App Control for Business の基本ポリシーの例
注
App Control for Business の一部の機能は、特定の Windows バージョンでのみ使用できます。 アプリ制御機能の可用性について詳しくは、こちらをご覧ください。
App Control for Business で使用するポリシーを作成する場合は、既存の基本ポリシーから開始し、ルールを追加または削除して独自のカスタム ポリシーを構築します。 Windows には、使用できるいくつかのポリシーの例が含まれています。 これらのポリシーの例は、"現状のまま" で提供されます。 安全なデプロイ方法を使用して、デプロイするポリシーを徹底的にテストする必要があります。
| 基本ポリシーの例 | 説明 | 見つかる場所 |
|---|---|---|
| DefaultWindows_*.xml | このポリシー例は、監査モードと強制モードの両方で使用できます。 これには、Windows、サード パーティのハードウェアとソフトウェアのカーネル ドライバー、および Windows ストア アプリを許可する規則が含まれています。 Microsoft Intune製品ファミリ ポリシーの基礎として使用されます。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\DefaultWindows_Audit.xml |
| AllowMicrosoft.xml | このポリシー例には、DefaultWindows のルールが含まれており、Microsoft 製品ルート証明書によって署名されたアプリを信頼するためのルールが追加されます。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\AllowMicrosoft.xml |
| AllowAll.xml | このポリシー例は、ブロックリストを作成するときに便利です。 すべてのブロック ポリシーには、他のすべてのコードの実行を許可する規則を含め、organizationのニーズに合わせて DENY 規則を追加する必要があります。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml |
| AllowAll_EnableHVCI.xml | このポリシー例は、アプリコントロールを使用して メモリ整合性 (ハイパーバイザーで保護されたコード整合性とも呼ばれます) を有効にするために使用できます。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml |
| DenyAllAudit.xml | 警告: Windows Server 2019 以前で起動の問題が発生します。これらのオペレーティング システムでは使用しないでください。 重要なシステムで実行されているすべてのバイナリを追跡したり、規制要件を満たす場合にのみ、このサンプル ポリシーを監査モードで展開します。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml |
| Microsoft Configuration Manager | Configuration Managerを使用するお客様は、Configuration Manager組み込みの App Control 統合を使用してポリシーをデプロイし、生成されたポリシー XML を基本ポリシーの例として使用できます。 | マネージド エンドポイント上の %OSDrive%\Windows\CCM\DeviceGuard |
| SmartAppControl.xml | このポリシー例には、スマート アプリ制御 に基づく規則が含まれています。これは、軽く管理されたシステムに適しています。 このポリシーには、エンタープライズ アプリ制御ポリシーではサポートされていない規則が含まれており、削除する必要があります。 このポリシー例の使用方法の詳細については、「基本ポリシーの 例を使用してカスタム 基本ポリシーを作成する」を参照してください。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\SignedReputable.xml |
| 補足ポリシーの例 | このポリシー例では、補足ポリシーを使用して、1 つの Microsoft 署名付きファイルを許可 DefaultWindows_Audit.xml を展開する方法を示します。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml |
| Microsoft 推奨ブロックリスト | このポリシーには、可能であれば、アプリコントロールを使用する際に Microsoft がブロックすることを推奨する Windows および Microsoft 署名付きコードの一覧が含まれています。 |
Microsoft が推奨するブロックの規則 %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_UserMode_Blocklist.xml |
| Microsoft 推奨ドライバー ブロックリスト | このポリシーには、既知の脆弱または悪意のあるカーネル ドライバーをブロックするルールが含まれています。 |
Microsoft が推奨するドライバー ブロックの規則 %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_Driver_Blocklist.xml |
| Windows S モード | このポリシーには、 Windows S モードを適用するために使用される規則が含まれています。 | %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSiPolicy.xml.xml |
| Windows 11 SE | このポリシーには、学校で使用するために構築された Windows のバージョンであるWindows 11 SEを適用するために使用される規則が含まれています。 | %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSEPolicy.xml.xml |
注
%OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies に表示されているすべてのポリシーが、すべてのバージョンの Windows で見つかるわけではありません。