次の方法で共有


App Control for Business の基本ポリシーの例

App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。

App Control for Business で使用するポリシーを作成する場合は、既存の基本ポリシーから開始し、ルールを追加または削除して独自のカスタム ポリシーを構築します。 Windows には、使用できるいくつかのポリシーの例が含まれています。 これらのポリシーの例は、"現状のまま" で提供されます。 安全なデプロイ方法を使用して、デプロイするポリシーを徹底的にテストする必要があります。

基本ポリシーの例 説明 見つかる場所
DefaultWindows_*.xml このポリシー例は、監査モードと強制モードの両方で使用できます。 これには、Windows、サード パーティのハードウェアとソフトウェアのカーネル ドライバー、および Windows ストア アプリを許可する規則が含まれています。 Microsoft Intune製品ファミリ ポリシーの基礎として使用されます。 %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml
%ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\DefaultWindows_Audit.xml
AllowMicrosoft.xml このポリシー例には、DefaultWindows のルールが含まれており、Microsoft 製品ルート証明書によって署名されたアプリを信頼するためのルールが追加されます。 %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml
%ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\AllowMicrosoft.xml
AllowAll.xml このポリシー例は、ブロックリストを作成するときに便利です。 すべてのブロック ポリシーには、他のすべてのコードの実行を許可する規則を含め、organizationのニーズに合わせて DENY 規則を追加する必要があります。 %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml
AllowAll_EnableHVCI.xml このポリシー例は、アプリコントロールを使用して メモリ整合性 (ハイパーバイザーで保護されたコード整合性とも呼ばれます) を有効にするために使用できます。 %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml
DenyAllAudit.xml 警告: Windows Server 2019 以前で起動の問題が発生します。これらのオペレーティング システムでは使用しないでください。 重要なシステムで実行されているすべてのバイナリを追跡したり、規制要件を満たす場合にのみ、このサンプル ポリシーを監査モードで展開します。 %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml
Microsoft Configuration Manager Configuration Managerを使用するお客様は、Configuration Manager組み込みの App Control 統合を使用してポリシーをデプロイし、生成されたポリシー XML を基本ポリシーの例として使用できます。 マネージド エンドポイント上の %OSDrive%\Windows\CCM\DeviceGuard
SmartAppControl.xml このポリシー例には、スマート アプリ制御 に基づく規則が含まれています。これは、軽く管理されたシステムに適しています。 このポリシーには、エンタープライズ アプリ制御ポリシーではサポートされていない規則が含まれており、削除する必要があります。 このポリシー例の使用方法の詳細については、「基本ポリシーの 例を使用してカスタム 基本ポリシーを作成する」を参照してください。 %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml
%ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\SignedReputable.xml
補足ポリシーの例 このポリシー例では、補足ポリシーを使用して、1 つの Microsoft 署名付きファイルを許可 DefaultWindows_Audit.xml を展開する方法を示します。 %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml
Microsoft 推奨ブロックリスト このポリシーには、可能であれば、アプリコントロールを使用する際に Microsoft がブロックすることを推奨する Windows および Microsoft 署名付きコードの一覧が含まれています。 Microsoft が推奨するブロックの規則
%ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_UserMode_Blocklist.xml
Microsoft 推奨ドライバー ブロックリスト このポリシーには、既知の脆弱または悪意のあるカーネル ドライバーをブロックするルールが含まれています。 Microsoft が推奨するドライバー ブロックの規則
%OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml
%ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_Driver_Blocklist.xml
Windows S モード このポリシーには、 Windows S モードを適用するために使用される規則が含まれています。 %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSiPolicy.xml.xml
Windows 11 SE このポリシーには、学校で使用するために構築された Windows のバージョンであるWindows 11 SEを適用するために使用される規則が含まれています。 %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSEPolicy.xml.xml

%OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies に表示されているすべてのポリシーが、すべてのバージョンの Windows で見つかるわけではありません。