Microsoft Storeアプリの起動をIntune構成プロファイルを用いてブロックする
本記事は、【初心者優先枠】corp-engr 情シスSlack(コーポレートエンジニア x 情シス)#2 Advent Calendar 2023の12日目の記事となります。
目的
特定のグループが使用するWin 11 Proに対し、構成プロファイルを用いて制御することになったのですが、色々と迷ったこともあったので忘備録としてまとめます。
免責事項
2023年12月初旬時点の内容です。
自宅の検証環境を用いていますので、Win 10 Proのスクリーンショットの場合があります。
試行錯誤して結果的に成功にたどり着いたこともあるので、本内容を参考とした構成プロファイルの展開は自己責任にてお願いします。
(誤り等あればご指摘いただけると助かります!)
参考にしたもの
1.Github Pages
Microsoft Intune を使用した AppLocker 設定方法
https://jpwinsup.github.io/blog/2022/09/26/UserInterfaceAndApps/AppLocker/AppLocker-Intune/AppLocker-Intune/
2.Microsoft Learn
3.先人の知恵
とりあえずググるのと、情シスSlack、X(旧Twitter)を検索する形です。(ありがたや・・・!)
作業の流れ
前述したGithub Pagesを参照しつつ、検証機等でベースとなるローカルグループポリシーを作成します。
(基本的な操作等はそちらでご確認いただくようお願いします)
その後、Intuneから構成プロファイルを用いてAppLocker CSPを配布する流れとなります。
1.Windowsクライアントで「パッケージアプリの規則」から「既定の規則」を作成
2.Windowsクライアントで「パッケージアプリの規則」から「新しい規則」を作成
3.パッケージアプリの規則を構成済みにする
4.XMLをエクスポート
5.作成したローカルグループポリシーを元に戻す
Intuneから構成プロファイルを展開するので、1〜3で作成したローカルグループポリシーは元の状態に戻しておきます。
6.Intuneで構成プロファイルを作成
Windows 10 以降、テンプレートを選択
カスタムを選択
構成プロファイルの名前などを設定した後、OMA-URIや値の設定を行います。
OMA-URIは以下になります。
./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/Native/StoreApps/Policy
エクスポートしたXMLから値を設定し、パッケージアプリの規則については完了。(値の設定方法についてはGithub Pagesで確認するようにしてください。)
続けて、AllowAppStoreAutoUpdate も構成します。(理由はこちら)
OMA-URIは以下のとおり。
./Device/Vendor/MSFT/Policy/Config/ApplicationManagement/AllowAppStoreAutoUpdate
データ型は「整数」、値は「1」を設定します。
Intune上での設定はできました。
後は割り当てるグループを設定して完了です。
Intuneから同期実行→少し待ってPC再起動なり、デバイスに降ってくるまで一晩置くなりをします。
そうすると・・・
ブロックできました。
ステータスも成功となっていました。
学んだ点
このケースにおいては、実行ファイルの規則の設定は不要
最初は実行ファイルの規則とパッケージアプリの規則の両方を設定し、検証完了としていました。
が、なんとなく違和感があったので改めて検証したところ不要だと理解できました。
試行錯誤しながら/他のタスクと並行していた状況だったので、イマイチ内容を整理できてなかったこともありますが、最終的には気づけたのでよしとします。
Intune上で変更を行った場合は強制同期→5分程度置く→PC再起動することでデバイスにも反映された
上述の手順で割と早めに反映されました。
ただ、今回の目的は構成プロファイルの配布ですし、この部分をしっかり検証したわけでもないので「へぇー」程度に留めておいていただけると幸いです。
ネット上にはピンポイントの情報が転がっていなかった
自分の調べ方が悪いかもですが、意外となかったんですよね。
なので公式ドキュメントを読み解いていきました。
と同時にアウトプットしようとも思ったこともあり、今回のネタにしました。
簡単な内容だったと思いますが、今回は以上となります。
お読みいただきありがとうございました。
検証、楽しかったなあー。
この記事が気に入ったらサポートをしてみませんか?