🎮

Microsoft Store の運用と AppLocker の注意点

に公開
Microsoft Store
Windows 11
tech

はじめに

こんにちは!
Windows クライアントを運用する環境では、アプリの運用は悩みの一つだと思います。
何も制限をかけなければ、Microsoft Store から必要のないアプリもインストール可能となっております。
なので、そもそも Microsoft Store の必要性や、公開情報を元にマイクロソフトはどのようにアプリを管理してけばいいかと言っているのを簡単にまとめてみました。

対象者

  • Windows クライアントを運用している方

Microsoft Store アプリの必要性

まず、Windows クライアントを運用している環境でよく聞くお話ですが、Microsoft Store アプリを削除やアンインストールしてしまえば、アプリの運用としてエンドユーザーが勝手にアプリをインストールすることもできないため削除します!というお声を聞いたことがあります。
しかし、マイクロソフトとして、この方法は推奨しておりません。
以下の公開情報にて正式に明言しております。

Microsoft Store アプリの削除、アンインストール、再インストールがサポートされていない

近年 Microsoft Store 経由にてアップデートされるアプリが Windows クライアントには多くインストールされております。(notepad とか SnippingTool 等)
そのようなアプリの継続的なアップデートのために、Microsoft Store は削除を推奨していないのだと思います。

アプリの管理について

では、Micorsoft Store は削除せずに残しておくのであれば、悩みであるエンドユーザーが勝手にアプリをインストールしてしまうかもという問題にはどう対応すればいいのか?
この方法に関しても、以下の公開情報で記載されています。

Windows のアプリケーション制御
App Control for Business と AppLocker の概要
Microsoft Store アプリへのアクセスを構成する

公開情報をまとめると、以下の 3 つの方法があるということになります。

  1. App Control for Business
  2. AppLocker
  3. 構成サービス プロバイダー (CSP) またはグループ ポリシー (GPO) 設定を使用

「App Control for Business」か「AppLocker」は、Microsoft Store 自体は開けるがアプリのインストールや削除を制御するという方法です。
一方、「構成サービス プロバイダー (CSP) またはグループ ポリシー (GPO) 設定を使用」は Microsoft Store 自体が開けなくするという運用方法です。
これは運用者の考え次第かと思うので、どちらか選択していただければいいのかなと思います。

AppLocker の使用方法

今回 AppLocker を使用して、アプリを制御しようと考えましたが、そこで参考にした情報や AppLocker 自体が少し珍しい動作方法となるので勘違いしやすいポイントもありました。
その情報を以下にまとめておきます。
まず参考にした公開情報は以下になります。

Active Directory を使用した AppLocker 設定方法

上記の公開情報では、以下の内容が記載されています。設定手順などは公開情報に画像付きで載っているので省きますが、特に気にしなくてはならない注意点を記載しておきます。

  1. Application Identity サービスの自動起動設定
  2. AppLocker のポリシー設定
  3. 実行可能ファイルの起動制御を行う際の留意事項
  4. 実行可能ファイルの起動制御手順
  5. AppLocker のプロパティについて

自分なりの注意点

  • まず AppLocker のポリシー設定のルールコレクションには以下の種類があり、それぞれ制御できるファイル形式が記載されております。

    実際の制御を考えた場合によくある制御対象アプリは UWP アプリも考えられます。その場合は、「パッケージ アプリの規則」を選択して制御します。
  • 次は、AppLocker は基本的に特定のアプリケーションのみを起動制限する Deny list 型という点です。
    本来何かアプリの制御をしたい場合は、その対象のアプリに対して拒否するポリシーを作成するのみで実現可能と思うのが普通。
    しかし AppLocker では、通常何か一つ規則を作成した場合、 AppLocker は、各々のファイルに対して実行を許可もしくは拒否する規則を作成していない場合、実行が拒否されるように設定されます。

[既定の規則の作成] の作成が必須なのは、[パッケージ アプリの規則]にて制御する場合も変わりません。

  • 最後は UWP アプリの制御を実施する際の[パッケージ アプリの規則]にて制御したいアプリを選択する際にグループポリシーを設定したい Windows Server では制御したいアプリがインストールされていないため選択できないという点です。
    イメージとしては以下のようにアプリを選択したいが、アプリ自体がインストールされておらず表示されないという事象です。

    その場合は、アプリケーションがインストールされている環境にて設定ファイルを作成し、対象の端末にて規則を作成した後、エクスポートし、ドメイン コントローラーにインポートする流れが必要です。

App Locker の注意点は以上となりますが、App Control for Business に関しては私もよくわかっていないので記載はございません。

Discussion