カスタム設定を使用して Windows 10 または 11 デバイスでアプリをブロックする

この機能に対応しているエディション: Frontline Starter、Frontline Standard、Frontline Plus、Business Plus、Enterprise Standard、Enterprise Plus、Education Standard、Education Plus、Endpoint Education Upgrade、Enterprise Essentials、Enterprise Essentials Plus、Cloud Identity Premium。  エディションを比較する

Windows デバイス管理を使って組織内の Windows デバイスを管理する場合、Google 管理コンソールでカスタム設定を追加することで、そのデバイスで使用できるアプリを制限できます。アプリの指定は、カスタム設定の値としてアップロードする XML ファイルで行います。アプリを個別にブロックしたり、特定のファイル形式(EXE ファイルや MSI ファイルなど)に一致するアプリファイルをブロックしたりできます。

ステップ 1: 許可するアプリとブロックするアプリを XML ファイルで指定する

XML ファイルを作成するには、PowerShell のコマンドラインまたは Windows グループ ポリシー エディタの GUI を使用します。ここでは 1 つのポリシーを作成する方法を示しますが、同じファイル形式を持つアプリの複数の関連ポリシーを 1 つの XML ファイルにまとめることもできます。をご覧ください。

重要: 異なる形式のアプリファイル(EXE、MSI、Script、Appx、DLL)をブロックするには、形式ごとにカスタム設定を作成する必要があります。

オプション 1 - コマンドライン(PowerShell)

  1. オンラインの GUID 生成ツールを使用して、ランダムな GUID を取得します。ヒント: 検索エンジンで「online GUID generator」を検索します。
  2. 特定のアプリをブロックする場合は、そのアプリの情報を取得します。特定のファイル形式のアプリをすべてブロックする場合、この手順は省略できます。
    1. Windows デバイスで、ブロックまたは許可するアプリの実行可能ファイル(末尾が .exe のファイル)をダウンロードします。
    2. PowerShell を開きます。
    3. コマンド Get-AppLockerFileInformation -path PathToExe | format-list を実行します。PathToExe は、実行可能ファイルのパスです。
    4. レスポンスで Publisher の行を見つけて、値を記録します。値は次の形式を持ち、XML で使用する値に対応します。

      PublisherNameProductNameBinaryName,BinaryVersion

      発行元の名前は長い文字列(O=MICROSOFT CORPORATION, L=REDWOOD, S=WASHINGTON, C=US など)ですが、文字列全体を含める必要があります。

  3. 次の XML をテキスト エディタにコピーします。

    <RuleCollection Type="Type" EnforcementMode="Enabled">
    <FilePublisherRule Id=GUID Name=PolicyName Description=PolicyDescription UserOrGroupSid=UserOrGroupSid Action=[Allow|Deny]>
    <Conditions>
    <FilePublisherCondition PublisherName=PublisherName BinaryName=BinaryName ProductName=ProductName>
    <BinaryVersionRange HighSection=latestVersion LowSection=earliestVersion />
    </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    </RuleCollection>

  4. XML を編集して、プレースホルダをそれぞれの値に置き換えます。複数のポリシーを 1 つのファイルにまとめるなど、特定のユースケースについては、をご覧ください。
    プレースホルダ

    アプリのファイル形式(OMA-URI と一致する必要があります):

    • EXE ファイルの場合は、"Exe" と入力します。
    • MSI ファイルの場合は、"Msi" と入力します。
    • スクリプト ファイルの場合は、"Script" と入力します。
    • DLL ファイルの場合は、"Dll" と入力します。
    • Microsoft Store アプリの場合は "Appx" と入力します。
    GUID 手順 1 で生成した GUID。
    PolicyName ポリシーの名前。任意の文字列を使用できます。
    PolicyDescription ポリシーの説明
    UserOrGroupSid ポリシーの適用先となるユーザーまたはグループ:
    • デバイスを使用しているすべてのユーザーにポリシーを適用するには、「S-1-1-0」と入力します。
    • 特定のユーザーにポリシーを適用するには、そのユーザーの SID を入力します。SID を取得するには、コマンドラインで次のコマンドを実行します。

      wmic username get name,sid

      username はデバイスを使用しているユーザーのユーザー名です。ユーザー名がわからない場合は、次のコマンドを実行して、デバイスを使用しているすべてのユーザーのリストを取得します。

