パッケージ アプリの規則の作成
IT 担当者向けのこのトピックでは、発行元の条件でパッケージ アプリの AppLocker 規則を作成する方法を示します。
パッケージ アプリ (ユニバーサル Windows アプリとも呼ばれます) は、アプリ パッケージ内のすべてのファイルが同じ ID を共有することが保証されるアプリ モデルが基になっています。したがって、アプリ内の各ファイルが一意の ID を持つ可能性がある非パッケージ アプリとは異なり、単一の AppLocker 規則を使用してアプリ全体を制御できます。Windows は署名されていないパッケージ アプリをサポートしないため、すべてのパッケージ アプリが署名されている必要があります。AppLocker は、パッケージ アプリの場合は発行元規則のみをサポートします。パッケージ アプリの発行元規則は、次の情報に基づいています。
パッケージの発行元
パッケージ名
パッケージ バージョン
パッケージに含まれるすべてのファイルおよびパッケージのインストーラーは、これらの属性を共有します。したがって、パッケージ アプリの AppLocker 規則は、アプリのインストールと実行の両方を制御します。それ以外については、パッケージ アプリの発行元規則は、規則コレクションの他の部分とまったく同じです。例外をサポートし、スコープを拡大または縮小でき、ユーザーおよびグループに割り当てることができます。
発行元条件の詳細については、「AppLocker での発行元規則条件について」を参照してください。
このタスクを実行するには、グループ ポリシー オブジェクト (GPO) の AppLocker ポリシーに対してグループ ポリシー管理コンソールを使用するか、またはローカル コンピューター上またはセキュリティ テンプレート内の AppLocker ポリシーに対してローカル セキュリティ ポリシー スナップインを使用します。これらの MMC スナップインを使って AppLocker を管理する方法については、「AppLocker の管理」を参照してください。
パッケージ アプリの規則を作成するには
AppLocker コンソールを開きます。
[操作] メニューで、または [パッケージ アプリの規則] を右クリックして、[新しい規則の作成] をクリックします。
[開始する前に] ページで、[次へ] をクリックします。
[アクセス許可] ページで、操作 (許可または拒否) と、規則を適用するユーザーまたはグループを選択し、[次へ] をクリックします。
[発行元] ページでは、パッケージ アプリ規則の特定の参照を選択し、規則のスコープを設定できます。次の表で、参照オプションについて説明します。
選択項目 説明 例 インストール済みのパッケージ化されたアプリを参照として使用する
選択した場合、AppLocker はユーザーに新しい規則の基にするインストール済みアプリの選択を要求します。AppLocker は、発行元、パッケージ名、パッケージのバージョンを使用してルールを定義します。
営業グループに、営業用の外線には Microsoft.BingMaps という名前のアプリのみを使用させることにします。Microsoft.BingMaps アプリは規則を作成しているデバイスに既にインストールされているので、このオプションを選択し、コンピューターにインストールされているアプリの一覧からアプリを選び、このアプリを参照として規則を作成します。
パッケージ アプリ インストーラーを参照として使用する
選択した場合、AppLocker はユーザーに新しい規則の基にするアプリ インストーラーの選択を要求します。パッケージ アプリ インストーラーの拡張子は .appx です。AppLocker は、インストーラーの発行元、パッケージ名、パッケージのバージョンを使用してルールを定義します。
会社は、多くの内部基幹業務パッケージ アプリを開発しています。アプリ インストーラーは、共通のファイル共有に格納されています。従業員は、そのファイル共有から必要なアプリをインストールできます。会社は、すべての従業員がこの共有から給与アプリをインストールできるようにしようと考えています。そこで、ウィザードからこのオプションを選択し、ファイル共有を参照して、規則を作成するための参照として給与アプリのインストーラーを選択します。
次の表では、パッケージ アプリ規則のスコープの設定について説明します。
選択項目 説明 例 [すべての発行元] に適用する
これは、[許可] 規則に対する最も制約の少ないスコープ条件です。すべてのパッケージ アプリの実行またはインストールを許可します。
逆に、これが [拒否] 規則である場合は、このオプションはすべてのアプリのインストールまたは実行を拒否するので、最も制約が厳しい規則です。
営業グループにすべての署名された発行元のすべてのパッケージ アプリの使用を許可します。営業グループにすべてのアプリの実行を許可するアクセス許可を設定します。
特定の [発行元] に適用する
特定の発行元によって発行されたすべてのアプリに規則のスコープを設定します。
すべてのユーザーに Microsoft.BingMaps の発行元によって発行されたアプリのインストールを許可します。参照として Microsoft.BingMaps を選び、この規則スコープを選択します。
[パッケージ名] に適用する
参照ファイルとして発行元名とパッケージ名を共有するすべてのパッケージに規則のスコープを設定します。
Microsoft.BingMaps アプリのすべてのバージョンのインストールを営業グループに許可します。参照として Microsoft.BingMaps アプリを選び、この規則スコープを選択します。
[パッケージ バージョン] に適用する
パッケージの特定のバージョンに規則のスコープを設定します。
許可する範囲を非常に限定的にしようと考えています。Microsoft.BingMaps アプリの今後の更新をすべて無条件に信頼することはできません。規則のスコープを、参照コンピューターに現在インストールされているアプリのバージョンに制限できます。
規則へのカスタム値の適用
[カスタム値を使用する] チェック ボックスをオンにすると、特定の状況に対してスコープ フィールドを調整できます。
ユーザーにすべての Microsoft.Bing* アプリケーションのインストールを許可します。これには、Microsoft.BingMaps、Microsoft.BingWeather、Microsoft.BingMoney などが含まれます。参照として Microsoft.BingMaps を選択し、[カスタム値を使用する] チェック ボックスをオンにして、パッケージ名として “Microsoft.Bing*” を追加してパッケージ名フィールドを編集します。
[次へ] をクリックします。
(省略可能) [例外] ページで、規則の適用対象からファイルを除外する条件を指定します。これにより、前に設定したものと同じ規則の参照およびスコープに基づいて例外を追加できます。[次へ] をクリックします。
[名前] ページで、自動的に生成される規則名を使用するか、または新しい規則名を入力して、[作成] をクリックします。