アプリコントロール構成

アプリコントロール構成には、エンドポイントを管理するためのルール設定が含まれています。構成ファイルは、管理対象のエンドポイント上にインストールされ、アプリコントロールエージェントがファイル実行要求の処理方法を評価するためのポリシーチェックリストとして機能します。ファイルが実行されると、アプリコントロールは要求をインターセプトし、構成のチェックを実行して、適切な突き合わせルールと、講じるべき必要なアクションを見つけます。構成内で指定されている他の既定のポリシー (メッセージ通知をどのように表示するかなど) も適用されます。

構成を作成または変更した後は、その構成を保存して公開する必要があります。その構成を任意のポリシーに割り当てることができ、配布プロセスが開始されると構成の状態がアクティブに変わり、正常に配布された場合は、エンドポイント上でルールが有効になります。

セキュリティレベル

構成のセキュリティレベルが、エンドポイント上の制限のレベルを決定します。使用できるレベルは次のとおりです。

制限なし: どのアプリケーションにも制限はありません。すべてのアクティビティが許可されます。これは、アンインストールせずにアプリコントロールを一時的に無効化したい場合に役立つ可能性があります。
監査のみ: 既定の設定です。どのアプリケーションにも制限はありませんが、すべての信頼できる所有権と、構成ポリシーおよびルールの突き合わせアクティビティがログに記録され、アプリコントロールで報告されます。
制限: 制限は、構成ルールによって決まります。特定のアプリケーション、ユーザ、グループ、デバイスに対して、アクティビティを制限できます。

構成の既定の設定

管理対象のエンドポイントにエージェントポリシーと構成をインストールするとすぐに、アプリコントロールがセキュリティを管理できる状態になります。新しい構成を作成すると、その構成をすぐに、カスタマイズせずに使用できます。構成のセキュリティレベルが [制限] に設定されている場合、その構成は、ポリシー保護の既定の設定とともに、信頼できない所有者のファイルをブロックし、ネットワークロケーションやリムーバブルメディアなどの安全ではない場所で非管理者ユーザが実行ファイルにアクセスすることを防止します。

ポリシー保護の既定の設定

アプリケーションとプロセスの実行要求はすべて、アプリコントロールのルールと照合されてから、アクセスが許可されます。
ローカル管理者グループのメンバーは、アプリケーションに対する無制限のアクセスが付与されます。
CMD に明示的な拒否ルールがある場合、CMD は、許可されたバッチファイルを実行する場合を除き、ブロックされます。
MSI、WSH、Java アーカイブ、レジストリファイルは、アプリコントロールルールと突き合わせて検証されます。
許可されているインストールは、インストールプロセスの一部として実行されるすべての exe および dll の実行が許可されます。
管理者も非管理者ユーザも、アプリコントロール構成のファイルを直接エンドポイント上で読み取り、コピー、編集、削除することは阻止されます。

構成の状態

公開: 構成は公開処理中です。
公開済み: 構成は保存され公開されています。エージェントポリシーへの割り当てに使用できます。
公開失敗: 構成の公開に失敗しました。
割り当て済み: 構成はエージェントポリシーに割り当てられています。
アクティブ: 構成はエージェントポリシーに割り当てられており、エンドポイントへの配布プロセスが開始されています。
非公開: 構成は非公開中です。
非公開済み: 構成は非公開となりました。
非公開失敗: 構成の非公開に失敗しました。
以前に公開済み: 構成は置き換えられています。

アラート

アラートは、次の警告のいずれかを対象とします。

ポリシーに関連付けられた構成がスキーマの更新を要求している。
構成に関連付けられたポリシーに、誤って設定された再起動設定が含まれている。 [エージェントポリシー設定] で [必要時に再起動を要求] を選択する必要があります。

スキーマ

あるバージョンの構成がスキーマの更新を要求していると、[アラート] 列にアラートが表示されます。アイコンをクリックすると、警告バナーを含む [構成の編集] ページが表示され、スキーマの更新が必要であることを知らせます。 [スキーマを更新] をクリックすると、[スキーマを更新] ダイアログが表示されますので、[スキーマを更新] をクリックします。

