ポリシー CSP - ADMX_DeviceGuard

  • [アーティクル]

ヒント

この CSP には、有効または無効にするための特別な SyncML 形式が必要な ADMX に基づくポリシーが含まれています。 SyncML のデータ型を として <Format>chr</Format>指定する必要があります。 詳細については、「 ADMX でサポートされるポリシーについて」を参照してください。

SyncML のペイロードは XML エンコードされている必要があります。この XML エンコードには、さまざまなオンライン エンコーダーを使用できます。 ペイロードのエンコードを回避するために、MDM でサポートされている場合は CDATA を使用できます。 詳細については、「 CDATA セクション」を参照してください。

Warning

Windows Defender アプリケーション制御ポリシーのグループ ポリシーベースの展開では、単一ポリシー形式の WDAC ポリシーのみがサポートされます。 Windows 10 1903 以降、またはWindows 11を実行しているデバイスで WDAC を使用するには、ポリシーの展開に別の方法を使用することをお勧めします。

ConfigCIPolicy

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー		 ✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC		 ✅Windows 10バージョン 2004 [10.0.19041.1202] 以降
✅Windows 10バージョン 2009 [10.0.19042.1202] 以降
✅Windows 10、バージョン 21H1 [10.0.19043.1202] 以降
✅Windows 11バージョン 21H2 [10.0.22000] 以降		 
./Device/Vendor/MSFT/Policy/Config/ADMX_DeviceGuard/ConfigCIPolicy

アプリケーションコントロールWindows Defender展開します。

このポリシー設定を使用すると、コード整合性ポリシーをマシンに展開して、そのマシンでの実行が許可される内容を制御できます。

コード整合性ポリシーを展開する場合、Windows では、カーネル モードと Windows デスクトップの両方で実行できる内容が、ポリシーに基づいて制限されます。 このポリシーを有効にするには、マシンを再起動する必要があります。

ファイル パスは、UNC パス (\ServerName\ShareName\SIPolicy.p7b など) またはローカルで有効なパス (C:\FolderName\SIPolicy.p7b など) のいずれかである必要があります。 ローカル コンピューター アカウント (LOCAL SYSTEM) には、ポリシー ファイルへのアクセス許可が必要です。

署名済みの保護されたポリシーを使用している場合、このポリシー設定を無効にしても、コンピューターから機能は削除されません。 代わりに、次のいずれかを行う必要があります。

  1. 最初にポリシーを保護されていないポリシーに更新してから、設定を無効にするか、または
  2. 設定を無効にしてから、物理的に存在するユーザーを含む各コンピューターからポリシーを削除します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換

ヒント

これは ADMX でサポートされるポリシーであり、構成には SyncML 形式が必要です。 SyncML 形式の例については、「 ポリシーの有効化」を参照してください。

ADMX マッピング:

名前
名前 ConfigCIPolicy
フレンドリ名 Windows Defender Application Control の展開
場所 [コンピューターの構成]
パス System > Device Guard
レジストリ キー名 SOFTWARE\Policies\Microsoft\Windows\DeviceGuard
レジストリ値の名前 DeployConfigCIPolicy
ADMX ファイル名 DeviceGuard.admx

ポリシー構成サービス プロバイダー