モバイル デバイス管理 (MDM) を使用して WDAC ポリシーを展開する

Windows Defender アプリケーションコントロール (WDAC) の一部の機能は、特定の Windows バージョンでのみ使用できます。 Windows Defender アプリケーション制御機能の可用性について詳しくは、こちらをご覧ください。

モバイル デバイス管理 (MDM) ソリューション (Microsoft Intuneなど) を使用して、クライアント コンピューターで Windows Defender アプリケーション制御 (WDAC) を構成できます。 Intuneには WDAC のネイティブ サポートが含まれています。これは出発点として役立ちますが、お客様は使用可能な信頼の円オプションが制限されている可能性があります。 Intuneを使用してカスタム ポリシーをデプロイし、独自の信頼の円を定義するには、カスタム OMA-URI を使用してプロファイルを構成できます。 organizationが別の MDM ソリューションを使用している場合は、WDAC ポリシーの展開手順をソリューション プロバイダーにチェックします。

重要

既知の問題のため、メモリの整合性が有効になっているシステムで再起動を行い、新しい署名済み WDAC 基本ポリシー常にアクティブにする必要があります。 Mobile デバイス管理 (MDM) の代わりに、スクリプトを使用して新しい署名済み WDAC 基本ポリシーを展開し、システムを再起動してポリシーをアクティブ化します。

この問題は、システムで既にアクティブになっている署名済みの基本ポリシー、署名されていないポリシーの展開、または補足ポリシーの展開 (署名済みまたは署名なし) の更新には影響しません。 また、メモリ整合性を実行していないシステムへのデプロイにも影響しません。

Intuneの組み込みポリシーを使用する

Intuneの組み込みのWindows Defender アプリケーション制御のサポートを使用すると、Windows クライアント コンピューターを実行するように構成できます。

  • Windows コンポーネント
  • サード パーティ製のハードウェアとソフトウェアのカーネル ドライバー
  • Microsoft Store に署名されたアプリ
  • [省略可能]インテリジェント セキュリティ グラフ (ISG) によって定義された評判の良いアプリ

Intuneの組み込みポリシーでは、DefaultWindows ポリシーの 1903 より前の単一ポリシー形式バージョンが使用されます。 現在パブリック プレビュー中の改善された Intune WDAC エクスペリエンスを使用して、複数ポリシー形式のファイルを作成して展開します。 または、Intuneのカスタム OMA-URI 機能を使用して、独自の複数ポリシー形式の WDAC ポリシーを展開し、このトピックで後述するように、Windows 10 1903 以降またはWindows 11で使用できる機能を利用できます。

Intune現在、AppLocker CSP を使用して組み込みのポリシーをデプロイしています。 AppLocker CSP は、WDAC ポリシーを適用するときに常にデバイスの再起動を要求します。 現在パブリック プレビュー段階の改善された Intune WDAC エクスペリエンスを使用して、再起動せずに独自の WDAC ポリシーをデプロイします。 または、ApplicationControl CSP でIntuneのカスタム OMA-URI 機能を使用することもできます。

Intuneの組み込みの WDAC ポリシーを使用するには、Windows 10の Endpoint Protection (以降) を構成します。

カスタム OMA-URI を使用して WDAC ポリシーをデプロイする

Intuneカスタム OMA-URI を介してデプロイされるポリシーには、350,000 バイトの制限が適用されます。 お客様は、署名ベースのルール、インテリジェント セキュリティ グラフ、および実用的なマネージド インストーラーを使用するWindows Defenderアプリケーション制御ポリシーを作成する必要があります。 デバイスで 1903 以上のビルドの Windows を実行しているお客様は、より詳細なポリシーを許可する 複数のポリシーを 使用することをお勧めします。

これで、1 つ以上の WDAC ポリシーがバイナリ形式に変換されます。 そうでない場合は、「Windows Defender アプリケーション制御 (WDAC) ポリシーの展開」で説明されている手順に従います。

Windows 10 1903 以降にカスタム WDAC ポリシーを展開する

Windows 10 1903 以降、カスタム OMA-URI ポリシーのデプロイでは、複数のポリシーと再起動なしのポリシーをサポートする ApplicationControl CSP を使用できます。

OMA-URI を使用してデプロイする前に、カスタム ポリシー XML をバイナリ 形式に変換する必要があります。

Intuneのカスタム OMA-URI 機能を使用する手順は次のとおりです。

  1. Microsoft Intune ポータルを開き、カスタム設定でプロファイルを作成します

  2. [名前][説明] を指定し、残りのカスタム OMA-URI 設定に次の値を使用します。

    • OMA-URI: ./Vendor/MSFT/ApplicationControl/Policies/_Policy GUID_/Policy
    • データ型: Base64 (ファイル)
    • 証明書ファイル: バイナリ形式のポリシー ファイルをアップロードします。 これを行うには、{GUID}.cip ファイルを {GUID}.binに変更します。 アップロードした.binファイルをユーザーの代わりに Base64 に変換Intune、Base64 ファイルをアップロードする必要はありません。

    カスタム WDAC を構成します。

[ポリシー GUID] の値には、中かっこを含めないでください。

Windows 10 1903 以降の WDAC ポリシーを削除する

削除時に、ApplicationControl CSP を介してIntuneを介してデプロイされたポリシーはシステムから削除されますが、次回の再起動まで有効なままです。 アプリケーション制御の適用Windows Defender無効にするには、まず、%windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml のポリシー例の規則のように、既存のポリシーを "許可 *" する新しいバージョンのポリシーに置き換えます。 更新されたポリシーがデプロイされたら、Intune ポータルからポリシーを削除できます。 この削除により、何もブロックされず、次回の再起動時に WDAC ポリシーが完全に削除されます。

1903 より前のシステムの場合

ポリシーの展開

Intuneのカスタム OMA-URI 機能を使用して AppLocker CSP を適用し、1903 より前のシステムにカスタム WDAC ポリシーをデプロイする手順は次のとおりです。

  1. デプロイするために ConvertFrom-CIPolicy コマンドレットを使用して、ポリシー XML をバイナリ形式に変換します。 バイナリ ポリシーは、署名または署名されていない可能性があります。

  2. Microsoft Intune ポータルを開き、カスタム設定でプロファイルを作成します

  3. [名前][説明] を指定し、残りのカスタム OMA-URI 設定に次の値を使用します。

    • OMA-URI: ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/_Grouping_/CodeIntegrity/Policy
    • データ型: Base64 (ファイル)
    • 証明書ファイル: バイナリ形式のポリシー ファイルをアップロードする

    AppLocker CSP を使用してポリシーを展開すると、OOBE 中に強制的に再起動されます。

ポリシーの削除

AppLocker CSP を介してIntuneを介して展開されたポリシーは、Intune コンソールから削除することはできません。 アプリケーション制御ポリシーの適用Windows Defender無効にするには、監査モード ポリシーを展開するか、スクリプトを使用して既存のポリシーを削除します。