プレビュー段階です。
毎日新しい悪意のあるファイルやアプリが野生で表示されます。 organizationのデバイスで実行すると、リスクが発生し、管理や防止が困難になる可能性があります。 望ましくないアプリがマネージド Windows デバイスで実行されないようにするには、Microsoft Intune App Control for Business ポリシーを使用します。
Intuneの App Control for Business ポリシーはエンドポイント セキュリティの一部であり、Windows ApplicationControl CSP を使用して Windows デバイスで許可されているアプリを管理します。
App Control for Business ポリシーでも使用できます。管理インストーラー ポリシーを使用して、Intune管理拡張機能をマネージド インストーラーとしてテナントに追加できます。 この拡張機能をマネージド インストーラーとして使用すると、Intuneを介してデプロイするアプリには、インストーラーによって自動的にタグが付けられます。 タグ付けされたアプリは、App Control for Business ポリシーによって、デバイスでの実行を許可できる安全なアプリとして識別できます。
Intune管理拡張機能は、Windows 10デバイスとWindows 11 デバイスWindows 10 MDM 機能を補完するIntune サービスです。 これは、管理対象デバイスへの Win32 アプリと PowerShell スクリプトのインストールを容易にします。
マネージド インストーラーでは、AppLocker ルールを使用して、organizationによって信頼されているアプリケーションにタグを付けます。詳細については、Windows セキュリティドキュメントの「マネージド インストーラーによってインストールされたアプリを許可する」を参照してください。
App Control for Business ポリシーを使用するには、マネージド インストーラーを使用する必要はありません。
この記事の情報は、次の場合に役立ちます。
関連情報については、Windows セキュリティドキュメントの「Windows Defender アプリケーションコントロール」を参照してください。
注:
App Control for Business ポリシーとアプリケーション制御プロファイル: Intune App Control for Business ポリシーでは、ApplicationControl CSP が使用されます。 Intuneの攻撃面の縮小ポリシーでは、アプリケーション制御プロファイルに AppLocker CSP が使用されます。 Windows では、 AppLocker CSP を置き換えるために ApplicationControl CSP が導入されました。 Windows では引き続き AppLocker CSP がサポートされますが、新しい機能は追加されなくなります。 代わりに、ApplicationControl CSP を介して開発が続行されます。
適用対象:
- Windows 10
- Windows 11
前提条件
デバイス
次のデバイスは、Intuneに登録されている場合、App Control for Business ポリシーでサポートされます。
Windows Enterprise または Education:
- Windows 10 バージョン 1903 以降。
- バージョン 1903 以降Windows 11
Windows Professional:
- KB5019959を使用したWindows 10
- Windows 11:
- バージョン 22H2 とKB5019980
- バージョン 21H2 とKB5019961
Windows 11 SE:
- Windows 11 SEは、教育機関向けテナントでのみサポートされています。 詳細については、この記事の後半の「 Education テナントのビジネス 向けアプリ制御ポリシー 」を参照してください。
Azure Virtual Desktop (AVD):
- AVD デバイスは、App Control for Business ポリシーを使用するためにサポートされています
- AVD マルチセッション デバイスをターゲットにするには、エンドポイント セキュリティの [App Control for Business] ノードを使用します。 ただし、App Control for Business はデバイス スコープのみです。
共同管理デバイス:
- 共同管理デバイスでビジネス ポリシーのアプリケーション制御をサポートするには、[Endpoint Protection] スライダーのスライダーを [Intune] に設定します。
Windows Defender App Control for Business
Windows セキュリティドキュメントの「Windows のアプリケーション制御について」の「Windowsエディションとライセンス要件」を参照してください。
ロールベースのアクセス制御
App Control for Business ポリシーを管理するには、アカウントに、必要なタスクを完了するための十分なアクセス許可と権限を含むIntuneロールベースのアクセス制御 (RBAC) ロールが割り当てられている必要があります。
