アプリ コントロールApp control

アプリ制御は、クライアント デバイスでのコードの実行を制限する Microsoft マネージド デスクトップのオプションのセキュリティプラクティスです。App control is an optional security practice in Microsoft Managed Desktop that restricts the execution of code on client devices. このコントロールは、顧客承認済みの発行元リストによって署名されたコードのみを実行する必要が生じ、マルウェアや悪意のあるスクリプトのリスクを軽減します。This control mitigates the risk of malware or malicious scripts by requiring that only code signed by a customer-approved list of publishers can run. この制御には多くのセキュリティ上の利点がありますが、主にクライアント ベースの悪用からデータと ID を保護することです。There are many security benefits from this control, but it primarily aims to protect data and identity from client-based exploits.

Microsoft マネージド デスクトップは、コア生産性シナリオを可能にする基本ポリシーを作成することで、アプリ制御ポリシーの管理を簡素化します。Microsoft Managed Desktop simplifies the management of app control policies by creating a base policy that enables core productivity scenarios. 環境内のアプリとスクリプトに固有の他の署名者に対する信頼を拡張できます。You can extend trust to other signers that are specific to the apps and scripts in your environment.

どのセキュリティ テクノロジでも、ユーザー エクスペリエンス、セキュリティ、およびコストのバランスが必要です。Any security technology requires a balance among user experience, security, and cost. アプリの制御は、環境内の悪意のあるソフトウェアの脅威を軽減しますが、ユーザーに影響を及び、IT 管理者に対する追加のアクションが行えます。App control reduces the threat of malicious software in your environment, but there are consequences to the user and further actions for your IT administrator.

追加のセキュリティ:Additional security:

アプリ制御ポリシーによって信頼されていないアプリまたはスクリプトは、デバイスでの実行がブロックされます。Apps or scripts that are not trusted by the app control policy are blocked from running on devices.

追加の責任:Your additional responsibilities:

  • アプリをテストして、アプリケーション制御ポリシーによってブロックされるかどうかを特定する必要があります。You are responsible for testing your apps to identify whether they would be blocked by the application control policy.
  • アプリがブロックされている (またはブロックされる) 場合は、必要な署名者の詳細を特定し、管理ポータルから変更を要求する責任があります。If an app is (or would be) blocked, you are responsible for identifying the needed signer details and requesting a change through the Admin portal.

Microsoft マネージド デスクトップの責任:Microsoft Managed Desktop responsibilities:

  • Microsoft マネージド デスクトップは、M365 アプリ、Windows、Teams、OneDrive など、Microsoft のコア製品を有効にする基本ポリシーを維持しています。Microsoft Managed Desktop maintains the base policy that enables core Microsoft products like M365 Apps, Windows, Teams, OneDrive, and so on.
  • Microsoft マネージド デスクトップは、信頼できる署名者を挿入し、更新されたポリシーをデバイスに展開します。Microsoft Managed Desktop inserts your trusted signers and deploys the updated policy to your devices.

アプリケーションの信頼の管理Managing trust in applications

Microsoft マネージド デスクトップは、Microsoft テクノロジのコア コンポーネントを信頼する基本ポリシーを作成します。Microsoft Managed Desktop curates a base policy that trusts the core components of Microsoft technologies. 次に 、Microsoft マネージド デスクトップに既に信頼しているアプリケーションとスクリプトを通知することで、独自のアプリケーションとスクリプトの信頼を追加します。You then add trust for your own applications and scripts by informing Microsoft Managed Desktop which of them you already trust.

基本ポリシーBase policy

Microsoft マネージド デスクトップは、Microsoft サイバーセキュリティの専門家と共同で、コードのコンパイルや信頼できないファイルの実行などの危険なアクティビティをブロックしながら、Microsoft Intune 経由で展開されるほとんどのアプリを有効にする標準ポリシーを作成し、維持します。Microsoft Managed Desktop, in collaboration with Microsoft cybersecurity experts, creates, and maintains a standard policy that enables most apps deployed through Microsoft Intune while blocking dangerous activities like code compilation or execution of untrusted files.

