マージ Windows Defender アプリケーション制御 (WDAC) ポリシー
注
Windows Defender アプリケーションコントロール (WDAC) の一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。
この記事では、複数のポリシー XML ファイルをマージする方法と、ルールをポリシーに直接マージする方法について説明します。 Windows Defenderアプリケーション制御のデプロイには、多くの場合、いくつかの基本ポリシーと、特定のユース ケースのオプションの補足ポリシーが含まれます。
注
Windows Server 2019 以前を含む Windows バージョン 1903 より前のバージョンでは、一度に 1 つのシステムでアプリケーション制御ポリシーをアクティブにできるWindows Defenderは 1 つだけです。 これらの以前のバージョンの Windows を実行しているシステムで WDAC を使用する必要がある場合は、展開する前にすべてのポリシーをマージする必要があります。
複数の WDAC ポリシー XML ファイルをマージする
2 つ以上のポリシー ファイルをマージするシナリオは多数あります。 たとえば、監査イベントを使用してアプリケーション制御ポリシー規則Windows Defender作成する場合は、それらの規則を既存の WDAC 基本ポリシーとマージできます。 この記事で参照されている 2 つの WDAC ポリシーをマージするには、管理者特権のWindows PowerShell セッションで次の手順を実行します。
使われる変数を初期化します。
$PolicyName= "Lamna_FullyManagedClients_Audit" $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml" $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml" $MergedPolicy=$env:userprofile+"\Desktop\"+$PolicyName+"_Merged.xml"
Merge-CIPolicy を使用して 2 つのポリシーをマージし、新しいWindows Defenderアプリケーション制御ポリシーを作成します。
Merge-CIPolicy -PolicyPaths $LamnaPolicy,$EventsPolicy -OutputFilePath $MergedPolicy
注
追加のポリシーを上記の Merge-CIPolicy ステップとマージするには、それらをコンマで区切った -PolicyPaths パラメーターに追加します。 -OutputFilePath で指定された新しいポリシー ファイルには、一覧の最初のポリシーのポリシー情報が含まれます。 たとえば、上記の例では、$MergedPolicyはポリシーの種類、ID、名前、バージョンの情報を$LamnaPolicyから継承します。 これらの値のいずれかを変更するには、 Set-CIPolicyIdInfo と Set-CIPolicyVersion を使用します。
WDAC ルールをポリシー XML に直接マージする
複数のポリシー XML ファイルをマージするだけでなく、New-CIPolicyRule コマンドレットで作成されたルールを既存の WDAC ポリシー XML ファイルに直接マージすることもできます。 ルールを直接マージすることは、追加のポリシー XML ファイルを作成せずにポリシーを更新する便利な方法です。 たとえば、WDAC ウィザードと WDAC RefreshPolicy.exe ツールを許可する規則を追加するには、次の手順を実行します。
WDAC ウィザードのパッケージ化された MSIX アプリをインストールします。
プロセッサ アーキテクチャの 更新ポリシー ツール をダウンロードし、RefreshPolicy.exe としてデスクトップに保存します。
PowerShell セッションから、次のコマンドを実行して、WDAC ウィザードのパッケージ アプリ許可規則を作成します。
$PackageInfo = Get-AppxPackage -Name Microsoft.WDAC.WDACWizard $Rules = New-CIPolicyRule -Package $PackageInfo
RefreshPolicy.exe の FilePublisher 規則を追加します。
$Rules += New-CIPolicyRule -DriverFilePath $env:USERPROFILE\Desktop\RefreshPolicy.exe -Level FilePublisher
Merge-CIPolicy を使用して、前の手順の最後の手順で作成した MergeedPolicy ファイルに新しいルールを直接マージします。
Merge-CIPolicy -PolicyPaths $MergedPolicy -OutputFilePath $MergedPolicy -Rules $Rules
マージされたポリシーをマネージド エンドポイントに変換してデプロイする
新しいマージされたポリシーが作成できたので、ポリシー バイナリをマネージド エンドポイントに変換してデプロイできます。
WDAC ポリシーをバイナリ形式に変換するには、ConvertFrom-CIPolicy を使用します。
$WDACPolicyBin=$env:userprofile+"\Desktop\"+$PolicyName+"_{InsertPolicyID}.bin" ConvertFrom-CIPolicy -XMLFilePath $MergedPolicy -BinaryFilePath $WDACPolicyBin
注
上記のサンプル コマンドでは、バージョン 1903 以降または Windows 10 Windows 11を対象とするポリシーの場合は、"{InsertPolicyID}" という文字列を、ポリシー XML ファイル内の実際の PolicyID GUID (中かっこ { }を含む) に置き換えます。 1903 より前のバージョンWindows 10の場合は、バイナリ ファイル名として SiPolicy.p7b という名前を使用します。
マージされたポリシー XML と関連するバイナリを、Windows Defender アプリケーション制御ポリシーに使用しているソース管理ソリューションにアップロードします。 GitHub などのドキュメント管理ソリューションや、Office 365 SharePoint などのドキュメント管理ソリューションなど。
優先するデプロイ ソリューションを使用して、マージされたポリシーをデプロイします。 「Windows Defender アプリケーション制御 (WDAC) ポリシーの展開」を参照してください。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示