App Control for Business ポリシーと Microsoft Intune 用マネージド インストーラーを使用して、Windows デバイスの承認済みアプリを管理する

毎日新しい悪意のあるファイルやアプリが野生で表示されます。 organizationのデバイスで実行すると、リスクが発生し、管理や防止が困難になる可能性があります。 管理された Windows デバイスで望ましくないアプリが実行されないようにするには、Microsoft Intune App Control for Business ポリシーを使用できます。

Intune の App Control for Business ポリシーはエンドポイント セキュリティの一部であり、Windows ApplicationControl Configuration Service Provider (CSP) を使用して Windows デバイスで許可されているアプリを管理します。

App Control for Business ポリシーでも使用できます。マネージド インストーラー ポリシーを使用して、 Intune 管理拡張機能 を マネージド インストーラーとしてテナントに追加できます。 この拡張機能をマネージド インストーラーとして使用すると、Intune 経由で展開するアプリには、インストーラーによって自動的にタグが付けられます。 タグ付けされたアプリは、デバイスで実行できる安全なアプリとして、App Control for Business ポリシーによって識別されます。

• Intune 管理拡張機能は、Windows 10デバイスとWindows 11 デバイスWindows 10 MDM 機能を補完する Intune サービスです。 これは、管理対象デバイスへの Win32 アプリと PowerShell スクリプトのインストールを容易にします。

• マネージド インストーラーでは、AppLocker ルールを使用して、organizationによって信頼されているアプリケーションにタグを付けます。詳細については、Windows セキュリティドキュメントの「マネージド インストーラーによってインストールされたアプリを許可する」を参照してください。

  App Control for Business ポリシーを使用するには、マネージド インストーラーを使用する必要はありません。

この記事の情報は、次の場合に役立ちます。

• Intune 管理拡張機能をマネージド インストーラーとして構成します。
• エンドポイント セキュリティ App Control for Business ポリシーを構成します。

関連情報については、Windows セキュリティドキュメントの「Windows Defender アプリケーションコントロール」を参照してください。

注:

App Control for Business ポリシーとアプリケーション制御プロファイル: Intune App Control for Business ポリシーでは、ApplicationControl CSP が使用されます。 Intune の攻撃面の縮小ポリシーでは、アプリケーション制御プロファイルに AppLocker CSP が使用されます。 Windows では、 AppLocker CSP を置き換えるために ApplicationControl CSP が導入されました。 Windows では引き続き AppLocker CSP がサポートされますが、新しい機能は追加されなくなります。 代わりに、ApplicationControl CSP を介して開発が続行されます。

適用対象:

• Windows 10
• Windows 11

前提条件

デバイス

Intune に登録されている App Control for Business ポリシーでは、次のデバイスがサポートされています。

• Windows Enterprise または Education:

  • Windows 10 バージョン 1903 以降。
  • Windows 11

• Windows Professional:

  • KB5019959を使用したWindows 10
  • Windows 11:
    • バージョン 22H2 とKB5019980
    • バージョン 21H2 とKB5019961

• Windows 11 SE:

  • Windows 11 SEは、教育機関向けテナントでのみサポートされています。 詳細については、この記事の後半の「 Education テナントのビジネス 向けアプリ制御ポリシー 」を参照してください。

• Azure Virtual Desktop (AVD):

  • AVD デバイスは、App Control for Business ポリシーを使用するためにサポートされています
  • AVD マルチセッション デバイスをターゲットにするには、エンドポイント セキュリティの [App Control for Business] ノードを使用します。 ただし、App Control for Business はデバイス スコープのみです。

• 共同管理デバイス:

  • 共同管理デバイスでビジネス ポリシーのアプリケーション制御をサポートするには、[Endpoint Protection] スライダーのスライダーを Intune に設定します。

Windows Defender App Control for Business

Windows セキュリティドキュメントの「Windows のアプリケーション制御について」の「Windowsエディションとライセンス要件」を参照してください。

ロールベースのアクセス制御

ビジネス 向けアプリ制御ポリシーを管理するには、必要なタスクを完了するための十分なアクセス許可と権限を含む Intune ロールベースのアクセス制御 (RBAC) ロールがアカウントに割り当てられている必要があります。

必要なアクセス許可と権限を持つ使用可能なタスクを次に示します。

• マネージド インストーラーの使用を有効にする - アカウントには Intune 管理者のロールが割り当てられている必要があります。 インストーラーの有効化は、1 回限りのイベントです。

  重要

  Microsoft では、アクセス許可が可能な限りで少ないロールを使用することをお勧めします。 これにより、組織のセキュリティが向上します。 Intune 管理者と同様のアカウントは、高い特権を持つロールであり、別のロールを使用できないシナリオに限定する必要があります。

