特定のアプリに対する Windows 10 のロックダウン

  • [アーティクル]

Windows 10 Enterprise または Windows 10 Education を実行しているデバイスで、ユーザーが特定のアプリのみを実行できるようにデバイスを構成する方法について説明します。 結果はキオスク デバイスと同様ですが、複数のアプリを使用できます。 たとえば、利用者に対して目録の検索とインターネットの閲覧を許可するが、他のすべてのアプリの実行とコンピューターの設定の変更を禁止するように、図書館のコンピューターを設定できます。

AppLocker を使用して、Windows 10 Enterprise または Windows 10 Education を実行しているデバイスでユーザーが特定のアプリのみを使用するように制限できます。 AppLocker の規則で、デバイスでの実行を許可するアプリケーションを指定します。

AppLocker の規則は、ファイル形式に基づくコレクションとして整理されます。 特定の規則のコレクションに対して AppLocker の規則が設定されていない場合、その規則に関連するファイル形式を持つすべてのファイルの実行が許可されます。 ただし、特定の規則のコレクションに対して AppLocker の規則が作成されると、規則内で明示的に許可されたファイルのみ実行が許可されます。 詳しくは、「AppLocker のしくみ」をご覧ください。

このトピックでは、ローカル デバイス上のアプリをロックダウンする方法について説明します。 AppLocker をグループ ポリシーと組み合わせて使うことで、ドメイン内のアプリケーションの規則を設定することもできます。

インストール 作成 ロックダウン カスタマイズ

アプリをインストールする

まず、ターゲット ユーザー アカウント (複数可) 用に必要なアプリをデバイスにインストールします。 この作業はストアと Win32 の両方に対して行います。 ストア アプリの場合、アプリをインストールするユーザーとしてログオンする必要があります。 Win32 の場合、特定のアカウントにログインすることなく、すべてのユーザー用にアプリをインストールできます。

AppLocker を使ってアプリの規則を設定する

必要なアプリをインストールした後、特定のアプリのみを許可して他のすべてのアプリをブロックするように AppLocker の規則を設定します。

  1. ローカル セキュリティ ポリシー (secpol.msc) を管理者として実行します。

  2. [セキュリティの設定] > [アプリケーション制御ポリシー] > [AppLocker] に移動し、[規則の実施の構成] を選びます。

    規則の実施の構成

  3. [実行可能ファイルの規則][構成済み] チェック ボックスをオンにし、 [OK] をクリックします。

  4. [実行可能ファイルの規則] を右クリックし、[規則の自動生成] をクリックします。

    規則の自動生成

  5. 許可するアプリケーションが含まれているフォルダーを選びます。または、C:\ を選んですべてのアプリを解析対象にします。

  6. 規則のセットを識別するための名前を入力し、[次へ] をクリックします。

  7. [規則の基本設定] ページで、[次へ] をクリックします。 規則が生成されるまでにしばらく時間がかかる場合があります。

  8. [規則の確認] ページで、[作成] をクリックします。 インストールされた一連のアプリを許可する規則のセットがウィザードによって作成されます。

  9. メッセージを読み、[はい] をクリックします。

    既定の規則についての警告

  10. (省略可能) 規則を特定のユーザーに適用する場合は、規則を右クリックし、[プロパティ] を選びます。 表示されたダイアログ ボックスで、別のユーザー (またはユーザーのグループ) を選びます。

  11. (省略可能) 実行を許可しないアプリケーションに対して規則が生成された場合は、その規則を右クリックして [削除] を選ぶことで削除できます。

  12. AppLocker の規則が適用される前に、アプリケーション ID サービスが開始されている必要があります。 アプリケーション ID サービスがリセット時に自動的に開始されるようにするには、コマンド プロンプトを開いて次のように実行します。

    sc config appidsvc start=auto

  13. デバイスを再起動します。

ロックダウンされるその他の設定

ユーザーが実行できるアプリケーションを指定することに加えて、デバイスで一部の設定と機能を制限する必要もあります。 より安全なエクスペリエンスのため、デバイスで次の構成を変更することをお勧めします。

  • [すべてのアプリ] を削除します。

    グループ ポリシー エディター > [ユーザーの構成] > "管理用テンプレート\[スタート] メニューとタスク バー\[スタート] メニューから [すべてのプログラム] を削除する" に移動します。

  • ログオン画面で [コンピューターの簡単操作] を非表示にします。

    [コントロール パネル] > [コンピューターの簡単操作] > [コンピューターの簡単操作センター] に移動して、すべてのアクセシビリティ ツールをオフにします。

  • ハードウェアの電源ボタンを無効にします。

    [電源オプション] > [電源ボタンの動作の選択] に移動して、設定を [何もしない] に変更し、[変更の保存] をクリックします。

  • カメラを無効にします。

    [設定] > [プライバシー] > [カメラ] に移動し、[アプリがカメラを使うことを許可する] をオフにします。

  • ロック画面のアプリ通知をオフにします。

    グループ ポリシー エディター > [コンピューターの構成] > "管理用テンプレート\システム\ログオン\ロック画面のアプリ通知をオフにする" に移動します。

  • リムーバブル メディアを無効にします。

    [グループ ポリシー エディター] > [コンピューターの構成] > "管理用テンプレート\システム\デバイスのインストール\デバイスのインストールの制限" に移動します。 [デバイスのインストールの制限] で利用可能なポリシー設定を確認し、状況に適した設定を探します。

      

    このポリシーが Administrators グループのメンバーに影響を与えることを防ぐには、[デバイスのインストールの制限][管理者によるデバイスのインストールの制限ポリシーの上書きを許可する] を有効にします。

     

機能のロックダウンについて詳しくは、「Windows 10 Enterprise のカスタマイズ」をご覧ください。

デバイスのスタート画面のレイアウトをカスタマイズする

許可したアプリのみのタイルが表示されるように、デバイスの スタート メニューを構成します。 レイアウトを手動で変更し、.xml ファイルにエクスポートして、ユーザーによる変更を禁止するデバイスにそのファイルを適用します。 手順については、「Windows 10 のスタート画面のレイアウト オプションの管理」をご覧ください。