基本ポリシーは、ソフトウェアの実行を制限するために次のアプローチを採用します。The base policy takes the following approach to restricting software execution:

  • 管理者が実行するファイルの実行が許可されます。Files run by administrators will be allowed to run.
  • ユーザーが書き込み 可能な ディレクトリに含められない場所にあるファイルの実行が許可されます。Files in locations that are not in user-writable directories will be allowed to run.
  • ファイルは、信頼できる署名 者によって署名されますFiles are signed by a trusted signer.
  • Microsoft によって署名されたほとんどのファイルは実行されます。ただし、コードのコンパイルなど、リスクの高いアクションを防ぐためにブロックされるファイルがあります。Most files signed by Microsoft will run, however some are blocked to prevent high-risk actions like code compilation.

管理者以外のユーザーがアプリまたはスクリプトをデバイスに追加した可能性がある場合 (つまり、ユーザーが書き込み可能なディレクトリに存在する場合)、管理者によって特に許可されていない限り、実行は許可されません。If a user other than an administrator could have added an app or script to a device (that is, it's in a user-writable directory), we won't allow it to execute unless it has already been specifically allowed by an administrator. ユーザーがマルウェアをインストールしようとした場合、ユーザーが実行するアプリの脆弱性がマルウェアのインストールを試みる場合、またはユーザーが意図的に承認されていないアプリまたはスクリプトを実行しようとした場合、ポリシーは実行を停止します。If a user is tricked into trying to install malware, if a vulnerability in an app the user runs attempts to install malware, or if a user intentionally tries to run an unauthorized app or script, our policy will stop execution.

署名者要求Signer requests

署名者の要求を提出して、信頼できるソフトウェア発行元によって提供されるアプリ を通知しますYou inform us of which apps are provided by software publishers you trust by filing a signer request. これにより、ベースライン アプリケーション制御ポリシーに信頼情報が追加され、その発行元の証明書で署名されたソフトウェアがデバイスで実行されます。By doing so, we add that trust information into the baseline application control policy and allow any software signed with that publisher's certificate to run on your devices.

監査ポリシーと実施ポリシーAudit and Enforced policies

Microsoft マネージド デスクトップでは、次の 2 つの Microsoft Intune ポリシーを使用してアプリを制御します。Microsoft Managed Desktop uses two Microsoft Intune policies to provide app control:

監査ポリシーAudit policy

このポリシーは、アプリまたはスクリプトが強制ポリシーによってブロックされるかどうかを記録するログを作成します。This policy creates logs to record whether an app or script would be blocked by the Enforced policy. 監査ポリシーは、アプリ制御ルールを適用しません。また、アプリケーションが発行元の除外を必要とするかどうかを特定するためのテスト用です。Audit policies don't enforce app control rules and are meant for testing purposes to identify whether an application will require a publisher exemption. イベント ビューアーに警告 (8003 または 8006 イベント) が記録されます。イベント ビューアーでは、指定したアプリまたはスクリプトの実行やインストールをブロックしません。It logs warnings (8003 or 8006 events) in Event Viewer instead of blocking the execution or installation of specified apps or script.

実施されたポリシーEnforced policy

このポリシーは、信頼されていないアプリやスクリプトの実行をブロックし、アプリまたはスクリプトがブロックされるたびにログを作成します。This policy blocks untrusted apps and scripts from running and creates logs whenever an app or script is blocked. 実施されたポリシーにより、標準ユーザーは、ユーザーが書き込み可能なディレクトリに格納されているアプリやスクリプトを実行できません。Enforced policies prevent standard users from executing apps or scripts stored in user-writable directories.

テスト グループ内のデバイスには監査ポリシーが適用され、それらを使用して、アプリケーションが問題を引き起こすかどうかを検証できます。Devices in the Test group have an Audit policy applied so that you can use them to validate whether any applications will cause issues. 他のすべてのグループ (First、Fast、Broad) では強制ポリシーが使用されます。そのため、これらのグループのユーザーは、信頼されていないアプリやスクリプトを実行できません。All other groups (First, Fast, and Broad) use an Enforced policy, so users in those groups won't be able to run untrusted apps or scripts.