S モード デバイスで Win32 アプリを有効にする

  • [アーティクル]

Windows 10 S モードは、ストア アプリのみを実行するロックダウン オペレーティング システムです。 既定では、Windows S モード デバイスでは、Win32 アプリのインストールと実行は許可されません。 これらのデバイスには、単一の Win 10S 基本ポリシーが含まれており、S モード デバイスで Win32 アプリが実行されないようにロックされます。 ただし、Intuneで S モードの補足ポリシーを作成して使用することで、Windows 10 S モードの管理対象デバイスに Win32 アプリをインストールして実行できます。 Microsoft Defender アプリケーション制御 (WDAC) PowerShell ツールを使用すると、Windows S モード用の 1 つ以上の補足ポリシーを作成できます。 Device Guard Signing Service (DGSS) またはSignTool.exeを使用して補足ポリシーに署名し、Intune経由でポリシーをアップロードして配布する必要があります。 別の方法として、organizationのコード署名証明書を使用して補足ポリシーに署名することもできますが、推奨される方法は DGSS を使用することです。 organizationのコード署名証明書を使用するインスタンスでは、コード署名証明書がチェーンするルート証明書がデバイスに存在する必要があります。

Intuneで S モード補足ポリシーを割り当てることで、デバイスがデバイスの既存の S モード ポリシーに対して例外を作成できるようにします。これにより、アップロードされた対応する署名済みアプリ カタログが許可されます。 このポリシーは、S モード デバイスで使用できるアプリ (アプリ カタログ) の許可リストを設定します。

注:

S モード デバイス上の Win32 アプリは、2019 年 11 月の更新プログラム (ビルド 18363) 以降のバージョンWindows 10でのみサポートされます。

Win32 アプリを S モードのWindows 10 デバイスで実行できるようにする手順は次のとおりです。

  1. S 登録プロセスの一環として、Intuneを介して S モード デバイスWindows 10有効にします。
  2. Win32 アプリを許可する補足ポリシーを作成します。
    • Microsoft Defender アプリケーション制御 (WDAC) ツールを使用して、補足ポリシーを作成できます。 ポリシー内の基本ポリシー ID は、S モードの基本ポリシー ID (クライアントでハードコーディング) と一致する必要があります。 また、ポリシーのバージョンが以前のバージョンよりも高いことを確認します。
    • DGSS を使用して補足ポリシーに署名します。 詳細については、「 Device Guard 署名を使用してコード整合性ポリシーに署名する」を参照してください。
    • 署名済みの補足ポリシーを Intune にアップロードするには、Windows 10 S モードの補足ポリシーを作成します (以下を参照)。
  3. Win32 アプリ カタログは、次のIntuneを使用して許可します。
    • カタログ ファイル (アプリごとに 1 つ) を作成し、DGSS またはその他の証明書インフラストラクチャを使用して署名します。
    • Microsoft Win32 コンテンツ準備ツールを使用して、署名済みカタログを .intunewin ファイルにパッケージ化します。 Microsoft Win32 コンテンツ準備ツールを使用してカタログ ファイルを作成する場合、名前付けの制限はありません。 指定したソース フォルダーとセットアップ ファイルから .intunewin ファイルを生成する場合は、-a cmdline オプションを使用して、カタログ ファイルのみを含む別のフォルダーを指定できます。 詳細については、「 Win32 アプリ管理 - Win32 アプリコンテンツをアップロード用に準備する」を参照してください。
    • Intuneは、Intune管理拡張機能を使用して、署名されたアプリ カタログを適用して、S モード デバイスに Win32 アプリをインストールします。

注:

Windows 10 S モードの基幹業務 (LOB) .appx.appxバンドルは、ビジネス向け Microsoft Store (MSFB) 署名を介してサポートされます。

アプリの S モード補足ポリシーは、Intune管理拡張機能を介して配信する必要があります。

S モード ポリシーは、デバイス レベルで適用されます。 複数のターゲット ポリシーがデバイスにマージされます。 マージされたポリシーは、デバイスに適用されます。

Windows 10 S モード補足ポリシーを作成するには、次の手順に従います。

  1. Microsoft Intune管理センターにサインインします。

  2. [アプリ>S モードの補足ポリシー][ポリシーの作成] の順に>選択します

  3. ポリシー ファイルを追加する前に、作成して署名する必要があります。 詳細については、以下を参照してください:

  4. [基本] ページで、次の値を追加します。

    説明
    ポリシー ファイル WDAC ポリシーを含むファイル。
    名前 このポリシーの名前。
    説明 [省略可能]このポリシーの説明。

  5. [ 次へ: スコープ タグ] を選択します
    [スコープ タグ] ページでは、必要に応じてスコープ タグを構成して、Intuneでアプリ ポリシーを表示できるユーザーを決定できます。 スコープ タグの詳細については、「分散 IT のためのロールベースのアクセス制御とスコープのタグの使用」をご覧ください。

  6. [次へ: 割り当て] を選択します。
    [ 割り当て] ページでは、ユーザーとデバイスにポリシーを割り当てることができます。 デバイスがIntuneによって管理されているかどうかに関係なく、デバイスにポリシーを割り当てることができることに注意してください。

  7. [ 次へ: 確認と作成 ] を選択して、プロファイルに入力した値を確認します。

  8. 完了したら、[作成] を選択して、Intuneで S モード補助ポリシーを作成します。

ポリシーが作成されると、Intuneの S モード補足ポリシーの一覧に追加されます。 ポリシーが割り当てられると、ポリシーはデバイスに展開されます。 補足ポリシーと同じセキュリティ グループにアプリをデプロイする必要があることに注意してください。 ターゲット設定を開始し、それらのデバイスにアプリを割り当てることができます。 これにより、エンド ユーザーは S モード デバイスにアプリをインストールして実行できます。

S モード ポリシーの削除

現在、デバイスから S モード補足ポリシーを削除するには、空のポリシーを割り当てて展開して、既存の S モード補助ポリシーを上書きする必要があります。

ポリシー レポート

デバイス レベルで適用される S モード補足ポリシーには、デバイス レベルのレポートのみが含まれます。 デバイス レベルのレポートは、成功とエラーの条件で使用できます。

S モード レポート ポリシーのMicrosoft Intune管理センターに表示されるレポート値:

  • 成功: S モードの補足ポリシーが有効です。
  • 不明: S モード補足ポリシーの状態が不明です。
  • TokenError: S モードの補足ポリシーは構造的には問題ありませんが、トークンを承認するとエラーが発生します。
  • NotAuthorizedByToken: トークンは、この S モード補足ポリシーを承認しません。
  • PolicyNotFound: S モードの補足ポリシーが見つかりません。

次の手順