第18回 Windowsストア・アプリをグループ・ポリシーで管理する:Windows 8レボリューション(1/2 ページ)
Windowsストア・アプリは誰でも簡単にインストールして利用できるのが大きな利点であるが、企業用途には向かないアプリやゲームなども少なくない。それらを禁止したり、許可したものだけを実行させる方法を紹介。
PCを業務用途で使用しているなら、Windowsストア・アプリの実行を禁止したいという要求もあるだろう。業務で活用できるWindowsストア・アプリもあるし、業務用のWindowsストア・アプリを開発し、実行したいこともあるだろう。だがその一方で、ゲームなど、業務用PCにインストールするにはふさわしくないWindowsストア・アプリも少なくない。特に、Windowsストア・アプリは管理者ではなく、一般ユーザー権限であってもインストールできるので(連載第7回「Windowsストア・アプリの導入/管理」参照)、管理者の知らない間に不適切なアプリがインストールされてしまう可能性が高くなっている。
このような事態を防ぐためには、何らかの方法でWindowsストア・アプリのインストールや実行を禁止するとよい。Windows 8やWindows Server 2012にはこのための機能がいくつか用意されている。
- 「ストア」アプリの使用を禁止する
- AppLockerでWindowsストア・アプリの実行を禁止する
- グループ・ポリシーやローカル・ポリシーでWindowsストア・アプリの実行を禁止する
Windowsストア・アプリをインストールするには、「ストア」というアプリを起動して操作する必要があるが、このアプリの実行を禁止すれば、ユーザーは新しいアプリをインストールできなくなる。まずはこの方法について解説する。次のページではAppLockerで禁止する方法を述べる。3番目のグループ・ポリシーやローカル・ポリシーでWindowsストア・アプリの実行を禁止する方法は、技術的には不可能ではないが、AppLockerの方が機能も柔軟性も高いので、使うことはないだろう。よって本稿では扱わない。
アプリの実行を禁止するにはポリシーを利用する
ここで説明する2種類のアプリ実行禁止の設定には、どちらもグループ・ポリシーあるいはローカル・ポリシーを利用する。そのためにWindows 8やWindows Server 2012では、従来のWindows OSと比較すると、新しいグループ・ポリシー・オブジェクト(GPO)がいくつか追加されている。これらのOSで利用できるGPOの一覧については以下のドキュメントを参照していただきたい。
- Group Policy Settings Reference for Windows and Windows Server[英語](マイクロソフト・ダウンロード・センター)
追加されたGPOの中に「ストア アプリケーションをオフにする(Turn off the Store application)」という項目があり(「コンピューターの構成」と「ユーザーの構成」の両方にある)、これをオンにしておくと「ストア」アプリが利用できなくなる。設定方法は次の通りである。
ワークグループ構成で「ストア」アプリの実行を禁止する方法
ワークグループ構成のコンピュータの場合は、1台ずつ設定を変更する必要がある。管理者権現のあるアカウントでサインインし、「ファイル名を指定して実行」コマンドで「gpedit.msc」を実行する。するとローカル・グループ・ポリシー・エディタが起動するので、ローカル・コンピュータ・ポリシーのツリーから[コンピューターの構成]−[管理用テンプレート]−[Windows コンポーネント]−[ストア]を開く。
「ストア」アプリの利用を禁止するグループ・ポリシー項目(1)
グループ・ポリシーで、「ストア」というWindowsストア・アプリの利用を禁止できる。これはローカル・コンピュータのグループ・ポリシー項目を編集しているところ。ドメインのグループ・ポリシーで設定すれば、ドメイン全体で禁止できる。
(1)ローカル・コンピュータ・ポリシーのツリーにある、[コンピューターの構成]−[管理用テンプレート]−[Windows コンポーネント]−[ストア]を開く。
(2)この項目をダブルクリックする。
デフォルトではこの項目は「未構成」になっているので、これを「有効」に変更して、[適用]ボタンをクリックする。
この例ではローカル・ポリシーを変更しているので、[適用]ボタンをクリックすると、すぐに「ストア」アプリが利用できなくなる(グループ・ポリシーの場合は、グループ・ポリシーが適用されるまでにいくらか時間がかかる)。
設定変更後、「スタート」画面に戻って「ストア」アプリのタイルをクリックすると、アプリは起動するものの、すぐに次のような画面が表示され、「ストア」アプリが利用できないことが分かるだろう。
「ストア」アプリを禁止した場合の起動画面
GPOの設定変更後、「スタート」画面から「ストア」アプリを起動しようとすると、このようなメッセージが表示され、利用できなくなっている。正確には、「ストア」アプリは起動するものの、このようなメッセージが表示され、何も操作できない。
ドメインのグループ・ポリシー設定で「ストア」アプリの実行を禁止する方法
Active Directoryドメインに参加している場合は、グループ・ポリシーでOU単位ごとにまとめて設定を変更できる。ドメインに参加しているWindows 8 Enterprise/ProもしくはWindows Server 2012でグループ・ポリシーの管理ツールを開き、さきほどと同じ項目の設定を変更すればよい(Windows 7やWindows Server 2008 R2などのOSからではGPO項目が不足しているので設定できない)。ただし少し注意するべき点がある。
Windows 8から操作する場合
