ビジネス ポリシーのアプリ制御を適用する
注
App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。
これで、1 つ以上の App Control for Business ポリシーが監査モードで広くデプロイされます。 これらのポリシーを使用してデバイスから収集されたイベントを分析し、適用する準備ができました。 適用モードでアプリ制御ポリシーを準備して展開するには、次の手順に従います。
注
この記事で説明する手順の一部は、Windows 10 バージョン 1903 以降、またはWindows 11にのみ適用されます。 このトピックを使用して、独自のorganizationのアプリ制御ポリシーを計画する場合は、マネージド クライアントでこれらの機能のすべてまたは一部を使用できるかどうかを検討してください。 以前のバージョンのWindows 10と Windows Server を実行しているクライアントで使用できない可能性がある機能に対する影響を評価します。 特定のorganizationのニーズを満たすために、このガイダンスを適応させる必要がある場合があります。
アプリコントロール の基本 ポリシーを監査から適用に変換する
一般的な App Control for Business 展開シナリオで説明されているように、Lamna Healthcare Company (Lamna) の例を使用して、このシナリオを説明します。 Lamna は、管理対象デバイスで不要なアプリケーションや未承認のアプリケーションが実行されるのを防ぐためにアプリ制御を使用するなど、より強力なアプリケーション ポリシーを採用しようとしています。
Alice Pena は、Lamna のアプリコントロールロールアウトを担当する IT チームリーダーです。
Alice は以前、organizationのフル マネージド デバイスのポリシーを作成してデプロイしました。 「監査イベントを 使用してアプリコントロールポリシールールを作成し 、再デプロイする」の説明に従って、監査イベントデータに基づいてポリシーを更新しました。 残りの監査イベントはすべて想定どおりであり、Alice は強制モードに切り替える準備ができています。
使用する変数を初期化し、監査バージョンをコピーして適用されるポリシーを作成します。
$EnforcedPolicyName = "Lamna_FullyManagedClients_Enforced" $AuditPolicyXML = $env:USERPROFILE+"\Desktop\Lamna_FullyManagedClients_Audit.xml" $EnforcedPolicyXML = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyName+".xml" cp $AuditPolicyXML $EnforcedPolicyXMLSet-CIPolicyIdInfo を使用して、新しいポリシーに一意の ID とわかりやすい名前を付けます。 ID と名前を変更すると、適用されるポリシーを監査ポリシーと並べて展開できます。 時間の経過と同時にアプリ制御ポリシーを強化する予定がある場合は、この手順を実行します。 監査ポリシーをインプレースで置き換える場合は、この手順をスキップできます。
$EnforcedPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedPolicyXML -PolicyName $EnforcedPolicyName -ResetPolicyID $EnforcedPolicyID = $EnforcedPolicyID.Substring(11)[必要に応じて]Set-RuleOption を使用して、ルール オプション 9 ("Advanced Boot Options Menu") と 10 ("Boot Audit on Failure") を有効にします。 オプション 9 を使用すると、ユーザーはプレブート メニューから単一のブート セッションに対するアプリ制御の適用を無効にすることができます。 オプション 10 では、ブート クリティカルなカーネル モード ドライバーがブロックされている場合にのみ、ポリシーを適用から監査に切り替えるよう Windows に指示します。 新しい適用ポリシーを最初のデプロイ リングにデプロイする場合は、これらのオプションを強くお勧めします。 次に、問題が見つからない場合は、オプションを削除してデプロイを再起動できます。
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 9 Set-RuleOption -FilePath $EnforcedPolicyXML -Option 10Set-RuleOption を使用して、ポリシーを適用に変更する監査モード ルール オプションを削除します。
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 3 -DeleteConvertFrom-CIPolicy を使用して、新しいアプリ制御ポリシーをバイナリに変換します。
注
上記の手順 2 で -ResetPolicyID を使用しなかった場合は、次のコマンドの$EnforcedPolicyIDを、基本ポリシー XML にある PolicyID 属性に置き換える必要があります。
$EnforcedPolicyBinary = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyID+".cip" ConvertFrom-CIPolicy $EnforcedPolicyXML $EnforcedPolicyBinary
適用される基本ポリシーで使用するために必要な 補足 ポリシーのコピーを作成する
適用されたポリシーには、前の手順で一意の PolicyID が与えられたため、適用されたポリシーで使用するために必要な補足ポリシーを複製する必要があります。 補足ポリシーは、変更する基本ポリシーから常に監査または適用モードを継承します。 適用ベース ポリシーの PolicyID をリセットしなかった場合は、この手順をスキップできます。
使用する変数を初期化し、現在の補足ポリシーのコピーを作成します。 前の手順の一部の変数とファイルも使用されます。
$SupplementalPolicyName = "Lamna_Supplemental1" $CurrentSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Audit.xml" $EnforcedSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Enforced.xml"Set-CIPolicyIdInfo を使用して、新しい補足ポリシーに一意の ID とわかりやすい名前を付け、補足する基本ポリシーを変更します。
$SupplementalPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedSupplementalPolicy -PolicyName $SupplementalPolicyName -SupplementsBasePolicyID $EnforcedPolicyID -BasePolicyToSupplementPath $EnforcedPolicyXML -ResetPolicyID $SupplementalPolicyID = $SupplementalPolicyID.Substring(11)注
Set-CIPolicyIdInfo Windows 10 バージョンで新しい PolicyID 値が出力されない場合は、XML から PolicyId 値を直接取得する必要があります。
ConvertFrom-CIPolicy を使用して、新しい App Control for Business 補足ポリシーをバイナリに変換します。
$EnforcedSuppPolicyBinary = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_"+$SupplementalPolicyID+".xml" ConvertFrom-CIPolicy $EnforcedSupplementalPolicy $EnforcedSuppPolicyBinary更新するその他の補足ポリシーがある場合は、上記の手順を繰り返します。
適用されたポリシーと補足ポリシーをデプロイする
基本ポリシーが適用モードになったので、マネージド エンドポイントへのデプロイを開始できます。 ポリシーの展開の詳細については、「 ビジネス 向けアプリ制御ポリシーの展開」を参照してください。