プロセスによって開いたファイルの除外を構成するConfigure exclusions for files opened by processes

適用対象:Applies to:

特定のプロセスによって開いたファイルを、特定のスキャンからMicrosoft Defender ウイルス対策できます。You can exclude files that have been opened by specific processes from Microsoft Defender Antivirus scans. 除外 リストを定義する前に、「除外を 定義するための推奨事項」を参照してください。See Recommendations for defining exclusions before defining your exclusion lists.

この記事では、除外リストを構成する方法について説明します。This article describes how to configure exclusion lists.

除外の例Examples of exclusions

除外Exclusion Example
特定のファイル名を持つ任意のプロセスによって開いたコンピューター上のファイルAny file on the machine that is opened by any process with a specific file name 指定すると test.exe 、次の方法で開いたファイルが除外されます。Specifying test.exe would exclude files opened by:
c:\sample\test.exe
d:\internal\files\test.exe
特定のフォルダーの下の任意のプロセスによって開いたコンピューター上のファイルAny file on the machine that is opened by any process under a specific folder 指定すると c:\test\sample\* 、次の方法で開いたファイルが除外されます。Specifying c:\test\sample\* would exclude files opened by:
c:\test\sample\test.exe
c:\test\sample\test2.exe
c:\test\sample\utility.exe
特定のフォルダー内の特定のプロセスによって開いたコンピューター上のすべてのファイルAny file on the machine that is opened by a specific process in a specific folder 指定すると c:\test\process.exe 、開いたファイルだけが除外されます。 c:\test\process.exeSpecifying c:\test\process.exe would exclude files only opened by c:\test\process.exe

プロセス除外リストにプロセスを追加すると、Microsoft Defender ウイルス対策場所に関係なく、そのプロセスで開いたファイルはスキャンされません。When you add a process to the process exclusion list, Microsoft Defender Antivirus won't scan files opened by that process, no matter where the files are located. ただし、ファイル除外リストにも追加されていない限り、プロセス自体 がスキャンされますThe process itself, however, will be scanned unless it has also been added to the file exclusion list.

除外は、常時オン のリアルタイム保護と監視にのみ適用されますThe exclusions only apply to always-on real-time protection and monitoring. スケジュールされたスキャンやオンデマンド スキャンには適用されません。They don't apply to scheduled or on-demand scans.

グループ ポリシーを使用して除外リストに加えた変更は アプリのリストに Windows セキュリティされますChanges made with Group Policy to the exclusion lists will show in the lists in the Windows Security app. ただし、アプリで行われた変更 Windows セキュリティグループ ポリシー の一覧には表示されない。However, changes made in the Windows Security app will not show in the Group Policy lists.

グループ ポリシー、Microsoft Endpoint Configuration Manager、Microsoft Intune、および Windows セキュリティ アプリで除外リストの追加、削除、および確認を行い、ワイルドカードを使用してリストをさらにカスタマイズできます。You can add, remove, and review the lists for exclusions in Group Policy, Microsoft Endpoint Configuration Manager, Microsoft Intune, and with the Windows Security app, and you can use wildcards to further customize the lists.

PowerShell コマンドレットと WMI を使用して、リストの確認など、除外リストを構成することもできます。You can also use PowerShell cmdlets and WMI to configure the exclusion lists, including reviewing your lists.

既定では、リストに対して行われたローカルの変更 (管理者特権を持つユーザー、PowerShell と WMI で行われた変更) は、グループ ポリシー、Configuration Manager、または Intune によって定義された (展開された) リストと結合されます。By default, local changes made to the lists (by users with administrator privileges; changes made with PowerShell and WMI) will be merged with the lists as defined (and deployed) by Group Policy, Configuration Manager, or Intune. グループ ポリシーの一覧は、競合が発生した場合に優先されます。The Group Policy lists will take precedence in the case of conflicts.

ローカルで 定義された除外リスト とグローバルに定義された除外リストの結合方法を構成して、ローカルの変更で管理展開設定を上書きできます。You can configure how locally and globally defined exclusions lists are merged to allow local changes to override managed deployment settings.

指定したプロセスによって開いたファイルの除外の一覧を構成するConfigure the list of exclusions for files opened by specified processes

指定Microsoft Intuneによって開いたファイルをスキャンから除外するには、次のコマンドを使用します。Use Microsoft Intune to exclude files that have been opened by specified processes from scans

詳細については、「Microsoft Intune でデバイスの制限設定を構成する」および「Intune での Windows 10 の Microsoft Defender ウイルス対策デバイス制限設定」を参照してください。See Configure device restriction settings in Microsoft Intune and Microsoft Defender Antivirus device restriction settings for Windows 10 in Intune for more details.

指定Microsoft エンドポイント マネージャーによって開いたファイルをスキャンから除外するには、次のコマンドを使用します。Use Microsoft Endpoint Manager to exclude files that have been opened by specified processes from scans

詳細については、「マルウェア対策ポリシーを作成して展開する方法: 除外設定」を参照Microsoft エンドポイント マネージャー (現在のブランチ)。See How to create and deploy antimalware policies: Exclusion settings for details on configuring Microsoft Endpoint Manager (current branch).

