App Control for Business ポリシーと managed Installers for Microsoft Intuneを使用して Windows デバイスの承認済みアプリを管理する

  • [アーティクル]

この機能はパブリック プレビュー段階です。

毎日新しい悪意のあるファイルやアプリが野生で表示されます。 organizationのデバイスで実行すると、リスクが発生し、管理や防止が困難になる可能性があります。 望ましくないアプリがマネージド Windows デバイスで実行されないようにするには、Microsoft Intune App Control for Business ポリシーを使用します。

Intuneの App Control for Business ポリシーはエンドポイント セキュリティの一部であり、Windows ApplicationControl CSP を使用して Windows デバイスで許可されているアプリを管理します。

管理インストーラー ポリシーは、App Control for Business ポリシーでも使用できます。マネージド インストーラー ポリシーは、Intune管理拡張機能をマネージド インストーラーとしてテナントに追加します。 この拡張機能をマネージド インストーラーとして使用すると、Intuneを介してデプロイするアプリには、インストーラーによって自動的にタグが付けられます。 タグ付けされたアプリは、App Control for Business ポリシーによって、デバイスでの実行を許可できる安全なアプリとして識別できます。

この記事の情報は、Intune管理拡張機能をマネージド インストーラーとして構成したり、エンドポイント セキュリティ App Control for Business ポリシーを構成したりするのに役立ちます。 組み合わせることで、環境内の Windows デバイスで実行できるアプリを簡単に制御できます。

詳細については、Windows セキュリティドキュメントの「アプリケーション制御のWindows Defender」を参照してください。

注:

App Control for Business ポリシーとアプリケーション制御プロファイル: Intune App Control for Business ポリシーでは、ApplicationControl CSP が使用されます。 Intuneの攻撃面の縮小ポリシーでは、アプリケーション制御プロファイルAppLocker CSP が使用されます。 Windows では、 AppLocker CSP を置き換えるために ApplicationControl CSP が導入されました。 Windows では引き続き AppLocker CSP がサポートされますが、新しい機能は追加されなくなります。 代わりに、ApplicationControl CSP を介して開発が続行されます。

適用対象:

  • Windows 10
  • Windows 11

前提条件

デバイス

Intuneに登録すると、次のデバイスがサポートされます。

  • Windows Enterprise または Education:

    • Windows 10 バージョン 1903 以降。
    • バージョン 1903 以降Windows 11

  • Windows Professional:

  • Windows 11 SE:

  • Azure Virtual Desktop (AVD):

    • AVD デバイスは、App Control for Business ポリシーを使用するためにサポートされています

  • 共同管理デバイス:

    • 共同管理デバイスをサポートするには、[Endpoint Protection] スライダーのスライダーを [Intune] に設定します。

Windows Defender App Control for Business

Windows セキュリティドキュメントの「Windows のアプリケーション制御について」の「Windowsエディションとライセンス要件」を参照してください。

ロールベースのアクセス制御

App Control for Business ポリシーを管理するには、アカウントに必要なタスクを完了するための十分なロールベースのアクセス制御 (RBAC) アクセス許可が必要です。 必要なアクセス許可を持つ使用可能なタスクを次に示します。

  • マネージド インストーラーの使用を有効にする - アカウントには、グローバル管理者またはIntune サービス管理者のロールが割り当てられている必要があります。

  • ビジネス向けアプリ制御ポリシーの管理 - アカウントには、削除読み取り割り当てCreateおよび更新セキュリティ ベースラインアクセス許可が必要です。

  • App Control for Business ポリシーのレポートを表示 する - アカウントには、 組織読み取りアクセス許可が必要です。

詳細については、「Microsoft Intuneのロールベースのアクセス制御」を参照してください。

政府機関向けクラウド サポート

Intuneエンドポイント セキュリティ アプリケーション制御ポリシーとマネージド インストーラーの構成は、次のソブリン クラウド環境でサポートされています。

  • 米国政府機関向けクラウド
  • 21Vianet

マネージド インストーラーの概要

Intuneのエンドポイント セキュリティ App Control for Business では、ポリシーを使用して、マネージド Windows デバイスに管理インストーラーとしてIntune管理拡張機能を追加できます。

