注
App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。
可能な限り、デバイスを初めて設定するときとアプリをインストールする前に、App Control for Business (アプリ コントロール) を有効にする必要があります。 これにより、アプリコントロールの起動時にシステムが "クリーン" 状態になり、管理対象インストーラーによってインストールされたアプリや、インテリジェント セキュリティ グラフ (ISG) によってアプリの実行が安全であると判断されたために、許可されるアプリにとって特に重要になります。
通常、App Control for Business のデプロイは、単に "オンにする" 機能ではなく、フェーズで最適に行われます。フェーズの選択とシーケンスは、さまざまなコンピューターやその他のデバイスをorganizationで使用する方法と、IT がそれらのデバイスをどの程度管理するかによって異なります。 次の表は、organizationに App Control をデプロイするための計画の作成を開始するのに役立ちます。 組織では、説明されている各カテゴリのデバイス ユース ケースが一般的です。
一般的なユース ケース
| ユースケース | アプリコントロールとこのユース ケースの関係 |
|---|---|
|
望ましくないアプリをブロックする: すべてのアプリを一元的に管理する企業は少なく、許可するものを決定する前に長い検出期間が必要です。 代わりに、IT 部門の焦点は、問題と見なされる一連のアプリをブロックし、アプリのインベントリを作成するようにシフトします。 |
アプリコントロールを使用して、監査許可リスト ポリシーと共にブロックリストのみのポリシーをデプロイして、デバイスで実行されているアプリとプロセスに関する情報を収集します。 |
|
緩やかに管理されたデバイス: 所有するのは会社ですが、ユーザーはソフトウェアを自由にインストールできます。 デバイスは、organizationのウイルス対策ソリューションやヘルプデスク クライアント管理ツールなど、特定のアプリを実行するために必要です。 |
App Control for Business を使用すると、カーネルを保護したり、署名されたアプリをユーザーが実行したり、Intuneなどの会社のアプリ展開ソリューションによってインストールされたり、管理者のみがファイルを書き込める場所や評判の良いアプリにインストールしたりできます。 |
|
フル マネージド デバイス: 許可されるソフトウェアは、IT 部門によって制限されます。 ユーザーは、より多くのソフトウェアを要求したり、IT 部門が提供するアプリケーションの一覧からインストールしたりできます。 例: 会社が所有するロックダウンされたデスクトップ コンピューターやノート PC など。 |
最初のベースライン App Control for Business ポリシーを確立して適用できます。 IT 部門がより多くのアプリケーションを承認するたびに、アプリのパッケージ化と展開プロセスの一部としてアプリ制御ポリシーを更新できます。 または、アプリ カタログ ファイルを作成して署名し、アプリの依存関係として配布することもできます。 |
|
ワークロードが固定されたデバイス: 毎日同じタスクを実行します。 承認済みアプリケーションの一覧は、ほとんど変更されません。 例: キオスク デバイス、販売時点管理システム、コール センターのコンピューターなど。 |
App Control for Business は完全にデプロイでき、デプロイと進行中の管理は比較的簡単です。 App Control for Business のデプロイ後、承認されたアプリケーションのみを実行できます。 このルールは、App Control によって提供される保護が原因です。 |
| Bring Your Own Device: 従業員は自分のデバイスを持ち込むことが許可されており、それらのデバイスを業務以外で使用することもできます。 | ほとんどの場合、App Control for Business は適用されません。 代わりに、Microsoft Intune などの MDM ベースの条件付きアクセス ソリューションを使用した他の強化されたセキュリティ機能を検討してください。 ただし、これらのデバイスに監査モード ポリシーを展開するか、ブロックリストのみのポリシーを使用して、organizationによって悪意のある、または脆弱と見なされる特定のアプリまたはバイナリを防ぐことができます。 |
| "ダーティ" システム: 既に使用されているシステムにアプリ制御ソリューションを導入することは、アプリをまだインストールしていない新しいデバイスに適用する場合よりもはるかに困難です。 場合によっては、一部のアプリがorganizationによって望ましくない可能性がある場合でも、生産性を維持するためにトレードオフを行う必要があります。 | スクリプトを使用してアプリ制御ポリシーを適用すると、組織は、各デバイスをスキャンし、観察されたすべてのバイナリまたはスクリプト ファイルのルールを作成することで、ポリシーを作成できます。 この規則のセットは、新しく構成された新しいデバイスに適用される、より制限の厳しい基本ポリシーを補完するために使用されます。 これにより、以前にインストールしたアプリはすべて動作し続けますが、今後のすべてのインストールは、新しく適用されたアプリ制御ルールを組織に渡す必要があります。 |
Lamna Healthcare Company の概要
次の一連の記事では、Lamna Healthcare Company という架空の会社を使用して、テーブル内のようなシナリオを処理するためのポリシーについて説明します。
Lamna Healthcare Company (Lamna) は、米国で運営されている大規模な医療プロバイダーです。 Lamna は、医師や看護師から会計士、社内弁護士、IT 技術者まで、何千人もの人々を雇用しています。 デバイスのユース ケースはさまざまであり、専門スタッフ用のシングル ユーザー ワークステーション、患者の記録にアクセスするために医師や看護師が使用する共有キオスク、MRI スキャナーなどの専用医療機器などが含まれます。 さらに、Lamnaは、プロのスタッフの多くのためのリラックスした持ち込みデバイスポリシーを持っています。
Lamna は、Configuration ManagerとIntuneの両方でハイブリッド モードでMicrosoft Intuneを使用します。 Microsoft Intuneを使用して多くのアプリケーションを展開していますが、Lamna では、個々のチームと従業員が自分のワークステーションでの役割に必要と思われるアプリケーションをインストールして使用できるようになりました。 また、Lamna は最近、エンドポイントの検出と応答を向上させるためにMicrosoft Defender for Endpointを使用し始めました。
最近、Lamna は、高価な回復プロセスを必要とするランサムウェア イベントを経験し、未知の攻撃者によるデータ流出が含まれている可能性があります。 攻撃の一部には、Lamna のウイルス対策ソリューションによる検出を回避したが、アプリ制御ポリシーによってブロックされていた悪意のあるバイナリのインストールと実行が含まれていました。 これに対し、Lamna の執行委員会は、アプリケーションの使用に関するポリシーの厳格化や App Control の導入など、多くの新しいセキュリティ IT 対応を承認しました。
次へ
次に、 スマート アプリ コントロール の "信頼の輪" を出発点として、最初のポリシーを作成しましょう。
または、必要に応じて次の手順を実行します。