パッケージ アプリの規則の作成

IT プロフェッショナル向けのこの記事では、発行元の条件でパッケージ化されたアプリの AppLocker ルールを作成する方法について説明します。

パッケージ化されたアプリは、アプリ パッケージ内のすべてのファイルが同じ ID を共有することを保証するアプリ モデルに基づいています。 そのため、アプリ内の各ファイルが一意の ID を持つことができるパッケージ化されていないアプリとは対照的に、1 つの AppLocker ルールを使用してアプリ全体を制御できます。 すべてのパッケージ アプリに署名する必要があります。 AppLocker では、パッケージ化されたアプリの発行元ルールのみがサポートされます。 パッケージ アプリの発行元ルールは、次の情報に基づいています。

  • パッケージの発行元
  • パッケージ名
  • パッケージのバージョン

パッケージ内のすべてのファイルとパッケージ インストーラーは、これらの属性を共有します。 そのため、パッケージ アプリの AppLocker 規則は、アプリのインストールと実行の両方を制御します。 それ以外の場合、パッケージ アプリの発行元ルールは、他のルール コレクションと同じように動作します。

発行元の条件については、「 AppLocker の発行元ルールの条件について」を参照してください。

グループ ポリシー オブジェクト (GPO) で AppLocker ポリシーを管理するには、グループ ポリシー管理コンソールを使用してこのタスクを実行できます。 ローカル コンピューターまたはセキュリティ テンプレートで使用する AppLocker ポリシーを管理するには、ローカル セキュリティ ポリシー スナップインを使用します。 これらの MMC スナップインを使用して AppLocker を管理する方法については、「 AppLocker の管理」を参照してください。

パッケージアプリルールを作成するには

  1. AppLocker コンソールを開きます。

  2. [ アクション ] メニューで、または [ パッケージ アプリの規則] を右クリックして、[ 新しいルールの作成] を選択します。

  3. [ 開始する前 に] ページで、[ 次へ] を選択します。

  4. [ アクセス許可 ] ページで、ルールを適用する必要があるアクション (許可または拒否) とユーザーまたはグループを選択し、[ 次へ] を選択します。

  5. [ パブリッシャー ] ページで、パッケージアプリルールの特定の参照を選択し、ルールのスコープを設定できます。 次の表では、参照オプションについて説明します。

    Selection 説明
    インストールされているパッケージ アプリを参照として使用する 選択した場合、AppLocker では、新しいルールの基となるアプリが既にインストールされているアプリを選択する必要があります。 AppLocker では、発行元、パッケージ名、パッケージのバージョンを使用して規則を定義します。 Sales グループでは、Microsoft.BingMaps という名前のアプリのみを外部の販売呼び出しに使用する必要があります。 Microsoft.BingMaps アプリは、ルールを作成するデバイスに既にインストールされているため、このオプションを選択します。 次に、コンピューターにインストールされているアプリの一覧からアプリを選択し、このアプリを参照として使用してルールを作成します。
    パッケージ アプリ インストーラーを参照として使用する 選択した場合、AppLocker では、新しいルールの基となるアプリ インストーラーを選択する必要があります。 パッケージ アプリ インストーラーには、.appx拡張機能があります。 AppLocker では、インストーラーの発行元、パッケージ名、パッケージ バージョンを使用して規則を定義します。 あなたの会社は、多くの社内基幹業務パッケージアプリを開発しています。 アプリ インストーラーは、共通のファイル共有に格納されます。 従業員は、そのファイル共有から必要なアプリをインストールできます。 すべての従業員がこの共有から Payroll アプリをインストールできるようにする必要があります。 そのため、ウィザードからこのオプションを選択し、ファイル共有を参照し、Payroll アプリのインストーラーを参照として選択してルールを作成します。

    次の表では、パッケージ化されたアプリルールのスコープの設定について説明します。

    Selection 説明
    任意の発行元に適用されます この設定は、 許可 ルールの最も制限の厳しいスコープ条件です。 これにより、パッケージ化されたすべてのアプリの実行またはインストールが許可されます。

    逆に、この設定が 拒否 ルールの場合、このオプションは、すべてのアプリのインストールまたは実行を拒否するため、最も制限が厳しくなっています。    		 Sales グループで、署名された発行元のパッケージ アプリを使用する必要があります。 Sales グループが任意のアプリを実行できるようにアクセス許可を設定します。
    特定のパブリッシャーに適用されます この設定は、特定の発行元によって発行されたすべてのアプリにルールのスコープを設定します。 Microsoft.BingMaps の発行元によって公開されたアプリを、すべてのユーザーにインストールできるようにする必要があります。 参照として [Microsoft.BingMaps] を選択し、このルール スコープを選択できます。
    パッケージ名に適用されます この設定では、発行元名とパッケージ名を参照ファイルとして共有するすべてのパッケージにルールのスコープを設定します。 Sales グループが Microsoft.BingMaps アプリの任意のバージョンをインストールできるようにする必要があります。 参照として Microsoft.BingMaps アプリを選択し、このルール スコープを選択できます。
    パッケージ バージョンに適用されます この設定では、特定のバージョンのパッケージにルールのスコープを設定します。 許可する内容を選択する必要があります。 Microsoft.BingMaps アプリのすべての今後の更新プログラムを暗黙的に信頼する必要はありません。 ルールのスコープを、参照コンピューターに現在インストールされているアプリのバージョンに制限できます。
    ルールにカスタム値を適用する [カスタム値チェック使用] ボックスを選択すると、特定の状況に合わせてスコープ フィールドを調整できます。 ユーザーが Microsoft.BingMaps、 Microsoft Bing.BingWeather 、Microsoft.BingMoney を含むすべての Microsoft.BingMaps アプリケーションをインストールできるようにする必要があります。 Microsoft.BingMaps を参照として選択し、[カスタム値を使用チェック] ボックスを選択し、パッケージ名として "Microsoft.Bing*" を追加してパッケージ名フィールドを編集できます。

  6. [次へ] を選択します。

  7. (省略可能)[ 例外 ] ページで、ルールの影響を受けるファイルを除外する条件を指定します。 これらの条件を使用すると、前に設定したのと同じルール参照とルール スコープに基づいて例外を追加できます。 [次へ] を選択します。

  8. [ 名前 ] ページで、自動的に生成されたルール名をそのまま使用するか、新しいルール名を入力して、[ 作成] を選択します。