マネージド インストーラーを有効にすると、Intuneを介して Windows デバイスに展開する後続のすべてのアプリケーションは、マネージド インストーラー タグでマークされます。 タグは、アプリが既知のソースによってインストールされ、信頼できることを示します。 アプリのマネージド インストーラー のタグ付けは、App Control for Business ポリシーによって使用され、環境内のデバイスでの実行が承認されたアプリを自動的に識別します。

App Control for Business ポリシーは、Windows Defender アプリケーション制御 (WDAC) の実装です。 WDAC とアプリのタグ付けの詳細については、Windows Defender アプリケーションコントロールドキュメントの「Windows および WDAC アプリケーション ID (AppId) タグ付けガイドのアプリケーション制御について」を参照してください。

マネージド インストーラーの使用に関する考慮事項:

  • マネージド インストーラーの設定は、すべてのマネージド Windows デバイスに適用されるテナント全体の構成です。

  • Intune管理拡張機能をマネージド インストーラーとして有効にすると、Intuneを介して Windows デバイスに展開するすべてのアプリに、マネージド インストーラーのマークが付けられます。

  • このタグ自体は、デバイスで実行できるアプリには影響しません。 タグは、管理対象デバイスで実行できるアプリを決定する WDAC ポリシーも割り当てる場合にのみ使用されます。

  • 遡及的なタグ付けがないため、マネージド インストーラーを有効にする前に展開されたデバイス上のすべてのアプリにはタグは付けられません。 WDAC ポリシーを適用する場合は、これらのタグなしアプリの実行を許可する明示的な構成を含める必要があります。

  • このポリシーをオフにするには、マネージド インストーラー ポリシーを編集します。 ポリシーをオフにすると、後続のアプリがマネージド インストーラーでタグ付けされなくなります。 以前にインストールされ、タグ付けされたアプリはタグ付けされたままになります。 ポリシーをオフにした後のマネージド インストーラーの手動クリーンの詳細については、この記事の「管理インストーラーとしてIntune管理拡張機能を削除する」を参照してください。

マネージド インストーラー Intune設定する方法の詳細については、Windows セキュリティドキュメントを参照してください。

重要

Log Analytics 統合によって収集されるイベントへの潜在的な影響

Log Analytics は、お客様が AppLocker ポリシー イベントからデータを収集するために使用できる Azure Portal のツールです。 このパブリック プレビューでは、オプトイン アクションを完了すると、AppLocker ポリシーがテナント内の該当するデバイスへの展開を開始します。 Log Analytics の構成に応じて、特に詳細なログの一部を収集する場合 は、AppLocker ポリシーによって生成されるイベントが増加します。 organizationで Log Analytics を使用する場合は、Log Analytics のセットアップを確認して、次のことが推奨されます。

  • Log Analytics のセットアップを理解し、予期しない課金コストを回避するために適切なデータ収集上限が設定されていることを確認します。
  • MSI ログとスクリプト ログを除き、Log Analytics (エラー、警告、情報) で AppLocker イベントのコレクションを完全にオフにします。

マネージド インストーラーをテナントに追加する

次の手順では、Intune管理拡張機能をテナントのマネージド インストーラーとして追加する手順について説明します。 Intuneでは、1 つのマネージド インストーラー ポリシーがサポートされます。

  1. Microsoft Intune管理センターで、[エンドポイント セキュリティ (プレビュー)] に移動し、[マネージド インストーラー] タブを選択し、[*追加] を選択します。 [ マネージド インストーラーの追加] ウィンドウが開きます。

    [マネージド インストーラー] ページのスクリーンショット。右側に [管理インストーラーの追加] ウィンドウがあります。

  2. [追加] を選択し、[はい] を選択して、管理インストーラーとしてのIntune管理拡張機能の追加を確認します。

  3. マネージド インストーラーを追加した後、まれに、新しいポリシーがテナントに追加されるまで最大 10 分待つ必要がある場合があります。 [ 最新の情報に更新] を選択して、管理センターが使用可能になるまで定期的に更新します。