構成を編集し、スキーマを更新せずに下書きを保存することはできますが、スキーマが更新されるまでは構成を保存して公開することはできません。

構成の作成

アプリコントロール構成を作成するには:

[アプリコントロール] > [構成] に移動します。
[構成] ページが表示されます。
[構成を作成] をクリックします。
[新規構成] ページが表示されます。
構成の [名前] を入力します。任意で、説明を入力します。
[セキュリティレベル] を設定して、ユーザ、グループ、デバイスに対してどのようなレベルの制限を構成ルールに持たせるかを決定します。
構成を既定の [セキュリティレベル]である[監査のみ] に設定したままにすることを選択できます。これにより、構成を受け取るエンドポイント上の信頼できる所有権を有効にします。
または、[セキュリティレベル] を [制限] に設定し、「許可」、「拒否」、「昇格」、および「信頼できるベンダ」ルールを使用してエンドポイント上でのアプリケーションの使用をコントロールするためのルールを作成し、さらに任意で、アプリコントロールがアプリケーションの起動を阻止した場合にエンドユーザに対して表示するアプリコントロールメッセージの設定をカスタマイズできます。構成ルールの作成の詳細については、「構成ルール」をご参照ください。
[作成] をクリックして構成を保存します。
[構成の編集] ページが表示されます。
[新しいルールを追加] をクリックして、構成へのルールの組み込みを開始することで、特定の項目が許可されるのか、拒否されるのか、昇格されるのか、あるいは信頼できるベンダに属するのかを決定します。ルールの作成の詳細については、「構成ルール」をご参照ください。
[設定] タブをクリックして、構成のメッセージ設定、詳細設定、監査設定を構成します。設定の詳細については、「構成設定」をご参照ください。
[保存] をクリックして構成の下書きを作成するか、[保存して公開] をクリックして構成のこのバージョンを保存します。
構成をエンドポイントに配布できるように、ポリシーへの割り当てに使用できるようにするには、構成を公開する必要があります。
構成が構成表にリストされます。

アクション

この表には、アーカイブされていない構成がすべてリストされます。各構成に対して以下のアクションを利用できます。

表示: 構成を表示する場合に選択します。
編集: 構成を編集する場合に選択します。現在のバージョンは下書きとして保存され、どのバージョンも変更されないままとなります。下書きが存在しない場合は、最新バージョンから新しい下書きが作成されます。 [公開] 状態にある構成には使用できません。
下書きを公開: 下書きを公開する場合に選択します。これがバージョン1となり、以降、下書きが公開されるたびにバージョン番号が上がっていきます。下書きがある構成のみに使用できます。
非公開: 構成の最新バージョンを非公開にする場合に選択します。 [公開済み] 状態にあり、かつポリシーに割り当てられていない構成のみに使用できます。非公開バージョンは、エージェントポリシーでの選択には利用できません。
アーカイブ: 構成をソフト削除する場合に選択します。構成は利用できなくなり、取得できなくなります。下書きの場合にのみ、または最新バージョンが [非公開] である場合にのみ使用できます。

構成の表示

構成を表示するには、[アプリコントロール] > [構成] に移動します。構成の [名前] をクリックするか、[アクション] 列でアイコンをクリックした後、[表示] を選択します。

[ルール] と [設定] を表示できるほか、次の2つのタブもあります。

履歴

構成の全バージョンのリスト、バージョンの作成者、およびバージョンの状態を表示します。

ポリシー

構成が関連付けられているエージェントポリシーの数と、構成が既に配布されているエージェントエンドポイントの数を表示します。

関連付けられているポリシーの名前がリストされます。アイコンは、ポリシーの再起動エクスペリエンスが正しく構成されていないことを示しています。アプリコントロールは、[エージェント自動更新] が [必要時に再起動を要求] に設定されていることを要求します。「エージェント自動更新」をご参照ください。

関連付けられているポリシーを表示するには、目的のポリシーの [アクション] 列でアイコンを選択し、[表示] を選択します。[エージェント] > [エージェントポリシー] > [エージェントポリシー] ページが表示されます。ここから、アプリコントロール機能を表示し、関連付けられているアプリコントロール構成と、再起動設定を編集できます。

アプリ コントロール構成

セキュリティ レベル