許可された項目
このセクションの内容
許可された項目
許可された項目をグループ ルールに追加し、フル管理者権限を付与せずに、特定の項目へのアクセスをユーザに付与します。許可された項目は、選択したグループ ルールの下の許可された項目リストに表示されます。
ファイル
myapp.exe などのファイル名のみが指定される場合、アプリケーションの場所に関係なく、このすべてのインスタンスが許可されます。ファイルが \\servername\sharename\myapp.exe などの完全パスで指定されている場合、アプリケーションのこのインスタンスのみが許可されます。このアプリケーションの他のインスタンスは、実行が付与されるために、他の Application Manager ルールを満たす必要があります。DFS 共有で項目を参照する Application Manager のファイルとフォルダの場合、UNC パスの名前空間サーバではなく、ターゲット サーバを指定する必要があります。
詳細については、「分散ファイル システム」をご参照ください。
フォルダ
\\servername\servershare\myfolder などの完全なフォルダを指定できます。このフォルダ内のすべてのアプリケーション、およびすべてのサブフォルダ (必要な場合) は実行が許可されます。フォルダ内のファイルに対するチェックは行われないため、このフォルダにコピーされるファイルはすべて実行が許可されます。[サブディレクトリを含める] を選択すると、指定されたディレクトリの下にあるすべてのディレクトリが含まれます。ネットワーク ファイルまたはフォルダ パスを追加する場合は、UNC 名を使用する必要があります。Application Manager エージェントは、ドライブ文字がローカルの固定ディスクではない構成されたパスを無視します。ユーザはネットワーク マッピングされたドライブ文字を使用してネットワーク アプリケーションにアクセスできます。パスは、構成設定に対して検証される前に、UNC 形式に変換されます。環境変数を自動的に適用するには、[ファイルの追加] または [フォルダの追加] ダイアログで、[可能な場合は環境変数を代入する] を選択します。これにより、別のコンピュータで適用するためにパスがより汎用的になります。ワイルドカード サポートは、汎用ファイルパスを指定するための制御を強化します。
ドライブ
W などの完全なドライブを指定でき、サブフォルダを含むこのドライブのすべてのアプリケーションの実行が許可されます。ドライブのファイルに対するチェックは行われないため、このドライブのフォルダにコピーされたファイルはすべて実行が許可されます。
署名項目
ファイルは、ファイルのデジタル ハッシュとともに追加することができます。これにより、すべての場所から、特定のファイルのみを実行できることが保証されます。詳細については、「署名ハッシュ」をご参照ください。
ネットワーク接続項目
ネットワーク接続項目を指定できます。ネットワーク上のすべてのファイルの実行が許可されています。
Windows Store
許可される Windows Store アプリを選択します。次のいずれかを選択できます。
- すべてのインストールされたアプリケーションを許可する
- 選択した個別のアプリケーションを許可する
- 指名された発行元のすべてのアプリケーションを許可する
グループ
グループには、特定のアプリケーションのファイル、フォルダ、ドライブ、署名、ネットワークなど、任意の数と組み合わせの項目を含めることができます。すべてのファイルの実行が許可されています。
許可された項目を追加
- [ルール] > [グループ] > [すべてのユーザ] で許可された項目を選択します。
- [項目の追加] をクリックし、ドロップダウン矢印から [許可] を選択します。
-
ファイルなどの許可する項目を選択します。
[ファイルの追加] ダイアログが表示されます。
-
許可するファイルを入力または参照します。
[可能な場合は環境変数を代入する] チェックボックスは既定で選択されています。選択されていない場合は、環境変数は、汎用環境変数で置換されません。
- 該当する場合、[説明] フィールドに、許可された項目に関連する詳細を入力します。
- 所有者に関係なくファイルを実行する場合は、[信頼できる所有者が所有していない場合でもファイルの実行を許可する] を選択します。