必要なアクセス許可と権限を持つ使用可能なタスクを次に示します。
マネージド インストーラーの使用を有効にする - アカウントには、管理者のロールIntune割り当てる必要があります。 インストーラーの有効化は、1 回限りのイベントです。
重要
Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 Intune管理者と同様のアカウントは、高い特権を持つロールであり、別のロールを使用できないシナリオに限定する必要があります。
ビジネス向けアプリ制御ポリシーの管理 - アカウントには、削除、読み取り、割り当て、作成、更新、およびレポートの表示の権限を含む、App Control for Business アクセス許可が必要です。
App Control for Business ポリシーのレポートを表示 する - アカウントには、次のいずれかのアクセス許可と権限が必要です。
- レポートの表示に関する App Control for Business アクセス許可。
- 読み取りを使用した組織のアクセス許可。
Intune App Control for Business ポリシーを管理するための適切なレベルのアクセス許可と権限の割り当てに関するガイダンスについては、「Assign-role-based-access-controls-for-endpoint-security-policy」を参照してください。
政府機関向けクラウド サポート
Intuneエンドポイント セキュリティ アプリケーション制御ポリシーとマネージド インストーラーの構成は、次のソブリン クラウド環境でサポートされています。
- 米国政府機関向けクラウド
- 21Vianet
マネージド インストーラーの概要
Intuneのエンドポイント セキュリティ App Control for Business では、ポリシーを使用して、マネージド Windows デバイスに管理インストーラーとしてIntune管理拡張機能を追加できます。
マネージド インストーラーを有効にすると、Intuneを介して Windows デバイスに展開する後続のすべてのアプリケーションは、マネージド インストーラー タグでマークされます。 タグは、アプリが既知のソースによってインストールされ、信頼できることを示します。 アプリのマネージド インストーラー のタグ付けは、App Control for Business ポリシーによって使用され、環境内のデバイスでの実行が承認されたアプリを自動的に識別します。
App Control for Business ポリシーは、Windows Defender アプリケーションコントロール (WDAC) の実装です。 WDAC とアプリのタグ付けの詳細については、 Windows Defender アプリケーション制御ドキュメントの「Windows および WDAC アプリケーション ID (AppId) タグ付けガイド のアプリケーション制御について」を参照してください。
マネージド インストーラーの使用に関する考慮事項:
マネージド インストーラーの設定は、すべてのマネージド Windows デバイスに適用されるテナント全体の構成です。
Intune管理拡張機能をマネージド インストーラーとして有効にすると、Intuneを介して Windows デバイスに展開するすべてのアプリに、マネージド インストーラーのマークが付けられます。
このタグ自体は、デバイスで実行できるアプリには影響しません。 タグは、管理対象デバイスで実行できるアプリを決定する WDAC ポリシーも割り当てる場合にのみ使用されます。
遡及的なタグ付けがないため、マネージド インストーラーを有効にする前に展開されたデバイス上のすべてのアプリにはタグは付けられません。 WDAC ポリシーを適用する場合は、これらのタグなしアプリの実行を許可する明示的な構成を含める必要があります。
このポリシーをオフにするには、マネージド インストーラー ポリシーを編集します。 ポリシーをオフにすると、後続のアプリがマネージド インストーラーでタグ付けされなくなります。 以前にインストールされ、タグ付けされたアプリはタグ付けされたままになります。 ポリシーをオフにした後のマネージド インストーラーの手動クリーンの詳細については、この記事の「管理インストーラーとしてIntune管理拡張機能を削除する」を参照してください。
マネージド インストーラー Intune設定する方法の詳細については、Windows セキュリティドキュメントを参照してください。
重要
Log Analytics 統合によって収集されるイベントへの潜在的な影響
Log Analytics は、お客様が AppLocker ポリシー イベントからデータを収集するために使用できる Azure Portal のツールです。 このパブリック プレビューでは、オプトイン アクションを完了すると、AppLocker ポリシーがテナント内の該当するデバイスへの展開を開始します。 Log Analytics の構成に応じて、特に詳細なログの一部を収集する場合 は、AppLocker ポリシーによって生成されるイベントが増加します。 organizationで Log Analytics を使用する場合は、Log Analytics のセットアップを確認して、次のことが推奨されます。
