Windows10 EnterpriseでApplockerを使ってストアアプリを制御する方法をご紹介します。
ProfessionalやHomeエディションでは使えない方法ですのでご注意ください。
Windows10の1803、1809で動作確認済です。
基本的には全体を拒否して許可するアプリのみ例外として登録していく形の設定になります。
設定手順
それでは早速設定をしていきましょう。
1.Windows10に管理者権限でログオンし、ファイル名を指定して実行で「gpedit.msc」を実行しローカルグループポリシーエディターを起動します。
2.[コンピューターの構成]->[Windowsの設定]->[セキュリティの設定]->[アプリケーション制御ポリシー]->[パッケージアプリの規則]と展開します。
3.[アプリケーション制御ポリシー]の右クリックメニューから[既定の規則の作成]を選択します。
4.既定の規則が作成されるので、作成された規則の[プロパティ]を開きます。
5.全般タブ内の操作を[許可]から[拒否]に変更します。
6.続けて、例外タブ内の[追加]をクリックします。
7.[インストール済みのパッケージ化されたアプリを参照として使用する]を選択し、[選択]をクリックします。
※ 選択をクリック後、次の画面が開くまで暫く時間がかかります
8.検索ボックスに[シェル]をと入力し表示された[Windowsシェルエクスペリエンス](パッケージ名:Microsoft.Windows.ShellExperienceHost)を選択し[OK]をクリックします。
9.[OK]をクリックします。
10.[追加をクリックします。
11.7~9の手順で[Cortana](パッケージ名:Microsoft.Windows.Cortana)を追加します。
これが最低限の設定となります。あとは必要に応じて使いたいストアアプリを追加していきます。
参考までによく要望がある設定を記載しておきます。
【参考】
・Windows電卓 -> Microsoft.Windows.Calculator
・Microsoft Sticky Notes(付箋) -> Microsoft.Windows.StickyNotes
・Microsoft Edge -> Microsoft.Windows.Edge
・設定 -> windows.immerservecontrolpanel
最終的に例外登録はこんな感じです。
12.最後にコマンドプロンプトを起動して[gpupdate /force]を実行します。
まとめ
色々調べてるとApplockerはホワイトリスト型で、基本は全拒否だから使いたいストアアプリを許可すればいいとか記載があったのですが、それでは思った動作にならずでした。
そこで色々試した結果、本手順でやりたいことが成功しましたので備忘録として残しました。
ちなみにADのグループポリシーでももちろん出来ますが、Windows10のアプリがアプリケーションの選択に出てこなかったり(設定しているOSから引っ張ってくるため)なので、手動でカスタマイズ登録したりする必要があります。
もしくはWindows10にリモート管理ツールをインストールして設定する方法もあります。
今回Applockerを使ったストアアプリの制御方法をご紹介しましたが、Windows10 Professionalでも使える[ソフトウェアの制限のポリシー]を利用したストアアプリ制御の方が簡単かと思います。
そちらについては別記事にてご紹介します。