Intune で App Control for Business を構成する
<本文>
この包括的なガイドでは、Intune で App Control for Business を構成する手順を説明します。 Intune で管理インストーラー ポリシーを設定し、App Control for Business ポリシーを展開して、Windows デバイス上で承認されたアプリケーションを効果的に管理する方法を学習します。
毎日、新しい悪意のあるファイルやアプリが Web 上に出現します。組織が多数のデバイスで構成されている場合、これらの悪意のあるアプリ (マルウェア) はリスクをもたらし、管理や防止が困難になる可能性があります。管理対象 Windows デバイス上で望ましくないアプリが実行されないようにするために、Microsoft Intune App Control for Business (ACfB) ポリシーを使用できます。
前回のガイドでは、AppLocker for Intune を実装する方法を説明しました。 Microsoft は、現代の企業向けに設計された、より高度で包括的なソリューションである App Control for Business を導入しました。 Intune リリース 2508 (2025 年 8 月更新) 以降、管理対象インストーラーをエンタープライズ対応にする新しいターゲット設定機能を備えた App Control for Business が一般提供されるようになりました。
Patch My PC を使用してサードパーティ アプリケーションをインストールおよび更新する
ビジネス向け App Control とは何ですか?
App Control for Business は、組織が管理された Windows デバイス上で実行を許可されるアプリケーションとドライバーを制御するのに役立つ Microsoft Intune のセキュリティ機能です。これは、デジタル署名、ファイル ハッシュ、アプリケーション レピュテーション、または管理対象インストーラーに基づいて、承認されたアプリケーションの明示的な「許可リスト」を維持することによって機能します。
Intune で App Control for Business ポリシーを構成すると、承認されたアプリケーションのみが許可されることが保証され、会社のポリシーに準拠しないソフトウェアは効果的にブロックされます。これらの対策は Intune のエンドポイント セキュリティに統合されており、Windows ApplicationControl CSP を利用して制限を実装します。
AppLocker と App Control for Business
AppLocker は、管理者がユーザーが実行できるアプリケーションと実行可能ファイルを制御できる Windows の機能です。これは主に、アプリケーションのホワイトリスト登録と、未承認のソフトウェアへのアクセスの制限に使用されます。一方、App Control for Business (ACfB) は、現代の企業向けに設計されたより高度で包括的なソリューションであり、動的なアプリケーション制御および脅威防御機能を提供します。
要約すると、どちらのツールも組織内のアプリケーションの管理とセキュリティ保護を支援するように設計されていますが、範囲、機能、使用例が異なります。両者の比較は次のとおりです。
特集 |
アプリロッカー |
ビジネス向けアプリ制御—|—|—範囲 |
基本的なアプリケーション制御 |
高度なアプリケーション制御と脅威防御
サポートされている OS のバージョンとエディション |
Windows 10/11 |
Windows 10/11 Pro、Enterprise、Education、および Pro Education/SE。
導入 |
オンプレミス |
クラウドネイティブ
ポリシー展開のサポート |
グループポリシー |
Intune、SCCM、PowerShell。
脅威インテリジェンス |
なし |
統合されたリアルタイム
コスト |
Windows に付属 |
サブスクリプションベース
使いやすさ |
導入が簡単 |
少し複雑で専門知識が必要です
使用例 |
基本的なニーズを持つ中小企業 |
高度なセキュリティと脅威防御機能を必要とする組織。
グループ ポリシーによって管理 |
グループ ポリシーとの統合の向上 |
GPO はサポートされていません
Intune との統合 |
サポートされていません |
サポートされています
Windows アプリケーション コントロール CSP |
サポートされていません |
完全にサポート
ビジネス向けの App Control を計画する
App Control を実装する最初のステップには、ポリシーを長期にわたってどのように管理および維持するかを計画することが含まれます。 App Control for Business ポリシーを監督するための明確なプロセスを確立することは、組織内でアプリケーションが一貫して効果的に規制されるようにするために不可欠です。
-
作成するポリシーを決定する: まず、どのポリシーを作成するかを決定します。これは信頼の輪とも呼ばれます。組織内で使用されているアプリについて把握します。
-
監査モードでポリシーを展開する: Intune でビジネス ポリシーのアプリ コントロールを展開する前に、監査モード バージョンのポリシー XML を構築します。監査モードでは、ブロック イベントが生成されますが、ファイルの実行は妨げられないことに注意してください。
-
イベントの監視: このステップでは、対象のデバイスからの監査ブロック イベントを監視し、必要に応じてルールを追加/編集/削除して、予期しない/不要なブロックに対処します。
-
予期しないイベント: ポリシーで問題が発生した場合は、戻ってポリシーを修正してください。予期しないイベントがない場合は、次のステップに進みます。
-
