2012/11/01

Windows 8: グループポリシーで Windows Store へのアクセスを制御する

今後、企業で Windows 8 の導入が進むと、必ず管理者のニーズとして挙がってきそうなのが、Windows Store アプリへの対応だと思われます。

企業ポリシーによっては Windows Store アプリ の実行を制御 (AppLocker) する必要があるでしょうし、そもそも Windows Store へのアクセスを制御する場合もあると思います。
グループポリシーを使って Windows Store へのアクセスを制御する方法について書いておきます。

グループポリシーを使うので、当然、制御対象の Windows 8 はドメインに参加しておく必要があります。
鉄則に従い、グループポリシーの管理は 管理対象のWindows 上で行う必要があるので、管理用の Windows 8 端末上に ”Windows 8 用のリモート サーバー管理ツール” (RSAT for Windows 8) をインストールします。

Windows 8 用のリモート サーバー管理ツール 
http://www.microsoft.com/ja-jp/download/details.aspx?id=28972

インストール後、[管理ツール] から [グループポリシーの管理] を開きます。 
aAppStoreOff17

適当な グループポリシーオブジェクト を選択して [編集] を開き、[グループ ポリシー管理エディター] を起動します。

[コンピューターの構成] – [管理テンプレート] – [Windows コンポーネント] – [ストア] を開くと、右ペインに 「ストア アプリケーションをオフにする」という項目が出てくるので、この設定を 未構成 から 有効 に変更することで、Windows Store へのアクセスを制御することが可能です。
aAppStoreOff18

[ユーザーの構成] でも設定可能ですが、ユーザーの構成の場合、「ストア アプリケーションをオフにする」項目しか無く、「更新プログラムの自動ダウンロードをオフにする」 と 「Windows To Go ワークスペースへのアプリのインストールをストアに許可する」 の2項目がありません。


グループポリシーが適用されたユーザーが ストアアプリ を起動しようとすると、このようになります。
AppStoreOff02

なお、Windows Server 2012 の ドメインコントローラー で同じ制御をおこなう場合、Windows Server 2012 には上記の ストア を管理する管理テンプレート(ADMX)が含まれていない為、グループポリシー管理エディターに [ストア] が表示されません。
aAppStoreOff07

※ 「ストア アプリケーションをオフにする」項目は Windows Server 2012 でもサポートされるのに・・・
aAppStoreOff16

念のため、”%System Root"%\PolicyDefinitions”の中にある管理テンプレート(ADMX)を、Windows Server  2012 と Windows 8 で比較してみましたが、[ストア]のテンプレートである WinStoreUI.admx が Windows 8 にしか含まれていない事が確認できました。
aAppStoreOff09

■ Windows Server 2012 のみにある管理テンプレート
adfs.admx
GroupPolicyPreferences.admx
GroupPolicy-Server.admx
MMCSnapIns2.admx
NAPXPQec.admx
PswdSync.admx
ServerManager.admx
Snis.admx
TerminalServer-Server.admx
WindowsServer.admx

■ Windows 8 のみにある管理テンプレート
DeviceRedirection.admx
EnhancedStorage.admx
hotspotauth.admx
sdiagschd.admx
ShapeCollector.admx
WinStoreUI.admx

よって、Windows Server 2012 / Windows 8 に対して、Windows Store へのアクセスを制御する為には、Windows 8 から RSAT でグループポリシーを編集するか、Windows 8 の WinStoreUI.admx 管理テンプレート を Windows Server 2012 にコピーする必要があります。

もちろん、上記よりも管理面も考慮してグループポリシーの 中央ストア を使うというのが一番理想です。

グループポリシーの中央ストアの構築手順を復習がてら記載しておきます。
1. ドメインコントローラ の “%SystemRoot%\sysvol\domain\policies” に “PolicyDefinitions” フォルダを作成
2. 作成したフォルダにWindows Server 2012 / Windows 8 の “PolicyDefinitions” フォルダを 言語ファイル(ADML) は含まれるフォルダごとコピー
後は、各ドメインコントローラに自動的にレプリケーションされ、管理テンプレートがドメイン内で統一されます。詳しい手順は下記のTechNetを参照ください。

グループ ポリシー管理での ADMX ファイルの使用に関するステップ バイ ステップ ガイド
http://technet.microsoft.com/ja-jp/library/cc709647(v=ws.10).aspx

参考情報:
英語ですがグループポリシーの一覧が記載されたExcelファイルがダウンロード可能になっています。
Group Policy Settings Reference for Windows and Windows Server
http://www.microsoft.com/en-us/download/details.aspx?id=25250

AppLocker での制御動作もまた確認したいと思います。
時刻:
ラベル: ,

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)