第18回 Windowsストア・アプリをグループ・ポリシーで管理するWindows 8レボリューション(1/2 ページ)

Windowsストア・アプリは誰でも簡単にインストールして利用できるのが大きな利点であるが、企業用途には向かないアプリやゲームなども少なくない。それらを禁止したり、許可したものだけを実行させる方法を紹介。

» 2013年05月09日 17時38分 公開
[打越浩幸デジタルアドバンテージ]
Windows 8レボリューション
Windows Server Insider


「Windows 8レボリューション」のインデックス

連載目次

 PCを業務用途で使用しているなら、Windowsストア・アプリの実行を禁止したいという要求もあるだろう。業務で活用できるWindowsストア・アプリもあるし、業務用のWindowsストア・アプリを開発し、実行したいこともあるだろう。だがその一方で、ゲームなど、業務用PCにインストールするにはふさわしくないWindowsストア・アプリも少なくない。特に、Windowsストア・アプリは管理者ではなく、一般ユーザー権限であってもインストールできるので(連載第7回「Windowsストア・アプリの導入/管理」参照)、管理者の知らない間に不適切なアプリがインストールされてしまう可能性が高くなっている。

 このような事態を防ぐためには、何らかの方法でWindowsストア・アプリのインストールや実行を禁止するとよい。Windows 8やWindows Server 2012にはこのための機能がいくつか用意されている。

  • 「ストア」アプリの使用を禁止する
  • AppLockerでWindowsストア・アプリの実行を禁止する
  • グループ・ポリシーやローカル・ポリシーでWindowsストア・アプリの実行を禁止する

 Windowsストア・アプリをインストールするには、「ストア」というアプリを起動して操作する必要があるが、このアプリの実行を禁止すれば、ユーザーは新しいアプリをインストールできなくなる。まずはこの方法について解説する。次のページではAppLockerで禁止する方法を述べる。3番目のグループ・ポリシーやローカル・ポリシーでWindowsストア・アプリの実行を禁止する方法は、技術的には不可能ではないが、AppLockerの方が機能も柔軟性も高いので、使うことはないだろう。よって本稿では扱わない。

アプリの実行を禁止するにはポリシーを利用する

 ここで説明する2種類のアプリ実行禁止の設定には、どちらもグループ・ポリシーあるいはローカル・ポリシーを利用する。そのためにWindows 8やWindows Server 2012では、従来のWindows OSと比較すると、新しいグループ・ポリシー・オブジェクト(GPO)がいくつか追加されている。これらのOSで利用できるGPOの一覧については以下のドキュメントを参照していただきたい。

 追加されたGPOの中に「ストア アプリケーションをオフにする(Turn off the Store application)」という項目があり(「コンピューターの構成」と「ユーザーの構成」の両方にある)、これをオンにしておくと「ストア」アプリが利用できなくなる。設定方法は次の通りである。

ワークグループ構成で「ストア」アプリの実行を禁止する方法

 ワークグループ構成のコンピュータの場合は、1台ずつ設定を変更する必要がある。管理者権現のあるアカウントでサインインし、「ファイル名を指定して実行」コマンドで「gpedit.msc」を実行する。するとローカル・グループ・ポリシー・エディタが起動するので、ローカル・コンピュータ・ポリシーのツリーから[コンピューターの構成]−[管理用テンプレート]−[Windows コンポーネント]−[ストア]を開く。

「ストア」アプリの利用を禁止するグループ・ポリシー項目(1) 「ストア」アプリの利用を禁止するグループ・ポリシー項目(1)
グループ・ポリシーで、「ストア」というWindowsストア・アプリの利用を禁止できる。これはローカル・コンピュータのグループ・ポリシー項目を編集しているところ。ドメインのグループ・ポリシーで設定すれば、ドメイン全体で禁止できる。
  (1)ローカル・コンピュータ・ポリシーのツリーにある、[コンピューターの構成]−[管理用テンプレート]−[Windows コンポーネント]−[ストア]を開く。
  (2)この項目をダブルクリックする。

 デフォルトではこの項目は「未構成」になっているので、これを「有効」に変更して、[適用]ボタンをクリックする。

「ストア」アプリの利用を禁止するグループ・ポリシー項目(2) 「ストア」アプリの利用を禁止するグループ・ポリシー項目(2)
この項目はデフォルトでは「未構成」になっているので、「有効」に変更する。
  (1)これを選択して、適用する。

 この例ではローカル・ポリシーを変更しているので、[適用]ボタンをクリックすると、すぐに「ストア」アプリが利用できなくなる(グループ・ポリシーの場合は、グループ・ポリシーが適用されるまでにいくらか時間がかかる)。

 設定変更後、「スタート」画面に戻って「ストア」アプリのタイルをクリックすると、アプリは起動するものの、すぐに次のような画面が表示され、「ストア」アプリが利用できないことが分かるだろう。

「ストア」アプリを禁止した場合の起動画面 「ストア」アプリを禁止した場合の起動画面
GPOの設定変更後、「スタート」画面から「ストア」アプリを起動しようとすると、このようなメッセージが表示され、利用できなくなっている。正確には、「ストア」アプリは起動するものの、このようなメッセージが表示され、何も操作できない。

