フル マネージド デバイスのアプリ制御ポリシーを作成する
注
App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。
このセクションでは、organization内のフル マネージド デバイス用の App Control for Business ポリシーを作成するプロセスについて説明します。 このシナリオと 軽く管理されるデバイス の主な違いは、フル マネージド デバイスに展開されるすべてのソフトウェアが IT によって管理され、デバイスのユーザーが任意のアプリをインストールできないことです。 理想的には、すべてのアプリは、Microsoft Intuneなどのソフトウェア配布ソリューションを使用して展開されます。 さらに、フル マネージド デバイス上のユーザーは、標準的なユーザーとして実行するのが理想的であり、承認された IT 担当者のみが管理アクセス権を持つ必要があります。
注
このトピックで説明する一部の App Control for Business オプションは、Windows 10 バージョン 1903 以降、またはWindows 11でのみ使用できます。 このトピックを使用して、独自のorganizationのアプリ制御ポリシーを計画する場合は、マネージド クライアントがこれらの機能のすべてまたは一部を使用できるかどうかを検討し、クライアントで使用できない可能性がある機能への影響を評価します。 特定のorganizationのニーズを満たすために、このガイダンスを適応させる必要がある場合があります。
一般的な App Control for Business 展開シナリオで説明されているように、Lamna Healthcare Company (Lamna) の例を使用して、このシナリオを説明します。 Lamna は、管理対象デバイスで不要なアプリケーションや未承認のアプリケーションが実行されるのを防ぐためにアプリ制御を使用するなど、より強力なアプリケーション ポリシーを採用しようとしています。
Alice Pena は、アプリ コントロールのロールアウトを任された IT チームリーダーです。
Alice は以前、organizationの軽く管理されたデバイスのポリシーを作成しました。 ただし、一部のデバイスはより緊密に管理されており、より制約付きポリシーの恩恵を受ける可能性があります。 特に、管理スタッフや現場担当者などの特定のジョブ機能には、デバイスへの管理者レベルのアクセス権は付与されません。 同様に、共有キオスクは、管理対象の一連のアプリでのみ構成され、IT を除くデバイスのすべてのユーザーが標準ユーザーとして実行されます。 これらのデバイスでは、すべてのアプリが IT によってデプロイおよびインストールされます。
フル マネージド デバイスの "信頼の丸" を定義する
Alice は、Lamna のフル マネージド デバイスの "信頼の円" に到達するための次の重要な要因を特定します。
- すべてのクライアントがバージョン 1903 以上またはWindows 11 Windows 10実行されています。
- すべてのクライアントは、Configuration ManagerまたはIntuneで管理されます。
- ほとんどのアプリは、すべてではありませんが、Configuration Managerを使用してデプロイされます。
- 場合によっては、IT スタッフは、Configuration Managerを使用せずに、これらのデバイスにアプリを直接インストールします。
- IT を除くすべてのユーザーは、これらのデバイスの標準ユーザーです。
Alice のチームは、 LamnaITInstaller.exeと呼ばれるシンプルなコンソール アプリケーションを開発しています。これは、IT スタッフがデバイスにアプリを直接インストールするための承認された方法になります。 LamnaITInstaller.exe を使用すると、IT 担当者はアプリ インストーラーなどの別のプロセスを起動できます。 Alice は 、LamnaITInstaller.exe を App Control 用の追加のマネージド インストーラーとして構成し、ファイルパス 規則の必要性を取り除きます。
上記に基づいて、Alice はポリシーの擬似規則を定義します。
承認する "Windows の動作" ルール:
- Windows
- WHQL (サード パーティ製カーネル ドライバー)
- Windows ストア署名済みアプリ
"ConfigMgrは機能します" ルール。コンポーネントを適切に機能させるための署名者とハッシュ 規則Configuration Manager含まれます。
マネージド インストーラーを許可する (マネージド インストーラーとして構成されたConfiguration ManagerとLamnaITInstaller.exe)
この一連の擬似ルールと、Lamna の 軽く管理されるデバイス に定義されている擬似ルールの重要な違いは次のとおりです。
- インテリジェント セキュリティ グラフ (ISG) オプションの削除。そして
- ファイルパス規則の削除。
アプリコントロールの基本ポリシーの例を使用してカスタム基本ポリシーを作成する
"信頼の円" を定義すると、Alice は Lamna のフル マネージド デバイスの初期ポリシーを生成する準備が整い、Configuration Managerを使用して初期基本ポリシーを作成し、Lamna のニーズに合わせてカスタマイズすることにしました。
Alice は、次の手順に従ってこのタスクを完了します。
注
Configuration Managerを使用しない場合、または独自のポリシーに別の例の App Control for Business 基本ポリシーを使用する場合は、手順 2 に進み、Configuration Managerポリシー パスを推奨される基本ポリシーの例に置き換えます。
Configuration Managerを使用して、バージョン 1903 以降またはWindows 11を実行しているクライアント デバイスWindows 10監査ポリシーを作成して展開します。