強制モード ポリシーを展開する: まず、ポリシーの強制モード バージョンを生成し、それを目的のデバイスに展開します。 Microsoft では、ポリシーを広範囲に展開する前に、適用されたポリシーの段階的ロールアウトを使用して問題を検出して対応することをお勧めします。
以下のビジネス向けアプリ制御ワークフロー図は、ポリシーが時間の経過とともにどのように管理および維持されるかを示しています。 App Control for Business ポリシーを効果的に管理するには、App Control ポリシー管理の責任者全員がアクセスできる中央リポジトリにポリシー XML ドキュメントを保存して維持する必要があります。
ビジネス ワークフローのアプリ制御
基本ポリシーと補足ポリシー
App Control for Business には、連携してアプリケーション コントロールを適用する 2 種類のポリシーがあります。それは、基本ポリシーと補足ポリシーです。これらのポリシーにより、組織は環境全体にアプリケーション制御を適用する方法をカスタマイズできます。以下の表は、基本ポリシーと補足ポリシーの違いを示しています。
特集 |
基本ポリシー |
補足方針—|—|—目的 |
アプリケーション制御のコアルールを定義するために使用されます。
基本ポリシーのルールを拡張または改良するために使用されます
許可される数 |
システムごとに 1 つ |
システムごとに複数
ポリシーの動作 |
グローバルな施行 |
基本ポリシールールに追加します
ルールの種類 |
許可またはブロック |
許可のみ
修正 |
慎重な管理が必要 |
変更と展開が簡単になる
使用例 |
組織全体のルール |
部門またはユーザー固有の例外
Intune App Control for Business の前提条件
Intune で App Control for Business を構成しようとしている組織は、次の前提条件が満たされていることを確認する必要があります。
-
ライセンス要件: Microsoft 365 E3/E5、Microsoft 365 E5 Security、Microsoft Defender for Endpoint、および Intune スタンドアロン サブスクリプション。
-
サポートされているオペレーティング システム: Windows 10 (Enterprise、Pro、および Education エディション)。 Windows 11 (Enterprise、Pro、Education エディション)。
-
デバイスの登録: App Control ポリシーを適用するには、デバイスを Microsoft Intune に登録する必要があります。 Windows デバイス用の Windows オートパイロット。
-
ネットワーク接続: ホワイトリストに登録された URL によるインターネット アクセス: .microsoft.com、.manage.microsoft.com、*.windows.net。
-
共同管理デバイス: 共同管理デバイスでビジネス ポリシーの Application Control をサポートするには、Endpoint Protection スライダーを SCCM から Intune に設定します。
-
役割ベースのアクセス制御:
-
管理されたインストーラーの使用を有効にするには、アカウントに Intune 管理者のロールが割り当てられている必要があります。
-
App Control for Business ポリシーを管理するには、アカウントに App Control for Business 権限が必要です。これには、レポートの削除、読み取り、割り当て、作成、更新、および表示の権限が含まれます。
-
App Control for Business ポリシーのレポートを表示またはアクセスするには、アカウントにレポートの表示を持つ App Control for Business 権限と、読み取りを持つ組織権限が必要です。
Intune で App Control for Business を構成する手順
Intune で App Control for Business を構成するには、管理されたインストーラー ポリシーを確立することと、App Control for Business ポリシーを Windows デバイスに展開するという 2 つの重要な手順が必要です。プロセスを簡素化するために、実装を容易にするための明確で実行可能なステップに分割しました。
ステップ 1: Intune で管理対象インストーラー ポリシーを作成する
Intune の Endpoint Security App Control for Business を使用すると、Intune Management Extension を Windows デバイス上の管理対象インストーラーとして指定するポリシーを構成できます。
デバイスでマネージド インストーラーを有効にすると、Intune を通じて Windows デバイスに展開する後続のすべてのアプリケーション (Win32 アプリ、スクリプト、MS ストア アプリ) にマネージド インストーラー タグが付けられます。このタグは、アプリが信頼できるソースからインストールされ、信頼できることを示します。
Intune で新しい管理インストーラー ポリシーを作成しましょう。 Microsoft Intune 管理センターにサインインします。 エンドポイント セキュリティ > App Control for Business に移動し、管理対象インストーラー タブを選択して、 作成 を選択します。
Intune で管理対象インストーラー ポリシーを作成する
「基本」ページで、次のプロパティを入力します。
-
名前: プロファイルのわかりやすい名前を入力します。たとえば、管理インストーラー ポリシー – Intune です。
-
説明: プロファイルの説明をオプションで入力します。
「次へ」をクリックします。
管理対象インストーラー ポリシーの名前と説明を指定してください