- Log Analytics のセットアップを理解し、予期しない課金コストを回避するために適切なデータ収集上限が設定されていることを確認します。
- MSI ログとスクリプト ログを除き、Log Analytics (エラー、警告、情報) で AppLocker イベントのコレクションを完全にオフにします。
マネージド インストーラーをテナントに追加する
次の手順では、Intune管理拡張機能をテナントのマネージド インストーラーとして追加する手順について説明します。 Intuneでは、1 つのマネージド インストーラー ポリシーがサポートされます。
Microsoft Intune管理センターで、[エンドポイント セキュリティ (プレビュー)] に移動し、[マネージド インストーラー] タブを選択し、[*追加] を選択します。 [ マネージド インストーラーの追加] ウィンドウが開きます。
[追加] を選択し、[はい] を選択して、管理インストーラーとしてのIntune管理拡張機能の追加を確認します。
マネージド インストーラーを追加した後、まれに、新しいポリシーがテナントに追加されるまでに最大 10 分待つ必要がある場合があります。 [ 最新の情報に更新] を選択して、管理センターが使用可能になるまで定期的に更新します。
Intuneがマネージド インストーラーという名前のマネージド インストーラー ポリシーを表示すると、サービスでポリシーの準備が整います。Intune管理拡張機能の状態は [アクティブ] です。 クライアント側から、ポリシーの配信が開始されるまで最大 1 時間待つ必要がある場合があります。
これで、ポリシーを選択してその構成を編集できます。 次の 2 つのポリシー領域のみが編集をサポートします。
設定: ポリシー設定を編集すると、[ 管理インストーラーのオプトアウト ] ウィンドウが開きます。ここで、[ マネージド インストーラーの設定 ] の値を [オン ] と [オフ] の間で変更できます。 インストーラーを追加すると、[ マネージド インストーラーの設定 ] の既定の設定は [オン] になります。 構成を変更する前に、[ オン ] と [ オフ] のウィンドウで詳細な動作を確認してください。
スコープ タグ: このポリシーに割り当てられているスコープ タグを追加および変更できます。 これにより、ポリシーの詳細を表示できる管理者を指定できます。
ポリシーが有効になる前に、アプリコントロール for Business ポリシーを作成して展開して、Windows デバイスでアプリを実行できるルールを指定する必要があります。
詳細については、Windows セキュリティドキュメントの「マネージド インストーラーによってインストールされたアプリを許可する」を参照してください。
重要
AppLocker ポリシーのマージから起動しない可能性があるリスク
Intuneを使用してマネージド インストーラーを有効にすると、ダミールールを含む AppLocker ポリシーが展開され、ターゲット デバイス上の既存の AppLocker ポリシーとマージされます。 既存の AppLocker ポリシーに 、NotConfigured として定義された RuleCollection と空のルール セットが含まれている場合、そのポリシーは NotConfigured としてダミー ルールとマージされます。 NotConfigured ルール コレクションは、コレクションにルールが定義されている場合、既定で 適用されます。 ダミー ルールが構成されている唯一のルールである場合、これは他の何かが読み込まれるか実行されないようにブロックされることを意味します。 これにより、アプリケーションの起動に失敗し、Windows の起動やログオンに失敗するなど、予期しない問題が発生する可能性があります。 この問題を回避するには、既存の AppLocker ポリシーが存在する場合は、空の規則セットを使用して NotConfigured として定義されている RuleCollection を削除することをお勧めします。
- マネージド インストーラーでは、GPO から適用された (ターゲット PC 上の) App-Locker ポリシーの停止または無効化を有効にできます。
管理インストーラーとしてIntune管理拡張機能を削除する
必要に応じて、テナントのマネージド インストーラーとしてIntune管理拡張機能の構成を停止できます。 これには、マネージド インストーラー ポリシーをオフにする必要があります。 ポリシーがオフになった後は、追加のクリーンアクションを使用するように選択できます。
Intune管理拡張機能ポリシーをオフにする (必須)
Intune管理拡張機能をマネージド インストーラーとしてデバイスに追加するのを停止するには、次の構成が必要です。
管理センターで、[エンドポイント セキュリティ (プレビュー)] に移動し、[マネージド インストーラー] タブを選択し、[マネージド インストーラー ] - [管理拡張機能] ポリシー Intune選択します。
ポリシーを編集し、[ 管理対象インストーラーの設定] を [オフ] に変更し、ポリシーを保存します。