    Intuneがマネージド インストーラーという名前のマネージド インストーラー ポリシーを表示すると、サービスでポリシーの準備が整います。Intune管理拡張機能の状態は [アクティブ] です。 クライアント側から、ポリシーの配信が開始されるまで最大 1 時間待つ必要がある場合があります。

    マネージド インストーラー ポリシーが存在し、アクティブになっている [App Control for Business] ペインのスクリーンショット。

  4. これで、ポリシーを選択してその構成を編集できます。 次の 2 つのポリシー領域のみが編集をサポートします。

    • 設定: ポリシー設定を編集すると、[ 管理インストーラーのオプトアウト ] ウィンドウが開きます。ここで、[ マネージド インストーラーの設定 ] の値を [オン ] と [オフ] の間で変更できます。 インストーラーを追加すると、[ マネージド インストーラーの設定 ] の既定の設定は [オン] になります。 構成を変更する前に、[ オン ] と [ オフ] のウィンドウで詳細な動作を確認してください。

    • スコープ タグ: このポリシーに割り当てられているスコープ タグを追加および変更できます。 これにより、ポリシーの詳細を表示できる管理者を指定できます。

ポリシーが有効になる前に、アプリコントロール for Business ポリシーを作成して展開して、Windows デバイスでアプリを実行できるルールを指定する必要があります。

詳細については、Windows セキュリティドキュメントの「マネージド インストーラーによってインストールされたアプリを許可する」を参照してください。

重要

AppLocker ポリシーのマージから起動しない可能性があるリスク

Intuneを使用してマネージド インストーラーを有効にすると、ダミールールを含む AppLocker ポリシーが展開され、ターゲット デバイス上の既存の AppLocker ポリシーとマージされます。 既存の AppLocker ポリシーに 、NotConfigured として定義された RuleCollection と空のルール セットが含まれている場合、そのポリシーは NotConfigured としてダミー ルールとマージされます。 NotConfigured ルール コレクションは、コレクションにルールが定義されている場合、既定で 適用されます。 ダミー ルールが構成されている唯一のルールである場合、これは他の何かが読み込まれるか実行されないようにブロックされることを意味します。 これにより、アプリケーションの起動に失敗し、Windows の起動やログオンに失敗するなど、予期しない問題が発生する可能性があります。 この問題を回避するには、既存の AppLocker ポリシーが存在する場合は、空の規則セットを使用して NotConfigured として定義されている RuleCollection を削除することをお勧めします。

管理インストーラーとしてIntune管理拡張機能を削除する

必要に応じて、テナントのマネージド インストーラーとしてIntune管理拡張機能の構成を停止できます。 これには、マネージド インストーラー ポリシーをオフにする必要があります。 ポリシーがオフになった後は、追加のクリーンアクションを使用するように選択できます。

Intune管理拡張機能ポリシーをオフにする (必須)

Intune管理拡張機能をマネージド インストーラーとしてデバイスに追加するのを停止するには、次の構成が必要です。

  1. 管理センターで、[エンドポイント セキュリティ (プレビュー)] に移動し、[マネージド インストーラー] タブを選択し、[マネージド インストーラー ] - [管理拡張機能] ポリシー Intune選択します。

  2. ポリシーを編集し、[ 管理対象インストーラーの設定][オフ] に変更し、ポリシーを保存します。

Intune管理拡張機能をマネージド インストーラーとして使用して新しいデバイスを構成することはできません。 これにより、管理インストーラーとしてIntune管理拡張機能は、既に使用するように構成されているデバイスから削除されません。

デバイスで管理インストーラーとしてIntune管理拡張機能を削除する (省略可能)

オプションのクリーン手順として、スクリプトを実行して、既にインストールされているデバイス上のマネージド インストーラーとしてIntune管理拡張機能を削除できます。 マネージド インストーラーを参照する App Control for Business ポリシーも使用しない限り、この構成はデバイスに影響しないため、これは省略可能です。

  1. CatCleanIMEOnly.ps1 PowerShell スクリプトをダウンロードします。 このスクリプトは、download.microsoft.com から入手できますhttps://aka.ms/intune_WDAC/CatCleanIMEOnly