• ビジネス向けアプリ制御ポリシーの管理 - アカウントには、削除、読み取り、割り当て、作成、更新、およびレポートの表示の権限を含む、App Control for Business アクセス許可が必要です。

• App Control for Business ポリシーのレポートを表示 する - アカウントには、次のいずれかのアクセス許可と権限が必要です。

  • レポートの表示に関する App Control for Business アクセス許可。
  • 読み取りを使用した組織のアクセス許可。

Intune App Control for Business ポリシーを管理するための適切なレベルのアクセス許可と権限の割り当てに関するガイダンスについては、「 Assign-role-based-access-controls-for-endpoint-security-policy」を参照してください。

政府機関向けクラウド サポート

Intune エンドポイント セキュリティ アプリケーション制御ポリシーとマネージド インストーラーの構成は、次のソブリン クラウド環境でサポートされています。

• 米国政府機関向けクラウド
• 21Vianet

マネージド インストーラーの概要

Intune のエンドポイント セキュリティ App Control for Business では、ポリシーを使用して、 Intune 管理拡張機能 をマネージド Windows デバイスの マネージド インストーラー として追加できます。

デバイスでマネージド インストーラーを有効にすると、Intune を介して Windows デバイスに展開する後続のすべてのアプリケーションは、マネージド インストーラー タグでマークされます。 タグは、アプリが既知のソースによってインストールされ、信頼できることを示します。 アプリのマネージド インストーラー のタグ付けは、App Control for Business ポリシーによって使用され、環境内のデバイスでの実行が承認されたアプリを自動的に識別します。

App Control for Business ポリシーは、Windows Defender アプリケーションコントロール (WDAC) の実装です。 WDAC とアプリのタグ付けの詳細については、 Windows Defender アプリケーション制御ドキュメントの「Windows および WDAC アプリケーション ID (AppId) タグ付けガイド のアプリケーション制御について」を参照してください。

マネージド インストーラーの使用に関する考慮事項:

• 管理対象インストーラーの 1 つ以上 の App Control for Business ポリシーを、管理対象 Windows デバイスの異なるグループに展開します。

  ヒント

  2025 年 8 月 18 日、Intune は、マネージド インストーラーを Windows デバイスに追加するための 1 つのテナント全体のポリシーを、選択したグループへのマネージド インストーラーの割り当てをサポートする新しいポリシー設計に置き換えました。 8 月 18 日より前にテナント全体のポリシーが適用されていた場合、そのポリシーは、元の構成と同等のすべてのデバイスを対象とするポリシーに変換されます。 マネージド インストーラーのより詳細なデプロイを使用する場合は、既存のポリシーを削除してから、特定のグループを対象とする新しいポリシーを作成するか、特定のスコープ タグを使用することを検討してください。

• Windows デバイスが Intune 管理拡張機能をマネージド インストーラーとして追加するポリシーを受け取ると、Intune を介してそれらのデバイスに展開するすべてのアプリに、マネージド インストーラーのマークが付けられます。

• 新しいデバイスでマネージド インストーラーが追加されないようにするには、ポリシーを編集してデバイスのグループを除外するか、Intune からマネージド インストーラー ポリシーを削除します。 ただし、ポリシーからの除外またはポリシーの削除では、以前に追加したデバイスからマネージド インストーラーは削除されません。

• このタグ自体は、デバイスで実行できるアプリには影響しません。 タグは、管理対象デバイスで実行できるアプリを決定する WDAC ポリシーも割り当てる場合にのみ使用されます。

• 遡及的なタグ付けがないため、マネージド インストーラーを有効にする前に展開されたデバイス上のすべてのアプリにはタグは付けられません。 WDAC ポリシーを適用する場合は、これらのタグなしアプリの実行を許可する明示的な構成を含める必要があります。

• ポリシーを無効にして、後続のアプリがマネージド インストーラーでタグ付けされないようにすることができます。 以前にインストールされ、タグ付けされたアプリはタグ付けされたままになります。 ポリシーをオフにした後のマネージド インストーラーの手動クリーンの詳細については、この記事の「管理対象インストーラーとして Intune 管理拡張機能を削除する」を参照してください。

