アプリケーション制御ポリシーとマネージド インストーラーを使用して Windows デバイスの承認済みアプリを管理Microsoft Intune

この機能はパブリック プレビュー段階です。

毎日新しい悪意のあるファイルやアプリが野生で表示されます。 organizationのデバイスで実行すると、リスクが発生し、管理や防止が困難になる可能性があります。 望ましくないアプリがマネージド Windows デバイスで実行されないようにするには、アプリケーション制御ポリシー Microsoft Intune使用できます。

Intuneのアプリケーション制御ポリシーはエンドポイント セキュリティの一部であり、Windows ApplicationControl CSP を使用して Windows デバイスで許可されているアプリを管理します。 また、エンドポイント セキュリティアプリケーション制御を通じて利用できます。マネージド インストーラー ポリシーは、Intune管理拡張機能をマネージド インストーラーとしてテナントに追加します。 この拡張機能をマネージド インストーラーとして使用すると、Intuneを介してデプロイするアプリには、インストーラーによって自動的にタグが付けられます。 タグ付けされたアプリは、アプリケーション制御ポリシーによって、デバイスでの実行を許可できる安全なアプリとして識別できます。

• Intune管理拡張機能は、Windows 10デバイスとWindows 11デバイスWindows 10 MDM 機能を補完するIntune サービスです。 これは、管理対象デバイスへの Win32 アプリと PowerShell スクリプトのインストールを容易にします。

• マネージド インストーラーでは、AppLocker ルールを使用して、organizationによって信頼されているアプリケーションにタグを付けます。詳細については、Windows セキュリティドキュメントの「マネージド インストーラーによってインストールされたアプリを許可する」を参照してください。

この記事の情報は、管理インストーラーとしてIntune管理拡張機能とエンドポイント セキュリティ アプリケーション制御ポリシーの両方を構成するのに役立ちます。 組み合わせることで、環境内の Windows デバイスで実行できるアプリを簡単に制御できます。 詳細については、Windows セキュリティドキュメントの「アプリケーション制御のWindows Defender」を参照してください。

適用対象:

• Windows 10
• Windows 11

Intuneに登録すると、次のデバイスがサポートされます。

• Windows Enterprise または Education:

  • Windows 10 バージョン 1903 以降。
  • バージョン 1903 以降Windows 11

• Windows Professional:

  • KB5019959 を使用したWindows 10
  • Windows 11:
    • KB5019980 のバージョン 22H2
    • KB5019961 のバージョン 21H2

• Windows 11 SE:

  • Windows 11 SEは、教育機関向けテナントでのみサポートされています。 詳細については、この記事の後半の 「Education テナントのアプリケーション制御ポリシー 」を参照してください。

• Azure Virtual Desktop (AVD):

  • AVD デバイスは、アプリケーション制御ポリシーを使用するためにサポートされています

• 共同管理デバイス:

  • 共同管理デバイスをサポートするには、[Endpoint Protection] スライダーのスライダーを [Intune] に設定します。

Windows セキュリティドキュメントの「Windows のアプリケーション制御について」の「Windowsエディションとライセンス要件」を参照してください。

アプリケーション制御ポリシーを管理するには、アカウントに必要なタスクを完了するための十分なロールベースのアクセス制御 (RBAC) アクセス許可が必要です。 必要なアクセス許可を持つ使用可能なタスクを次に示します。

• マネージド インストーラーの使用を有効にする* - アカウントには、グローバル管理者またはIntune サービス管理者のロールが割り当てられている必要があります。

• アプリケーション制御ポリシーの管理 - アカウントには、削除、読み取り、割り当て、作成、および更新に対するセキュリティ ベースラインアクセス許可が必要です。

• アプリケーション制御ポリシーのレポートを表示 する - アカウントには、 組織 の 読み取りアクセス許可が必要です。

詳細については、「Microsoft Intuneのロールベースのアクセス制御」を参照してください。

Intuneのエンドポイント セキュリティ アプリケーション制御を使用すると、マネージド Windows デバイス上のマネージド インストーラーとして、Intune管理拡張機能に対するポリシーを使用できます。