Intune管理拡張機能をマネージド インストーラーとして使用して新しいデバイスを構成することはできません。 これにより、管理インストーラーとしてIntune管理拡張機能は、既に使用するように構成されているデバイスから削除されません。
デバイスで管理インストーラーとしてIntune管理拡張機能を削除する (省略可能)
オプションのクリーン手順として、スクリプトを実行して、既にインストールされているデバイス上のマネージド インストーラーとしてIntune管理拡張機能を削除できます。 マネージド インストーラーを参照する App Control for Business ポリシーも使用しない限り、この構成はデバイスに影響しないため、この手順は省略可能です。
CatCleanIMEOnly.ps1 PowerShell スクリプトをダウンロードします。 このスクリプトは、download.microsoft.com からhttps://aka.ms/intune_WDAC/CatCleanIMEOnlyで使用できます。
Intune管理拡張機能がマネージド インストーラーとして設定されているデバイスで、このスクリプトを実行します。 このスクリプトでは、管理インストーラーとしてIntune管理拡張機能のみが削除されます。
上記の変更を有効にするには、Intune管理拡張機能サービスを再起動します。
このスクリプトを実行するには、Intuneを使用して PowerShell スクリプトや任意の他のメソッドを実行できます。
デバイスからすべての AppLocker ポリシーを削除する (省略可能)
デバイス からすべての Windows AppLocker ポリシーを削除するには、 CatCleanAll.ps1 PowerShell スクリプトを使用します。 このスクリプトは、管理インストーラーとしてIntune管理拡張機能だけでなく、デバイスから Windows AppLocker に基づくすべてのポリシーを削除します。 このスクリプトを使用する前に、組織が AppLocker ポリシーを使用していることを確認してください。
CatCleanAll.ps1 PowerShell スクリプトをダウンロードします。 このスクリプトは、download.microsoft.com からhttps://aka.ms/intune_WDAC/CatCleanAllで使用できます。
Intune管理拡張機能がマネージド インストーラーとして設定されているデバイスで、このスクリプトを実行します。 このスクリプトは、管理対象インストーラーとしてIntune管理拡張機能と AppLocker ポリシーをデバイスから削除します。
上記の変更を有効にするには、Intune管理拡張機能サービスを再起動します。
このスクリプトを実行するには、Intuneを使用して PowerShell スクリプトや任意の他のメソッドを実行できます。
App Control for Business ポリシーの概要
Intuneのエンドポイント セキュリティ App Control for Business ポリシーを使用すると、管理対象の Windows デバイスで実行を許可されるアプリを管理できます。 ポリシーによって明示的に実行が許可されていないアプリは、監査モードを使用するようにポリシーを構成していない限り、実行がブロックされます。 監査モードでは、ポリシーを使用すると、すべてのアプリを実行し、クライアントでローカルにそれらの詳細をログに記録できます。
許可またはブロックされるアプリを管理するために、Intuneは Windows デバイス上の Windows ApplicationControl CSP を使用します。
App Control for Business ポリシーを作成するときは、使用する 構成設定の形式 を選択する必要があります。
xml データの入力 - xml データを入力する場合は、App Control for Business ポリシーを定義する一連のカスタム XML プロパティをポリシーに指定する必要があります。
組み込みのコントロール – このオプションは、構成する最も簡単なパスですが、強力な選択のままです。 組み込みのコントロールを使用すると、マネージド インストーラーによってインストールされているすべてのアプリを簡単に承認し、Windows コンポーネントとストア アプリの信頼を許可できます。
これらのオプションの詳細については、ポリシーの作成時に UI から入手できます。また、ポリシーを作成する手順については、次の手順で詳しく説明します。
App Control for Business ポリシーを作成した後は、その元のポリシーに XML 形式でさらにルールを追加する補足ポリシーを作成することで、そのポリシーのスコープを拡張できます。 補足ポリシーを使用する場合、元のポリシーは基本ポリシーと呼ばれます。
注:
テナントが教育機関向けテナントの場合は、「 Education テナントのビジネス向けアプリ制御ポリシー 」を参照して、それらのデバイスの追加のデバイス サポートと App Control for Business ポリシーについて説明します。
App Control for Business ポリシーを作成する
