AppLocker でパッケージ アプリを管理する

IT プロフェッショナル向けのこの記事では、アプリケーション制御戦略全体の一環として AppLocker を使用してパッケージ 化されたアプリを管理するのに役立つ概念と手順の一覧について説明します。

AppLocker 用パッケージ アプリとパッケージ アプリ インストーラーについて

パッケージ化されたアプリは、アプリ パッケージ内のすべてのファイルが同じ ID を共有することを保証するモデルに基づいています。 クラシック Windows アプリでは、アプリ内の各ファイルに一意の ID を設定できます。 パッケージ化されたアプリでは、1 つの AppLocker 規則を使用してアプリ全体を制御できます。

AppLocker では、パッケージ化されたアプリの発行元ルールのみがサポートされます。 Windows では署名されていないパッケージ 化されたアプリがサポートされていないため、すべてのパッケージ アプリはソフトウェア発行元によって署名されている必要があります。

通常、アプリは、アプリのインストールに使用されるインストーラーと、1 つ以上の exes、dll、またはスクリプトという複数のコンポーネントで構成されます。 従来の Windows アプリでは、これらのすべてのコンポーネントが、ソフトウェアの発行元名、製品名、製品バージョンなどの共通の属性を常に共有するわけではありません。 そのため、AppLocker は、exe、dll、スクリプト、Windows インストーラーの規則など、さまざまな規則コレクションを通じて、これらの各コンポーネントを個別に制御します。 これに対し、パッケージ アプリのすべてのコンポーネントは、同じ発行元名、パッケージ名、およびパッケージ バージョンの属性を共有します。 そのため、1 つのルールでアプリ全体を制御できます。

従来の Windows アプリとパッケージ 化されたアプリの比較

従来の Windows アプリとパッケージ アプリの規則は、並行して適用できます。 パッケージ化されたアプリと従来の Windows アプリの違いを考慮する必要があります。

  • アプリのインストール - パッケージ化されたすべてのアプリは標準ユーザーがインストールできますが、多くの従来の Windows アプリでは、インストールに管理特権が必要です。 ほとんどのユーザーが標準ユーザーである環境では、必要な exe ルールが少なくなる場合があります (従来の Windows アプリではインストールに管理特権が必要であるため)、パッケージ 化されたアプリに対してさらに多くのルールが必要になる場合があります。
  • システム状態の変更 - 従来の Windows アプリを書き込み、管理特権で実行する場合は、システムの状態を変更できます。 ほとんどのパッケージ アプリは、制限された特権で実行されるため、システムの状態を変更できません。 AppLocker ポリシーを設計するときは、許可しているアプリがシステム全体の変更を行うことができるかどうかを理解することが重要です。

AppLocker では、さまざまな規則コレクションを使用して、パッケージ化されたアプリとクラシック Windows アプリを制御します。 1 つの型、もう一方の型、またはその両方を制御できます。

従来の Windows アプリの制御については、「 AppLocker の管理」を参照してください。

パッケージ化されたアプリの詳細については、「 AppLocker のパッケージアプリとパッケージアプリインストーラールール」を参照してください。

設計とデプロイの決定

2 つの方法を使用して、AppLocker コンソールまたは Get-AppxPackage Windows PowerShell コマンドレットという、パッケージ化されたアプリのインベントリをコンピューターに作成できます。

AppLocker のアプリケーション インベントリ ウィザードに、パッケージ化されたアプリがすべて表示されるわけではありません。 特定のアプリ パッケージは、他のアプリによって利用されるフレームワーク パッケージです。 これらのパッケージ自体は何もできませんが、そのようなパッケージをブロックすると、許可するアプリに誤ってエラーが発生する可能性があります。 代わりに、これらのフレームワーク パッケージを使用するパッケージ化されたアプリの許可または拒否ルールを作成できます。 AppLocker ユーザー インターフェイスは、フレームワーク パッケージとして登録されているすべてのパッケージを意図的に除外します。 インベントリ リストを作成する方法については、「 各ビジネス グループにデプロイされたアプリの一覧を作成する」を参照してください。

Get-AppxPackage Windows PowerShell コマンドレットの使用方法については、「AppLocker PowerShell コマンド リファレンス」を参照してください

パッケージ アプリのルールの作成については、「パッケージ 化されたアプリ のルールを作成する」を参照してください。

アプリを設計および展開する場合は、次の情報を考慮してください。

  • AppLocker ではパッケージ アプリの発行元ルールのみがサポートされるため、パッケージ化されたアプリのインストール パス情報を収集する必要はありません。
  • ソフトウェア発行元は、パッケージ化されたすべてのアプリとパッケージアプリインストーラーに署名する必要があるため、パッケージ化されたアプリのハッシュまたはパスベースのルールを作成する必要はありません。 従来の Windows アプリは、常に一貫して署名されているわけではありません。そのため、AppLocker はハッシュまたはパスベースの規則をサポートする必要があります。
  • 既定では、特定の規則コレクションに規則がない場合、AppLocker では、その規則コレクションに含まれるすべてのファイルを許可します。 たとえば、Windows インストーラー規則がない場合、AppLocker では、すべての .msi、.msp、および .mst ファイルの実行が許可されます。

既定では、既存のドメイン ポリシーに exe 規則コレクションで規則が構成されている場合、AppLocker はすべてのパッケージ 化されたアプリをブロックします。 エンタープライズでパッケージ 化されたアプリを許可するには、明示的なアクションを実行する必要があります。 パッケージ化されたアプリの選択セットのみを許可できます。 または、パッケージ化されたすべてのアプリを許可する場合は、パッケージ化されたアプリ コレクションの既定の規則を作成できます。

AppLocker を使用してパッケージ化されたアプリを管理する

各ルール コレクションの管理に違いがあるのと同様に、次の方法でパッケージ 化されたアプリを管理する必要があります。

  1. 環境内で実行されているパッケージ アプリに関する情報を収集します。 この情報を収集する方法については、「 各ビジネス グループにデプロイされたアプリの一覧を作成する」を参照してください。

  2. ポリシー戦略に基づいて、特定のパッケージ アプリの AppLocker 規則を作成します。 詳細については、「 パッケージ 化されたアプリのルールを作成する 」および 「AppLocker の既定の規則について」を参照してください。

  3. 新しいパッケージ アプリが環境に導入されると、引き続き AppLocker ポリシーを更新します。 この更新プログラムを実行するには、「 パッケージ化されたアプリの規則を既存の AppLocker ルール セットに追加する」を参照してください。

  4. 引き続き環境を監視し、AppLocker ポリシーに展開されているルールの有効性を確認します。 この監視を行うには、「 AppLocker でアプリの使用状況を監視する」を参照してください。