      wmic useraccount get name,sid

    • 入力できるユーザー名は 1 つのみです。複数のユーザーにポリシーを適用するには、対象のユーザーをグループに追加するか、ポリシーをコピーして名前を更新します。

    • 特定のグループにポリシーを適用するには、そのグループの SID を入力します。グループの SID を取得するには、コマンドラインで次のコマンドを実行します。

      wmic groupName get name,sid

      groupNamegroupName はデバイスを使用しているグループの名前です。グループの名前がわからない場合は、次のコマンドを実行して、デバイスを使用しているすべてのグループのリストを取得します。

      wmic group get name,sid
    Allow|Deny このポリシーでのアクション(指定したアプリを許可またはブロックする)を選択します。
    PublisherName アプリの発行元の名前(手順 2 の PublisherName)。ワイルドカード(&ast;)を使用できますが、正規表現での一致および接頭辞または接尾辞でのワイルドカードの使用はサポートされていません。
    BinaryName

    バイナリのファイル名(手順 2 の BinaryName)。ワイルドカード(&ast;)を使用できますが、正規表現での一致および接頭辞または接尾辞でのワイルドカードの使用はサポートされていません。

    たとえば、EXE ファイルをすべてブロックするには、「*」と入力し、カスタム設定を追加するときは /EXE/Policy で終わる OMA-URI を選択します。
    ProductName サービスの名前(手順 2 の ProductName)。ワイルドカード(&ast;)を使用できますが、正規表現での一致および接頭辞または接尾辞でのワイルドカードの使用はサポートされていません。
    latestVersion このポリシーの適用先となるアプリの最新バージョン番号。アプリのすべてのバージョンをブロックするには、「&ast;」と入力します。
    earliestVersion このポリシーの適用先となるアプリの最も古いバージョン番号。アプリのすべてのバージョンをブロックするには、「&ast;」と入力します。

  5. ファイルを保存します。

方法 2 - GUI(Windows グループ ポリシー エディタ)

  1. Microsoft の記事で「Generating the XML(XML の生成)」に記載されている手順に沿って操作します。「Creating the Policy(ポリシーの作成)」の節に到達したら、操作を中止します。

    注: XML の生成手順では、デバイスにインストールされているアプリ用のポリシーの作成方法について説明しています。デバイスにインストールされていないアプリ用のポリシーを作成するには、この節の手順 6 で [パッケージ アプリのインストーラーを参照として使用する] を選択します。

  2. XML ファイルを書き出したら、作成したポリシーをグループ ポリシー エディタで削除します。削除しない場合、そのポリシーがデバイスで適用されます。

ステップ 2: カスタム設定を追加する

  1. Google 管理コンソールで、メニュー 次に [デバイス] 次に [モバイルとエンドポイント] 次に [設定] 次に [Windows] の順に移動します。

    アクセスするには、サービスとデバイスの管理者権限が必要です。

  2. [カスタム設定] をクリックします。
  3. [カスタム設定を追加] をクリックします。

  4. カスタム設定を構成します。

    1. [OMA-URI] 欄に「ApplicationLaunchRestriction」と入力し、ポリシー内のアプリのファイル形式に一致する OMA-URI を選択します。

      • EXE ファイルの場合は、./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/EXE/Policy を選択します。
      • Microsoft Store で利用可能なアプリの場合は、./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy を選択します。
      • MSI ファイルの場合は、./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/MSI/Policy を選択します。
      • PowerShell スクリプトの場合は、./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/Script/Policy を選択します。
      • DLL ファイルの場合は、./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/DLL/Policy を選択します。

      詳しくは、Microsoft の AppLocker CSP に関するドキュメントをご覧ください。

    2. OMA-URI の <Enter Grouping> の部分を、各カスタム設定に一意のランダムな英数字の文字列に置き換えます。たとえば、EXE ファイルをブロックするカスタム設定と、MSI ファイルをブロックする別のカスタム設定を追加する場合は、カスタム設定ごとに異なる値を使用します。

    3. OMA-URI を選択すると、[名前] 欄の値が「Policy」に更新されます。カスタム設定のリストで識別しやすいように、一意の名前を入力します。

    4. [データの種類] で [文字列(XML)] を選択し、[XML をアップロード] をクリックして、ステップ 1 で作成した XML 設定ファイルを選択します。

    5. (省略可)カスタム設定のアクションとその適用対象の説明を入力します。

  5. [次へ] をクリックしてカスタム設定の適用先となる組織部門を選択するか、[他にも追加] をクリックして別の設定を開始します。[次へ] をクリックして組織部門を選択するまで、追加のポリシーは組織部門には適用されません。

