Microsoft Configuration Managerを使用して WDAC ポリシーを展開する

Windows Defender アプリケーションコントロール (WDAC) の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。

Microsoft Configuration Managerを使用して、クライアント コンピューター上Windows Defenderアプリケーション制御 (WDAC) を構成できます。

Configuration Managerの組み込みポリシーを使用する

Configuration Managerには、WDAC のネイティブ サポートが含まれています。これにより、Windows 10とWindows 11クライアント コンピューターを、許可するポリシーのみを使用して構成できます。

  • Windows コンポーネント
  • Microsoft Store アプリ
  • Configuration Managerによってインストールされたアプリ (マネージド インストーラーとして自己構成Configuration Manager)
  • (省略可能)インテリジェント セキュリティ グラフ (ISG) によって定義された評判の良いアプリ
  • (省略可能)アプリと実行可能ファイルは、管理されたエンドポイントでのポリシーの作成中に 1 回限りのスキャンを通じて許可Configuration Manager、管理者が定義できるフォルダーの場所に既にインストールされています。

Configuration Managerは、デプロイ後にポリシーを削除しません。 適用を停止するには、ポリシーを監査モードに切り替える必要があります。これにより、同じ効果が得られます。 Windows Defenderアプリケーション制御 (WDAC) を完全に無効にする (監査モードを含む) 場合は、ディスクからポリシー ファイルを削除するスクリプトを展開し、再起動をトリガーするか、次の再起動を待ちます。

Configuration Managerで WDAC ポリシーを作成する

  1. [資産とコンプライアンス>エンドポイントの保護>Windows Defenderアプリケーション コントロールの作成アプリケーション制御>ポリシーの作成] を選択します

    Configuration Managerで WDAC ポリシーを作成します。

  2. ポリシー>の名前を入力します次へ

  3. [ デバイスの再起動を強制する] を有効にして、すべてのプロセスに対してこのポリシーを適用できるようにします

  4. ポリシーを実行するモードを選択します (適用が有効/監査のみ)

  5. [次へ] を選択します

    Configuration Managerで強制 WDAC ポリシーを作成します。

  6. [ 追加] を選択して、信頼されたソフトウェアのルールの作成を開始します

    Configuration Managerで WDAC パス 規則を作成します。

  7. [ ファイル ] または [フォルダー] を 選択してパス ルール >の [参照] を作成します

    パス規則を作成するファイルまたはフォルダーを選択します。

  8. パス ルール>の実行可能ファイルまたはフォルダーを選択します [OK]

    実行可能ファイルまたはフォルダーを選択します。

  9. [ OK] を 選択して、信頼されたファイルまたはフォルダーのテーブルにルールを追加します

  10. [次へ] を選択して概要ページ > [閉じる] に移動します

    Configuration Managerで WDAC パス 規則を確認します。

Configuration Managerで WDAC ポリシーをデプロイする

  1. 新しく作成されたポリシー [アプリケーション制御ポリシー>の展開] を右クリックします

    Configuration Manager経由で WDAC をデプロイします。

  2. [ 参照] を選択します

    [参照] を選択します。

  3. 先ほど>作成したデバイス コレクションを選択する [OK]

    デバイス コレクションを選択します。

  4. スケジュール>を変更する [OK]

    WDAC の展開スケジュールを変更します。

Configuration Managerのネイティブ WDAC ポリシーの使用の詳細については、「Configuration Managerを使用したアプリケーション制御管理のWindows Defender」を参照してください。

WDAC 全体を Configuration Manager ラボ ペーパーにダウンロードします

パッケージ/プログラムまたはタスク シーケンスを使用してカスタム WDAC ポリシーを展開する

Configuration Managerの組み込みポリシーを使用することは、出発点として役立ちますが、お客様は、Configuration Managerあまりにも制限に関して使用可能な信頼の円オプションを見つける場合があります。 独自の信頼の円を定義するには、Configuration Managerを使用して、ソフトウェア配布パッケージとプログラムまたはオペレーティング システム展開タスク シーケンスを使用してスクリプト ベースの展開を使用してカスタム WDAC ポリシーを展開できます。