設定 ページで、Intune マネージド拡張機能を管理インストーラーとして有効にする を 有効 に設定します。この設定が有効になっている場合、このポリシーを持つデバイスは管理対象インストーラーを使用します。無効にすると、デバイスは管理対象インストーラーを積極的に使用しません。
「次へ」をクリックします。
Intune マネージド拡張機能をマネージド インストーラーとして有効にする
スコープ タグ ページで、適用するスコープ タグを選択できます。これはオプションであり、次のページにスキップできます。 Intune で新しいスコープ タグを作成する方法を学習します。 「次へ」をクリックします。
管理対象インストーラー ポリシーのスコープ タグ
割り当て では、Entra ID デバイス グループをポリシーに含めたり除外したりできます。続行するには、「次へ」を選択します。
管理対象インストーラーのポリシー割り当て
「確認と作成」ページで管理対象インストーラーのポリシー設定を確認し、「保存」をクリックします。これで、ポリシーが割り当てられたグループのメンバーに展開されました。これで、マネージド インストーラーを Intune テナントに追加する手順は完了です。
Intune で管理インストーラー ポリシーを確認して作成する
Intune ポリシーの同期
管理対象のインストーラー ポリシー設定を対象のデバイスに適用するには、さまざまな方法を使用して Intune ポリシーを手動で同期します。同期アクションにより、デバイスはすぐに Intune に接続し、最新のポリシーを適用するように求められます。これは通常、アプリまたはポリシーの展開をテストし、その機能を検証するために実行されます。
管理対象インストーラー ポリシー展開の監視
Intune で管理対象インストーラー ポリシーを作成した後、 エンドポイント セキュリティ > App Control for Business > 管理対象インストーラー タブに移動して、ポリシーの割り当てを監視できます。 「管理対象インストーラー ポリシー」プロファイルを選択します。この概要ページには、管理対象インストーラーが Intune 管理拡張機能に正常に設定されているデバイスに関する情報が表示されます。
注: デバイスでは、ポリシーが配信されるまでに最大 30 分間待機することがあります。私の場合、デバイスが管理対象インストーラーのポリシー設定を受信するまでに 20 分近くかかりました。
Intune 管理対象インストーラー ポリシーの展開を監視する
ステップ 2: Intune で App Control for Business ポリシーを作成する
App Control for Business (ACfB) 基本ポリシーを使用すると、管理対象の Windows デバイス上のどのアプリの実行を許可するかを管理できます。基本ポリシーを設定したら、補足ポリシーを作成して、このポリシーで定義する信頼の範囲を拡張できます。
App Control for Business ポリシーを作成するには、Intune 管理センターにサインインします。 エンドポイント セキュリティ > App Control for Business > ポリシー タブに移動し、 作成 を選択します。
Intune でビジネス ポリシーの App Control を作成する
「基本」ページで、次のプロパティを入力します。
-
名前: プロファイルのわかりやすい名前を入力します。たとえば、アプリ制御ポリシー - Intune です。
-
説明: プロファイルの説明をオプションで入力します。
「次へ」をクリックします。
ビジネス ポリシー用の Intune App Control を作成する
構成設定 で、構成設定の形式を選択します。
-
XML データを入力 – このオプションでは、カスタム XML プロパティを指定して App Control for Business ポリシーを定義する必要があります。
-
組み込みコントロール: このオプションにはカスタム XML は必要ありません。代わりに、次の設定を構成します。
-
監査モード: 監査モードをオンにしても、ポリシーは強制されません。 Microsoft では、ポリシーの影響を判断するために、適用する前にまず監査モードをオンにしてポリシーを実行することをお勧めします。
-
管理対象インストーラーからのアプリを信頼する: 管理対象インストーラーからのアプリを信頼するをオンにしても、ポリシーは強制されません。 Microsoft では、ポリシーの影響を判断するために、適用前にまず管理対象インストーラーからアプリを信頼するをオンにしてポリシーを実行することをお勧めします。
-
評判の良いアプリを信頼する: 有効にすると、Microsoft のインテリジェント セキュリティ グラフ (ISG) で定義されている既知の良い評判を持つアプリケーションがホワイトリストに登録されます。
-
未構成: このポリシーを構成していないことと同じです。
「次へ」をクリックします。
ビジネス ポリシー設定のアプリ制御
スコープ タグ ページで、適用するスコープ タグを選択できます。これはオプションであり、次のページにスキップできます。 Intune で新しいスコープ タグを作成する方法を学習します。 「次へ」をクリックします。
App Control for Business ポリシーのスコープ タグ
割り当て では、Entra ID デバイス グループをポリシーに含めたり除外したりできます。続行するには、「次へ」を選択します。
ビジネス ポリシー割り当てのためのアプリ制御
確認と作成 ページでビジネス用の Intune アプリ コントロールのポリシー設定を確認し、保存 をクリックします。これで、ポリシーが割り当てられたグループのメンバーに展開されました。
ビジネス ポリシー用の Intune App Control の作成
対象のデバイスにアプリ コントロールのビジネス ポリシー設定を適用するには、さまざまな方法を使用して Intune ポリシーを手動で同期します。同期アクションにより、デバイスはすぐに Intune に接続し、最新のポリシーを適用するように求められます。これは通常、アプリまたはポリシーの展開をテストし、その機能を検証するために実行されます。
