英語で読む

次の方法で共有


WSL のための Intune の設定

Intune などの管理ツールを使って、WSL を Windows コンポーネントとして管理できるようになりました。

これらの設定にアクセスするには、Microsoft Intune 管理センター ポータルに移動して、Devices -> Configuration Profiles -> Create -> New Policy -> Windows 10 and later -> Settings catalog を選びます。新しいプロファイルの名前を作成し、"Linux 用 Windows サブシステム" を検索して、使用できるすべての設定の一覧を表示して追加します。

エンタープライズ環境でセキュリティを最高にするには、次の設定を指定することをお勧めします。

設定名 説明
Allow the Inbox version of the Windows Subsystem for Linux (Linux 用 Windows サブシステムの受信トレイ バージョンを許可する) 無効 このポリシーを無効に設定すると、Linux 用 Windows サブシステムの受信トレイ バージョン (オプション コンポーネント) が無効になります。 このポリシーが無効になっている場合は、WSL のストア バージョンのみを使用できます。 ストア版 WSL と同梱版 WSL の違いについて詳しくは、こちらをご覧ください
Allow WSL1 (WSL1 を許可する) 無効 このポリシーを無効に設定すると、WSL1 が無効になります。 無効にすると、WSL2 ディストリビューションのみを使用できます。
Allow the debug shell (デバッグ シェルを許可する) 無効 このポリシーを無効に設定すると、デバッグ シェル (wsl.exe --debug-shell) が無効になります。 このポリシーは、ストア WSL にのみ適用されます。
Allow custom kernel configuration (カスタム カーネル構成を許可する) 無効 このポリシーを無効に設定すると、.wslconfig (wsl2.kernel) によるカスタム カーネルの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。
Allow kernel command line configuration (カーネル コマンド ラインの構成を許可する) 無効 このポリシーを無効に設定すると、.wslconfig (wsl2.kernelCommandLine) によるカーネル コマンド ラインの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。
Allow custom system distribution configuration (カスタム システム ディストリビューションの構成を許可する) 無効 このポリシーを無効に設定すると、.wslconfig (wsl2.systemDistro) によるカスタム システム ディストリビューションの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。
Allow custom networking configuration (カスタム ネットワークの構成を許可する) 無効 このポリシーを無効に設定すると、.wslconfig (wsl2.networkingmode) によるカスタム ネットワークの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。
Allow user setting firewall configuration (ユーザー設定のファイアウォールの構成を許可する) 無効 このポリシーを無効に設定すると、.wslconfig (wsl2.firewall) によるファイアウォールの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。
Allow nested virtualization (入れ子になった仮想化を許可する) 無効 このポリシーを無効に設定すると、.wslconfig (wsl2.nestedVirtualization) による入れ子になった仮想化の構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。
Allow kernel debugging (カーネル デバッグを許可する) 無効 これを無効に設定すると、.wslconfig (wsl2.kernelDebugPort) によるデバッグの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。

WSL へのアクセスを制御する

WSL へのユーザー アクセスは、AllowWSLAllowInboxWSLAllowWSL1 の設定によって制御されます。 これらの設定を構成して、Windows バージョンの WSL、WSL 1 ディストリビューション、または WSL 自体へのアクセスを有効または無効にできます。

これにより、ユーザーがエンタープライズ機能のサポートを含む最新バージョンの WSL のみを使うように WSL を構成できます。

WSL のコマンドを制御する

ユーザーが wsl --debug-shellwsl --mount コマンドを実行できるかどうかは、AllowDebugShellAllowDiskMount によって制御されます。 wsl --mount コマンドを使用した、WSL 2 でのディスクのマウント方法について説明します。

.wslconfig で WSL の設定へのアクセスを制御する

*UserSettingConfigurable で終わる設定の最後のグループは、.wslconfig での WSL の高度な設定へのアクセスを制御します。 これらが無効に設定されている場合、ユーザーはその設定の既定値のみを使用でき、カスタム値に構成することはできません。 WSL 2 で実行されているすべての Linux ディストリビューションに対してグローバルに構成できる設定の一覧など、.wslconfig の構成設定の詳細について説明します。

使用できるすべての設定の一覧

設定名 説明
Allow the Windows Subsystem For Linux (Linux 用 Windows サブシステムを許可する) このポリシーを無効に設定すると、そのマシン上のすべてのユーザーが Linux 用 Windows サブシステムにアクセスできなくなります。
Allow the Inbox version of the Windows Subsystem For Linux (Linux 用 Windows サブシステムの受信トレイ バージョンを許可する) このポリシーを無効に設定すると、Linux 用 Windows サブシステムの受信トレイ バージョン (オプション コンポーネント) が無効になります。 このポリシーが無効になっている場合は、WSL のストア バージョンのみを使用できます。
Allow WSL1 (WSL1 を許可する) このポリシーを無効に設定すると、WSL1 が無効になります。 無効にすると、WSL2 ディストリビューションのみを使用できます。
Allow the debug shell (デバッグ シェルを許可する) このポリシーを無効に設定すると、デバッグ シェル (wsl.exe --debug-shell) が無効になります。 このポリシーは、ストア WSL にのみ適用されます。
Allow passthrough disk mount (パススルー ディスク マウントを許可する) このポリシーを無効に設定すると、WSL2 (wsl.exe --mount) でのパススルー ディスク マウントが無効になります。 このポリシーは、ストア WSL にのみ適用されます。
Allow custom kernel configuration (カスタム カーネル構成を許可する) このポリシーを無効に設定すると、.wslconfig (wsl2.kernel) によるカスタム カーネルの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。
Allow kernel command line configuration (カーネル コマンド ラインの構成を許可する) このポリシーを無効に設定すると、.wslconfig (wsl2.kernelCommandLine) によるカーネル コマンド ラインの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。
Allow custom system distribution configuration (カスタム システム ディストリビューションの構成を許可する) このポリシーを無効に設定すると、.wslconfig (wsl2.systemDistro) によるカスタム システム ディストリビューションの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。
Allow custom networking configuration (カスタム ネットワークの構成を許可する) このポリシーを無効に設定すると、.wslconfig (wsl2.networkingmode) によるカスタム ネットワークの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。
Allow user setting firewall configuration (ユーザー設定のファイアウォールの構成を許可する) このポリシーを無効に設定すると、.wslconfig (wsl2.firewall) によるファイアウォールの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。
Allow nested virtualization (入れ子になった仮想化を許可する) このポリシーを無効に設定すると、.wslconfig (wsl2.nestedVirtualization) による入れ子になった仮想化の構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。
Allow kernel debugging (カーネル デバッグを許可する) これを無効に設定すると、.wslconfig (wsl2.kernelDebugPort) によるデバッグの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。