マネージド インストーラーを有効にすると、Intuneを介して Windows デバイスに展開する後続のすべてのアプリケーションは、マネージド インストーラー タグでマークされます。 タグは、アプリが既知のソースによってインストールされ、信頼できることを示します。 その後、アプリのマネージド インストーラーのタグ付けは、Intuneのエンドポイント セキュリティ アプリケーション制御ポリシーによって使用され、環境内のデバイスでの実行が承認されたアプリを自動的に識別します。

Intuneのエンドポイント セキュリティ アプリケーション制御ポリシーは、Windows Defender アプリケーション制御 (WDAC) の実装です。 WDAC とアプリのタグ付けの詳細については、Windows Defender アプリケーションコントロールドキュメントの「Windows および WDAC アプリケーション ID (AppId) タグ付けガイドのアプリケーション制御について」を参照してください。

マネージド インストーラーの使用に関する考慮事項:

• マネージド インストーラーの設定は、すべてのマネージド Windows デバイスに適用されるテナント全体の構成です。

• Intune管理拡張機能をマネージド インストーラーとして有効にすると、Intuneを介して Windows デバイスに展開するすべてのアプリに、マネージド インストーラーのマークが付けられます。

• このタグ自体は、デバイスで実行できるアプリには影響しません。 タグは、管理対象デバイスで実行できるアプリを決定する WDAC ポリシーも使用する場合にのみ使用されます。

• 遡及的なタグ付けがないため、マネージド インストーラーを有効にする前に展開されたデバイス上のすべてのアプリにはタグは付けられません。 WDAC ポリシーを適用する場合は、これらのタグなしアプリの実行を許可する明示的な構成を含める必要があります。

• このポリシーをオフにするには、マネージド インストーラー ポリシーを編集します。 ポリシーをオフにすると、後続のアプリがマネージド インストーラーでタグ付けされなくなります。 以前にインストールされ、タグ付けされたアプリはタグ付けされたままになります。 ポリシーをオフにした後のマネージド インストーラーの手動クリーンの詳細については、この記事の「管理インストーラーとしてIntune管理拡張機能を削除する」を参照してください。

マネージド インストーラー Intune設定する方法の詳細については、Windows セキュリティドキュメントを参照してください。

次の手順では、Intune管理拡張機能をテナントのマネージド インストーラーとして追加する手順について説明します。 Intuneでは、1 つのマネージド インストーラー ポリシーがサポートされます。

1. Microsoft Intune管理センターで、[エンドポイント セキュリティ (プレビュー)] に移動し、[マネージド インストーラー] タブを選択し、[*追加] を選択します。 [ マネージド インストーラーの追加] ウィンドウが開きます。

   

2. [追加] を選択し、[はい] を選択して、管理インストーラーとしてのIntune管理拡張機能の追加を確認します。

3. マネージド インストーラーを追加した後、まれに、新しいポリシーがテナントに追加されるまで最大 10 分待つ必要がある場合があります。 [ 最新の情報に更新] を選択して、管理センターが使用可能になるまで定期的に更新します。

   Intuneがマネージド インストーラーという名前のマネージド インストーラー ポリシーを表示すると、サービスでポリシーの準備が整います。Intune管理拡張機能の状態は [アクティブ] です。 クライアント側から、ポリシーの配信が開始されるまで最大 1 時間待つ必要がある場合があります。

   

4. これで、ポリシーを選択してその構成を編集できます。 次の 2 つのポリシー領域のみが編集をサポートします。

   • 設定: ポリシー設定を編集すると、[ 管理インストーラーのオプトアウト ] ウィンドウが開きます。ここで、[ マネージド インストーラーの設定 ] の値を [オン ] と [オフ] の間で変更できます。 インストーラーを追加すると、[ マネージド インストーラーの設定 ] の既定の設定は [オン] になります。 構成を変更する前に、[ オン ] と [ オフ] のウィンドウで詳細な動作を確認してください。

