Microsoft Teamsの AppLocker アプリケーション制御ポリシー

この記事では、AppLocker アプリケーション制御ポリシーでTeamsデスクトップ クライアント アプリを有効にする方法について説明します。 AppLocker の使用は、管理者以外のユーザーによるプログラムとスクリプトの実行を制限するように設計されています。 AppLocker の詳細とガイダンスについては、「 AppLocker とは」を参照してください。

AppLocker でTeamsを有効にするプロセスでは、AppLocker ベースの許可リスト ポリシーを作成する必要があります。 ポリシーは、グループ ポリシー管理ソフトウェアまたは AppLocker 用のWindows PowerShellコマンドレットを使用して作成されます (詳細については、AppLocker のテクニカル リファレンスを参照してください)。 AppLocker ポリシーは XML 形式で保存され、任意のテキスト エディターまたは XML エディターで編集できます。

AppLocker で許可リストをTeamsする

AppLocker ルールは、ルールのコレクションにまとめられます。 AppLocker ルールは対象のアプリに適用され、AppLocker ポリシーを構成するコンポーネントです。

Teamsを許可するには、すべてのTeamsアプリ ファイルがデジタル署名されるため、発行元の条件規則を使用することをお勧めします。

Teams インストール ディレクトリはユーザーが書き込み可能であるため、パス規則の使用はお勧めしません。 また、Teams クライアント アプリが更新されるたびにルールを更新する必要があるため、ハッシュ ルールの使用はお勧めしません。

デスクトップ実行可能ファイルTeamsデジタル署名されるため、発行元の条件は、デジタル署名と埋め込みバージョンの属性に基づいてアプリ ファイルを識別します。 デジタル署名には、アプリ ファイル (発行元) を作成した会社に関する情報が含まれています。 バイナリ リソースから取得されるバージョン情報には、ファイルの一部である製品の名前と、アプリケーション ファイルのバージョン番号が含まれます。

発行元の条件ルールの例

Teams クライアント アプリ (すべてのファイル、すべてのバージョン) の場合は、実行可能規則& DLL 規則に次を追加します。

Publisher: O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US
Product name: MICROSOFT TEAMS
Product name: MICROSOFT TEAMS UPDATE

AppLocker とはAppLocker テクニカル リファレンス