グループポリシーでWindows 10のスタートメニュー、設定、アプリを制御する：企業ユーザーに贈るWindows 10への乗り換え案内（17）（3/3 ページ）

企業では、Windows 10の新しいスタートメニューや「設定」アプリ、「ストア（Microsoft Store）」アプリ、ユニバーサルWindowsプラットフォーム（UWP）アプリへのアクセスを、グループポリシー（およびローカルコンピューターポリシー）を用いて細かく制御することができます。

[山市良，テクニカルライター]

AppLockerで個別のアプリを許可／禁止する（Enterpriseのみ）

　Windows 10 Enterpriseでは、「ストア」アプリと全てのUWPアプリをブロックすることが可能です。Windows 10 Enterpriseでは「AppLocker」を使用して、UWPアプリの許可／禁止を詳細に定義することもできます。AppLockerは、次の場所で構成します。

• コンピューターの構成\Windows の設定\セキュリティの設定\アプリケーションの制御ポリシー\AppLocker

　UWPアプリ（パッケージアプリの規則）の他、実行可能ファイル、Windowsインストーラー、スクリプトの許可または禁止を、発行元やパス、ファイルハッシュなどの条件で細かく構成することができます（画面6）。

画面6　AppLockerを使用した実行可能ファイル（regedit.exe）とゲームアプリ（Microsoft Solitaire Collection）のブロック。ユーザーは許可されたアプリだけを実行できる

　また、AppLockerを実施する前に、監査のみを行い、ポリシーの影響を調査することが可能です。なお、AppLockerが機能するためには、クライアント側で「Application Identity（AppIDSvc）」サービスが実行中である必要もあります。

　Windows 10 Enterpriseでは、UWPアプリやデスクトップアプリケーションを許可／禁止できるものとして、「デバイスガード（Device Guard）」もあります。詳しくは、本連載第10回を参照してください。

• Windows 10に組み込まれた多層かつ高度なマルウェア対策機能（本連載 第10回）

「設定」アプリの項目ごとにアクセスを制御する（バージョン1703以降）

　Windows 10 バージョン1703以降（Proを含む）では、以下のポリシー設定を利用して、「設定」アプリの項目ごとの表示／非表示を制御できるようになりました。

• コンピューターの構成\管理用テンプレート\コントロール パネル\設定ページの表示

　上記のポリシーを有効にし、ポリシーの詳細設定として「showonly:」または「hide:」に続けて以下のドキュメントで説明されている「ms-settings:URIスキーム」のURIをセミコロン（;）区切りで記述します。

• Windows設定アプリの起動（Windowsデベロッパーセンター）

　例えば、次のように記述すると、「ゲーム」カテゴリーの全ての設定を非表示にできます（画面7）。

hide:windowsupdate;gaming-broadcasting;gaming-gamebar;gaming-gamedvr;gaming-gamemode

画面7　「設定ページの表示」ポリシーの設定例。「システム」カテゴリーの「バージョン情報」だけを表示したもの

　また、次のように記述すると、「設定」アプリには「システム」（「バージョン情報」サブページ）だけが表示されます（画面8）。

showonly:about

画面8　「設定ページの表示」ポリシーの設定例。「ゲーム」カテゴリーを非表示にしたもの

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Cloud and Datacenter Management（Oct 2008 - Sep 2016）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』（日経BP社）。