Microsoft Configuration Managerを使用して WDAC ポリシーを展開する
注
Windows Defender アプリケーションコントロール (WDAC) の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。
Microsoft Configuration Managerを使用して、クライアント コンピューター上Windows Defenderアプリケーション制御 (WDAC) を構成できます。
Configuration Managerの組み込みポリシーを使用する
Configuration Managerには、WDAC のネイティブ サポートが含まれています。これにより、Windows 10とWindows 11クライアント コンピューターを、許可するポリシーのみを使用して構成できます。
- Windows コンポーネント
- Microsoft Store アプリ
- Configuration Managerによってインストールされたアプリ (マネージド インストーラーとして自己構成Configuration Manager)
- (省略可能)インテリジェント セキュリティ グラフ (ISG) によって定義された評判の良いアプリ
- (省略可能)アプリと実行可能ファイルは、管理されたエンドポイントでのポリシーの作成中に 1 回限りのスキャンを通じて許可Configuration Manager、管理者が定義できるフォルダーの場所に既にインストールされています。
Configuration Managerは、デプロイ後にポリシーを削除しません。 適用を停止するには、ポリシーを監査モードに切り替える必要があります。これにより、同じ効果が得られます。 Windows Defenderアプリケーション制御 (WDAC) を完全に無効にする (監査モードを含む) 場合は、ディスクからポリシー ファイルを削除するスクリプトを展開し、再起動をトリガーするか、次の再起動を待ちます。
Configuration Managerで WDAC ポリシーを作成する
[資産とコンプライアンス>エンドポイントの保護>Windows Defenderアプリケーション コントロールの作成アプリケーション制御>ポリシーの作成] を選択します
ポリシー>の名前を入力します次へ
[ デバイスの再起動を強制する] を有効にして、すべてのプロセスに対してこのポリシーを適用できるようにします
ポリシーを実行するモードを選択します (適用が有効/監査のみ)
[次へ] を選択します
[ 追加] を選択して、信頼されたソフトウェアのルールの作成を開始します
[ ファイル ] または [フォルダー] を 選択してパス ルール >の [参照] を作成します
パス ルール>の実行可能ファイルまたはフォルダーを選択します [OK]
[ OK] を 選択して、信頼されたファイルまたはフォルダーのテーブルにルールを追加します
[次へ] を選択して概要ページ > [閉じる] に移動します
Configuration Managerで WDAC ポリシーをデプロイする
新しく作成されたポリシー [アプリケーション制御ポリシー>の展開] を右クリックします
[ 参照] を選択します
先ほど>作成したデバイス コレクションを選択する [OK]
スケジュール>を変更する [OK]
Configuration Managerのネイティブ WDAC ポリシーの使用の詳細については、「Configuration Managerを使用したアプリケーション制御管理のWindows Defender」を参照してください。
WDAC 全体を Configuration Manager ラボ ペーパーにダウンロードします。
パッケージ/プログラムまたはタスク シーケンスを使用してカスタム WDAC ポリシーを展開する
Configuration Managerの組み込みポリシーを使用することは、出発点として役立ちますが、お客様は、Configuration Managerあまりにも制限に関して使用可能な信頼の円オプションを見つける場合があります。 独自の信頼の円を定義するには、Configuration Managerを使用して、ソフトウェア配布パッケージとプログラムまたはオペレーティング システム展開タスク シーケンスを使用してスクリプト ベースの展開を使用してカスタム WDAC ポリシーを展開できます。
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示