前へ次へ

アプリ禁止ポリシーを設定する

情報漏えいにつながるアプリや、業務と関係ないアプリを禁止します。

注意

ユーザーの業務内容を確認してから設定してください。ユーザーの担当する業務によっては支障をきたす場合があります。

ポイント

アプリ稼働禁止に使えるキーワード一覧をインポートして、複数のキーワードを一括登録できます。詳細は、C9-106「キーワード集」を参照してください。

事前に、ポリシーを作成し、グループを適用しておきます。手順については、ポリシーを設定するを参照してください。

  1. [ポリシー設定]タブの アプリ禁止 をクリックします。
  2. 起動を禁止するアプリを設定します。
    1. 左ペインのツリーでポリシーを選択し、「設定内容の変更」カテゴリーの[アプリ禁止設定]をクリックします。
      「アプリ禁止ポリシー」メニュー
    2. 起動を禁止するアプリを設定します。
      「アプリ禁止設定」画面
      終日禁止

      終日にわたって使用を禁止するアプリを設定できます。

      ポイント

      ストアアプリの禁止は、Windows Server 2012 R2、Windows 11/10/8.1 のクライアントで利用できます。

      • [レジストリ変更(regedit.exe/regedt32.exe)]

        チェックすると、レジストリエディターの起動を禁止できます。regedit.exe/regedt32.exeの起動を禁止します。

      • [アプリインストール(install.exe/setup.exe)]

        チェックすると、アプリのインストールを禁止できます。install.exe/setup.exeの起動を禁止します。

      • [システム構成変更(msconfig.exe)]

        チェックすると、システム構成の起動を禁止できます。msconfig.exeの起動を禁止します。

      • [ストアの利用(WinStore.Mobile.exe/WinStore.App.exe/WinStore)]

        チェックすると、Windowsストアの利用を禁止できます。

      • [任意のアプリを設定する]

        チェックすると、任意のアプリの起動を禁止できます。[プログラム名で設定]または[ハッシュ値で設定]をクリックし、禁止したいアプリの情報を設定します。

      時間帯禁止

      特定の時間帯だけ起動を許可するアプリを設定できます。

      • [特定の時間帯だけ許可する禁止アプリを設定する]

        設定したアプリを特定の時間帯だけ起動できます。[プログラム名で設定]または[ハッシュ値で設定]をクリックし、許可したいアプリの情報を設定します。

      • 起動を許可する時間帯

        起動を許可する時間帯を設定できます。開始時間と終了時間を設定します。

      共通設定

      違反行為(禁止アプリの起動または名前変更)があった場合の通知方法を設定できます。

      ポイント

      アプリの名前変更を禁止するには、ファイル操作ログの取得が必要です。

      • [ファイルパスを取得する]

        チェックすると、禁止アプリのファイルパスを取得できます。

      • [ハッシュ値(SHA256)を取得する]

        チェックすると、禁止アプリのハッシュ値を取得できます。

      • [起動禁止時にポップアップで通知する]

        チェックすると、禁止アプリを起動したときにクライアントに通知できます。[不正操作の通知設定]をクリックすると、メッセージを編集できます。

        「終日禁止」または「時間帯禁止」の設定をすると選択できます。

      • [プログラム名で設定した禁止アプリの名前変更を禁止する]

        クライアント端末で、[プログラム名で設定]に登録したアプリの名前変更を禁止できます。[ハッシュ値で設定]に登録したアプリの名前変更は禁止できません。[名前変更禁止時にポップアップ通知する]をチェックすると、アプリの名前変更したときにポップアップ通知できます。[不正操作の通知設定]をクリックし、通知メッセージを設定できます。

        「終日禁止」または「時間帯禁止」の設定をすると選択できます。

      ポイント

      • プログラム名でアプリを禁止するには、そのアプリのプログラム名を拡張子も含めて設定する必要があります。

        プログラム名(.exe)の確認方法は、次のとおりです。

        1. [クライアント]タブの[ログ]メニューをクリックします。

        2. 左ペインのツリーで、プログラムをインストールしているグループを選択し、「アプリ稼働」カテゴリーの[バージョン情報]をクリックします。

        3. [クライアント別]を[アプリ別]に変更し、禁止するアプリを検索します。

      • 16bitのアプリは禁止の対象外です。

    3. [設定]をクリックします。
  3. データ更新を待たずに最新のログを確認するよう設定します。
    1. 左ペインのツリーでポリシーを選択し、「設定内容の変更」カテゴリーの[オプション設定]をクリックします。
      「アプリ禁止ポリシー」メニュー
    2. [端末上にテキストファイルで保存する]をチェックし、ログをクライアントに保存する期間を設定します。
      「アプリ禁止オプション」画面
      端末上にテキストファイルで保存する

      チェックすると、指定した保存期間の最新ログがクライアントに保存されます。保存したログは、データ更新を待たずにリアルタイムで確認できます。

      なお、保存期間は1~90日で、初期値は最新の7日分です。

    3. [設定]をクリックします。

    アプリ禁止ポリシーの設定が完了します。

前へ次へ