  2. Intune管理拡張機能をマネージド インストーラーとして設定したデバイスで、このスクリプトを実行します。 このスクリプトでは、管理インストーラーとしてIntune管理拡張機能のみが削除されます。

  3. 上記の変更を有効にするには、Intune管理拡張機能サービスを再起動してください。

このスクリプトを実行するには、Intuneを使用して PowerShell スクリプトや任意の他のメソッドを実行できます。

デバイスからすべての AppLocker ポリシーを削除する (省略可能)

デバイス からすべての Windows AppLocker ポリシーを削除するには、 CatCleanAll.ps1 PowerShell スクリプトを使用します。 このスクリプトでは、管理インストーラーとしてのIntune管理拡張機能だけでなく、すべてのマネージド インストーラーと、Windows AppLocker に基づくすべてのポリシーがデバイスから削除されます。 このスクリプトを使用する前に、組織が AppLocker ポリシーを使用していることを確認してください。

  1. CatCleanAll.ps1 PowerShell スクリプトをダウンロードします。 このスクリプトは、download.microsoft.com から入手できますhttps://aka.ms/intune_WDAC/CatCleanAll

  2. Intune管理拡張機能をマネージド インストーラーとして設定したデバイスで、このスクリプトを実行します。 このスクリプトでは、管理インストーラーとしてIntune管理拡張機能のみが削除されます。

  3. 上記の変更を有効にするには、Intune管理拡張機能サービスを再起動してください。

このスクリプトを実行するには、Intuneを使用して PowerShell スクリプトや任意の他のメソッドを実行できます。

App Control for Business ポリシーの概要

Intuneのエンドポイント セキュリティ App Control for Business ポリシーを使用すると、管理対象の Windows デバイスで実行を許可されるアプリを管理できます。 ポリシーによって明示的に実行が許可されていないアプリは、監査モードを使用するようにポリシーを構成していない限り、実行がブロックされます。 監査モードでは、ポリシーを使用すると、すべてのアプリを実行し、クライアントでローカルにそれらの詳細をログに記録できます。

許可またはブロックされるアプリを管理するために、Intuneは Windows デバイス上の Windows ApplicationControl CSP を使用します。

App Control for Business ポリシーを作成するときは、使用する 構成設定の形式 を選択する必要があります。

  • xml データの入力 - xml データを入力する場合は、App Control for Business ポリシーを定義する一連のカスタム XML プロパティをポリシーに指定する必要があります。

  • 組み込みのコントロール – このオプションは、構成する最も簡単なパスですが、強力な選択のままです。 組み込みのコントロールを使用すると、マネージド インストーラーによってインストールされているすべてのアプリを簡単に承認し、Windows コンポーネントとストア アプリの信頼を許可できます。

    これらのオプションの詳細については、ポリシーの作成時に UI から入手できます。また、ポリシーを作成する手順については、次の手順で詳しく説明します。

App Control for Business ポリシーを作成した後は、その元のポリシーに XML 形式で追加のルールを追加する補足ポリシーを作成することで、そのポリシーのスコープを拡張できます。 補足ポリシーを使用する場合、元のポリシーは基本ポリシーと呼ばれます。

注:

テナントが教育機関向けテナントの場合は、「 Education テナントのビジネス向けアプリ制御ポリシー 」を参照して、それらのデバイスの追加のデバイス サポートと App Control for Business ポリシーについて説明します。

App Control for Business ポリシーをCreateする

次の手順を使用して、ビジネス向けアプリ制御ポリシーを正常に作成できます。 このポリシーを使用して定義した信頼の範囲を広げる補足ポリシーを作成する場合、このポリシーは基本ポリシーと見なされます。

  1. Microsoft Intune管理センターにサインインし、[Endpoint security>App Control for Business (プレビュー)]> に移動し、[App Control for Business] タブ>を選択し、[Create Policy] を選択します。 App Control for Business ポリシーは、プラットフォームの種類のWindows 10以降に自動的に割り当てられます。