グループ ポリシーを使用して、指定したプロセスで開いたファイルをスキャンから除外するUse Group Policy to exclude files that have been opened by specified processes from scans

  1. グループ ポリシー管理コンピューターで、グループ ポリシー 管理コンソールを開き、構成するグループ ポリシー オブジェクトを右クリックし、[編集] をクリック しますOn your Group Policy management computer, open the Group Policy Management Console, right-click the Group Policy Object you want to configure and click Edit.

  2. グループ ポリシー 管理エディターで、[コンピューター の構成] に 移動し、[ 管理用 テンプレート] をクリックしますIn the Group Policy Management Editor go to Computer configuration and click Administrative templates.

  3. ツリーを展開して、除外Windowsコンポーネント> Microsoft Defender ウイルス対策 >展開しますExpand the tree to Windows components > Microsoft Defender Antivirus > Exclusions.

  4. [除外の処理 ] をダブルクリックし 、除外を追加します。Double-click Process Exclusions and add the exclusions:

    1. オプションを [有効] に 設定しますSet the option to Enabled.
    2. [オプション] セクションで 、[ 表示.... をクリックしますUnder the Options section, click Show....
    3. [値名] 列の下に、各プロセス を独自の行に入力 します。Enter each process on its own line under the Value name column. さまざまな種類のプロセスの除外については、例の表を参照してください。See the example table for the different types of process exclusions. すべての プロセスの [ 値] 列に 0 を入力します。Enter 0 in the Value column for all processes.
  5. [OK] をクリックします。Click OK.

PowerShell コマンドレットを使用して、指定したプロセスで開いたファイルをスキャンから除外するUse PowerShell cmdlets to exclude files that have been opened by specified processes from scans

PowerShell を使用してプロセスによって開いたファイルの除外を追加または削除するには、パラメーターと 3 つのコマンドレットを組み合わせて使用する必要 -ExclusionProcess があります。Using PowerShell to add or remove exclusions for files that have been opened by processes requires using a combination of three cmdlets with the -ExclusionProcess parameter. コマンドレットはすべて Defender モジュール 内ですThe cmdlets are all in the Defender module.

コマンドレットの形式は次の形式です。The format for the cmdlets is:

<cmdlet> -ExclusionProcess "<item>"

以下を次のように使用できます <cmdlet> 。The following are allowed as the <cmdlet>:

構成アクションConfiguration action PowerShell コマンドレットPowerShell cmdlet
リストを作成または上書きするCreate or overwrite the list Set-MpPreference
リストに追加するAdd to the list Add-MpPreference
リストからアイテムを削除するRemove items from the list Remove-MpPreference

重要

コマンドレットを使用するか、または使用してリストを作成した場合は、 Set-MpPreference Add-MpPreference Set-MpPreference 既存のリストが上書きされます。If you have created a list, either with Set-MpPreference or Add-MpPreference, using the Set-MpPreference cmdlet again will overwrite the existing list.

たとえば、次のコード スニペットを使用すると、Microsoft Defender AV スキャンによって、指定したプロセスで開いたファイルが除外されます。For example, the following code snippet would cause Microsoft Defender AV scans to exclude any file that is opened by the specified process:

Add-MpPreference -ExclusionProcess "c:\internal\test.exe"

PowerShell と一緒に PowerShell を使用する方法Microsoft Defender ウイルス対策、「Manage antivirus with PowerShell コマンドレット」および「Microsoft Defender ウイルス対策コマンドレット」を参照してくださいFor more information on how to use PowerShell with Microsoft Defender Antivirus, see Manage antivirus with PowerShell cmdlets and Microsoft Defender Antivirus cmdlets.

[Windows管理命令 (WMI) を使用して、指定したプロセスで開いたファイルをスキャンから除外するUse Windows Management Instruction (WMI) to exclude files that have been opened by specified processes from scans

次の プロパティの****クラスの Set メソッド、Add メソッド、RemoveメソッドMSFT_MpPreference使用します。Use the Set, Add, and Remove methods of the MSFT_MpPreference class for the following properties:

ExclusionProcess

Set、Add、****および Remove の使用は、PowerShell の対応するユーザーと類似 Set-MpPreference しています。 Add-MpPreference Remove-MpPreferenceThe use of Set, Add, and Remove is analogous to their counterparts in PowerShell: Set-MpPreference, Add-MpPreference, and Remove-MpPreference.

詳細および許可されるパラメーターについては、「WMIv2 API Windows Defender参照してくださいFor more information and allowed parameters, see Windows Defender WMIv2 APIs.

指定したプロセスWindows セキュリティ開いたファイルをスキャンから除外するには、アプリアプリを使用します。Use the Windows Security app to exclude files that have been opened by specified processes from scans

手順については、「アプリの除外をWindows セキュリティする」を参照してください。See Add exclusions in the Windows Security app for instructions.

