FSLogixアプリケーションマスク実験

FSLogixアプリケーション マスク機能簡易実験結果 パーソルテクノロジースタッフ株式会社 Twitter：@iwai_d 岩井 大祐（いわい だいすけ） 2022/2/25 Copyright © PERSOL TECHNOLOGY STAFF CO., LTD. All Rights Reserved.

作成者自己紹介と 簡単な会社紹介 Copyright © PERSOL TECHNOLOGY STAFF CO., LTD. All Rights Reserved.

作成者自己紹介 • 自己紹介 – 岩井 大祐（いわい だいすけ）/ Twitter：@iwai_d – パーソルテクノロジースタッフ(株)でMS系プロダクトをメインに Azureを取り扱い品目にプラスしたおじさんインフラ技術者 – JAZUG関連イベントに割とよく出没、登壇しております 【https://www.docswell.com/user/dai-peugeot306】※Slideshareから移行中…… – 2021/6に10数年ぶりのMCP（AZ-104）取得（某所のLT会でネタにしたｗ） • 好きなもの – ウッドストック （小さきことは美しい……） Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 3

• https://www.docswell.com/user/dai-peugeot306

簡単な会社紹介 • パーソルテクノロジースタッフ(株) – 旧インテリジェンスのエンジニア派遣事業を 旧テンプスタッフ・テクノロジーに統合し、2017年1月に発足 機械設計系チームとIT系チームがあります – 自動車や航空機関連、医療機器やアナログ回路のモノづくり、 RPAやIoT、ドローン系のホットな案件も積極的にやっています – 自社内製でセキュリティサービスの提供もしています ご縁がありましたらよろしくお願いいたします m(_ _)m Copyright © PERSOL TECHNOLOGY STAFF CO., LTD. All Rights Reserved. 4

今回のお題目 Copyright © PERSOL TECHNOLOGY STAFF CO., LTD. All Rights Reserved.

今回のお題目 機会があれば試そうと思っていた FSLogixのアプリケーションマスク機能、 試してみたので簡単にご報告…… Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 6

そもそもアプリケーションマスク機能って…… • FSLogixに含まれている機能の1つ • Microsoft買収前のFSLogix開発初期から存在している機能で 歴史としては比較的長い • ユーザーによってアプリケーションを隠したりする事で作成す るマスターイメージを減らすことなどの対応が可能となる • アプリケーションの場所をリダイレクトしたりVHDコンテナに アタッチする機能も含まれている Copyright © PERSOL TECHNOLOGY STAFF CO., LTD. All Rights Reserved. 7

使うに当たっての条件 • FSLogixのクライアントソフトウェアがインストール済みで あれば使用可能（プロファイルコンテナ機能との併用可） • プログラムの設計上、Active Directoryドメインに参加してい るマシンで使用する前提（FSLogixを使う時点でAVD等を使用 していればドメインに参加済みの……はず） • アプリケーションマスクのルールを作成するために展開するク ライアントと同じマスターを使用したマシンが別途1台必要 Copyright © PERSOL TECHNOLOGY STAFF CO., LTD. All Rights Reserved. 8

実践編 Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved.

ルールエディタの導入 • FSLogixをダウンロードし、ファイルを展開 • 【FSLogixAppRuleEditorSetup.exe】を実行しインストール • スタートメニューに【FSLogix Apps RuleEditor】が表示され れば終了 （コレがあるので別途マシンを用意した方が良いと思う） Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 10

今回の実験環境 • Windows10 Enterprise 21H2 （日本語言語パックを入れて日本語環境化したもの） • 以下のアプリケーションを導入（いずれも実験時点の最新版） – – – – – – Apache OpenOffice Adobe Acrobat Reader サクラエディタ WinMerge LhaPlus WinShot（MSIインストーラを使用しないアプリの例として） Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 11

