目次
- アプリ制限プロファイルの作成
- パッケージ名の確認方法
- 許可リストと拒否リストを同時に利用する場合の注意点
- CLOMO MDM Agent for Windows のワーク・スマート機能と併用したい場合
特定のアプリの利用を制限したい場合は「アプリ制限プロファイル」を使用します。
アプリ制限プロファイルを適用すると、デジタル署名されていないアプリは許可リストの指定にかかわらず起動不可となります。
アプリ制限プロファイルの作成
1.「Settings」を選択します。
2.「Mobile Device Management」から「Windows」を選択します。
3. 「プロファイル」を選択します。
4. 「...新規アプリ制限を作成」を選択します。
5. プロファイルの作成から「アプリ制限プロファイル」を選択します。
6. プロファイルの設定をおこないます。
一般設定
名前 | 作成するアプリ制限設定プロファイルの名前を入力します。設定は必須です。 |
説明 | 作成するアプリ制限設定プロファイルの説明を入力します。 |
アプリ制限設定
「アプリケーションの許可リスト / 拒否リスト」の設定方式を選択してください。
「個別に指定」の場合は、パッケージ名またはファイル名を入力し、「パッケージ名を追加する」を選択して設定します。
アプリケーションの許可リスト | 設定したアプリケーションは Windows デバイスで使用できます。 なお、他のアプリケーションやファイルを使用して動作するアプリケーションを設定した場合、許可リストに設定しても正常に起動しない場合があります。 |
アプリケーションの拒否リスト | 設定したアプリケーションは Windows デバイスで使用できなくなります。 |
7. 「追加」を選択します。
Microsoft 社の署名のあるアプリ(Excel など)は、許可リストに設定をしなくても、一部アプリは利用できてしまいます。利用を制限したい場合は、拒否リストの設定をおこなってください。
拒否リストのパッケージ名が、「空白、または"*"」だけ(提供元不明アプリなど)の場合は、リストに追加することができません。ワーク・スマート適用時間には利用が制限されます。
個別に指定
パッケージ名 | アプリケーションのパッケージ名を入力します。 |
ファイル名 | アプリケーションのファイル名を入力します。指定がない場合は、製品名が一致するアプリすべてが許可リストまたは拒否リストに適用されます。 |
種別 | EXE:拡張子に「.exe」が付く実行ファイル UWP:拡張子に「.uwp」が付く実行ファイル |
XML でインポート
1. 「XML でインポート」の場合は、ファイルを選択してください。
※「XML でインポート」の XML ファイル取得方法については、「各種パッケージ名の XML エクスポート」をご参照ください。
2. 「追加」を選択すると設定は完了です。
パッケージ 名の確認方法
アプリ利用ポリシーの設定時や、アプリの登録には、アプリケーションのパッケージ名(App ID)を入力する必要があります。
パッケージ名の例:com.i3systems.exampleapps (パッケージ名:アプリケーションごとに決められている、アプリケーションを識別する固有の文字列)
パッケージ名の照会
パッケージ名の確認後は、ローカルセキュリティポリシーの設定を削除するか、 パッケージアプリの規則内に既定の規則を作成してください。Windows ローカルセキュリティポリシーの仕様上、既定の規則が含まれないローカルセキュリティポリシーの設定のある端末にアプリ制限プロファイルを適用すると、端末が起動できなくなる場合があります。
1. 「secpol.msc(ローカルセキュリティポリシー)」を入力し、表示される検索結果を選択します。
2. 「アプリケーション制御ポリシー」の左の矢印を選択し、展開した「AppLocker」を選択します。
3. EXE の場合は「実行可能ファイルの規則」、UWP の場合は「パッケージアプリの規則」を右クリックします。
※EXE ファイルアプリの場合は「EXE アプリのパッケージ名の確認」を、UWP ファイルアプリの場合は「UWP アプリのパッケージ名の確認」をご参照ください。
4. 「新しい規則を作成」を選択します。
Windows10 RS2(v1703)から Windows RS3(v1709)/ RS4(v1803)などにバージョンアップしていると、OS の問題で例外が発生する可能性があり、UWP 形式での許可リスト、拒否リストの作成がおこなえないことがあります。
UWP 形式での作成をおこなう場合は、Windows10 RS2(v1703)未満を利用する、もしくは、Windows10 RS3(v1709)以上でクリーンインストールか初期化(ワイプ)処理を実施してください。
EXE アプリのパッケージ名の確認
1. 「開始する前に」画面で、「次へ」を選択します。
2. 「アクセス許可」画面で、「次へ」を選択します。
3. 「条件」画面で、「発行元」を選択し、「次へ」を選択します。
4. 「参照ファイル:」で許可したい EXE ファイルを選択します。
5. 「製品名」と「ファイル名」の値と確認します。
UWP アプリのパッケージ名の確認
1. 「開始する前に」画面で、「次へ」を選択します。
2. 「アクセス許可」画面で、「次へ」を選択します。
3. 「インストール済みのパッケージ化されたアプリを参照として使用する」を選択し、パッケージ名またはファイル名を知りたい UWP を選択します。
4. 「パッケージ名」の値を確認します。
各種パッケージ名の XML エクスポート
1. 「secpol.msc(ローカルセキュリティポリシー)」を入力し、表示される検索結果を選択します。
2. 「アプリケーション制御ポリシー」の左の矢印を選択し、展開した「AppLocker」を選択します。
3. EXE の場合は「実行可能ファイルの規則」、UWP の場合は「パッケージアプリの規則」を右クリックします。
4. 「新しい規則を作成」を選択します。
EXE の場合
1. 「開始する前に」画面で、「次へ」を選択します。
2. 「アクセス許可」画面で、許可リストに追加したい場合は「許可」、拒否リストに追加したい場合は「拒否」を選択し、「次へ」を選択します。
3. 「条件」画面で「発行元」を選択し、「次へ」を選択します。
4. 「参照ファイル:」で、許可したい EXE ファイルを選択します。
5. 「作成」を選択します。
6. 許可したいアプリの規則をすべて作成した後、「AppLocker」を右クリックし「ポリシーのエクスポート」を選択します。
7. 任意の場所に XML ファイルをエクスポートします。
UWP の場合
1. 「開始する前に」画面で、「次へ」を選択します。
2. 「アクセス許可」画面で、許可リストに追加したい場合は「許可」、拒否リストに追加したい場合は「拒否」を選択し、「次へ」を選択します。
3. 「インストール済みのパッケージ化されたアプリを参照として使用する」を選択し、パッケージ名を知りたい UWP を選択します。
4. 「作成」を選択します。
5. 許可したいアプリの規則をすべて作成した後、「AppLocker」を右クリックして「ポリシーのエクスポート」を選択します。
6. 任意の場所に XML ファイルをエクスポートします。
許可リストと拒否リストを同時に利用する場合の注意点
許可リストと拒否リストを同時に利用する場合、以下のアプリケーションが利用可能な状態となります。
- 許可リストにのみ登録されているアプリケーション
- 拒否リストに登録されていない Microsoft 社に署名されているアプリケーション
CLOMO MDM Agent for Windows のワーク・スマート機能と併用したい場合
許可リストに追加することで併用できますが、正常に動作しない場合があるため、現在はどちらか一方のみのご利用を推奨しております。
また、ワーク・スマート、アプリ制限プロファイルともに、下記アプリケーションは自動で許可リストに追加されます。
- Microsoft 社に署名されているアプリケーション
- MDM Agent for Windows
このページに対するフィードバック
お寄せいただいたご意見に返信はできかねますので、予めご了承ください。