プロセス除外リストでワイルドカードを使用するUse wildcards in the process exclusion list

プロセス除外リストでのワイルドカードの使用は、他の除外リストでのワイルドカードの使用とは異なります。The use of wildcards in the process exclusion list is different from their use in other exclusion lists.

特に、疑問符 ( ) ワイルドカードは使用できません。アスタリスク ( ) ワイルドカードは完全なパスの最後 ? * でのみ使用できます。In particular, you cannot use the question mark (?) wildcard, and the asterisk (*) wildcard can only be used at the end of a complete path. プロセス除外リストで項目を定義する場合は、ワイルドカードとして環境変数 ( %ALLUSERSPROFILE% など) を使用できます。You can still use environment variables (such as %ALLUSERSPROFILE%) as wildcards when defining items in the process exclusion list.

次の表に、プロセス除外リストでワイルドカードを使用する方法を示します。The following table describes how the wildcards can be used in the process exclusion list:

ワイルドカードWildcard 使用例Example use 一致例Example matches
* (アスタリスク)* (asterisk)

任意の数の文字を置き換えるReplaces any number of characters
C:\MyData\* によって開くすべてのファイル C:\MyData\file.exeAny file opened by C:\MyData\file.exe
環境変数Environment variables

定義された変数は、除外が評価される際にパスとして設定されます。The defined variable is populated as a path when the exclusion is evaluated
%ALLUSERSPROFILE%\CustomLogFiles\file.exe によって開くすべてのファイル C:\ProgramData\CustomLogFiles\file.exeAny file opened by C:\ProgramData\CustomLogFiles\file.exe

除外の一覧を確認するReview the list of exclusions

除外リストのアイテムは、MpCmdRun、PowerShell、Microsoft Endpoint Configuration Manager、Intune、またはアプリWindows セキュリティできます You can retrieve the items in the exclusion list with MpCmdRun, PowerShell, Microsoft Endpoint Configuration Manager, Intune, or the Windows Security app.

PowerShell を使用する場合は、次の 2 つの方法でリストを取得できます。If you use PowerShell, you can retrieve the list in two ways:

  • すべてのユーザー設定のMicrosoft Defender ウイルス対策します。Retrieve the status of all Microsoft Defender Antivirus preferences. 各リストは別々の行に表示されますが、各リスト内のアイテムは同じ行に結合されます。Each of the lists will be displayed on separate lines, but the items within each list will be combined into the same line.
  • すべての基本設定の状態を変数に書き込み、その変数を使用して、関心のある特定のリストのみを呼び出します。Write the status of all preferences to a variable, and use that variable to only call the specific list you are interested in. 各使用は Add-MpPreference 、新しい行に書き込まれます。Each use of Add-MpPreference is written to a new line.

MpCmdRun を使用して除外リストを検証するValidate the exclusion list by using MpCmdRun

専用のコマンド ライン ツールを使用して除外を確認するには mpcmdrun.exeコマンドを 使用します。To check exclusions with the dedicated command-line tool mpcmdrun.exe, use the following command:

MpCmdRun.exe -CheckExclusion -path <path>

注意

MpCmdRun で除外をチェックするには、Microsoft Defender ウイルス対策 CAMP バージョン 4.18.1812.3 (2018 年 12 月にリリース) 以降が必要です。Checking exclusions with MpCmdRun requires Microsoft Defender Antivirus CAMP version 4.18.1812.3 (released in December 2018) or later.

PowerShell を使用して、他のすべてのユーザー設定とMicrosoft Defender ウイルス対策一覧を確認するReview the list of exclusions alongside all other Microsoft Defender Antivirus preferences by using PowerShell

次のコマンドレットを使用します。Use the following cmdlet:

Get-MpPreference

PowerShellコマンドレットを構成して実行する方法の詳細については、「powerShell コマンドレットを使用して Microsoft Defender ウイルス対策 およびDefenderコマンドレットを構成および実行する」を参照Microsoft Defender ウイルス対策。See Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets for more information on how to use PowerShell with Microsoft Defender Antivirus.

PowerShell を使用して特定の除外リストを取得するRetrieve a specific exclusions list by using PowerShell

次のコード スニペットを使用します (各行を個別のコマンドとして入力します)。 WDAVprefs を変数 に名前を付けしたいラベルに置き換える:Use the following code snippet (enter each line as a separate command); replace WDAVprefs with whatever label you want to name the variable:

$WDAVprefs = Get-MpPreference
$WDAVprefs.ExclusionProcess

PowerShellコマンドレットを構成して実行する方法の詳細については、「powerShell コマンドレットを使用して Microsoft Defender ウイルス対策 およびDefenderコマンドレットを構成および実行する」を参照Microsoft Defender ウイルス対策。See Use PowerShell cmdlets to configure and run Microsoft Defender Antivirus and Defender cmdlets for more information on how to use PowerShell with Microsoft Defender Antivirus.