クライアント デバイスで、管理者特権のWindows PowerShell セッションで次のコマンドを実行して変数を初期化します。
$PolicyPath=$env:userprofile+"\Desktop\" $PolicyName= "Lamna_FullyManagedClients_Audit" $LamnaPolicy=$PolicyPath+$PolicyName+".xml" $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"
Configuration Managerによって作成されたポリシーをデスクトップにコピーします。
cp $ConfigMgrPolicy $LamnaPolicy
新しいポリシーに一意の ID、わかりやすい名前、初期バージョン番号を指定します。
Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"
コピーしたポリシーを変更して、ポリシー ルールを設定します。
Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode Set-RuleOption -FilePath $LamnaPolicy -Option 6 # Unsigned Policy Set-RuleOption -FilePath $LamnaPolicy -Option 9 # Advanced Boot Menu Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer Set-RuleOption -FilePath $LamnaPolicy -Option 16 # No Reboot Set-RuleOption -FilePath $LamnaPolicy -Option 17 # Allow Supplemental Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security
必要に応じて、署名者またはファイルルールをさらに追加して、organizationのポリシーをさらにカスタマイズします。
ConvertFrom-CIPolicy を使用して、App Control for Business ポリシーをバイナリ形式に変換します。
[xml]$PolicyXML = Get-Content $LamnaPolicy $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip" ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin
基本ポリシー XML と関連付けられているバイナリを、GitHub などのソース管理ソリューションや、Office 365 SharePoint などのドキュメント管理ソリューションにアップロードします。
この時点で、Alice は、監査モードで Lamna 内のマネージド クライアントに展開する準備ができている初期ポリシーを持つようになりました。
このフル マネージド ポリシーのセキュリティに関する考慮事項
Alice は、アプリのセキュリティと管理容易性の間でトレードオフを行う、Lamna のフル マネージド デバイスのポリシーを定義しました。 トレードオフの一部は次のとおりです。
管理アクセス権を持つユーザー
ユーザーの数は少なくなりますが、Lamna では引き続き、一部の IT スタッフが管理者としてフル マネージド デバイスにサインインできます。 この権限を使用すると、これらのユーザー (またはユーザーの特権で実行されているマルウェア) が、デバイスに適用されているアプリ制御ポリシーを完全に変更または削除できます。 さらに、管理者は、管理されたインストーラーとして動作する任意のアプリを構成できます。これにより、必要なアプリやバイナリに対して永続的なアプリの承認を得ることができます。
考えられる軽減策:
- 署名されたアプリ制御ポリシーと UEFI BIOS アクセス保護を使用して、アプリ制御ポリシーの改ざんを防ぎます。
- マネージド インストーラーの要件を削除するために、アプリのデプロイ プロセスの一部として署名付きカタログ ファイルを作成してデプロイします。
- デバイス構成証明を使用して、起動時に App Control の構成状態を検出し、その情報を使用して機密性の高い企業リソースへのアクセスを条件付けます。
署名されていないポリシー
署名されていないポリシーは、管理者として実行されているプロセスによって影響を受けることなく、置き換えたり削除したりできます。 補助ポリシーを有効にする署名されていない基本ポリシーでは、署名されていない補足ポリシーによって "信頼の円" を変更できます。
適用されている既存の軽減策:
- デバイスの管理者に昇格できるユーザーを制限します。
考えられる軽減策:
- 署名されたアプリ制御ポリシーと UEFI BIOS アクセス保護を使用して、アプリ制御ポリシーの改ざんを防ぎます。
マネージド インストーラー
マネージド インストーラーに関するセキュリティに関する考慮事項を参照してください
適用されている既存の軽減策:
- デバイスの管理者に昇格できるユーザーを制限します。
考えられる軽減策:
- マネージド インストーラーの要件を削除するために、アプリのデプロイ プロセスの一部として署名付きカタログ ファイルを作成してデプロイします。
補足ポリシー
補足ポリシーは、関連する基本ポリシーを緩和するように設計されています。 さらに、署名されていないポリシーを許可すると、管理者プロセスは、基本ポリシーによって定義された "信頼の円" を制限なしで拡張できます。
考えられる軽減策:
- 承認された署名付き補足ポリシーのみを許可する署名付きアプリ制御ポリシーを使用します。
- 制限付き監査モード ポリシーを使用して、アプリの使用状況を監査し、脆弱性検出を強化します。