   • スコープ タグ: このポリシーに割り当てられているスコープ タグを追加および変更できます。 これにより、ポリシーの詳細を表示できる管理者を指定できます。

ポリシーが有効になる前に、アプリケーション制御ポリシーを作成して展開して、Windows デバイスでアプリを実行できるルールを指定する必要があります。

詳細については、Windows セキュリティドキュメントの「マネージド インストーラーによってインストールされたアプリを許可する」を参照してください。

必要に応じて、テナントのマネージド インストーラーとしてIntune管理拡張機能の構成を停止できます。 これには、マネージド インストーラー ポリシーをオフにする必要があります。 ポリシーがオフになった後は、追加のクリーンアクションを使用するように選択できます。

Intune管理拡張機能をマネージド インストーラーとしてデバイスに追加するのを停止するには、次の構成が必要です。

1. 管理センターで、[エンドポイント セキュリティ (プレビュー)] に移動し、[マネージド インストーラー] タブを選択し、[マネージド インストーラー ] - [管理拡張機能] ポリシー Intune選択します。

2. ポリシーを編集し、[ 管理対象インストーラーの設定] を [オフ] に変更し、ポリシーを保存します。

Intune管理拡張機能をマネージド インストーラーとして使用して新しいデバイスを構成することはできません。 これにより、管理インストーラーとしてIntune管理拡張機能は、既に使用するように構成されているデバイスから削除されません。

オプションのクリーン手順として、スクリプトを実行して、既にインストールされているデバイス上のマネージド インストーラーとしてIntune管理拡張機能を削除できます。 マネージド インストーラーを参照するアプリケーション制御ポリシーも使用しない限り、この構成はデバイスに影響しないため、これは省略可能です。

1. CatCleanIMEOnly.ps1 PowerShell スクリプトをダウンロードします。 このスクリプトは、download.microsoft.com から入手できますhttps://aka.ms/intune_WDAC/CatCleanIMEOnly。

2. Intune管理拡張機能をマネージド インストーラーとして設定したデバイスで、このスクリプトを実行します。 このスクリプトでは、管理インストーラーとしてIntune管理拡張機能のみが削除されます。

3. 上記の変更を有効にするには、Intune管理拡張機能サービスを再起動してください。

このスクリプトを実行するには、Intuneを使用して PowerShell スクリプトや任意の他のメソッドを実行できます。

デバイス からすべての Windows AppLocker ポリシーを削除するには、 CatCleanAll.ps1 PowerShell スクリプトを使用します。 このスクリプトでは、管理インストーラーとしてのIntune管理拡張機能だけでなく、すべてのマネージド インストーラーと、Windows AppLocker に基づくすべてのポリシーがデバイスから削除されます。 このスクリプトを使用する前に、組織が AppLocker ポリシーを使用していることを確認してください。

1. CatCleanAll.ps1 PowerShell スクリプトをダウンロードします。 このスクリプトは、download.microsoft.com から入手できますhttps://aka.ms/intune_WDAC/CatCleanAll。

2. Intune管理拡張機能をマネージド インストーラーとして設定したデバイスで、このスクリプトを実行します。 このスクリプトでは、管理インストーラーとしてIntune管理拡張機能のみが削除されます。

3. 上記の変更を有効にするには、Intune管理拡張機能サービスを再起動してください。

このスクリプトを実行するには、Intuneを使用して PowerShell スクリプトや任意の他のメソッドを実行できます。

Intuneのエンドポイント セキュリティ アプリケーション制御ポリシーを使用すると、マネージド Windows デバイスで実行を許可されるアプリを管理できます。 ポリシーによって明示的に実行が許可されていないアプリは、監査モードを使用するようにポリシーを構成していない限り、実行がブロックされます。 監査モードでは、ポリシーを使用すると、すべてのアプリを実行し、クライアントでローカルにそれらの詳細をログに記録できます。

許可またはブロックされるアプリを管理するために、Intuneは Windows デバイス上の Windows ApplicationControl CSP を使用します。

アプリケーション制御ポリシーを作成するときは、使用する 構成設定の形式 を選択する必要があります。

• xml データの入力 - xml データを入力する場合は、アプリケーション制御ポリシーを定義する一連のカスタム XML プロパティをポリシーに指定する必要があります。

• 組み込みのコントロール – このオプションは、構成する最も簡単なパスですが、強力な選択のままです。 組み込みのコントロールを使用すると、マネージド インストーラーによってインストールされているすべてのアプリを簡単に承認し、Windows コンポーネントとストア アプリの信頼を許可できます。