    新しい App Control for Business ポリシーを作成するための管理センターのパスを示す画面キャプチャ。

  2. [ 基本] で、次のプロパティを入力します。

    • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるように、プロファイルに名前を付けます。
    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。

  3. [ 構成設定] で、[ 構成設定] の形式を選択します。

    xml データの入力 - このオプションでは、App Control for Business ポリシーを定義するためのカスタム XML プロパティを指定する必要があります。 このオプションを選択しても、XLM プロパティをポリシーに追加しない場合は、[ 未構成] として機能します。 App Control for Business ポリシーが構成されていないと、デバイスで既定の動作が発生し、ApplicationControl CSP のオプションは追加されません。

    組み込みコントロール – このオプションでは、ポリシーではカスタム XML は使用されません。 代わりに、次の設定を構成します。

    • Windows コンポーネントとストア アプリの信頼を有効にする – この設定が [有効] (既定値) の場合、マネージド デバイスは、Windows コンポーネントを実行し、アプリを格納できます。また、信頼済みとして構成する可能性があるその他のアプリも実行できます。 このポリシーによって信頼済みとして定義されていないアプリは、実行がブロックされます。

      この設定では、 監査のみの モードもサポートされています。 監査モードでは、すべてのイベントがローカル クライアント ログに記録されますが、アプリの実行はブロックされません。

    • アプリを信頼するための追加オプションを選択する – この設定では、次のオプションのいずれかまたは両方を選択できます。

      • 評判の良いアプリを信頼 する – このオプションを使用すると、Microsoft Intelligent Security Graph で定義されている信頼できるアプリをデバイスで実行できます。 インテリジェント セキュリティ グラフ (ISG) の使用については、Windows セキュリティドキュメントの「インテリジェント セキュリティ グラフ (ISG) で信頼できるアプリを許可する」を参照してください。

      • マネージド インストーラーからアプリを信頼する – このオプションを使用すると、承認されたソースによって展開されたアプリ (マネージド インストーラー) をデバイスで実行できます。 これは、Intune管理拡張機能をマネージド インストーラーとして構成した後、Intuneを使用して展開するアプリに適用されます。

        このポリシーの規則で指定されていない他のすべてのアプリとファイルの動作は、 Windows コンポーネントとストア アプリの信頼を有効にするの構成によって異なります。

        • [有効] の場合、ファイルとアプリはデバイスでの実行がブロックされます
        • [監査のみ] に設定されている場合、ファイルとアプリはローカル クライアント ログでのみ監査されます

    この画面キャプチャには、組み込みコントロールを使用する場合の App Control for Business ポリシーの既定のオプションと設定が表示されます。

  4. [スコープ タグ] ページで、適用するスコープ タグを選択し、[次へ] を選択します。

  5. [ 割り当て] で、ポリシーを受け取るグループを選択しますが、WDAC ポリシーはデバイス スコープにのみ適用されることを検討してください。 続行するには、[Next] を選択します。

    プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

  6. [確認と作成] で設定を確認し、[Create] を選択します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーは、ポリシーの一覧にも表示されます。

補足ポリシーを使用する

1 つ以上の補足ポリシーを使用すると、App Control for Business 基本ポリシーを拡張して、そのポリシーの信頼の輪を広げることができます。 補助ポリシーは 1 つの基本ポリシーのみを展開できますが、複数の補助ポリシーで同じ基本ポリシーを展開できます。 補足ポリシーを追加すると、基本ポリシーによって許可されるアプリケーションとその補足ポリシーは、デバイスで実行できます。

補足ポリシーは XML 形式である必要があり、基本ポリシーのポリシー ID を参照する必要があります。

App Control for Business 基本ポリシーのポリシー ID は、基本ポリシーの構成によって決まります。

  • カスタム XML を使用して作成される基本ポリシーには、その XML 構成に基づく一意の PolicyID があります。

  • App Control for Business の 組み込みコントロール を使用して作成される基本ポリシーには、組み込み設定の可能な組み合わせによって決定される 4 つの PolicyID の 1 つがあります。 次の表は、組み合わせと関連する PolicyID を示しています。