次の手順を使用して、ビジネス向けアプリ制御ポリシーを正常に作成できます。 このポリシーを使用して定義した信頼の範囲を広げる補足ポリシーを作成する場合、このポリシーは基本ポリシーと見なされます。
Microsoft Intune管理センターにサインインし、[エンドポイント セキュリティ] に移動します>App Control for Business (プレビュー)> [App Control for Business] タブ >を選択し、[ポリシーの作成] を選択します。 App Control for Business ポリシーは、プラットフォームの種類のWindows 10以降に自動的に割り当てられます。
[ 基本] で、次のプロパティを入力します。
- 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるように、プロファイルに名前を付けます。
- 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。
[ 構成設定] で、[ 構成設定] の形式を選択します。
xml データの入力 - このオプションでは、App Control for Business ポリシーを定義するためのカスタム XML プロパティを指定する必要があります。 このオプションを選択しても、XLM プロパティをポリシーに追加しない場合は、[ 未構成] として機能します。 App Control for Business ポリシーが構成されていないと、デバイスで既定の動作が発生し、ApplicationControl CSP のオプションは追加されません。
組み込みコントロール – このオプションでは、ポリシーではカスタム XML は使用されません。 代わりに、次の設定を構成します。
Windows コンポーネントとストア アプリの信頼を有効にする – この設定が [有効] (既定値) の場合、マネージド デバイスは、Windows コンポーネントを実行し、アプリを格納できます。また、信頼済みとして構成する可能性があるその他のアプリも実行できます。 このポリシーによって信頼済みとして定義されていないアプリは、実行がブロックされます。
この設定では、 監査のみの モードもサポートされています。 監査モードでは、すべてのイベントがローカル クライアント ログに記録されますが、アプリの実行はブロックされません。
アプリを信頼するための追加オプションを選択する – この設定では、次のオプションのいずれかまたは両方を選択できます。
評判の良いアプリを信頼 する – このオプションを使用すると、Microsoft Intelligent Security Graph で定義されている信頼できるアプリをデバイスで実行できます。 インテリジェント セキュリティ グラフ (ISG) の使用については、Windows セキュリティドキュメントの「インテリジェント セキュリティ グラフ (ISG) で信頼できるアプリを許可する」を参照してください。
マネージド インストーラーからアプリを信頼する – このオプションを使用すると、承認されたソースによって展開されたアプリ (マネージド インストーラー) をデバイスで実行できます。 これは、Intune管理拡張機能をマネージド インストーラーとして構成した後、Intuneを使用して展開するアプリに適用されます。
このポリシーの規則で指定されていない他のすべてのアプリとファイルの動作は、 Windows コンポーネントとストア アプリの信頼を有効にするの構成によって異なります。
- [有効] の場合、ファイルとアプリはデバイスでの実行がブロックされます。
- [監査のみ] に設定されている場合、ファイルとアプリはローカル クライアント ログでのみ監査されます。
[スコープ タグ] ページで、適用するスコープ タグを選択し、[次へ] を選択します。
[ 割り当て] で、ポリシーを受け取るグループを選択しますが、WDAC ポリシーはデバイス スコープにのみ適用されることを検討してください。 続行するには、[Next] を選択します。
プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。
[ 確認と作成] で設定を確認し、[ 作成] を選択します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーは、ポリシーの一覧にも表示されます。
補足ポリシーを使用する
1 つ以上の補足ポリシーを使用すると、App Control for Business 基本ポリシーを拡張して、そのポリシーの信頼の輪を広げることができます。 補助ポリシーは 1 つの基本ポリシーのみを展開できますが、複数の補助ポリシーで同じ基本ポリシーを展開できます。 補足ポリシーを追加すると、基本ポリシーによって許可されるアプリケーションとその補足ポリシーは、デバイスで実行できます。
補足ポリシーは XML 形式である必要があり、基本ポリシーのポリシー ID を参照する必要があります。
App Control for Business 基本ポリシーのポリシー ID は、基本ポリシーの構成によって決まります。
カスタム XML を使用して作成される基本ポリシーには、その XML 構成に基づく一意の PolicyID があります。
