AppLocker でパッケージ アプリを管理する
IT 担当者向けのこのトピックでは、全体的なアプリケーション制御戦略の一部として AppLocker でパッケージ アプリを管理する場合に役立つように、概念を説明し、手順の一覧を示します。
AppLocker のパッケージ アプリとパッケージ アプリのインストーラーについて
パッケージ アプリ (ユニバーサル Windows アプリとも呼ばれる) は、アプリ内のすべてのファイルが確実に同じ ID を共有するモデルに基づいています。従来の Windows アプリでは、アプリ内の各ファイルは固有の ID を持つことができました。パッケージ アプリでは、単一の AppLocker 規則を使用してアプリ全体を制御できます。
注
AppLocker は、パッケージ アプリの場合は発行元規則のみをサポートします。Windows は署名されていないパッケージ アプリをサポートしないため、すべてのパッケージ アプリがソフトウェア発行元によって署名されている必要があります。
通常、アプリは複数のコンポーネント (アプリのインストールに使用されるインストーラー、1 つ以上の exe、dll、スクリプト) で構成されています。従来の Windows アプリでは、これらのすべてのコンポーネントで、ソフトウェアの発行元名、製品名、製品バージョンなどの共通属性が常に共有されているわけではありません。そのため、AppLocker はこれらの各コンポーネントを異なる規則のコレクション (exe 規則、dll 規則、スクリプト規則、Windows インストーラーの規則など) によって個別に制御します。これに対し、パッケージ アプリのすべてのコンポーネントは、同じ発行元名、パッケージ名、およびパッケージ バージョンの各属性を共有します。したがって、アプリ全体を単一の規則で制御できます。
従来の Windows アプリとパッケージ アプリの比較
パッケージ アプリの AppLocker ポリシーは Windows Server 2012 または Windows 8 以降を実行しているコンピューターにインストールされているアプリにのみ適用できますが、従来の Windows アプリは Windows Server 2008 R2 または Windows 7 以降を実行しているデバイスで制御できます。従来の Windows アプリの規則とパッケージ アプリの規則は一緒に実施できます。考慮すべきパッケージ アプリと従来の Windows アプリの違いは、次のとおりです。
アプリのインストール すべてのパッケージ アプリを標準ユーザーがインストールできます。一方、従来の Windows アプリには、インストールに管理者特権を必要とするものがあります。ユーザーのほとんどが標準ユーザーである環境では、多数の exe 規則がないとしても (従来の Windows アプリはインストールに管理者特権を必要とするため)、より多くのパッケージ アプリの明示的ポリシーが必要になる可能性があります。
システム状態の変更 従来の Windows アプリは、管理者特権で実行されている場合にシステム状態を変更するように記述できます。ほとんどのパッケージ アプリは制限された特権で実行されるため、システム状態を変更できません。AppLocker ポリシーを設計するときは、許可するアプリがシステム全体を変更できるかどうかを把握することが重要です。
アプリの入手 パッケージ アプリは、ストアを介して、または Windows PowerShell コマンドレットを使用して読み込むことにより (特別なエンタープライズ ライセンスが必要) 入手できます。従来の Windows アプリは、従来の方法で入手できます。
AppLocker では、パッケージ アプリと従来の Windows アプリの制御に、異なる規則のコレクションを使用します。一方の種類、他方の種類、または両方を制御することを選択できます。
従来の Windows アプリを制御する方法については、「AppLocker の管理」をご覧ください。
パッケージ アプリについて詳しくは、「AppLocker のパッケージ アプリの規則とパッケージ アプリ インストーラーの規則」をご覧ください。
設計と展開に関する決定
コンピューター上のパッケージ アプリのインベントリを作成するには、AppLocker コンソール、または Get-AppxPackage Windows PowerShell コマンドレットという 2 つの方法を使用できます。
注