  これらのオプションの詳細については、ポリシーの作成時に UI から入手できます。また、ポリシーを作成する手順については、次の手順で詳しく説明します。

アプリケーション制御ポリシーを作成した後、XML 形式の追加ルールを元のポリシーに追加する補足ポリシーを作成することで、そのポリシーのスコープを拡張できます。 補足ポリシーを使用する場合、元のポリシーは基本ポリシーと呼ばれます。

アプリケーション制御ポリシーを正常に作成するには、次の手順に従います。 このポリシーを使用して定義した信頼の範囲を広げる補足ポリシーを作成する場合、このポリシーは基本ポリシーと見なされます。

1. Microsoft Intune管理センターにサインインし、[エンドポイント セキュリティ>アプリケーション コントロール (プレビュー)]> に移動し、[アプリケーション コントロール] タブ>を選択し、[ポリシーの作成] を選択します。 アプリケーション制御ポリシーは、プラットフォームの種類のWindows 10以降に自動的に割り当てられます。

   

2. [ 基本] で、次のプロパティを入力します。

   • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるように、プロファイルに名前を付けます。
   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。

3. [ 構成設定] で、[ 構成設定] の形式を選択します。

   xml データの入力 - このオプションでは、アプリケーション制御ポリシーを定義するためにカスタム XML プロパティを指定する必要があります。 このオプションを選択しても、XLM プロパティをポリシーに追加しない場合は、[ 未構成] として機能します。 構成されていないアプリケーション制御ポリシーでは、ApplicationControl CSP からのオプションが追加されていないデバイスで既定の動作が発生します。

   組み込みコントロール – このオプションでは、ポリシーではカスタム XML は使用されません。 代わりに、次の設定を構成します。

   • Windows コンポーネントとストア アプリの信頼を有効にする – この設定が [有効] (既定値) の場合、マネージド デバイスは、Windows コンポーネントを実行し、アプリを格納できます。また、信頼済みとして構成する可能性があるその他のアプリも実行できます。 このポリシーによって信頼済みとして定義されていないアプリは、実行がブロックされます。

     この設定では、 監査のみの モードもサポートされています。 監査モードでは、すべてのイベントがローカル クライアント ログに記録されますが、アプリの実行はブロックされません。

   • アプリを信頼するための追加オプションを選択する – この設定では、次のオプションのいずれかまたは両方を選択できます。

     • 評判の良いアプリを信頼 する – このオプションを使用すると、Microsoft Intelligent Security Graph で定義されている信頼できるアプリをデバイスで実行できます。

     • マネージド インストーラーからアプリを信頼する – このオプションを使用すると、承認されたソースによって展開されたアプリ (マネージド インストーラー) をデバイスで実行できます。 これは、Intune管理拡張機能をマネージド インストーラーとして構成した後、Intuneを使用して展開するアプリに適用されます。

       このポリシーの規則で指定されていない他のすべてのアプリとファイルの動作は、 Windows コンポーネントとストア アプリの信頼を有効にするの構成によって異なります。

       • [有効] の場合、ファイルとアプリはデバイスでの実行がブロックされます
       • [監査のみ] に設定されている場合、ファイルとアプリはローカル クライアント ログでのみ監査されます

   

4. [スコープ タグ] ページで、適用するスコープ タグを選択し、[次へ] を選択します。

5. [ 割り当て] で、ポリシーを受け取るグループを選択しますが、WDAC ポリシーはデバイス スコープにのみ適用されることを検討してください。 続行するには、[Next] を選択します。

   プロファイルの割り当ての詳細については、ユーザーおよびデバイス プロファイルの割り当てに関するページを参照してください。

6. [ 確認と作成] で設定を確認し、[ 作成] を選択します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーは、ポリシーの一覧にも表示されます。

1 つ以上の補足ポリシーを使用すると、アプリケーション制御の基本ポリシーを拡張して、そのポリシーの信頼の輪を広げることができます。 補助ポリシーは 1 つの基本ポリシーのみを展開できますが、複数の補助ポリシーで同じ基本ポリシーを展開できます。 補足ポリシーを追加すると、基本ポリシーによって許可されるアプリケーションとその補足ポリシーは、デバイスで実行できます。