Intune でマネージド インストーラーを設定する方法の詳細については、Windows セキュリティドキュメントを参照してください。

重要

Log Analytics 統合によって収集されるイベントへの潜在的な影響

Log Analytics は、お客様が AppLocker ポリシー イベントからデータを収集するために使用する可能性があるAzure portalのツールです。 オプトイン アクションを完了すると、AppLocker ポリシーがテナント内の該当するデバイスへの展開を開始します。 Log Analytics の構成に応じて、特に詳細なログの一部を収集する場合は、 AppLocker ポリシーによって生成されるイベントが増加します。 organizationで Log Analytics を使用する場合は、Log Analytics のセットアップを確認して、次のことが推奨されます。

• Log Analytics のセットアップを理解し、予期しない課金コストを回避するために適切なデータ収集上限が設定されていることを確認します。
• MSI ログとスクリプト ログを除き、Log Analytics (エラー、警告、情報) で AppLocker イベントのコレクションを完全にオフにします。

マネージド インストーラーをテナントに追加する

1 つ以上の管理インストーラー ポリシーを作成して、管理対象インストーラーをデバイスのグループに追加できます。 複数のポリシーを作成する場合は、1 つ以上の管理対象インストーラー ポリシーの対象となるデバイスに適用される次の点を考慮してください。

• 1 つのポリシーで [ マネージド インストーラーとして Intune マネージド拡張機能を有効にする] が [有効] に設定されている限り、デバイスは構成を有効として適用します。
• 複数のポリシーのスコープ タグは、これらのスコープ タグのスーパーセットとしてデバイスに適用されます。

次の手順では、テナントのマネージド インストーラーとして Intune 管理拡張機能を追加する手順について説明します。

1. Microsoft Intune 管理センターで、[エンドポイント セキュリティ>App Control for Business] に移動し> [マネージド インストーラー] タブを選択し、[作成] を選択します。 [マネージド インストーラー ポリシーの作成] ワークフローが開きます。

   

2. [基本] ページ上で、次のプロパティを入力します。

   • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるように、プロファイルに名前を付けます。
   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。

3. [設定]で、既定の [マネージド インストーラーとして Intune マネージド拡張機能を有効にする] を [有効] に設定します。 有効にすると、このポリシーを持つデバイスでマネージド インストーラーが使用されます。 無効にすると、デバイスはマネージド インストーラーをアクティブに使用しません。

   ヒント

   ポリシーはいつでも編集して、[ Intune マネージド拡張機能をマネージド インストーラーとして有効にする] の値を編集できます。

4. [ スコープ タグ] で、必要に応じて適用する任意のスコープ タグを選択できます。

5. [割り当て] では、[ポリシーからデバイス グループを含める] と [除外] を選択できます。 続行するには、[Next] を選択します。

   ヒント

   ユーザーを含む可能性のあるセキュリティ グループを対象にすることはできますが、セキュリティ グループ内のデバイスのみが対象となり、マネージド インストーラー ポリシーを受け取ります。 これは、マネージド インストーラー ポリシーがデバイス スコープにのみ適用されるためです。

6. [ 確認と作成] で設定を確認し、[ 作成 ] を選択して変更を保存し、割り当てられたグループのメンバーにポリシーを展開します。 ポリシーは、ポリシーの一覧にも表示されます。

マネージド インストーラーを追加した後、新しいポリシーがテナントに追加されるまで最大 10 分待つ必要がある場合があります。 [ 最新の情報に更新] を選択して、管理センターが使用可能になるまで定期的に更新します。

準備ができたら、[マネージド インストーラー] タブにポリシーが表示され、状態が [アクティブ] になります。 デバイスでは、ポリシーが配信されるまでに最大 30 分の待機が表示される場合があります。

ポリシーが有効になる前に、アプリコントロール for Business ポリシーを作成して展開して、Windows デバイスでアプリを実行できるルールを指定する必要があります。

詳細については、Windows セキュリティドキュメントの「マネージド インストーラーによってインストールされたアプリを許可する」を参照してください。

重要

AppLocker ポリシーのマージから起動しない可能性があるリスク

Intune を使用してマネージド インストーラーを有効にすると、ダミールールを含む AppLocker ポリシーが展開され、ターゲット デバイス上の既存の AppLocker ポリシーとマージされます。 既存の AppLocker ポリシーに、空の規則セットを使用して NotConfigured として定義された RuleCollection が含まれている場合、そのポリシーは NotConfigured としてダミー ルールとマージされます。 NotConfigured ルール コレクションは、コレクションに定義されているルールがある場合に既定で適用されます。 ダミー ルールが構成されている唯一のルールである場合、これは他の何かが読み込まれたり実行されたりすることをブロックすることを意味します。 これにより、アプリケーションの起動に失敗し、Windows の起動やサインインに失敗するなど、予期しない問題が発生する可能性があります。 この問題を回避するには、既存の AppLocker ポリシーが存在する場合は、空の規則セットを使用して NotConfigured として定義されている RuleCollection を削除することをお勧めします。

