アプリ コントロール

  • [アーティクル]

注:

アプリ コントロール機能は省略可能です。 アプリ コントロールを有効にするには 、要求を送信 する必要があります。

アプリ コントトールは、クライアント デバイスでのコードの実行を制限するMicrosoft マネージド デスクトップのオプションのセキュリティ プラクティスです。

このコントロールは、マルウェアや悪意のあるスクリプトのリスクを軽減します。 このコントロールでは、顧客が承認した発行元の一覧によって署名済みのコードのみを実行します。 このコントロールには多くのセキュリティ上の利点がありますが、主にクライアントベースのエクスプロイトからデータと ID を保護することを目的としています。

Microsoft マネージド デスクトップは、コア生産性シナリオを可能にする基本ポリシーを作成することで、アプリ コントロール ポリシーの管理を簡略化します。 環境内のアプリとスクリプトに固有の他の署名者に信頼を拡張できます。

どのセキュリティ技術にも、ユーザー エクスペリエンス、セキュリティ、コスト間のバランスが必要です。 アプリ コントロールは、環境内の悪意のあるソフトウェアの脅威を軽減しますが、ユーザーにも影響を与え、IT 管理者の仕事を増やします。

追加のセキュリティと責任 説明
追加のセキュリティ アプリ コントロール ポリシーによって信頼されていないアプリまたはスクリプトは、デバイスでの実行がブロックされます。
お客様に求められる追加の責任
  • お客様はご自身でアプリをテストして、アプリケーション コントロール ポリシーでブロックされるかどうかを特定する必要があります。
  • アプリがブロックされる (またはブロックされる可能性がある) 場合は、必要な署名者の詳細を特定する必要があります。 管理センターを通じて変更を要求する必要があります。
Microsoft マネージド デスクトップの責任
  • Microsoft マネージド デスクトップは、Microsoft 365 Apps、Windows、Teams、OneDrive などの主要な Microsoft 製品を有効にする基本ポリシーを管理します。
  • Microsoft マネージド デスクトップは、お客様が信頼できる署名者を挿入し、更新されたポリシーをデバイスに展開します。

アプリケーションでの信頼の管理

Microsoft マネージド デスクトップは、Microsoft テクノロジのコア コンポーネントを信頼する基本ポリシーをキュレーションします。 その後、お客様が既に信頼しているアプリとスクリプトを Microsoft マネージド デスクトップに通知することで、独自のアプリケーションとスクリプトに信頼を追加します。

基本ポリシー

Microsoft マネージド デスクトップは、Microsoft サイバーセキュリティの専門家と協力して、標準ポリシーを作成および管理します。 この標準ポリシーは:

  • Microsoft Intune 経由で展開されたほとんどのアプリを有効にします。
  • コードのコンパイルや信頼されていないファイルの実行などの危険なアクティビティをブロックします。

基本ポリシーでは、ソフトウェアの実行を制限するために次の方法を使用します:

  • 管理者が実行するファイルの実行を許可します。
  • ユーザーが書き込み可能なディレクトリ内の場所にはない ファイルの実行を許可します。
  • ファイルは信頼できる署名者によって署名されています。
  • Microsoft が署名したほとんどのファイルは実行されますが、コードのコンパイルなどの危険度の高いアクションを防ぐためにブロックされるファイルもあります。

管理者以外のユーザーがデバイスにアプリまたはスクリプトを追加した可能性がある (つまり、それがユーザーが書き込み可能なディレクトリにある) 場合、実行は許可されません。 アプリまたはスクリプトが管理者によって既に許可されている場合は、実行を許可します。

弊社のポリシーでは、次のシナリオでのアプリの実行を停止します。

  • ユーザーがマルウェアのインストールを試みるように誘導された場合。
  • アプリに脆弱性があり、ユーザーが実行するとマルウェアのインストールが試みられる場合。
  • ユーザーが未承認のアプリまたはスクリプトを意図的に実行しようとする場合。

署名者リクエスト

お客様は、署名者リクエストを提出することで、お客様が信頼するソフトウェア発行元によって提供されるアプリを弊社に知らせします。 これにより、弊社側で次の処理を行います。

  • その信頼情報をベースライン アプリケーション コントロール ポリシーに追加します。
  • その発行元の証明書で署名されたソフトウェアをお客様のデバイスで実行できるように許可します。

監査ポリシーと強制ポリシー

Microsoft マネージド デスクトップでは、Microsoft Intune ポリシーを使用してアプリを制御します。

監査ポリシー

このポリシーは、アプリまたはスクリプトが強制ポリシーによってブロックされるかどうかを記録するログを作成します。

監査ポリシーは、アプリ コントロール ルールを適用しません。 これらは、アプリケーションが発行元の除外を必要とするかどうかを特定するためのテスト目的として作られています。 指定されたアプリまたはスクリプトの実行またはインストールをブロックするのではなく、イベント ビューアーで警告 (8003 または 8006 イベント) をログに記録します。

強制ポリシー

このポリシーは、信頼されていないアプリとスクリプトの実行をブロックし、アプリまたはスクリプトがブロックされるたびにログを作成します。 強制ポリシーでは、標準ユーザーは、ユーザーが書き込み可能なディレクトリに保存されているアプリまたはスクリプトを実行できなくなります。

テスト グループ内のデバイスには、アプリケーションによって問題が発生するかどうかを検証するための監査ポリシーが適用されています。 他のすべてのグループ (First、Fast、Broad) では、強制ポリシーを使用します。 これらのグループのユーザーは、信頼されていないアプリまたはスクリプトを実行できません。