  6. ポリシーを適用する組織部門を選択します。

  7. [適用] をクリックします。

組織部門のユーザーが Windows デバイスでブロックされたアプリをインストールまたは開こうとすると、「アプリはシステム管理者によってブロックされている」という内容のエラー メッセージが表示されます。

XML ファイルの例

署名済みアプリのみを許可する(無署名アプリをすべてブロックする)

このポリシーを使用すると、ユーザーは署名付きのアプリのみをインストールできるようになります。同時に、OMA-URI で指定されたファイル形式を持つ、無署名のアプリをインストールできなくなります。

任意のファイル形式を持つ無署名のアプリをすべてブロックするには、各ファイル形式のカスタム設定を追加し、値に次の XML を使用します。

注: RuleCollection では、Type はアプリのファイル形式と一致している必要があります。つまり、EXE ファイルの場合は "Exe"、MSI ファイルの場合は "Msi"、スクリプト ファイルの場合は "Script"、DLL ファイルの場合は "Dll"、Microsoft Store アプリファイルの場合は "Appx" となります。FilePublisherRule で、GUID を、オンラインの GUID 生成ツールから取得したランダムな GUID に置き換えます。
<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
     <Conditions>
       <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
         <BinaryVersionRange LowSection="*" HighSection="*" />
       </FilePublisherCondition>
     </Conditions>
   </FilePublisherRule>
</RuleCollection>

特定のアプリをブロックする

アプリをブロックするには、アプリを許可する <FilePublisherRule> セクションと、ブロックするアプリごとに <FilePublisherRule> ブロックを指定する必要があります。

一般的な形式を次に示します。

<RuleCollection Type="Type" EnforcementMode="Enabled">
  <FilePublisherRule...>
    ...allow apps...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for first app to block...
  </FilePublisherRule>
  <FilePublisherRule...>
    ...conditions for second app to block...
  </FilePublisherRule>
</RuleCollection>
 注: RuleCollection では、Type はアプリのファイル形式と一致している必要があります。つまり、EXE ファイルの場合は "Exe"、MSI ファイルの場合は "Msi"、スクリプト ファイルの場合は "Script"、DLL ファイルの場合は "Dll"、Microsoft Store アプリファイルの場合は "Appx" となります。FilePublisherRule で、GUID を、オンラインの GUID 生成ツールから取得したランダムな GUID に置き換えます。

たとえば次のポリシーの場合、ユーザーは「アプリ A」と「アプリ B」のどちらも実行できなくなります。どちらのアプリも EXE 形式です。

<RuleCollection Type="Exe" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
  <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app A" Description="Blocks app A for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Software Company, L=London, C=GB" ProductName="APPLICATION A" BinaryName="APPA.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block app B" Description="Blocks app B for all users" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Solarmora Inc, L=Mountain View, S=California, C=US" ProductName="APPLICATION B" BinaryName="APPB.EXE">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
 </FilePublisherRule>
</RuleCollection>

Windows オペレーティング システムにバンドルされているアプリをブロックする

次の例は、Microsoft のドキュメントに記載されている例に基づき、ユーザーが Windows Mail を使用できないようにします。使用する前に、GUIDGUID を、オンラインの GID 生成ツールから取得したランダムな URL に置き換えてください。

注: このアプリファイルは Microsoft Store アプリであるため、OMA-URI は ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/<Enter Grouping>/AppStore/Policy である必要があります。

<RuleCollection Type="Appx" EnforcementMode="Enabled">
  <FilePublisherRule Id=GUID Name="Allow all signed apps" Description="Allows all users to run signed apps" UserOrGroupSid="S-1-1-0" Action="Allow">
    <Conditions>
      <FilePublisherCondition PublisherName="*" ProductName="*" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
  <FilePublisherRule Id=GUID Name="Block Windows Mail" Description="Blocks all users from using Windows Mail" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePublisherCondition PublisherName="O=Microsoft Corporation, L=Redmond, S=Washington, C=US" ProductName="microsoft.windowscommunicationsapps" BinaryName="*">
        <BinaryVersionRange LowSection="*" HighSection="*" />
      </FilePublisherCondition>
    </Conditions>
  </FilePublisherRule>
</RuleCollection>


Google、Google Workspace、および関連するマークとロゴは、Google LLC の商標です。その他すべての企業名および商品名は関連各社の商標です。