App Control for Business の 組み込みコントロール を使用して作成される基本ポリシーには、組み込み設定の可能な組み合わせによって決定される 4 つの PolicyID の 1 つがあります。 次の表は、組み合わせと関連する PolicyID を示しています。
基本ポリシーの PolicyID WDAC ポリシーのオプション (監査 または 適用) {A8012CFC-D8AE-493C-B2EA-510F035F1250} アプリ制御ポリシーを有効にして Windows コンポーネントとストア アプリを信頼する {D6D6C2D6-E8B6-4D8F-8223-14BE1DE562FF} Windows コンポーネントとストア アプリを信頼するアプリ制御ポリシーを有効にする
And
評判の良いアプリを信頼する{63D1178A-816A-4AB6-8ECD-127F2DF0CE47} アプリ制御ポリシーを有効にして、Windows コンポーネントとストア アプリを信頼する
And
管理対象インストーラーからアプリを信頼する{2DA0F72D-1688-4097-847D-C42C39E631BC} Windows コンポーネントとストア アプリを信頼するアプリ制御ポリシーを有効にする
And
信頼アプリと評判の良いアプリを信頼する
And
マネージド インストーラーからのアプリの信頼
組み込みコントロールの同じ構成を使用する 2 つの App Control for Business ポリシーの PolicyID は同じですが、ポリシーの 割り当て に基づいて異なる補足ポリシーを適用できます。
次のシナリオを考えてみましょう。
同じ構成を使用し、同じ PolicyID を持つ 2 つの基本ポリシーを作成します。 そのうちの 1 つをエグゼクティブ チームにデプロイし、2 つ目のポリシーをヘルプ デスク チームに展開します。
次に、エグゼクティブ チームが必要とする他のアプリを実行できるようにする補足ポリシーを作成します。 この補足ポリシーは、同じグループであるエグゼクティブ チームに割り当てます。
次に、ヘルプ デスク チームに必要なさまざまなツールを実行できるようにする 2 つ目の補足ポリシーを作成します。 このポリシーは、ヘルプ デスク グループに割り当てられます。
これらのデプロイの結果、両方の補足ポリシーが基本ポリシーの両方のインスタンスを変更する可能性があります。 ただし、個別の割り当てと個別の割り当てにより、最初の補足ポリシーでは、エグゼクティブ チームに割り当てられた許可されたアプリのみが変更され、2 番目のポリシーではヘルプ デスク チームによって使用される許可されたアプリのみが変更されます。
補足ポリシーを作成する
Windows Defender アプリケーション制御ウィザードまたは PowerShell コマンドレットを使用して、XML 形式で App Control for Business ポリシーを生成します。
ウィザードの詳細については、「 aka.ms/wdacWizard または Microsoft WDAC ウィザード」を参照してください。
XML 形式でポリシーを作成する場合は、基本ポリシーの ポリシー ID を 参照する必要があります。
App Control for Business 補足ポリシーが XML 形式で作成されたら、Microsoft Intune管理センターにサインインし、[エンドポイント セキュリティ>App Control for Business (プレビュー)] に移動>[App Control for Business] タブを選択し、[ポリシーの作成] を選択します。
[ 基本] で、次のプロパティを入力します。
名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるように、プロファイルに名前を付けます。
説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。
[ 構成設定] の [ 構成設定の形式 ] で、[ Xml データの入力 ] を選択し、XML ファイルをアップロードします。
[ 割り当て] で、補助ポリシーを適用する基本ポリシーに割り当てられたグループと同じグループを選択し、[ 次へ] を選択します。
[ 確認と作成] で設定を確認し、[ 作成] を選択します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーは、ポリシーの一覧にも表示されます。
Education テナントのビジネス ポリシーのアプリ制御
教育機関向けテナントの App Control for Business ポリシーでは、前提条件でサポートされているプラットフォームに加えて、Windows 11 SEもサポートされています。
Windows 11 SEは、教室で使用できるように最適化されたクラウドファーストのオペレーティング システムです。 Intune for Education と同様に、Windows SE 11 は生産性、学生のプライバシー、学習を優先し、教育に不可欠な機能とアプリのみをサポートします。
この最適化を支援するために、WDAC ポリシーとIntune管理拡張機能は、Windows 11 SE デバイスに対して自動的に構成されます。
