次の方法で共有

グループ ポリシーを使用して Windows Defender アプリケーション制御ポリシーを展開する

Windows Defender Application Control (WDAC) の一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。

重要

既知の問題のため、メモリの整合性が有効になっているシステムで再起動を行い、新しい署名済み WDAC 基本ポリシー常にアクティブにする必要があります。 グループ ポリシーの代わりに、 スクリプトを使用して 新しい署名済み WDAC 基本ポリシーを展開し、システムを再起動してポリシーをアクティブ化します。

この問題は、システムで既にアクティブになっている署名済みの基本ポリシー、署名されていないポリシーの展開、または補足ポリシーの展開 (署名済みまたは署名なし) の更新には影響しません。 また、メモリ整合性を実行していないシステムへのデプロイにも影響しません。

単一ポリシー形式の Windows Defender アプリケーション制御ポリシー (1903 以前のポリシー スキーマ) は、グループ ポリシーを使用して簡単に展開および管理できます。

重要

Windows Defender アプリケーション制御ポリシーのグループ ポリシー ベースの展開では、単一ポリシー形式の WDAC ポリシーのみがサポートされます。 Windows 10 1903 以降または Windows 11 を実行しているデバイスで WDAC を使用するには、ポリシーの展開に別の方法を使用することをお勧めします。

これで、WDAC ポリシーがバイナリ形式に変換されます。 そうでない場合は、「 Windows Defender アプリケーション制御 (WDAC) ポリシーの展開」で説明されている手順に従います。

次の手順では、Contoso GPO テストという GPO を使用して、SiPolicy.p7b という WDAC ポリシーを WDAC 対応 PC と呼ばれるテスト OU に展開する方法について説明します。

グループ ポリシーを使用して Windows Defender アプリケーション制御ポリシーを展開および管理するには:

  1. RSAT がインストールされているクライアント コンピューターで、GPMC.MSC を実行して GPMC を開きます。

  2. 新しい GPO を作成する: OU を右クリックし、[ このドメインに GPO を作成する] を選択し、ここにリンクします。

    任意の OU 名を使用できます。 また、「 Windows Defender アプリケーション制御ライフサイクル ポリシー管理の計画」で説明されているように、WDAC ポリシーを組み合わせる (または個別に保持する) さまざまな方法を検討する場合は、セキュリティ グループのフィルター処理がオプションです。

    グループ ポリシー管理、GPO を作成します。

  3. 新しい GPO の名前を指定します。 任意の名前を選択できます。

  4. グループ ポリシー管理エディターを開きます。新しい GPO を右クリックし、[編集] を選択 します

  5. 選択した GPO で、コンピューターの構成\管理用テンプレート\System\Device Guard に移動します。 [Windows Defender アプリケーション コントロールの展開] を右クリックし、[編集] を選択します

    Windows Defender アプリケーションコントロールのグループ ポリシーを編集します。

  6. [ Windows Defender アプリケーション制御の展開 ] ダイアログ ボックスで、[ 有効] オプションを選択し、WDAC ポリシーの展開パスを指定します。

    このポリシー設定では、ポリシーが各クライアント コンピューターに存在するローカル パスか、クライアント コンピューターがポリシーの最新バージョンを取得するために検索する汎用名前付け規則 (UNC) パスを指定します。 たとえば、「 Windows Defender アプリケーション制御 (WDAC) ポリシーの展開 」で説明されている手順を使用した SiPolicy.p7b へのパスは、%USERPROFILE%\Desktop\SiPolicy.p7b になります。

    このポリシー ファイルをすべてのコンピューターにコピーする必要はありません。 WDAC ポリシーを、すべてのコンピューター アカウントがアクセスできるファイル共有にコピーすることもできます。 ここで選んだすべてのポリシーは、個々のクライアント コンピューターに展開するときに、SIPolicy.p7b に変換されます。

    [Windows Defender アプリケーション制御の展開] というグループ ポリシー。

    GPO 設定が .p7b ファイルを参照していることに気付いたかもしれませんが、ファイル拡張子とポリシー バイナリの名前は関係ありません。 ポリシー バイナリの名前に関係なく、Windows 10 を実行しているクライアント コンピューターに適用すると、すべて SIPolicy.p7b に変換されます。 異なる WDAC ポリシーを異なるデバイス セットに展開する場合は、各 WDAC ポリシーにフレンドリ名を付け、システムがポリシー名を変換して、共有またはその他の中央リポジトリで見たときにポリシーを簡単に区別できるようにすることができます。

  7. グループ ポリシー管理エディターを閉じ、Windows テスト コンピューターを再起動します。 コンピューターを再起動すると、WDAC ポリシーが更新されます。