パッケージ アプリの規則の作成

  • [アーティクル]

IT 担当者向けのこのトピックでは、発行元の条件でパッケージ アプリの AppLocker 規則を作成する方法を示します。

パッケージ アプリ (ユニバーサル Windows アプリとも呼ばれます) は、アプリ パッケージ内のすべてのファイルが同じ ID を共有することが保証されるアプリ モデルが基になっています。したがって、アプリ内の各ファイルが一意の ID を持つ可能性がある非パッケージ アプリとは異なり、単一の AppLocker 規則を使用してアプリ全体を制御できます。Windows は署名されていないパッケージ アプリをサポートしないため、すべてのパッケージ アプリが署名されている必要があります。AppLocker は、パッケージ アプリの場合は発行元規則のみをサポートします。パッケージ アプリの発行元規則は、次の情報に基づいています。

  • パッケージの発行元

  • パッケージ名

  • パッケージ バージョン

パッケージに含まれるすべてのファイルおよびパッケージのインストーラーは、これらの属性を共有します。したがって、パッケージ アプリの AppLocker 規則は、アプリのインストールと実行の両方を制御します。それ以外については、パッケージ アプリの発行元規則は、規則コレクションの他の部分とまったく同じです。例外をサポートし、スコープを拡大または縮小でき、ユーザーおよびグループに割り当てることができます。

発行元条件の詳細については、「AppLocker での発行元規則条件について」を参照してください。

このタスクを実行するには、グループ ポリシー オブジェクト (GPO) の AppLocker ポリシーに対してグループ ポリシー管理コンソールを使用するか、またはローカル コンピューター上またはセキュリティ テンプレート内の AppLocker ポリシーに対してローカル セキュリティ ポリシー スナップインを使用します。これらの MMC スナップインを使って AppLocker を管理する方法については、「AppLocker の管理」を参照してください。

Mt431738.wedge(ja-jp,VS.85).gifパッケージ アプリの規則を作成するには

  1. AppLocker コンソールを開きます。

  2. [操作] メニューで、または [パッケージ アプリの規則] を右クリックして、[新しい規則の作成] をクリックします。

  3. [開始する前に] ページで、[次へ] をクリックします。

  4. [アクセス許可] ページで、操作 (許可または拒否) と、規則を適用するユーザーまたはグループを選択し、[次へ] をクリックします。

  5. [発行元] ページでは、パッケージ アプリ規則の特定の参照を選択し、規則のスコープを設定できます。次の表で、参照オプションについて説明します。

    選択項目 説明

    インストール済みのパッケージ化されたアプリを参照として使用する

    選択した場合、AppLocker はユーザーに新しい規則の基にするインストール済みアプリの選択を要求します。AppLocker は、発行元、パッケージ名、パッケージのバージョンを使用してルールを定義します。

    営業グループに、営業用の外線には Microsoft.BingMaps という名前のアプリのみを使用させることにします。Microsoft.BingMaps アプリは規則を作成しているデバイスに既にインストールされているので、このオプションを選択し、コンピューターにインストールされているアプリの一覧からアプリを選び、このアプリを参照として規則を作成します。

    パッケージ アプリ インストーラーを参照として使用する

    選択した場合、AppLocker はユーザーに新しい規則の基にするアプリ インストーラーの選択を要求します。パッケージ アプリ インストーラーの拡張子は .appx です。AppLocker は、インストーラーの発行元、パッケージ名、パッケージのバージョンを使用してルールを定義します。

    会社は、多くの内部基幹業務パッケージ アプリを開発しています。アプリ インストーラーは、共通のファイル共有に格納されています。従業員は、そのファイル共有から必要なアプリをインストールできます。会社は、すべての従業員がこの共有から給与アプリをインストールできるようにしようと考えています。そこで、ウィザードからこのオプションを選択し、ファイル共有を参照して、規則を作成するための参照として給与アプリのインストーラーを選択します。

     

    次の表では、パッケージ アプリ規則のスコープの設定について説明します。

    選択項目 説明

    [すべての発行元] に適用する

    これは、[許可] 規則に対する最も制約の少ないスコープ条件です。すべてのパッケージ アプリの実行またはインストールを許可します。

    逆に、これが [拒否] 規則である場合は、このオプションはすべてのアプリのインストールまたは実行を拒否するので、最も制約が厳しい規則です。

    営業グループにすべての署名された発行元のすべてのパッケージ アプリの使用を許可します。営業グループにすべてのアプリの実行を許可するアクセス許可を設定します。

    特定の [発行元] に適用する

    特定の発行元によって発行されたすべてのアプリに規則のスコープを設定します。

    すべてのユーザーに Microsoft.BingMaps の発行元によって発行されたアプリのインストールを許可します。参照として Microsoft.BingMaps を選び、この規則スコープを選択します。

    [パッケージ名] に適用する

    参照ファイルとして発行元名とパッケージ名を共有するすべてのパッケージに規則のスコープを設定します。

    Microsoft.BingMaps アプリのすべてのバージョンのインストールを営業グループに許可します。参照として Microsoft.BingMaps アプリを選び、この規則スコープを選択します。

    [パッケージ バージョン] に適用する

    パッケージの特定のバージョンに規則のスコープを設定します。

    許可する範囲を非常に限定的にしようと考えています。Microsoft.BingMaps アプリの今後の更新をすべて無条件に信頼することはできません。規則のスコープを、参照コンピューターに現在インストールされているアプリのバージョンに制限できます。

    規則へのカスタム値の適用

    [カスタム値を使用する] チェック ボックスをオンにすると、特定の状況に対してスコープ フィールドを調整できます。

    ユーザーにすべての Microsoft.Bing* アプリケーションのインストールを許可します。これには、Microsoft.BingMaps、Microsoft.BingWeather、Microsoft.BingMoney などが含まれます。参照として Microsoft.BingMaps を選択し、[カスタム値を使用する] チェック ボックスをオンにして、パッケージ名として “Microsoft.Bing*” を追加してパッケージ名フィールドを編集します。

     

  6. [次へ] をクリックします。

  7. (省略可能) [例外] ページで、規則の適用対象からファイルを除外する条件を指定します。これにより、前に設定したものと同じ規則の参照およびスコープに基づいて例外を追加できます。[次へ] をクリックします。

  8. [名前] ページで、自動的に生成される規則名を使用するか、または新しい規則名を入力して、[作成] をクリックします。