アプリケーションマスクルール作成(1) • アプリケーションマスクルール作成 – ルールエディタを起動してルール名の作成とルールファイル保存 – 保存が完了すると現在マシンにインストールされているアプリの 一覧が表示される – アプリを選択して【Scan】をクリックするとインストール情報か らアプリに関する情報を収集してルールを半自動作成してくれる – その他、個別にプログラムの導入フォルダやショートカットを指 定して対応することも可能（MSIインストーラを使わないアプリ などはこれで対応する） Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 12

アプリケーションマスクルール作成(2) • どのユーザーやOU、PCに対して適用するのかという設定もで きるのだが…… – 試している限りでは軒並み適用されてしまうという状況が…… – 現実問題としては後述するルールファイルの配布で調整するのが 無難な感じではある Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 13

アプリケーションマスクルール作成(3) • ルールエディタ上でマスク動作確認が可能 – 作ったルールを選んで右クリックで【Apply Rules to System】 を選ぶと実際にマスキングを動作させてテストが可能 Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 14

ルールの配布 • 作成したルールファイル（*.fxa、*.fxrの2つが1つのルール） 2つを効かせたいセッションホストの下記フォルダに格納する とその時点で作動する – C:\Program Files\FSLogix\Apps\Rules Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 15

ルールの配布(2) • 【C:\Program Files\FSLogix\Apps\Rules】に格納したルー ルファイルのペアを削除あるいは他の場所に移動することでア プリケーションマスクは解除される • 全台配布してルールファイルの設定で適用する／しないの処理 をする方法もあるのだが、動作がイマイチ怪しい • 現実的にはOU等でGPOを適用してルールファイルの配布有無 でアプリケーションマスクの適用をする方が確実に動作してな おかつ処理が簡単……かも Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 16

MSの公式Docsについて • MS公式のDocsは下記にあるので併せてご参照のほど – 【FSLogix アプリケーション マスクを実装する】 https://docs.microsoft.com/ja-jp/fslogix/implementapplication-masking-tutorial – 【アプリケーションマスクでルールセットとルールを管理する方 法】 https://docs.microsoft.com/ja-jp/fslogix/applicationmasking-rules-ht Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 17

• https://docs.microsoft.com/ja-jp/fslogix/implement-application-masking-tutorial
• https://docs.microsoft.com/ja-jp/fslogix/application-masking-rules-ht

で、実際に使ってみる Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved.

実際に使ってみた(1) • 一例として、Adobe Acrobat Readerを隠してみる – こちら、有効化する前 Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 19

実際に使ってみた(2) • 一例として、Adobe Acrobat Readerを隠してみる – 有効化後。インストールされた形跡すら隠れる強力さ Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 20

実際に使ってみた(3) • 一さらにWinShotを隠してみる – こちら、有効化する前 Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 21

実際に使ってみた(4) • WinShotを隠してみる – 有効化後。インストールしたフォルダまるごと隠してくれる Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 22

簡単にまとめ Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved.

簡単にまとめ • 比較的簡単に設定できるわりに超強力 – ルールファイルを所定フォルダに配置するだけなので簡単 – ファイルやフォルダだけでなく、ショートカットやレジストリも 対処してくれるのでアンインストールするのと同等の効果が得ら れる – MSIインストーラー非対応アプリでもかなり強力な動作 – ルールファイルを削除／移動するだけで即元に戻せる簡便さ – ルールファイルの動作に一癖あるため、日常使う場合はActive DirectoryのGPOでルールファイルの配布有無で区別して処理する 運用が使いやすい……かも Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 24

機会があれば追加試験してみたい項目 • リダイレクトや仮想ディスクへのアタッチ機能 – ユーザー別にサーバ上で動かしたい、あるいはアプリの変更が早 いのでVHDファイルでコンテナ的な使い方でアプリの更新をフォ ローできるのでは……？ • ルールファイルでのOUやグループ、ユーザーでの適用機能 – FSLogixとして本来理想的な設定を再確認し、さらに簡単かつ確実 な運用をするためにどうしたらよいのかを追求……したい Copyright © PERSO L TECHNOLOGY ST AFF CO., LTD. All Rights Reserved. 25

ご静聴 ありがとうございました m(_ _)m Copyright © PERSOL TECHNOLOGY STAFF CO., LTD. All Rights Reserved.