    基本ポリシーの PolicyID WDAC ポリシーのオプション (監査 または 適用)
    {A8012CFC-D8AE-493C-B2EA-510F035F1250} アプリ制御ポリシーを有効にして Windows コンポーネントとストア アプリを信頼する
    {D6D6C2D6-E8B6-4D8F-8223-14BE1DE562FF} アプリ制御ポリシーを有効にして、Windows コンポーネントとストア アプリ
    を信頼し、
    評判の良いアプリを信頼する
    {63D1178A-816A-4AB6-8ECD-127F2DF0CE47} アプリ制御ポリシーを有効にして、Windows コンポーネントとストア アプリ
    を信頼し、
    マネージド インストーラーからアプリを信頼する
    {2DA0F72D-1688-4097-847D-C42C39E631BC} アプリ制御ポリシーを有効にして、Windows コンポーネントを信頼し、アプリを保存
    し、
    評価
    の高いアプリを信頼し、
    マネージド インストーラーからアプリを信頼する

組み込みコントロールの同じ構成を使用する 2 つの App Control for Business ポリシーの PolicyID は同じですが、ポリシーの 割り当て に基づいて異なる補足ポリシーを適用できます。

次のシナリオを考えてみましょう。

  • 同じ構成を使用し、同じ PolicyID を持つ 2 つの基本ポリシーを作成します。 そのうちの 1 つをエグゼクティブ チームにデプロイし、2 つ目のポリシーをヘルプ デスク チームに展開します。

  • 次に、エグゼクティブ チームが必要とする他のアプリを実行できるようにする補足ポリシーを作成します。 この補足ポリシーは、同じグループであるエグゼクティブ チームに割り当てます。

  • 次に、ヘルプ デスク チームに必要なさまざまなツールを実行できるようにする 2 つ目の補足ポリシーを作成します。 このポリシーは、ヘルプ デスク グループに割り当てられます。

これらのデプロイの結果、両方の補足ポリシーが基本ポリシーの両方のインスタンスを変更する可能性があります。 ただし、個別の割り当てと個別の割り当てにより、最初の補足ポリシーでは、エグゼクティブ チームに割り当てられた許可されたアプリのみが変更され、2 番目のポリシーではヘルプ デスク チームによって使用される許可されたアプリのみが変更されます。

補足ポリシーをCreateする

  1. Windows Defender アプリケーション制御ウィザードまたは PowerShell コマンドレットを使用して、XML 形式で App Control for Business ポリシーを生成します。

    ウィザードの詳細については、「 aka.ms/wdacWizard または Microsoft WDAC ウィザード」を参照してください。

    XML 形式でポリシーを作成する場合は、基本ポリシーの ポリシー ID を 参照する必要があります。

  2. App Control for Business の補足ポリシーが XML 形式で作成されたら、Microsoft Intune管理センターにサインインし、[Endpoint security>App Control for Business (プレビュー)] に移動して[App Control for Business]\(ビジネス向けアプリコントロール\) > タブを選択し、[ポリシーのCreate] を選択します。

  3. [ 基本] で、次のプロパティを入力します。

    • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるように、プロファイルに名前を付けます。

    • 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。

  4. [ 構成設定] の [ 構成設定の形式 ] で、[ Xml データの入力 ] を選択し、XML ファイルをアップロードします。

  5. [ 割り当て] で、補助ポリシーを適用する基本ポリシーに割り当てられたグループと同じグループを選択し、[ 次へ] を選択します。

  6. [確認と作成] で設定を確認し、[Create] を選択します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーは、ポリシーの一覧にも表示されます。

Education テナントのビジネス ポリシーのアプリ制御

教育機関向けテナントの App Control for Business ポリシーでは、前提条件でサポートされているプラットフォームに加えて、Windows 11 SEもサポートされています

Windows 11 SEは、教室で使用できるように最適化されたクラウドファーストのオペレーティング システムです。 Intune for Education と同様に、Windows SE 11 は生産性、学生のプライバシー、学習を優先し、教育に不可欠な機能とアプリのみをサポートします。

