- Windows10 Professional/Enterpriseでソフトウェアの制限のポリシーを使ってストアアプリを制御する方法をご紹介します。
Windows10の1607~1809で動作確認済です。
基本的にはAppLockerの時と同じで全体を拒否して許可するアプリのみを許可していく形の設定になります。
設定手順
それでは早速設定をしていきましょう。
1.Windows10に管理者権限でログオンし、ファイル名を指定して実行で「gpedit.msc」を実行しローカルグループポリシーエディターを起動します。
2.[コンピューターの構成]->[Windowsの設定]->[セキュリティの設定]->[ソフトウェアの制限のポリシー]と展開して、右クリックメニューから[新しいソフトウェアの制限のポリシー]を選択します。
3.ソフトウェアの制限のポリシーの下に作成された[追加の規則]の右クリックメニューから[新しいパスの規則]を選択します。
4.新しいパスの規則の画面が表示されるので、パスの欄に[%ProgramFiles%\WindowsApps*]、セキュリティレベルはデフォルトの[許可しない]のまま、説明の欄に[任意の説明]を入力し[OK]をクリックします。
5.規則が追加されたことを確認します。利用を許可したいストアアプリがない場合はこれだけでOKです。
電卓や付箋を許可したい場合は、以降の手順で設定を追加してください。
6.以下、電卓を許可する場合を例に説明します。
3.の操作で[新しいパスの規則]を開きパスの欄に[%ProgramFiles%\WindowsApps\Microsoft.WindowsCalculator*]、セキュリティレベルを[制限しない]に変更、説明の欄に[任意の説明]を入力し[OK]をクリックします。
※ パスの調べ方は『おまけ』で紹介します
7.規則が追加されたことを確認します。
8.ソフトウェアの制限のポリシーは即時反映されるのですが念のため最後にコマンドプロンプトを起動して[gpupdate /force]を実行します。
おまけ
ストアアプリのパスの調べ方です。
PowerShellを起動して以下のコマンドを実行します。
Get-AppxPackage | Sort-Object Name | Select Name,InstallLocation実行結果はこんな感じ。
パスには環境変数や*が使えますのでフルパスで指定してもいいですし、参考手順のように環境変数、*を使ってもどちらでもOKです。
まとめ
先に紹介している 【Windows10】Applockerを使ったストアアプリ制御方法はEnterpriseエディションにしか使えませんが、こちらの設定はProfessionalでも使える方法ですのでProfessionalエディションをお使いの方はこの設定一択です。
検証してわかったことなのですが、AppLockerを設定したことがあるとソフトウェアの制限のポリシーが動かない現象が発生します。
バグと思われますが、結局何回やってもAppLockerを設定したことがあるPCでは、ソフトウェアの制限のポリシーが有効になることはありませんでしたので注意が必要です。
ちなみにADのグループポリシーでももちろん出来ます。