• 管理されたインストーラーでは、GPO から適用される (ターゲット PC 上の) App-Locker ポリシーの停止または無効化を有効にすることができます。

Intune 管理拡張機能をマネージド インストーラーとして削除する

必要に応じて、テナントのマネージド インストーラーとして Intune 管理拡張機能を構成するポリシーを停止できます。 これにより、各マネージド インストーラー ポリシーを無効にする必要があります。 ポリシーがオフになった後は、追加のクリーンアクションを使用できます。

Intune 管理拡張機能ポリシーを無効にする (必須)

Intune 管理拡張機能を管理対象インストーラーとしてデバイスに追加するのを停止するポリシーを構成するには、次の構成が必要です。

1. 管理センターで、[エンドポイント セキュリティ>App Control for Business] に移動し> [マネージド インストーラー] タブを選択し、編集するポリシーを選択します。

2. ポリシーを編集し、[ マネージド インストーラーとして Intune マネージド拡張機能を有効にする] を [無効] に変更し、ポリシーを保存します。

Intune 管理拡張機能をマネージド インストーラーとして使用して新しいデバイスを構成することはできません。 これにより、Intune 管理拡張機能は、既に使用するように構成されているデバイスからマネージド インストーラーとして削除されません。

デバイス上のマネージド インストーラーとして Intune 管理拡張機能を削除する (省略可能)

オプションのクリーン手順として、スクリプトを実行して、Intune 管理拡張機能を既にインストールしているデバイスのマネージド インストーラーとして削除できます。 マネージド インストーラーを参照する App Control for Business ポリシーも使用しない限り、この構成はデバイスに影響しないため、この手順は省略可能です。

1. CatCleanIMEOnly.ps1 PowerShell スクリプトをダウンロードします。 このスクリプトは、download.microsoft.com からhttps://aka.ms/intune_WDAC/CatCleanIMEOnlyで使用できます。

2. Intune 管理拡張機能がマネージド インストーラーとして設定されているデバイスで、このスクリプトを実行します。 このスクリプトでは、管理対象インストーラーとして Intune 管理拡張機能のみが削除されます。

3. 上記の変更を有効にするには、Intune 管理拡張機能サービスを再起動します。

このスクリプトを実行するには、Intune を使用して PowerShell スクリプトや任意の他の方法を実行できます。

デバイスからすべての AppLocker ポリシーを削除する (省略可能)

デバイス からすべての Windows AppLocker ポリシーを削除するには、 CatCleanAll.ps1 PowerShell スクリプトを使用します。 このスクリプトは、管理対象インストーラーとしての Intune 管理拡張機能だけでなく、デバイスから Windows AppLocker に基づく すべての ポリシーを削除します。 このスクリプトを使用する前に、組織が AppLocker ポリシーを使用していることを確認してください。

1. CatCleanAll.ps1 PowerShell スクリプトをダウンロードします。 このスクリプトは、download.microsoft.com からhttps://aka.ms/intune_WDAC/CatCleanAllで使用できます。

2. Intune 管理拡張機能がマネージド インストーラーとして設定されているデバイスで、このスクリプトを実行します。 このスクリプトは、管理対象インストーラーとして Intune 管理拡張機能と AppLocker ポリシーをデバイスから削除します。

3. 上記の変更を有効にするには、Intune 管理拡張機能サービスを再起動します。

このスクリプトを実行するには、Intune を使用して PowerShell スクリプトや任意の他の方法を実行できます。

App Control for Business ポリシーの概要

Intune のエンドポイント セキュリティ App Control for Business ポリシーを使用すると、管理対象の Windows デバイスで実行を許可されるアプリを管理できます。 ポリシーによって明示的に実行が許可されていないアプリは、監査モードを使用するようにポリシーを構成していない限り、実行がブロックされます。 監査モードでは、ポリシーを使用すると、すべてのアプリを実行し、クライアントでローカルにそれらの詳細をログに記録できます。

許可またはブロックされるアプリを管理するために、Intune では Windows デバイスで Windows ApplicationControl CSP を使用します。

App Control for Business ポリシーを作成するときは、使用する 構成設定の形式 を選択する必要があります。

• xml データの入力 - xml データを入力する場合は、App Control for Business ポリシーを定義する一連のカスタム XML プロパティをポリシーに指定する必要があります。

• 組み込みのコントロール – このオプションは、構成する最も簡単なパスですが、強力な選択のままです。 組み込みのコントロールを使用すると、マネージド インストーラーによってインストールされているすべてのアプリを簡単に承認し、Windows コンポーネントとストア アプリの信頼を許可できます。