ドメインのグループ・ポリシー設定で「ストア」アプリの実行を禁止する方法

 Active Directoryドメインに参加している場合は、グループ・ポリシーでOU単位ごとにまとめて設定を変更できる。ドメインに参加しているWindows 8 Enterprise/ProもしくはWindows Server 2012でグループ・ポリシーの管理ツールを開き、さきほどと同じ項目の設定を変更すればよい(Windows 7やWindows Server 2008 R2などのOSからではGPO項目が不足しているので設定できない)。ただし少し注意するべき点がある。

Windows 8から操作する場合

 Windows 8はクライアント向けOSであるため、グループ・ポリシーの管理ツールのようなサーバ向けの管理ツールはデフォルトでは用意されていない。そのため、まずサーバ管理ツール(Remote Server Administration Tools:RSATツール)のインストールを行う必要がある。Windows 8向けのサーバ管理ツールは次の場所からダウンロードできる。

 アーキテクチャに応じて、32bit版(x86)か64bit版(x64)のいずれかをダウンロードしてインストールし、指示に従ってシステムを再起動しておく。

 ドメインの管理者アカウントでサインインして、「スタート」画面で右クリックし、「すべてのアプリ」を選択して、インストールされているアプリをすべて表示させる。すると「サーバー マネージャー」というタイルが追加されているはずなので、これをクリックしてサーバ・マネージャを起動する。これはWindows Server 2012ではデフォルトで起動するようになっているサーバ用管理ツールである。使い方についてはWindows Server 2012連載の第2回「新しいサーバ・マネージャの使い勝手を計る」を参照していただきたい。

 サーバ・マネージャの起動画面の右上にある「ツール」メニューから「グループ ポリシーの管理」を選択して、グループ・ポリシーの管理ツールを起動する。これ以外にも、コントロール・パネルの「システムとセキュリティ」グループにある「管理ツール」アイコンから、「グループ ポリシーの管理」を起動してもよいだろう。

グループ・ポリシー管理ツール グループ・ポリシー管理ツール
グループ・ポリシー管理ツールを起動して、ドメインのグループ・ポリシーを選択し、ポップアップ・メニューから[編集]を選んでグループ・ポリシーを編集する。
  (1)このデフォルトのドメイン・ポリシーを編集してみる。
  (2)ポリシーを選んで[編集]を実行する。

 グループ・ポリシー管理ツールが起動したら、設定したいグループ・ポリシーを選んで[編集]メニューを起動する。すると「グループ ポリシー管理エディタ」が起動するので、先ほどの例と同じく、[コンピューターの構成]−[ポリシー]−[管理用テンプレート]−[Windows コンポーネント]−[ストア]を開く。そして右側のペインに表示されている「ストア アプリケーションをオフにする」の設定を「未構成」から「有効」に変更すればよい。設定変更後、必要なら「gpupdate /force」コマンドですぐに設定変更を反映させる(TIPS「gpupdateでグループ・ポリシーの適用を強制する」参照)。

Windows Server 2012の場合

 通常グループ・ポリシーの管理はWindows Server 2012上で行うことが多いだろうが、デフォルトのままのWindows Server 2012では、ここで説明しているGPO項目が表示されない。[Windows コンポーネント]の下に[ストア]という項目が表示されないのである。この項目は、実際には「WinStoreUI.admx」というポリシー・テンプレート・ファイルで定義されているのだが、デフォルトではWindows 8にしかインストールされていないからだ。デフォルト状態のWindows Server 2012ではWindowsストア・アプリは利用できないので、このテンプレート・ファイルもインストールされていない。

 これを解決するには、テンプレート・ファイルを「%SYSTEMROOT%\PolicyDefinitions」フォルダ以下にコピーしておけばよいが(連載Vistaの地平 第11回「機能が向上したWindows Vistaのグループ・ポリシー」参照)、それ以外にも、Windows Server 2012にWindowsストア・アプリの実行環境をインストールしてしまうという方法もある。具体的な手順についてはTIPS「Windows Server 2012でWindowsストア・アプリを利用する」を参照していただきたいが、基本的にはWindows Server 2012に「デスクトップ エクスペリエンス」機能を追加するだけで、Windowsストア・アプリの実行環境や必要なポリシー・テンプレート・ファイルなどがインストールされる。

 Windows Server 2012に機能を追加するには、サーバ・マネージャの起動画面の右上にある[管理]メニューで「役割と機能の追加」を選択し、次のような機能を選択してインストールする。

Windows Server 2012にWindowsストア・アプリの実行環境を追加する Windows Server 2012にWindowsストア・アプリの実行環境を追加する
これは役割と機能の追加ウィザードの画面。Windows Server 2012でWindowsストア・アプリを実行できるようにするには、「デスクトップ エクスペリエンス」機能を追加すればよい。
  (1)インストールする「機能」の選択画面。
  (2)グループ・ポリシー管理ツールを利用するにはこれをオンにする。
  (3)これをインストールすると、Windows Server 2012でもWindowsストア・アプリが利用できる。
  (4)これをインストールすると、リモートのサーバを管理できる。

 Windows Server 2012にデスクトップ・エクスペリエンス機能を追加すると、Windows 8の場合とは違い、スタート画面には「ストア」のタイルだけが追加される。必要なアプリはすべてWindowsストアから個別にダウンロードしてインストールしなければならない(詳細は前掲のTIPS参照)。

 以上の操作が終われば、ポリシー・テンプレート・ファイルもコピーされているので、グループ・ポリシー管理エディタの画面には「ストア」という項目が表示されるはずである。


       1|2 次のページへ

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。