App Control for Business ポリシーの設計に関する決定事項について理解する
注
App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。
この記事は IT プロフェッショナル向けです。 Windows オペレーティング システム環境内で App Control for Business を使用してアプリコントロール ポリシーの展開を計画する際に行われた決定の設計上の質問、考えられる回答、および影響を示します。
設計と計画のプロセスを開始するときは、設計の選択の影響を考慮する必要があります。 結果として得られる決定は、ポリシーの展開スキームとその後のアプリ制御ポリシーのメンテナンスに影響します。
次の点に該当する場合は、organizationの App Control ポリシーの一部として App Control for Business を使用することを検討する必要があります。
- サポートされているバージョンの Windows をorganizationに展開するか、展開する予定です。
- organizationのアプリケーションへのアクセスとユーザーがアクセスするデータの制御を強化する必要があります。
- organizationには、アプリケーションの管理とデプロイのための適切に定義されたプロセスがあります。
- organizationの要件に対してポリシーをテストするためのリソースがあります。
- ヘルプ デスクに関連するリソースや、エンド ユーザー アプリケーションアクセスの問題に対するセルフヘルプ プロセスを構築するためのリソースがあります。
- 生産性、管理容易性、およびセキュリティに関するグループの要件は、制限の厳しいポリシーによって制御できます。
作成するポリシーを決定する
バージョン 1903 Windows 10以降、App Control for Business では、各デバイスに複数の同時ポリシーを適用できます。 このコンカレント アプリケーションにより、組織の多くの新しいユース ケースが開かれますが、作成するポリシーの数と種類について十分に考え抜かれた計画がないと、ポリシー管理が扱いにくくなる可能性があります。
最初の手順は、アプリ制御ポリシーに必要な "信頼の円" を定義することです。 「信頼の輪」とは、自然言語で表現されたポリシーのビジネス意図の説明を意味します。 この "信頼の丸" 定義は、ポリシー XML の実際のポリシー 規則を作成するときにガイドします。
たとえば、%OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies の下にある DefaultWindows ポリシーは、Windows、サード パーティのハードウェアおよびソフトウェア カーネル ドライバー、および Microsoft Store からのアプリケーションを許可する "信頼の円" を確立します。
Configuration Managerは、ポリシーの基礎として DefaultWindows ポリシーを使用しますが、Configuration Managerとその依存関係を許可するようにポリシー 規則を変更し、マネージド インストーラー ポリシー ルールを設定し、Configuration Managerをマネージド インストーラーとして構成します。 また、必要に応じて、肯定的な評判を持つアプリを承認し、Configuration Manager管理者によって指定されたフォルダー パスの 1 回限りのスキャンを実行することもできます。これにより、マネージド エンドポイント上の指定されたパスで見つかったアプリのルールが追加されます。 このプロセスにより、Configuration Managerのネイティブ App Control 統合の "信頼の円" が確立されます。
次の質問は、App Control for Business のデプロイを計画し、ポリシーに適した "信頼の輪" を決定するのに役立ちます。 これらは優先順位や順番ではなく、設計上の考慮事項の包括的なセットを意図したものではありません。
アプリ コントロールの設計に関する考慮事項
アプリはどのように管理され、organizationにデプロイされますか?
適切に定義された一元管理されたアプリ管理とデプロイ プロセスを持つ組織は、より制限の厳しい、より安全なポリシーを作成できます。 他の組織は、よりリラックスしたルールを使用して App Control for Business を展開できる場合や、アプリコントロールを監査モードでデプロイして、organizationで使用されているアプリをより適切に可視化することもできます。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| すべてのアプリは、Microsoft Intuneなどのエンドポイント管理ツールを使用して一元的に管理およびデプロイされます。 | すべてのアプリを一元的に管理する組織は、App Control に最適です。 マネージド インストーラーなどの App Control for Business オプションを使用すると、organizationのアプリ配布管理ソリューションによって展開されるアプリを簡単に承認できます。 |
| 一部のアプリは一元的に管理およびデプロイされますが、チームはメンバー用に他のアプリをインストールできます。 | 補足ポリシーを使用すると、コア organization全体の App Control for Business ポリシーに対するチーム固有の例外を許可できます。 または、チームはマネージド インストーラーを使用してチーム固有のアプリをインストールすることも、管理者専用のファイル パスルールを使用して管理者ユーザーがアプリをインストールできるようにすることもできます。 |
| ユーザーとチームは無料でアプリをダウンロードしてインストールできますが、organizationはその権利を一般的で評判の良いアプリのみに制限したいと考えています。 | App Control for Business は、Microsoft のインテリジェント セキュリティ グラフ (ウイルス対策と Windows Defender SmartScreen Microsoft Defender を強化するのと同じインテリジェンス ソース) と統合して、評判の良いアプリとバイナリのみを許可できます。 |
| ユーザーとチームは、制限なくアプリを無料でダウンロードしてインストールできます。 | App Control for Business ポリシーを監査モードで展開すると、ユーザーとチームの生産性に影響を与えることなく、organizationで実行されているアプリとバイナリに関する分析情報を得ることができます。 |
社内で開発された基幹業務 (LOB) アプリとサード パーティ企業によって開発されたアプリはデジタル署名されていますか?