すべてのパッケージ アプリが AppLocker のアプリケーション インベントリ ウィザードに一覧表示されるわけではありません。特定のアプリ パッケージは、その他のアプリで利用されるフレームワーク パッケージです。これらのパッケージはそれ自体では何も行うことはできませんが、そのようなパッケージをブロックすると、許可対象のアプリで不測の障害が発生する必要があります。代わりに、これらのフレームワーク パッケージを使用するパッケージ アプリに対して許可規則または拒否規則を作成できます。AppLocker ユーザー インターフェイスは、フレームワーク パッケージとして登録されているすべてのパッケージを意図的にフィルター処理します。インベントリ一覧を作成する方法については、「各ビジネス グループに展開されているアプリケーションの一覧の作成」をご覧ください。
Get-AppxPackage Windows PowerShell コマンドレットの使用方法については、『AppLocker PowerShell コマンド リファレンス』をご覧ください。
パッケージ アプリの規則の作成方法については、「パッケージ アプリの規則の作成」をご覧ください。
アプリ設計してを展開するときは、次の情報を考慮してください。
AppLocker はパッケージ アプリの場合は発行元の規則のみをサポートするため、パッケージ アプリのインストール パス情報を収集する必要はありません。
パッケージ アプリおよびパッケージ アプリ インストーラーはすべてパッケージのソフトウェア発行元によって署名されているため、パッケージ アプリの場合はハッシュ ベースまたはパス ベースの規則を作成できません。従来の Windows アプリでは必ずしも一貫して署名されているわけではありません。したがって、AppLocker はハッシュ ベースまたはパス ベースの規則をサポートする必要があります。
既定では、特定の規則のコレクションに規則がない場合は、AppLocker はその規則のコレクションに含まれているすべてのファイルを許可します。たとえば、Windows インストーラーの規則が存在しない場合は、AppLocker は .msi ファイル、.msp ファイル、および .mst ファイルの実行をすべて許可します。Windows Server 2008 R2 および Windows 7 を実行しているコンピューターを対象とする既存の AppLocker ポリシーには、パッケージ アプリの規則はありません。したがって、Windows Server 2012 または Windows 8 以降を実行しているコンピューターが、AppLocker ポリシーがすでに構成されているドメインに参加すると、ユーザーはすべてのパッケージ アプリを実行できることになります。これは設計に反する可能性があります。
新しくドメインに参加したコンピューターですべてのパッケージ アプリが実行されることを防ぐために、既存のドメイン ポリシーの規則が exe 規則のコレクション内に構成されている場合、既定では、AppLocker は Windows Server 2012 または Windows 8 以降を実行しているコンピューター上のパッケージ アプリをすべてブロックします。エンタープライズ内のパッケージ アプリを許可する操作を明示的に行う必要があります。パッケージ アプリの一部のセットだけを許可することができます。または、すべてのパッケージ アプリを許可する場合は、パッケージ アプリのコレクションに対して既定の規則を作成することができます。
AppLocker を使用してパッケージ アプリを管理する
規則のコレクションごとに管理方法は異なるため、次の戦略でパッケージ アプリを管理する必要があります。
環境内でどのパッケージ アプリが実行されているかについて、情報を収集します。これを行う方法については、「各ビジネス グループに展開されているアプリケーションの一覧の作成」をご覧ください。
ポリシー戦略に基づいて、特定のパッケージ アプリの AppLocker 規則を作成します。詳しくは、「パッケージ アプリの規則の作成」および「既定の AppLocker の規則を理解すること」をご覧ください。
引き続き、新しいパッケージ アプリが環境に導入された場合に AppLocker ポリシーを更新します。これを行うには、「パッケージ アプリの規則を既存の AppLocker ルール セットに追加する」をご覧ください。
引き続き環境を監視し、AppLocker ポリシーに展開されている規則の有効性を確認します。これを行うには、「AppLocker を使用したアプリ使用状況の監視」をご覧ください。