アプリケーション制御を有効にして特定のアプリケーションをホワイトリスト/ブラックリスト設定し、デバイス上での使用を許可/ブロックすることができます。「アプリケーション制御」 は、Microsoft AppLocker 構成を使用して Windows 10 デバイスのアプリ制御を行います。

重要:
  • はじめは 「監査のみ (Audit Only)」 モードを使用してポリシーを作成してください。テストデバイスで 「監査のみ」 バージョンを検証した後、「強制 (Enforce)」 モード バージョンを作成し、デバイスに適用します。使用前にポリシーのテストを行わない場合、貴社のデバイスが利用できなくなる可能性があります。
  • 既定の規則のほかに、貴社のニーズに合わせて任意の規則を作成し、既定構成をロックしてしまったり、デバイス再起動後に不具合が発生する可能性を減らすようにしてください。規則作成の詳細は、AppLocker に関する Microsoft TechNet 記事を参照してください。

前提条件

XML 構成ファイルを構成するには、デバイスの AppLocker 設定を構成し、プロファイルとともに使用するファイルをエクスポートする必要があります。

アプリケーション制御プロファイルを使用するには Windows 10 Enterprise または Education が必要です。

手順

  1. 構成するデバイスの [ローカル セキュリティ ポリシー] エディタを起動します。
  2. [アプリケーション制御ポリシー] > [AppLocker] の順に進み、[規則の実施の構成] を選択します。
  3. [規則の実施] を選択し、[実行可能ファイルの規則][Windows インストーラーの規則]、または [スクリプトの規則] 実施のいずれかまたは複数を有効化します。
  4. 右側のフォルダを選択し、右クリックして [新しい規則の作成] を選択し、[実行可能ファイルの規則][Windows インストーラーの規則]、または [スクリプトの規則] のいずれかまたは複数を作成します。
    既定の規則を作成し、既定の構成がロックされる可能性やデバイスが機能しなくなる可能性を減らしてください。
  5. 必要な規則をすべて作成した後、[AppLocker] を右クリックし、[ポリシーのエクスポート] を選択して XML 構成ファイルを保存します。
  6. Workspace ONE UEM Console で [デバイス] > [プロファイル] > [リスト表示] > [追加] の順に進み、[プロファイルを追加] を選択します。
  7. [Windows] を選択し、次に [Windows デスクトップ] を選択します。
  8. [デバイス プロファイル] を選択します。
  9. プロファイルの [全般] を設定します。
  10. [アプリケーション制御] ペイロードを選択します。
  11. [サンプル デバイスから構成をインポートする] を選択し、[アップロード] を選択し、[ポリシー構成ファイル] を追加します。
  12. [保存して公開] を選択します。