ビジネス ポリシー展開のためのアプリ制御の監視
デバイスに App Control for Business ポリシーが割り当てられると、Intune 管理センター内でポリシーの詳細を表示できます。 Endpoint Security > App Control for Business > ポリシー タブに移動し、App Control ポリシーを選択します。
概要 ページの デバイスとユーザーのチェックイン ステータス セクションで、ACfB ポリシーの割り当てが正常に完了したデバイスに関する情報を確認できます。このポリシーを受信したデバイスのリストを表示するには、レポートの表示 ボタンをクリックします。
ビジネス ポリシーのアプリ制御を監視する
エンドユーザーエクスペリエンス
対象のデバイスが App Control for Business ポリシーを正常に受信したら、適用された構成を確認します。 ACfB ポリシーが機能しているかどうかをテストするには、許可または制限されていないアプリケーションをインストールしてみてください。
ユーザーが App Control for Business ポリシー ルールによって制限されているアプリケーションを開こうとすると、「組織は App Control for Business を使用してこのアプリをブロックしました」という通知が画面に表示されます。
あるいは、Application Control ポリシーの適用された ID を手動で検証することもできます。 C:\Windows\System32\CodeIntegrity\CiPolicies\Active に移動し、基本 Application Control ポリシーの PolicyID と補足 Application Control ポリシーのポリシー ID を見つけます。
App Control for Business ポリシーを確認してください
これにより、ビジネス アプリ制御ポリシーがデバイスに正常に適用され、不要なアプリが Windows デバイス上で実行されないことが確認されます。
ビジネス ポリシーの App Control のトラブルシューティング
App Control は、ポリシーが読み込まれたとき、ファイルがブロックされたとき、または監査モードでファイルがブロックされるときのイベントをログに記録します。これらのブロック イベントには、ポリシーを識別し、ブロックに関する詳細を示す情報が含まれています。
App Control for Business ポリシー イベントは、Windows イベント ビューアーの 2 つの場所で生成されます。
-
アプリケーションとサービス ログ > Microsoft > Windows > CodeIntegrity > Operational には、App Control ポリシーのアクティブ化と、実行可能ファイル、DLL、およびドライバーの制御に関するイベントが含まれます。
-
アプリケーションとサービス ログ > Microsoft > Windows > AppLocker > MSI とスクリプト には、MSI インストーラー、スクリプト、および COM オブジェクトの制御に関するイベントが含まれます。
App Control ログ イベントの作業中に、考慮する必要がある重要なイベントが 2 つあります。
-
イベント 3077: これは、App Control 強制ブロック イベントです。スクリプトまたは実行可能ファイルが、ACfB 構成で定義されたポリシー要件を満たしていないため、実行がブロックされたことを示します。
-
イベント 3089: これは、App Control 署名情報イベントです。これは、ACfB が新しいアプリケーション制御ポリシーをロードまたは強制するときにログに記録されます。
詳細については、「実行可能ファイル、DLL、およびドライバーの App Control ブロック イベント」を参照してください。
結論
Intune App Control for Business 機能を使用すると、組織はアプリのアクセス許可を管理し、セキュリティ ポリシーを適用し、Windows デバイス上で未承認のアプリが実行されるのを防ぐことができます。管理者は、管理されたインストーラーと ACfB ポリシーを使用することで、信頼できるアプリのみが許可されるようにし、環境全体のセキュリティとコンプライアンスを向上させることができます。
Intune を使用したビジネス ポリシーのアプリ コントロールの実装についてご質問がある場合は、コメント セクションでお知らせください。
まだサポートが必要ですか?
上記の記事についてさらにサポートが必要な場合、または他の技術的な問題について議論したい場合は、これらのオプションのいくつかを確認してください。
フォーラム
電報
連絡してください
*️⃣ 出典リンク:
AppLocker for Intune を実装する方法、Intune リリース 2508 (2025 年 8 月更新)、
、
Windows ApplicationControl CSP 、
App Control for Business、デバイスは Microsoft Intune、Windows デバイス用の Windows Autopilot、SCCM から Intune への Endpoint Protection スライダー、Win32 アプリ、MS ストアに登録する必要があります。 アプリ、Intune で新しいスコープ タグを作成する方法、Intune ポリシーを同期する、Intune 管理拡張機能、Intune で新しいスコープ タグを作成する方法、Intune ポリシーを同期する、
App Control の実行可能ファイル、DLL、およびドライバーのブロック イベント 、
フォーラム
、 電報、
連絡してください
、