補足ポリシーは XML 形式である必要があり、基本ポリシーのポリシー ID を参照する必要があります。

アプリケーション制御の基本ポリシーのポリシー ID は、基本ポリシーの構成によって決まります。

• カスタム XML を使用して作成される基本ポリシーには、その XML 構成に基づく一意の PolicyID があります。

• アプリケーション 制御の組み込みコントロール を使用して作成される基本ポリシーには、組み込み設定の可能な組み合わせによって決定される 4 つの PolicyID の 1 つがあります。 次の表は、組み合わせと関連する PolicyID を示しています。

  基本ポリシーの PolicyID	WDAC ポリシーのオプション (監査 または 適用)
  {A8012CFC-D8AE-493C-B2EA-510F035F1250}	アプリ制御ポリシーを有効にして Windows コンポーネントとストア アプリを信頼する
  {D6D6C2D6-E8B6-4D8F-8223-14BE1DE562FF}	アプリ制御ポリシーを有効にして、Windows コンポーネントとストア アプリ を信頼し、 評判の良いアプリを信頼する
  {63D1178A-816A-4AB6-8ECD-127F2DF0CE47}	アプリ制御ポリシーを有効にして、Windows コンポーネントとストア アプリ を信頼し、 マネージド インストーラーからアプリを信頼する
  {2DA0F72D-1688-4097-847D-C42C39E631BC}	アプリ制御ポリシーを有効にして、Windows コンポーネントを信頼し、アプリを保存 し、 評価 の高いアプリを信頼し、 マネージド インストーラーからアプリを信頼する

組み込みコントロールの同じ構成を使用する 2 つのアプリケーション制御ポリシーの PolicyID は同じですが、ポリシーの 割り当て に基づいて異なる補足ポリシーを適用できます。

次のシナリオを考えてみましょう。

• 同じ構成を使用し、同じ PolicyID を持つ 2 つの基本ポリシーを作成します。 そのうちの 1 つをエグゼクティブ チームにデプロイし、2 つ目のポリシーをヘルプ デスク チームに展開します。

• 次に、エグゼクティブ チームが必要とする他のアプリを実行できるようにする補足ポリシーを作成します。 この補足ポリシーは、同じグループであるエグゼクティブ チームに割り当てます。

• 次に、ヘルプ デスク チームに必要なさまざまなツールを実行できるようにする 2 つ目の補足ポリシーを作成します。 このポリシーは、ヘルプ デスク グループに割り当てられます。

これらのデプロイの結果、両方の補足ポリシーが基本ポリシーの両方のインスタンスを変更する可能性があります。 ただし、個別の割り当てと個別の割り当てにより、最初の補足ポリシーでは、エグゼクティブ チームに割り当てられた許可されたアプリのみが変更され、2 番目のポリシーではヘルプ デスク チームによって使用される許可されたアプリのみが変更されます。

1. Windows Defender アプリケーション制御ウィザードまたは PowerShell コマンドレットを使用して、XML 形式でアプリケーション制御ポリシーを生成します。

   ウィザードの詳細については、 webapp-wdac-wizard.azurewbsites.net の「aka.ms/wdacWizard または Microsoft WDAC ウィザード 」を参照してください。

   XML 形式でポリシーを作成する場合は、基本ポリシーの ポリシー ID を 参照する必要があります。

2. アプリケーション制御補助ポリシーが XML 形式で作成されたら、Microsoft Intune管理センターにサインインし、[エンドポイント セキュリティ>アプリケーションコントロール (プレビュー)]> に移動して、[アプリケーションコントロール] タブを選択し、[ポリシーの作成] を選択します。

3. [ 基本] で、次のプロパティを入力します。

   • 名前: プロファイルのわかりやすい名前を入力します。 後で簡単に識別できるように、プロファイルに名前を付けます。

   • 説明: プロファイルの説明を入力します この設定は省略可能ですが、おすすめされています。

4. [ 構成設定] の [ 構成設定の形式 ] で、[ Xml データの入力 ] を選択し、XML ファイルをアップロードします。

5. [ 割り当て] で、補助ポリシーを適用する基本ポリシーに割り当てられたグループと同じグループを選択し、[ 次へ] を選択します。

6. [ 確認と作成] で設定を確認し、[ 作成] を選択します。 [作成] を選択すると、変更内容が保存され、プロファイルが割り当てられます。 ポリシーは、ポリシーの一覧にも表示されます。