  これらのオプションの詳細については、ポリシーの作成時に UI から入手できます。また、ポリシーを作成する手順については、次の手順で詳しく説明します。

App Control for Business ポリシーを作成した後は、その元のポリシーに XML 形式でさらにルールを追加する補足ポリシーを作成することで、そのポリシーのスコープを拡張できます。 補足ポリシーを使用する場合、元のポリシーは基本ポリシーと呼ばれます。

注:

テナントが教育機関向けテナントの場合は、「 Education テナントのビジネス向けアプリ制御ポリシー 」を参照して、それらのデバイスの追加のデバイス サポートと App Control for Business ポリシーについて説明します。

App Control for Business ポリシーを作成する

次の手順を使用して、ビジネス向けアプリ制御ポリシーを正常に作成できます。 このポリシーを使用して定義した信頼の範囲を広げる補足ポリシーを作成する場合、このポリシーは基本ポリシーと見なされます。

1. Microsoft Intune 管理センターにサインインし、[エンドポイント セキュリティ>App Control for Business] に移動し> [App Control for Business] タブ >を選択し、[ポリシーの作成] を選択します。 App Control for Business ポリシーは、プラットフォームの種類のWindows 10以降に自動的に割り当てられます。

   

2. [ 基本] で、次のプロパティを入力します。

   • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるように、プロファイルに名前を付けます。
   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。

3. [ 構成設定] で、[ 構成設定] の形式を選択します。

   xml データの入力 - このオプションでは、App Control for Business ポリシーを定義するためのカスタム XML プロパティを指定する必要があります。 このオプションを選択しても、XLM プロパティをポリシーに追加しない場合は、[ 未構成] として機能します。 App Control for Business ポリシーが構成されていないと、デバイスで既定の動作が発生し、ApplicationControl CSP のオプションは追加されません。

   組み込みコントロール – このオプションでは、ポリシーではカスタム XML は使用されません。 代わりに、次の設定を構成します。

   • Windows コンポーネントとストア アプリの信頼を有効にする – この設定が [有効] (既定値) の場合、マネージド デバイスは、Windows コンポーネントを実行し、アプリを格納できます。また、信頼済みとして構成する可能性があるその他のアプリも実行できます。 このポリシーによって信頼済みとして定義されていないアプリは、実行がブロックされます。

     この設定では、 監査のみの モードもサポートされています。 監査モードでは、すべてのイベントがローカル クライアント ログに記録されますが、アプリの実行はブロックされません。

   • アプリを信頼するための追加オプションを選択する – この設定では、次のオプションのいずれかまたは両方を選択できます。

     • 評判の良いアプリを信頼 する – このオプションを使用すると、Microsoft Intelligent Security Graph で定義されている信頼できるアプリをデバイスで実行できます。 インテリジェント セキュリティ グラフ (ISG) の使用については、Windows セキュリティドキュメントの「インテリジェント セキュリティ グラフ (ISG) で信頼できるアプリを許可する」を参照してください。

     • マネージド インストーラーからアプリを信頼する – このオプションを使用すると、承認されたソースによって展開されたアプリ (マネージド インストーラー) をデバイスで実行できます。 これは、Intune 管理拡張機能をマネージド インストーラーとして構成した後に Intune を通じて展開するアプリに適用されます。

       このポリシーの規則で指定されていない他のすべてのアプリとファイルの動作は、 Windows コンポーネントとストア アプリの信頼を有効にするの構成によって異なります。

       • [有効] の場合、ファイルとアプリはデバイスでの実行がブロックされます。
       • [監査のみ] に設定されている場合、ファイルとアプリはローカル クライアント ログでのみ監査されます。

   

4. [スコープ タグ] ページで、適用するスコープ タグを選択し、[次へ] を選択します。

5. [ 割り当て] で、ポリシーを受け取るグループを選択しますが、WDAC ポリシーはデバイス スコープにのみ適用されることを検討してください。 続行するには、[Next] を選択します。

   プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

6. [ 確認と作成] で設定を確認し、[ 作成] を選択します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーは、ポリシーの一覧にも表示されます。

補足ポリシーを使用する

1 つ以上の補足ポリシーを使用すると、App Control for Business 基本ポリシーを拡張して、そのポリシーの信頼の輪を広げることができます。 補助ポリシーは 1 つの基本ポリシーのみを展開できますが、複数の補助ポリシーで同じ基本ポリシーを展開できます。 補足ポリシーを追加すると、基本ポリシーによって許可されるアプリケーションとその補足ポリシーは、デバイスで実行できます。

