グループ ポリシーを使用してアプリケーション制御ポリシー Windows Defender展開する

Windows Defender アプリケーションコントロール (WDAC) の一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。

重要

既知の問題のため、メモリの整合性が有効になっているシステムで再起動を行い、新しい署名済み WDAC 基本ポリシー常にアクティブにする必要があります。 グループ ポリシーの代わりに、スクリプトを使用して新しい署名付き WDAC ベース ポリシーを展開し、システム再起動でポリシーをアクティブ化します。

この問題は、システムで既にアクティブになっている署名済みの基本ポリシー、署名されていないポリシーの展開、または補足ポリシーの展開 (署名済みまたは署名なし) の更新には影響しません。 また、メモリ整合性を実行していないシステムへのデプロイにも影響しません。

アプリケーション制御ポリシー Windows Defender単一ポリシー形式 (1903 以前のポリシー スキーマ) は、グループ ポリシーを使用して簡単に展開および管理できます。

重要

Windows Defender アプリケーション制御ポリシーのグループ ポリシーベースの展開では、単一ポリシー形式の WDAC ポリシーのみがサポートされます。 Windows 10 1903 以降、またはWindows 11を実行しているデバイスで WDAC を使用するには、ポリシーの展開に別の方法を使用することをお勧めします。

これで、WDAC ポリシーがバイナリ形式に変換されます。 そうでない場合は、「Windows Defender アプリケーション制御 (WDAC) ポリシーの展開」で説明されている手順に従います。

次の手順では、Contoso GPO テストという GPO を使用して、SiPolicy.p7b という WDAC ポリシーを WDAC 対応 PC と呼ばれるテスト OU に展開する方法について説明します。

グループ ポリシーを使用してWindows Defender アプリケーション制御ポリシーを展開および管理するには、次の手順を実行します。

  1. RSAT がインストールされているクライアント コンピューターで、GPMC.MSC を実行して GPMC を開きます。

  2. 新しい GPO を作成する: OU を右クリックし、[ このドメインに GPO を作成する] を選択し、ここにリンクします。

    任意の OU 名を使用できます。 また、「Windows Defender アプリケーション制御ライフサイクル ポリシー管理を計画する」で説明されているように、WDAC ポリシーを組み合わせる (または個別に保持する) さまざまな方法を検討する場合は、セキュリティ グループのフィルター処理がオプションです。

    [管理] グループ ポリシー、GPO を作成します。

  3. 新しい GPO の名前を指定します。 任意の名前を選択できます。

  4. [グループ ポリシー管理] エディターを開きます。新しい GPO を右クリックし、[編集] を選択します

  5. 選択した GPO で、コンピューターの構成\管理用テンプレート\System\Device Guard に移動します。 [Deploy Windows Defender Application Control] を右クリックし、[編集] を選択します

    アプリケーションコントロールのグループ ポリシー Windows Defender編集します。

  6. [アプリケーション制御Windows Defender展開] ダイアログ ボックスで、[有効] オプションを選択し、WDAC ポリシーの展開パスを指定します。

    このポリシー設定では、ポリシーが各クライアント コンピューターに存在するローカル パスか、クライアント コンピューターがポリシーの最新バージョンを取得するために検索する汎用名前付け規則 (UNC) パスを指定します。 たとえば、「Windows Defender アプリケーション制御 (WDAC) ポリシーの展開」で説明されている手順を使用した SiPolicy.p7b へのパスは、%USERPROFILE%\Desktop\SiPolicy.p7b になります。

    このポリシー ファイルをすべてのコンピューターにコピーする必要はありません。 WDAC ポリシーを、すべてのコンピューター アカウントがアクセスできるファイル共有にコピーすることもできます。 ここで選んだすべてのポリシーは、個々のクライアント コンピューターに展開するときに、SIPolicy.p7b に変換されます。

    グループ ポリシー Deploy Windows Defender Application Control と呼ばれます。

    GPO 設定が .p7b ファイルを参照していることに気付いたかもしれませんが、ファイル拡張子とポリシー バイナリの名前は関係ありません。 ポリシー バイナリの名前に関係なく、Windows 10を実行しているクライアント コンピューターに適用すると、すべて SIPolicy.p7b に変換されます。 異なる WDAC ポリシーを異なるデバイス セットに展開する場合は、各 WDAC ポリシーにフレンドリ名を付け、システムがポリシー名を変換して、共有またはその他の中央リポジトリで見たときにポリシーを簡単に区別できるようにすることができます。

  7. グループ ポリシー管理エディターを閉じ、Windows テスト コンピューターを再起動します。 コンピューターを再起動すると、WDAC ポリシーが更新されます。