教育機関向けテナントのアプリケーション制御ポリシーでは、前提条件でサポートされているプラットフォームに加えて、Windows 11 SEもサポートされます。

Windows 11 SEは、教室で使用できるように最適化されたクラウドファーストのオペレーティング システムです。 Intune for Education と同様に、Windows SE 11 は生産性、学生のプライバシー、学習を優先し、教育に不可欠な機能とアプリのみをサポートします。

この最適化を支援するために、WDAC ポリシーとIntune管理拡張機能は、Windows 11 SE デバイスに対して自動的に構成されます。

• Windows 11 SEデバイスのIntuneサポートは、EDU テナント内のアプリのセット リストを含む定義済みの WDAC ポリシーの展開を対象としています。 これらのポリシーは自動的にデプロイされ、変更することはできません。

• Intune EDU テナントの場合、Intune管理拡張機能はマネージド インストーラーとして自動的に設定されます。 この構成は自動であり、変更できません。

「Mobile デバイス管理 (MDM) (Windows 10) を使用した WDAC ポリシーの展開 - Windows セキュリティドキュメントの Windows セキュリティ」で詳しく説明されているように、Intune UI から削除されたポリシーはシステムおよびデバイスから削除されますが、マシンの次回の再起動まで有効です。

WDAC の強制を無効または削除するには:

1. 既存のポリシーを、 の Windows デバイスで見つかったポリシー Allow /*の例のルールのように、新しいバージョンのポリシーに置き換えます。 %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml

   この構成により、ポリシーが削除された後にデバイスに残っている可能性があるブロックが削除されます。

2. 更新されたポリシーがデプロイされたら、Intune ポータルから新しいポリシーを削除できます。

このシーケンスにより、何もブロックされず、次回の再起動時に WDAC ポリシーが完全に削除されます。

デバイスにアプリケーション制御ポリシーと管理インストーラー ポリシーが割り当てられたら、管理センター内でポリシーの詳細を表示できます。

• レポートを表示するには、アカウントに組織のIntuneロールベースのアクセス制御カテゴリの読み取りアクセス許可が必要です。

レポートを表示するには、Intune管理センターにサインインし、[アカウント制御] ノードに移動します。 (エンドポイント セキュリティ>アカウント制御 (プレビュー))。 ここでは、表示するポリシーの詳細のタブを選択できます。

[マネージド インストーラー] タブでは、マネージド インストーラーの状態、成功数、エラーの詳細を表示できます。管理拡張機能ポリシー Intune。

ポリシー名を選択して [概要] ページを開き、次の情報を表示できます。

• デバイスの状態、成功とエラーの静的カウント

• デバイスの状態の傾向。各詳細カテゴリのデバイスのタイムラインと数を表示する履歴グラフ。

レポートの詳細は次のとおりです。

• 成功 - ポリシーを正常に適用したデバイス。

• エラー - エラーが発生したデバイス。

• 新しいデバイス – 新しいデバイスは、最近ポリシーを適用したデバイスを識別します。

  

[概要] で [ デバイスの状態 ] セクションと [ デバイスの状態の傾向 ] セクションが更新されるまでに最大 24 時間かかることがあります。

ポリシーの詳細を表示しているときに、[ デバイスの状態 ] ( [モニター] の下) を選択して、ポリシーの詳細のデバイス ベースのビューを開くことができます。 [デバイスの状態] ビューには、デバイスがポリシーを正常に適用できない場合に問題を特定するために使用できる次の詳細が表示されます。

• デバイス名
• ユーザー名
• OS のバージョン
• マネージド インストーラーの状態 (成功またはエラー)

