グループポリシーでWindows 10のスタートメニュー、設定、アプリを制御する企業ユーザーに贈るWindows 10への乗り換え案内(17)(3/3 ページ)

» 2018年02月07日 05時00分 公開
[山市良テクニカルライター]
前のページへ 1|2|3       

AppLockerで個別のアプリを許可/禁止する(Enterpriseのみ)

 Windows 10 Enterpriseでは、「ストア」アプリと全てのUWPアプリをブロックすることが可能です。Windows 10 Enterpriseでは「AppLocker」を使用して、UWPアプリの許可/禁止を詳細に定義することもできます。AppLockerは、次の場所で構成します。

  • コンピューターの構成\Windows の設定\セキュリティの設定\アプリケーションの制御ポリシー\AppLocker

 UWPアプリ(パッケージアプリの規則)の他、実行可能ファイル、Windowsインストーラー、スクリプトの許可または禁止を、発行元やパス、ファイルハッシュなどの条件で細かく構成することができます(画面6)。

画面6 画面6 AppLockerを使用した実行可能ファイル(regedit.exe)とゲームアプリ(Microsoft Solitaire Collection)のブロック。ユーザーは許可されたアプリだけを実行できる

 また、AppLockerを実施する前に、監査のみを行い、ポリシーの影響を調査することが可能です。なお、AppLockerが機能するためには、クライアント側で「Application Identity(AppIDSvc)」サービスが実行中である必要もあります。

 Windows 10 Enterpriseでは、UWPアプリやデスクトップアプリケーションを許可/禁止できるものとして、「デバイスガード(Device Guard)」もあります。詳しくは、本連載第10回を参照してください。

「設定」アプリの項目ごとにアクセスを制御する(バージョン1703以降)

 Windows 10 バージョン1703以降(Proを含む)では、以下のポリシー設定を利用して、「設定」アプリの項目ごとの表示/非表示を制御できるようになりました。

  • コンピューターの構成\管理用テンプレート\コントロール パネル\設定ページの表示

 上記のポリシーを有効にし、ポリシーの詳細設定として「showonly:」または「hide:」に続けて以下のドキュメントで説明されている「ms-settings:URIスキーム」のURIをセミコロン(;)区切りで記述します。

 例えば、次のように記述すると、「ゲーム」カテゴリーの全ての設定を非表示にできます(画面7)。

hide:windowsupdate;gaming-broadcasting;gaming-gamebar;gaming-gamedvr;gaming-gamemode

画面7 画面7 「設定ページの表示」ポリシーの設定例。「システム」カテゴリーの「バージョン情報」だけを表示したもの

 また、次のように記述すると、「設定」アプリには「システム」(「バージョン情報」サブページ)だけが表示されます(画面8)。

showonly:about

画面8 画面8 「設定ページの表示」ポリシーの設定例。「ゲーム」カテゴリーを非表示にしたもの

筆者紹介

山市 良(やまいち りょう)

岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。


前のページへ 1|2|3       

Copyright © ITmedia, Inc. All Rights Reserved.

「Windows 7」サポート終了 対策ナビ

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。