この最適化を支援するために、WDAC ポリシーとIntune管理拡張機能は、Windows 11 SE デバイスに対して自動的に構成されます。

  • Windows 11 SEデバイスのIntuneサポートは、EDU テナント内のアプリのセット リストを含む定義済みの WDAC ポリシーの展開を対象としています。 これらのポリシーは自動的にデプロイされ、変更することはできません。

  • Intune EDU テナントの場合、Intune管理拡張機能はマネージド インストーラーとして自動的に設定されます。 この構成は自動であり、変更できません。

ビジネス向けアプリコントロールの削除ポリシー

「Mobile デバイス管理 (MDM) (Windows 10) を使用した WDAC ポリシーの展開 - Windows セキュリティドキュメントの Windows セキュリティ」で詳しく説明されているように、Intune UI から削除されたポリシーはシステムおよびデバイスから削除されますが、マシンの次回の再起動まで有効です。

WDAC の強制を無効または削除するには:

  1. 既存のポリシーを、 の Windows デバイスで見つかったポリシー Allow /*の例のルールのように、新しいバージョンのポリシーに置き換えます。 %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml

    この構成により、ポリシーが削除された後にデバイスに残っている可能性があるブロックが削除されます。

  2. 更新されたポリシーがデプロイされたら、Intune ポータルから新しいポリシーを削除できます。

このシーケンスにより、何もブロックされず、次回の再起動時に WDAC ポリシーが完全に削除されます。

App Control for Business ポリシーとマネージド インストーラーを監視する

デバイスに App Control for Business ポリシーとマネージド インストーラー ポリシーが割り当てられたら、管理センター内でポリシーの詳細を表示できます。

  • レポートを表示するには、アカウントに組織のIntuneロールベースのアクセス制御カテゴリの読み取りアクセス許可が必要です。

レポートを表示するには、Intune管理センターにサインインし、[アカウント制御] ノードに移動します。 (エンドポイント セキュリティ>アカウント制御 (プレビュー))。 ここでは、表示するポリシーの詳細のタブを選択できます。

マネージド インストーラー

[マネージド インストーラー] タブでは、マネージド インストーラーの状態、成功数、エラーの詳細を表示できます。管理拡張機能ポリシー Intune

この画面キャプチャには、管理インストーラー ポリシーの [概要] ページのビューが表示されます。

ポリシー名を選択して [概要] ページを開き、次の情報を表示できます。

  • デバイスの状態。成功とエラーの静的カウント。

  • デバイスの状態の傾向。各詳細カテゴリのデバイスのタイムラインと数を表示する履歴グラフ。

レポートの詳細は次のとおりです。

  • 成功 - ポリシーを正常に適用したデバイス。

  • エラー - エラーが発生したデバイス。

  • 新しいデバイス – 新しいデバイスは、最近ポリシーを適用したデバイスを識別します。

    この画面キャプチャには、マネージド インストーラーの概要が表示されます。

[概要] で [ デバイスの状態 ] セクションと [ デバイスの状態の傾向 ] セクションが更新されるまでに最大 24 時間かかることがあります。

ポリシーの詳細を表示しているときに、[ デバイスの状態 ] ( [モニター] の下) を選択して、ポリシーの詳細のデバイス ベースのビューを開くことができます。 [デバイスの状態] ビューには、デバイスがポリシーを正常に適用できない場合に問題を特定するために使用できる次の詳細が表示されます。

  • デバイス名
  • ユーザー名
  • OS のバージョン
  • マネージド インストーラーの状態 (成功またはエラー)

デバイスが実際にポリシーを受信した後、ポリシーの詳細のデバイス ベースのビューが更新されるまでに数分かかることがあります。

ビジネス向けアプリ コントロール

[ App Control for Business ] タブでは、App Control for Business ポリシーの一覧と、割り当てられているかどうか、最後に変更された日時など、基本的な詳細を表示できます。

その他のレポート オプションを含むビューを開くには、ポリシーを選択します。

この画面キャプチャには、ポリシーごとの状態ビューと、2 つの追加レポートのタイルが表示されます。

ポリシーのレポート オプションは次のとおりです。

  • デバイスとユーザーのチェック状態 - このポリシーで使用可能な各状態を報告するデバイスの数を表示する単純なグラフ。

  • レポートの表示 - このポリシーを受け取ったデバイスの一覧を含むビューが開きます。 ここでは、ドリルインするデバイスを選択し、その App Control for Business ポリシー設定の形式を表示できます。