Windows 11 SEデバイスのIntuneサポートは、EDU テナント内のアプリのセット リストを含む定義済みの WDAC ポリシーの展開を対象としています。 これらのポリシーは自動的にデプロイされ、変更することはできません。
Intune EDU テナントの場合、Intune管理拡張機能はマネージド インストーラーとして自動的に設定されます。 この構成は自動であり、変更できません。
ビジネス向けアプリコントロールの削除ポリシー
「Mobile デバイス管理 (MDM) (Windows 10) を使用した WDAC ポリシーの展開 - Windows セキュリティドキュメントの Windows セキュリティ」で詳しく説明されているように、Intune UI から削除されたポリシーはシステムおよびデバイスから削除されますが、マシンの次回の再起動まで有効です。
WDAC の強制を無効または削除するには:
既存のポリシーを、Windows デバイスで見つかったポリシー例のルールのように、
Allow /*
する新しいバージョンのポリシーに置き換えます。%windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml
この構成により、ポリシーが削除された後にデバイスに残っている可能性があるブロックが削除されます。
更新されたポリシーがデプロイされたら、Intune ポータルから新しいポリシーを削除できます。
このシーケンスにより、何もブロックされず、次回の再起動時に WDAC ポリシーが完全に削除されます。
App Control for Business ポリシーとマネージド インストーラーを監視する
デバイスに App Control for Business ポリシーとマネージド インストーラー ポリシーが割り当てられたら、管理センター内でポリシーの詳細を表示できます。
- レポートを表示するには、アカウントに組織のIntuneロールベースのアクセス制御カテゴリの読み取りアクセス許可が必要です。
レポートを表示するには、Intune管理センターにサインインし、[アカウント制御] ノードに移動します。 (エンドポイント セキュリティ>アカウント制御 (プレビュー))。 ここでは、表示するポリシーの詳細のタブを選択できます。
マネージド インストーラー
[マネージド インストーラー] タブでは、マネージド インストーラーの状態、成功数、エラーの詳細を表示できます。管理拡張機能ポリシー Intune。
ポリシー名を選択して [概要] ページを開き、次の情報を表示できます。
デバイスの状態。成功とエラーの静的カウント。
デバイスの状態の傾向。各詳細カテゴリのデバイスのタイムラインと数を表示する履歴グラフ。
レポートの詳細は次のとおりです。
[概要] で [ デバイスの状態 ] セクションと [ デバイスの状態の傾向 ] セクションが更新されるまでに最大 24 時間かかることがあります。
ポリシーの詳細を表示しているときに、[ デバイスの状態 ] ( [モニター] の下) を選択して、ポリシーの詳細のデバイス ベースのビューを開くことができます。 [デバイスの状態] ビューには、デバイスがポリシーを正常に適用できない場合に問題を特定するために使用できる次の詳細が表示されます。
- デバイス名
- ユーザー名
- OS のバージョン
- マネージド インストーラーの状態 (成功またはエラー)
デバイスが実際にポリシーを受信した後、ポリシーの詳細のデバイス ベースのビューが更新されるまでに数分かかることがあります。
ビジネス向けアプリ コントロール
[ App Control for Business ] タブでは、App Control for Business ポリシーの一覧と、割り当てられているかどうか、最後に変更された日時など、基本的な詳細を表示できます。
その他のレポート オプションを含むビューを開くには、ポリシーを選択します。
ポリシーのレポート オプションは次のとおりです。
デバイスとユーザーのチェック状態 - このポリシーで使用可能な各状態を報告するデバイスの数を表示する単純なグラフ。
レポートの表示 - このポリシーを受け取ったデバイスの一覧を含むビューが開きます。 ここでは、ドリルインするデバイスを選択し、その App Control for Business ポリシー設定の形式を表示できます。
ポリシー ビューには、次のレポート タイルも含まれています。
デバイス割り当ての状態 - このレポートには、保留中のポリシー割り当て状態のデバイスを含め、ポリシーの対象となるすべてのデバイスが表示されます。
このレポートでは、表示する 割り当て状態 の値を選択し、[レポートの 生成 ] を選択して、ポリシーを受け取った個々のデバイス、最後にアクティブなユーザー、割り当ての状態をレポート ビューに更新できます。
また、ドリルインするデバイスを選択し、その App Control for Business ポリシー設定の形式を表示することもできます。
[設定の状態ごと ] - このレポートには、このポリシーの設定の状態が [成功]、[ エラー]、または [競合 ] と報告されているデバイスの数が表示されます。
よく寄せられる質問
Intune管理拡張機能をマネージド インストーラーとして設定する必要があるのはいつですか?