補足ポリシーは XML 形式である必要があり、基本ポリシーのポリシー ID を参照する必要があります。

App Control for Business 基本ポリシーのポリシー ID は、基本ポリシーの構成によって決まります。

• カスタム XML を使用して作成される基本ポリシーには、その XML 構成に基づく一意の PolicyID があります。

• App Control for Business の 組み込みコントロール を使用して作成される基本ポリシーには、組み込み設定の可能な組み合わせによって決定される 4 つの PolicyID の 1 つがあります。 次の表は、組み合わせと関連する PolicyID を示しています。

  基本ポリシーの PolicyID	WDAC ポリシーのオプション (監査 または 適用)
  {A8012CFC-D8AE-493C-B2EA-510F035F1250}	アプリ制御ポリシーを有効にして Windows コンポーネントとストア アプリを信頼する
  {D6D6C2D6-E8B6-4D8F-8223-14BE1DE562FF}	Windows コンポーネントとストア アプリを信頼するアプリ制御ポリシーを有効にする And 評判の良いアプリを信頼する
  {63D1178A-816A-4AB6-8ECD-127F2DF0CE47}	アプリ制御ポリシーを有効にして、Windows コンポーネントとストア アプリを信頼する And 管理対象インストーラーからアプリを信頼する
  {2DA0F72D-1688-4097-847D-C42C39E631BC}	Windows コンポーネントとストア アプリを信頼するアプリ制御ポリシーを有効にする And 信頼アプリと評判の良いアプリを信頼する And マネージド インストーラーからのアプリの信頼

組み込みコントロールの同じ構成を使用する 2 つの App Control for Business ポリシーの PolicyID は同じですが、ポリシーの 割り当て に基づいて異なる補足ポリシーを適用できます。

次のシナリオを考えてみましょう。

• 同じ構成を使用し、同じ PolicyID を持つ 2 つの基本ポリシーを作成します。 そのうちの 1 つをエグゼクティブ チームにデプロイし、2 つ目のポリシーをヘルプ デスク チームに展開します。

• 次に、エグゼクティブ チームが必要とする他のアプリを実行できるようにする補足ポリシーを作成します。 この補足ポリシーは、同じグループであるエグゼクティブ チームに割り当てます。

• 次に、ヘルプ デスク チームに必要なさまざまなツールを実行できるようにする 2 つ目の補足ポリシーを作成します。 このポリシーは、ヘルプ デスク グループに割り当てられます。

これらのデプロイの結果、両方の補足ポリシーが基本ポリシーの両方のインスタンスを変更する可能性があります。 ただし、個別の割り当てと個別の割り当てにより、最初の補足ポリシーでは、エグゼクティブ チームに割り当てられた許可されたアプリのみが変更され、2 番目のポリシーではヘルプ デスク チームによって使用される許可されたアプリのみが変更されます。

補足ポリシーを作成する

1. Windows Defender アプリケーション制御ウィザードまたは PowerShell コマンドレットを使用して、XML 形式で App Control for Business ポリシーを生成します。

   ウィザードの詳細については、「 aka.ms/wdacWizard または Microsoft WDAC ウィザード」を参照してください。

   XML 形式でポリシーを作成する場合は、基本ポリシーの ポリシー ID を 参照する必要があります。

2. App Control for Business 補足ポリシーが XML 形式で作成されたら、Microsoft Intune 管理センターにサインインし、[エンドポイント セキュリティ>App Control for Business] に移動し> [App Control for Business] タブを選択し、[ポリシーの作成] を選択します。

3. [ 基本] で、次のプロパティを入力します。

   • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるように、プロファイルに名前を付けます。

   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。

4. [ 構成設定] の [ 構成設定の形式 ] で、[ Xml データの入力 ] を選択し、XML ファイルをアップロードします。

5. [ 割り当て] で、補助ポリシーを適用する基本ポリシーに割り当てられたグループと同じグループを選択し、[ 次へ] を選択します。

6. [ 確認と作成] で設定を確認し、[ 作成] を選択します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーは、ポリシーの一覧にも表示されます。

Education テナントのビジネス ポリシーのアプリ制御

教育機関向けテナントの App Control for Business ポリシーでは、前提条件でサポートされているプラットフォームに加えて、Windows 11 SEもサポートされています。

Windows 11 SEは、教室で使用できるように最適化されたクラウドファーストのオペレーティング システムです。 Intune for Education と同様に、Windows SE 11 は生産性、学生のプライバシー、学習を優先し、教育に不可欠な機能とアプリのみをサポートします。