Windows 上の従来の Win32 アプリは、デジタル署名なしで実行できます。 この方法では、Windows デバイスを悪意のあるコードや改ざんされたコードに公開し、Windows デバイスにセキュリティの脆弱性を提示する可能性があります。 アプリのインジェストと配布の一環として、organizationのアプリ開発プラクティスの一部としてコード署名を採用したり、署名されたカタログ ファイルを使用してアプリを拡張したりすると、使用されるアプリの整合性とセキュリティが大幅に向上します。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| organizationで使用されるすべてのアプリに署名する必要があります。 | すべての実行可能 コードにコード署名を適用する 組織は、Windows コンピューターを悪意のあるコード実行から保護するために最適な位置にあります。 App Control for Business ルールは、organizationの内部開発チームおよび信頼できる独立系ソフトウェア ベンダー (ISV) からのアプリとバイナリを承認するために作成できます。 |
| organizationで使用されるアプリは、コード署名の要件を満たす必要はありません。 | 組織は、組み込みの Windows ツールを使用して、organization固有のアプリ カタログ署名をアプリ展開プロセスの一部として既存のアプリに追加できます。これは、コードの実行を承認するために使用できます。 Microsoft Intuneのようなソリューションでは、署名されたアプリ カタログを配布する複数の方法が提供されます。 |
カスタマイズされたアプリ制御ポリシーを必要とする特定のグループがorganizationに存在しますか?
ほとんどのビジネス チームまたは部門には、データ アクセスに関連する特定のセキュリティ要件と、そのデータへのアクセスに使用されるアプリケーションがあります。 organization全体のアプリ制御ポリシーをデプロイする前に、各グループのプロジェクトのスコープとグループの優先順位を考慮してください。 ポリシーの管理にはオーバーヘッドがあり、広範なorganization全体のポリシーと複数のチーム固有のポリシーを選択できます。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| はい | アプリ制御ポリシーは、チームごとに一意に作成することも、チーム固有の補足ポリシーを使用して、共通の一元的に定義された基本ポリシーによって許可される内容を拡張することもできます。 |
| なし | アプリ制御ポリシーは、Windows 10およびWindows 11を実行している PC にインストールされているアプリケーションにグローバルに適用できます。 制御する必要があるアプリの数によっては、すべてのルールと例外を管理するのが困難な場合があります。 |
IT 部門には、アプリケーションの使用状況を分析し、ポリシーを設計および管理するためのリソースがありますか?
調査と分析を実行するために使用できる時間とリソースは、ポリシーの管理とメンテナンスを継続するための計画とプロセスの詳細に影響する可能性があります。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| はい | organizationの App Control 要件を分析し、可能な限り構築されたルールを使用する完全なデプロイを計画する時間を費やします。 |
| なし | いくつかのルールを使用して、特定のグループに焦点を当てた段階的なデプロイを検討してください。 特定のグループ内のアプリケーションにコントロールを適用するときは、そのデプロイから学習して、次のデプロイを計画します。 または、広範な信頼プロファイルを持つポリシーを作成して、できるだけ多くのアプリを承認することもできます。 |
organizationはヘルプ デスクをサポートしていますか?
ユーザーが既知のアプリケーション、デプロイ済みアプリケーション、または個人用アプリケーションにアクセスできないようにすると、最初はエンド ユーザーのサポートが増加します。 セキュリティ ポリシーに従い、ビジネス ワークフローが妨げられないように、organizationのさまざまなサポートの問題に対処する必要があります。
| 考えられる回答 | 設計時の考慮事項 |
|---|---|
| はい | ユーザーが誤ってアプリケーションの使用をブロックされたり、特定のアプリケーションを使用するための例外が求められる可能性があるため、計画フェーズの早い段階でサポート部門に関与します。 |
| なし | デプロイ前に、オンライン サポート プロセスとドキュメントの開発に時間を費やします。 |