- [イベント フィルタリング] の設定に関係なく、この項目のすべてのイベントを取り込む場合には、[監査イベント フィルタリングを無視する] を選択します。
選択した項目は、許可された項目作業領域に追加されます。
特定のルール項目を無効にする場合は、項目をハイライト表示して右クリックし、[状態の変更] を選択します。無効と有効が切り替わります。これは、サポートによるトラブルシューティングが必要なときに役立ちます。
許可された項目を削除
- [ルール] > [グループ] > [すべてのユーザ] で許可された項目を選択します。
- 削除する項目をハイライトします。
-
[ルール項目] リボンで、[項目の削除] をクリックします。
[項目の削除] ダイアログが表示されます。
- [はい] をクリックして項目を削除するか、[いいえ] をクリックしてタスクを中断します。
選択したアプリケーションは、許可された項目作業領域に追加されます。
アクセス時間
アクセス時間では、特定のアプリケーションを実行できる日時を指定し、グループ、ユーザ、デバイス、カスタム スクリプト、プロセス ルールの許可された項目に適用できます。アクセス期間は、許可された項目を追加するときに、[アクセス時間] タブの [特定のアクセス時にのみファイルの実行を許可する] オプションをオンにしたときにのみ割り当てることができます。[ルール項目] リボンから [アクセス時間] オプションを使用して、時間を修正できます。ファイル、フォルダ、署名の許可された項目のアクセス時間を追加できます。
アクセス時間の割り当て
このタスクでは、アクセス時間を許可された項目に追加する方法を説明します。
-
[ルール] > [グループ] > [すべてのユーザ] で [許可された項目] ノードを選択します。
この例では、すべてのユーザ グループを使用します。これは、選択するグループによって異なります。
- [項目の追加] をクリックし、ドロップダウン矢印から [許可] を選択します。
-
ファイルなどの許可する項目を選択します。
[ファイルの追加] ダイアログが表示されます。
- 許可するファイルを入力または参照します。
- [アクセス回数] タブで、[特定のアクセス時にのみファイルの実行を許可する] を選択します。
- 項目がアクセスできる日時を右クリックし、[新しい許可された期間] を選択します。上記の手順を繰り返し、他のアクセス回数を追加します。
- 許可される期間を選択し、[追加] をクリックします。
アプリケーション制限
アプリケーション制限では、セッション中にユーザがアプリケーションを実行できる回数を指定できます。許可された項目を追加または編集するときに [アプリケーション制限] タブの [アプリケーション制限を有効にする] オプションをオンにすると、制限を構成できます。項目をルールに追加した後、[ルール項目] リボンから [アプリケーション制限] オプションを使用できます。セッションに基づくアプリケーション制限は、グループ、ユーザ、デバイス、カスタム、スクリプト、およびプロセス ルールの許可された項目にのみ適用できます。[グローバル設定] リボンからアクセスできる [メッセージ設定] ダイアログを使用して、時間制限を超過したときにユーザに表示するメッセージを構成できます。
アプリケーション制限の適用
-
[ルール] > [グループ] > [すべてのユーザ] で許可された項目を選択します。
この例では、すべてのユーザ グループを使用します。
- [項目の追加] をクリックし、ドロップダウン矢印から [許可] を選択します。
-
ファイルなどの許可する項目を選択します。
[ファイルの追加] ダイアログが表示されます。
- 許可するファイルを入力または参照します。
- [アプリケーション制限] タブで、[アプリケーション制限を有効にする] を選択します
- アプリケーション制限を選択します。
- 追加 をクリックします。
許可された項目と信頼できる所有権
既定では、信頼できる所有権チェックが有効であるため、アプリケーションが許可された項目である場合でも、有効な場合には、信頼できる所有権チェックに常に合格する必要があります。信頼できる所有権チェックは完全に無効にできますが、推奨されません。ただし、信頼できるユーザが所有していないファイル、フォルダ、グループへのアクセスをユーザに付与する必要がある場合は、[信頼できる所有者が所有していない場合でもファイルの実行を許可する] をオンにして、項目を作成または編集するときに、信頼できる所有権チェックを無効にできます。