AppLocker ポリシーの使用シナリオ
IT 担当者向けのこのトピックは、AppLocker ポリシーを効果的に実装できる、さまざまなアプリケーション制御シナリオの一覧を示します。
AppLocker は、アプリケーション制御の管理とアプリケーション制御ポリシーの保守に役立ちます。AppLocker が対応するアプリケーション制御シナリオは次のように分類できます。
アプリのインベントリ
AppLocker には、監査のみのモードでポリシーを実施する機能が用意されています。このモードでは、すべてのアプリのアクセス アクティビティがイベント ログに収集され、後から分析できます。アプリの使用状況とアクセスを理解するために、Windows PowerShell コマンドレットを使用することもできます。
不要なソフトウェアに対する保護
AppLocker では、ビジネス グループまたはユーザーごとに、許可するアプリの一覧からアプリを除外するだけで簡単にアプリの実行を拒否できます。発行元、インストール パス、またはファイル パスによってアプリが特定されない場合は、アプリケーションを実行しようとしても失敗します。
ライセンス準拠
AppLocker によって組織内のソフトウェア使用状況のインベントリが生成されるため、ソフトウェアのライセンス契約に対応するソフトウェアを特定し、ライセンス契約に基づいてアプリケーションの使用を制限できます。
ソフトウェアの標準化
AppLocker ポリシーは、ビジネス グループ内のコンピューターでの実行がサポートされているか、承認されているアプリのみを許可するように構成できます。これによって、さらに一貫性のあるアプリの展開が可能になります。
管理の容易性の向上
AppLocker ポリシーを変更して、既存のグループ ポリシー インフラストラクチャを介して展開できます。また、AppLocker ポリシーは、ソフトウェア制限ポリシーを使用して作成されたポリシーと組み合わせて使用できます。ビジネス グループのアプリのサポートにおいて進行する変化を管理する際には、ポリシーを変更し、そのポリシーで予期した結果が得られるかどうかを AppLocker コマンドレットを使用してテストできます。また、ユーザーがコンピューターを共有する状況に合わせてアプリケーション制御ポリシーを設計することもできます。
使用シナリオ
AppLocker を使用できるシナリオの例を次に示します。
組織がポリシーを実装して、各ビジネス グループ内で使用されるアプリケーションを標準化する。このために、実際の使用状況と比較して、予期される使用状況を判断する必要がある。
アプリケーション使用状況のセキュリティ ポリシーが変更されたため、展開されているアプリがアクセスされる場所や時間を評価する必要がある。
ライセンス許諾されたソフトウェアだけを使用するように組織のセキュリティ ポリシーで指定されているため、ライセンス許諾されていないアプリを判別するか、ライセンス許諾されたソフトウェアの未承認ユーザーによる使用を防ぐ必要がある。
アプリが組織でサポートされなくなったため、すべてのユーザーがこのアプリを使用できないようにする必要がある。
組織で承認したアプリまたは組織で開発したアプリのみに、ユニバーサル Windows アプリの使用を制限する必要がある。
不要なソフトウェアが環境に入り込む可能性が高いため、この脅威を軽減する必要がある。
アプリのライセンスが失効したか、組織で期限切れになっているため、すべてのユーザーの使用を防ぐ必要がある。
新しいアプリまたは新しいバージョンのアプリが展開された後、特定のグループ使用を許可する必要がある。
特定のソフトウェア ツールを組織内で使用できないようにする。または、特定のユーザーだけがそのツールを使用できるようにする。
一般ユーザーが使用できないアプリを、単一のユーザーまたは小規模グループのユーザーが使用できるようにする必要がある。
ソフトウェアの使用について異なるニーズを持つ複数のユーザーで、組織内の一部のコンピューターを共有する。
その他の手段に加え、アプリを使った重要なデータへのアクセスを制御する必要があります。