この最適化を支援するために、WDAC ポリシーと Intune 管理拡張機能は、Windows 11 SE デバイス用に自動的に構成されます。

• Windows 11 SEデバイスに対する Intune のサポートは、EDU テナント内のアプリのセット リストを含む定義済みの WDAC ポリシーの展開に限定されます。 これらのポリシーは自動的にデプロイされ、変更することはできません。

• Intune EDU テナントの場合、Intune 管理拡張機能はマネージド インストーラーとして自動的に設定されます。 この構成は自動であり、変更できません。

ビジネス向けアプリコントロールの削除ポリシー

モバイル デバイス管理 (MDM) (Windows 10) を使用した WDAC ポリシーの展開に関するページで詳しく説明されているように、Windows セキュリティ ドキュメントの Windows セキュリティでは、Intune UI から削除されたポリシーはシステムとデバイスから削除されますが、マシンの次回の再起動まで有効なままです。

WDAC の強制を無効または削除するには:

1. 既存のポリシーを、Windows デバイスで見つかったポリシー例のルールのように、 Allow /*する新しいバージョンのポリシーに置き換えます。 %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml

   この構成により、ポリシーが削除された後にデバイスに残っている可能性があるブロックが削除されます。

2. 更新されたポリシーが展開されたら、Intune ポータルから新しいポリシーを削除できます。

このシーケンスにより、何もブロックされず、次回の再起動時に WDAC ポリシーが完全に削除されます。

警告

App Control for Business ポリシーを受け取った Intune からデバイスを登録解除する前、またはそのデバイスからアプリコントロール ポリシーを削除する前に、Windows セキュリティ記事「ビジネス向けアプリコントロールポリシーを削除する」の「アプリコントロールポリシーを削除する」を参照してください。 この記事では、起動停止エラーの可能性を防ぐための重要な手順について説明します。

App Control for Business ポリシーとマネージド インストーラーを監視する

デバイスに App Control for Business ポリシーとマネージド インストーラー ポリシーが割り当てられたら、管理センター内でポリシーの詳細を表示できます。

• レポートを表示するには、アカウントに組織の Intune ロールベースのアクセス制御カテゴリの読み取りアクセス許可が必要です。

レポートを表示するには、Intune 管理センターにサインインし、[ Endpoint security>App Control for Business] に移動します。 [App Control for Business ポリシー] の [ポリシー] タブを選択し、マネージド インストーラー ポリシーの [マネージド インストーラー] を選択します。

ビジネス向けアプリ コントロール

[ App Control for Business ] タブで、次のレポート オプションを含むビューを開くポリシーを選択します。

• デバイスとユーザーのチェック状態 - このポリシーで使用可能な各状態を報告するデバイスの数を表示する単純なグラフ。

• レポートの表示 - このポリシーを受け取ったデバイスの一覧を含むビューが開きます。 ここでは、ドリルインするデバイスを選択し、その App Control for Business ポリシー設定の形式を表示できます。

ポリシー ビューには、次のレポート タイルも含まれています。

• デバイス割り当ての状態 - このレポートには、保留中のポリシー割り当て状態のデバイスを含め、ポリシーの対象となるすべてのデバイスが表示されます。

  このレポートでは、表示する 割り当て状態 の値を選択し、[レポートの 生成 ] を選択して、ポリシーを受け取った個々のデバイス、最後にアクティブなユーザー、割り当ての状態をレポート ビューに更新できます。

  また、ドリルインするデバイスを選択し、その App Control for Business ポリシー設定の形式を表示することもできます。

• [設定の状態ごと ] - このレポートには、このポリシーの設定の状態が [成功]、[ エラー]、または [競合 ] と報告されているデバイスの数が表示されます。

マネージド インストーラー

[ マネージド インストーラー ] タブで、ポリシーを選択して [概要] ページを開き、次の情報を表示できます。

• デバイスの状態。成功とエラーの静的カウント。

• デバイスの状態の傾向。各詳細カテゴリのデバイスのタイムラインと数を表示する履歴グラフ。

レポートの詳細は次のとおりです。

• 成功 - ポリシーを正常に適用したデバイス。

• エラー - エラーが発生したデバイス。

• 新しいデバイス – 新しいデバイスは、最近ポリシーを適用したデバイスを識別します。

  

[概要] で [ デバイスの状態 ] セクションと [ デバイスの状態の傾向 ] セクションが更新されるまでに最大 24 時間かかることがあります。

ポリシーの詳細を表示しているときに、[ デバイスの状態 ] ( [モニター] の下) を選択して、ポリシーの詳細のデバイス ベースのビューを開くことができます。 [デバイスの状態] ビューには、デバイスがポリシーを正常に適用できない場合に問題を特定するために使用できる次の詳細が表示されます。

• デバイス名
• ユーザー名
• OS のバージョン
• マネージド インストーラーの状態 (成功またはエラー)

デバイスが実際にポリシーを受信した後、ポリシーの詳細のデバイス ベースのビューが更新されるまでに数分かかることがあります。

よく寄せられる質問

Intune 管理拡張機能をマネージド インストーラーとして設定する必要があるのはいつですか?