デバイスが実際にポリシーを受信した後、ポリシーの詳細のデバイス ベースのビューが更新されるまでに数分かかることがあります。

[ アプリケーション制御 ] タブでは、アプリケーション制御ポリシーの一覧と、割り当てられたかどうか、最後に変更された日時など、基本的な詳細を表示できます。

その他のレポート オプションを含むビューを開くには、ポリシーを選択します。

ポリシーのレポート オプションは次のとおりです。

• デバイスとユーザーのチェック状態 - このポリシーで使用可能な各状態を報告するデバイスの数を表示する単純なグラフ。

• レポートの表示 - このポリシーを受け取ったデバイスの一覧を含むビューが開きます。 ここでは、ドリルインするデバイスを選択し、アプリケーション制御ポリシー設定の形式を表示できます。

ポリシー ビューには、次のレポート タイルも含まれています。

• デバイス割り当ての状態 - このレポートには、保留中のポリシー割り当て状態のデバイスを含め、ポリシーの対象となるすべてのデバイスが表示されます。

  このレポートでは、表示する 割り当て状態 の値を選択し、[レポートの 生成 ] を選択して、ポリシーを受け取った個々のデバイス、最後にアクティブなユーザー、割り当ての状態をレポート ビューに更新できます。

  ドリルインするデバイスを選択し、アプリケーション制御ポリシー設定の形式を表示することもできます。

• [設定の状態ごと ] - このレポートには、このポリシーの設定の状態が [成功]、[ エラー]、または [競合 ] と報告されているデバイスの数が表示されます。

次に利用可能な機会に、Intune管理拡張機能をマネージド インストーラーとして構成することをお勧めします。

設定すると、デバイスに展開する後続のアプリに適切なタグが付けられます。これは、 管理対象インストーラーからアプリを信頼する WDAC ポリシーをサポートします。

マネージド インストーラーが構成される前にアプリが展開された環境では、新しい WDAC ポリシーを 監査モード で展開することをお勧めします。そのため、アプリが展開されたが、信頼済みとしてタグ付けされていないことを特定できます。 その後、監査結果を確認し、信頼するアプリを決定できます。 信頼して実行を許可するアプリの場合は、それらのアプリを許可するカスタム WDAC ポリシーを作成できます。

IT 管理者が管理し、ポリシーを作成するのに役立つ多数のマシンで監査イベントのクエリを実行しやすくする、Microsoft Defender for Endpointの機能である Advanced Hunting を調べるのに役立ちます。

アプリケーション制御ポリシーの他のインスタンスが、Intune UI の [Endpoint Security Attach Surface Reduction]\(エンドポイント セキュリティ>アタッチ Surface の縮小\) または [デバイス構成] の下にあることに気付いた可能性があります。 これらは、今後のリリースで非推奨となる予定です。

Windows Application Control Docs では、Windows 10 1903 より前のバージョンでは、アプリケーションコントロールは、特定の時点でシステム上で 1 つのアクティブのみをサポートしました。 これにより、意図が異なる複数のポリシーが役に立つ状況で顧客が大幅に制限されます。

バージョン 1903 Windows 10以降、WDAC では、ブートの問題が発生する前に、デバイスで最大 32 個のアクティブ なポリシーのみがサポートされます。 既知の問題の詳細については、こちらを参照してください。 32 を超えるアクティブなポリシーの結果として意図しないデバイスへの影響を回避するには、次のことができます。

1. 新しい WDAC ポリシーをそのデバイスに展開する前に、デバイスの CITool.exe を使用してポリシー数をインベントリします。
2. organizationのニーズを満たす場合は、デプロイ前に複数の WDAC ポリシーをマージすることを検討してください。
3. セキュリティと生産性を確保するために必要なポリシーの数を減らすために、organizationの WDAC ポリシー 計画を再設計します。

いいえ。 このリリースでは、Intune管理拡張機能をマネージド インストーラーとして使用して、Intuneからインストールされたアプリを設定することに重点を置いています。 Configuration Managerをマネージド インストーラーとして設定することはできません。

マネージド インストーラーとしてConfiguration Managerを設定する場合は、Configuration Manager内からその動作を許可できます。 既にマネージド インストーラーとして設定Configuration Manager場合、予期される動作は、新しいIntune管理拡張機能 AppLocker ポリシーが既存のConfiguration Manager ポリシーとマージされるということです。

エンドポイント セキュリティ ポリシーを構成する