次に利用可能な機会に、Intune管理拡張機能をマネージド インストーラーとして構成することをお勧めします。
設定すると、デバイスに展開する後続のアプリに適切なタグが付けられます。これは、 管理対象インストーラーからアプリを信頼する WDAC ポリシーをサポートします。
マネージド インストーラーが構成される前にアプリが展開された環境では、新しい WDAC ポリシーを 監査モード で展開することをお勧めします。そのため、アプリが展開されたが、信頼済みとしてタグ付けされていないことを特定できます。 その後、監査結果を確認し、信頼するアプリを決定できます。 信頼して実行を許可するアプリの場合は、それらのアプリを許可するカスタム WDAC ポリシーを作成できます。
IT 管理者が管理し、ポリシーを作成するのに役立つ多数のマシンで監査イベントのクエリを実行しやすくする、Microsoft Defender for Endpointの機能である Advanced Hunting を調べるのに役立ちます。
攻撃面の縮小ポリシーから古いアプリケーション制御ポリシーを使用して何を行うか
アプリケーション制御ポリシーのインスタンスは、Intune UI の [エンドポイント セキュリティ]、[Surface の削減]>、[デバイス>管理デバイス>Configuration] の下に表示される場合があります。 これらは、今後のリリースで非推奨となる予定です。
同じデバイスに複数の基本ポリシーまたは補足ポリシーがある場合はどうなりますか?
1903 年Windows 10以前は、App Control for Business では、特定の時点でシステムで 1 つのアクティブ なポリシーのみがサポートされました。 この動作により、意図が異なる複数のポリシーが役に立つ状況では、顧客が大幅に制限されます。 現在、同じデバイスで複数の基本ポリシーと補足ポリシーがサポートされています。 複数の App Control for Business ポリシーのデプロイの詳細を確認してください。
関連するメモでは、App Control for Business の同じデバイスでアクティブな 32 ポリシーの制限はなくなりました。 この問題は、2024 年 3 月 12 日以降にリリースされた Windows セキュリティ更新プログラムWindows 10 1903 以降を実行するデバイスで解決されます。 以前のバージョンの Windows は、今後の Windows セキュリティ更新プログラムでこの修正プログラムを受け取ることが予想されます。
テナント セット アプリのマネージド インストーラーオプトイン機能は、適切なタグを持つConfiguration Managerからインストールされていますか?
いいえ。 このリリースでは、Intune管理拡張機能をマネージド インストーラーとして使用して、Intuneからインストールされたアプリを設定することに重点を置いています。 Configuration Managerをマネージド インストーラーとして設定することはできません。
マネージド インストーラーとしてConfiguration Managerを設定する場合は、Configuration Manager内からその動作を許可できます。 既にマネージド インストーラーとして設定Configuration Manager場合、予期される動作は、新しいIntune管理拡張機能 AppLocker ポリシーが既存のConfiguration Manager ポリシーとマージされるということです。
マネージド インストーラーを使用するorganization内の Entra Hybrid Join (ハードル) デバイスに関して、どのような考慮事項が必要ですか?
Entra ハイブリッド参加デバイスでは、(AppLocker を介して) マネージド インストーラー ポリシーを含むグループ ポリシーを適用するために、オンプレミス ドメイン コントローラー (DC) への接続が必要です。 DC 接続がない場合(特に Autopilot プロビジョニング中)、マネージド インストーラー ポリシーは正常に適用されません。 考慮対象:
代わりに、Entra 結合で Autopilot を使用します。 詳細については、 Entra 参加オプション を選択するための推奨事項を参照してください。
[Entra ハイブリッド結合] で、次のいずれかまたは両方を選択します。
- Autopilot がここで機能しない可能性があるため、アプリのインストール時に DC 接続を提供するデバイス プロビジョニング方法を使用します。
- アプリのインストール時に DC 接続が確立され、マネージド インストーラー ポリシーを適用できるように、Autopilot プロビジョニングが完了した後にアプリを展開します。