Windows 8はクライアント向けOSであるため、グループ・ポリシーの管理ツールのようなサーバ向けの管理ツールはデフォルトでは用意されていない。そのため、まずサーバ管理ツール(Remote Server Administration Tools:RSATツール)のインストールを行う必要がある。Windows 8向けのサーバ管理ツールは次の場所からダウンロードできる。
- Windows 8 用のリモート サーバー管理ツール(マイクロソフト・ダウンロード・センター)
アーキテクチャに応じて、32bit版(x86)か64bit版(x64)のいずれかをダウンロードしてインストールし、指示に従ってシステムを再起動しておく。
ドメインの管理者アカウントでサインインして、「スタート」画面で右クリックし、「すべてのアプリ」を選択して、インストールされているアプリをすべて表示させる。すると「サーバー マネージャー」というタイルが追加されているはずなので、これをクリックしてサーバ・マネージャを起動する。これはWindows Server 2012ではデフォルトで起動するようになっているサーバ用管理ツールである。使い方についてはWindows Server 2012連載の第2回「新しいサーバ・マネージャの使い勝手を計る」を参照していただきたい。
サーバ・マネージャの起動画面の右上にある「ツール」メニューから「グループ ポリシーの管理」を選択して、グループ・ポリシーの管理ツールを起動する。これ以外にも、コントロール・パネルの「システムとセキュリティ」グループにある「管理ツール」アイコンから、「グループ ポリシーの管理」を起動してもよいだろう。
グループ・ポリシー管理ツール
グループ・ポリシー管理ツールを起動して、ドメインのグループ・ポリシーを選択し、ポップアップ・メニューから[編集]を選んでグループ・ポリシーを編集する。
(1)このデフォルトのドメイン・ポリシーを編集してみる。
(2)ポリシーを選んで[編集]を実行する。
グループ・ポリシー管理ツールが起動したら、設定したいグループ・ポリシーを選んで[編集]メニューを起動する。すると「グループ ポリシー管理エディタ」が起動するので、先ほどの例と同じく、[コンピューターの構成]−[ポリシー]−[管理用テンプレート]−[Windows コンポーネント]−[ストア]を開く。そして右側のペインに表示されている「ストア アプリケーションをオフにする」の設定を「未構成」から「有効」に変更すればよい。設定変更後、必要なら「gpupdate /force」コマンドですぐに設定変更を反映させる(TIPS「gpupdateでグループ・ポリシーの適用を強制する」参照)。
Windows Server 2012の場合
通常グループ・ポリシーの管理はWindows Server 2012上で行うことが多いだろうが、デフォルトのままのWindows Server 2012では、ここで説明しているGPO項目が表示されない。[Windows コンポーネント]の下に[ストア]という項目が表示されないのである。この項目は、実際には「WinStoreUI.admx」というポリシー・テンプレート・ファイルで定義されているのだが、デフォルトではWindows 8にしかインストールされていないからだ。デフォルト状態のWindows Server 2012ではWindowsストア・アプリは利用できないので、このテンプレート・ファイルもインストールされていない。
これを解決するには、テンプレート・ファイルを「%SYSTEMROOT%\PolicyDefinitions」フォルダ以下にコピーしておけばよいが(連載Vistaの地平 第11回「機能が向上したWindows Vistaのグループ・ポリシー」参照)、それ以外にも、Windows Server 2012にWindowsストア・アプリの実行環境をインストールしてしまうという方法もある。具体的な手順についてはTIPS「Windows Server 2012でWindowsストア・アプリを利用する」を参照していただきたいが、基本的にはWindows Server 2012に「デスクトップ エクスペリエンス」機能を追加するだけで、Windowsストア・アプリの実行環境や必要なポリシー・テンプレート・ファイルなどがインストールされる。
Windows Server 2012に機能を追加するには、サーバ・マネージャの起動画面の右上にある[管理]メニューで「役割と機能の追加」を選択し、次のような機能を選択してインストールする。
Windows Server 2012にWindowsストア・アプリの実行環境を追加する
これは役割と機能の追加ウィザードの画面。Windows Server 2012でWindowsストア・アプリを実行できるようにするには、「デスクトップ エクスペリエンス」機能を追加すればよい。
(1)インストールする「機能」の選択画面。
(2)グループ・ポリシー管理ツールを利用するにはこれをオンにする。
(3)これをインストールすると、Windows Server 2012でもWindowsストア・アプリが利用できる。
(4)これをインストールすると、リモートのサーバを管理できる。
Windows Server 2012にデスクトップ・エクスペリエンス機能を追加すると、Windows 8の場合とは違い、スタート画面には「ストア」のタイルだけが追加される。必要なアプリはすべてWindowsストアから個別にダウンロードしてインストールしなければならない(詳細は前掲のTIPS参照)。
以上の操作が終われば、ポリシー・テンプレート・ファイルもコピーされているので、グループ・ポリシー管理エディタの画面には「ストア」という項目が表示されるはずである。
Copyright© Digital Advantage Corp. All Rights Reserved.