次に利用可能な機会に、Intune 管理拡張機能をマネージド インストーラーとして構成することをお勧めします。

設定すると、デバイスに展開する後続のアプリに適切なタグが付けられます。これは、 管理対象インストーラーからアプリを信頼する WDAC ポリシーをサポートします。

マネージド インストーラーが構成される前にアプリが展開された環境では、新しい WDAC ポリシーを 監査モード で展開することをお勧めします。そのため、アプリが展開されたが、信頼済みとしてタグ付けされていないことを特定できます。 その後、監査結果を確認し、信頼するアプリを決定できます。 信頼して実行を許可するアプリの場合は、それらのアプリを許可するカスタム WDAC ポリシーを作成できます。

IT 管理者が管理し、ポリシーを作成するのに役立つ多数のマシンで監査イベントのクエリを実行しやすくする、Microsoft Defender for Endpointの機能である Advanced Hunting を調べるのに役立ちます。

攻撃面の縮小ポリシーから古いアプリケーション制御ポリシーを使用して何を行うか

Intune UI の [エンドポイント セキュリティ]、[接続サーフェスの縮小]>、[デバイス>管理デバイス>Configuration] の下に、アプリケーション制御ポリシーのインスタンスが表示される場合があります。 これらは、今後のリリースで非推奨となる予定です。

同じデバイスに複数の基本ポリシーまたは補足ポリシーがある場合はどうなりますか?

1903 年Windows 10以前は、App Control for Business では、特定の時点でシステムで 1 つのアクティブ なポリシーのみがサポートされました。 この動作により、意図が異なる複数のポリシーが役に立つ状況では、顧客が大幅に制限されます。 現在、同じデバイスで複数の基本ポリシーと補足ポリシーがサポートされています。 複数の App Control for Business ポリシーのデプロイの詳細を確認してください。

関連するメモでは、App Control for Business の同じデバイスでアクティブな 32 ポリシーの制限はなくなりました。 この問題は、2024 年 3 月 12 日以降にリリースされた Windows セキュリティ更新プログラムWindows 10 1903 以降を実行するデバイスで解決されます。 古いバージョンの Windows は、今後の Windows セキュリティ更新プログラムでこの修正プログラムを受け取ることが予想されます。

テナント セット アプリのマネージド インストーラーオプトイン機能は、適切なタグを持つConfiguration Managerからインストールされていますか?

いいえ。 このリリースでは、Intune 管理拡張機能をマネージド インストーラーとして使用して、Intune からインストールされたアプリを設定することに重点を置いています。 Configuration Managerをマネージド インストーラーとして設定することはできません。

マネージド インストーラーとしてConfiguration Managerを設定する場合は、Configuration Manager内からその動作を許可できます。 既にマネージド インストーラーとして設定Configuration Manager場合、想定される動作は、新しい Intune 管理拡張機能 AppLocker ポリシーが既存のConfiguration Manager ポリシーとマージされるということです。

マネージド インストーラー Microsoft Entra使用するorganization内の HYBRID Join (ハードル) デバイスに関して、どのような考慮事項が必要ですか?

ハイブリッド参加デバイスMicrosoft Entra、(AppLocker を介して) マネージド インストーラー ポリシーを含むグループ ポリシーを適用するには、オンプレミス ドメイン コントローラー (DC) への接続が必要です。 DC 接続がない場合(特に Windows Autopilot プロビジョニング中)、マネージド インストーラー ポリシーは正常に適用されません。 考慮対象:

1. 代わりに、Microsoft Entra参加で Windows Autopilot を使用します。 詳細については、どのMicrosoft Entra参加オプションを選択するかを示す推奨事項を参照してください。

2. ハイブリッド結合Microsoft Entra場合は、次のいずれかまたは両方を選択します。

   • Windows Autopilot がここで動作しない可能性があるため、アプリのインストール時に DC 接続を提供するデバイス プロビジョニング方法を使用します。
   • Windows Autopilot プロビジョニングが完了した後にアプリを展開し、アプリのインストール時に DC 接続が確立され、管理インストーラー ポリシーを適用できるようにします。

次の手順

エンドポイント セキュリティ ポリシーを構成する