ポリシー ビューには、次のレポート タイルも含まれています。

  • デバイス割り当ての状態 - このレポートには、保留中のポリシー割り当て状態のデバイスを含め、ポリシーの対象となるすべてのデバイスが表示されます。

    このレポートでは、表示する 割り当て状態 の値を選択し、[レポートの 生成 ] を選択して、ポリシーを受け取った個々のデバイス、最後にアクティブなユーザー、割り当ての状態をレポート ビューに更新できます。

    また、ドリルインするデバイスを選択し、その App Control for Business ポリシー設定の形式を表示することもできます。

  • [設定の状態ごと ] - このレポートには、このポリシーの設定の状態が [成功]、[ エラー]、または [競合 ] と報告されているデバイスの数が表示されます。

よく寄せられる質問

Intune管理拡張機能をマネージド インストーラーとして設定する必要があるのはいつですか?

次に利用可能な機会に、Intune管理拡張機能をマネージド インストーラーとして構成することをお勧めします。

設定すると、デバイスに展開する後続のアプリに適切なタグが付けられます。これは、 管理対象インストーラーからアプリを信頼する WDAC ポリシーをサポートします。

マネージド インストーラーが構成される前にアプリが展開された環境では、新しい WDAC ポリシーを 監査モード で展開することをお勧めします。そのため、アプリが展開されたが、信頼済みとしてタグ付けされていないことを特定できます。 その後、監査結果を確認し、信頼するアプリを決定できます。 信頼して実行を許可するアプリの場合は、それらのアプリを許可するカスタム WDAC ポリシーを作成できます。

IT 管理者が管理し、ポリシーを作成するのに役立つ多数のマシンで監査イベントのクエリを実行しやすくする、Microsoft Defender for Endpointの機能である Advanced Hunting を調べるのに役立ちます。

攻撃面の縮小ポリシーから古いアプリケーション制御ポリシーを使用して何を行うか

アプリケーション制御ポリシーのインスタンスが、Intune UI の [Endpoint Security Attach Surface Reduction]\(エンドポイント セキュリティ>アタッチ Surface の縮小\) または [デバイス>の構成] の下に表示されている場合があります。 これらは、今後のリリースで非推奨となる予定です。

同じデバイスに複数の基本ポリシーまたは補足ポリシーがある場合はどうなりますか?

1903 年Windows 10以前は、App Control for Business では、特定の時点でシステムで 1 つのアクティブ なポリシーのみがサポートされました。 これにより、意図が異なる複数のポリシーが役に立つ状況で顧客が大幅に制限されます。 現在、同じデバイスで複数の基本ポリシーと補足ポリシーがサポートされています。 複数の App Control for Business ポリシーのデプロイの詳細を確認してください。

関連するメモでは、App Control for Business の同じデバイスでアクティブな 32 ポリシーの制限はなくなりました。 この問題は、2024 年 3 月 12 日以降にリリースされた Windows セキュリティ更新プログラムWindows 10 1903 以降を実行するデバイスで解決されます。 以前のバージョンの Windows は、今後の Windows セキュリティ更新プログラムでこの修正プログラムを受け取ることが予想されます。

テナント セット アプリのマネージド インストーラーオプトイン機能は、適切なタグを持つConfiguration Managerからインストールされていますか?

その必要はありません。 このリリースでは、Intune管理拡張機能をマネージド インストーラーとして使用して、Intuneからインストールされたアプリを設定することに重点を置いています。 Configuration Managerをマネージド インストーラーとして設定することはできません。

マネージド インストーラーとしてConfiguration Managerを設定する場合は、Configuration Manager内からその動作を許可できます。 既にマネージド インストーラーとして設定Configuration Manager場合、予期される動作は、新しいIntune管理拡張機能 AppLocker ポリシーが既存のConfiguration Manager ポリシーとマージされるということです。

次の手順

エンドポイント セキュリティ ポリシーを構成する