複数のアプリケーションWindows Defenderポリシーを使用する

適用対象:

  • Windows 10
  • Windows 11
  • Windows Server 2016以上

注意

アプリケーションコントロールの機能Windows Defender特定のバージョンでのみ使用Windowsがあります。 アプリケーション制御機能の可用性Windows Defender詳細については、以下を参照してください

1903 Windows 10以前は、WDAC は任意の時点でシステム上の 1 つのアクティブ ポリシーのみをサポートしました。 これにより、意図が異なる複数のポリシーが役に立つ状況で、お客様が大幅に制限されました。 WDAC Windows 10バージョン 1903 から、次のシナリオを有効にするために、デバイス上で最大 32 のアクティブ なポリシーを一度にサポートします。

  1. サイド バイ サイドの適用と監査
    • 適用モードで展開する前にポリシーの変更を検証するために、ユーザーは既存の強制モードベース ポリシーと並べて監査モードベース ポリシーを展開できます。
  2. 複数の基本ポリシー
    • 複数の基本ポリシーを同時に適用して、スコープ/インテントが異なるポリシーに対するポリシーのターゲット設定を簡単に行うことができます。
    • 1 つのデバイスに 2 つの基本ポリシーが存在する場合は、両方でアプリケーションを実行できる必要があります。
  3. 補足ポリシー
    • ユーザーは、1 つ以上の補助ポリシーを展開して基本ポリシーを展開できます
    • 補助ポリシーは単一の基本ポリシーを展開し、複数の補助ポリシーは同じ基本ポリシーを展開できます
    • 補助ポリシーの場合、基本ポリシーまたは補助ポリシーによって許可されるアプリケーションの実行が許可されます。

注意

1903 より前のシステムでは、複数のポリシー形式 WDAC ポリシーの使用はサポートされていません。

基本ポリシーと補足的なポリシーの相互作用

  • 複数の基本ポリシー: 交差
    • 両方のポリシーで許可されているアプリケーションだけが、ブロック イベントを生成せずに実行されます。
  • 基本ポリシーと補足ポリシー: union
    • 基本ポリシーまたは補助ポリシーで許可されているファイルはブロックされません

複数のポリシー形式での WDAC ポリシーの作成

複数のポリシーが存在し、1 つのシステムで有効になるには、新しい複数ポリシー形式を使用してポリシーを作成する必要があります。 New-CIPolicyの "MultiplePolicyFormat" スイッチでは、1) ポリシー ID に対して一意の GUID が生成され、2) ポリシーの種類が基本として指定されます。 次に、複数のポリシー形式で新しいポリシーを作成する例を示します。

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level Publisher -Fallback Hash

必要に応じて、新しい基本ポリシーで補足ポリシーを許可できます。

Set-RuleOption -FilePath <string> -Option 17

補足ポリシーを許可する署名付き基本ポリシーの場合は、補助署名者が定義されている必要があります。 補助署名 者を提供 するには 、Add-SignerRule の [補足] スイッチを使用します。

Add-SignerRule -FilePath <string> -CertificatePath <string> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]  [<CommonParameters>]

補足的なポリシーの作成

補足ポリシーを作成するには、まず、上記のように複数のポリシー形式で新しいポリシーを作成します。 そこから、Set-CIPolicyIdInfoを使用して補足ポリシーに変換し、展開する基本ポリシーを指定します。 SupplementsBasePolicyID または BasePolicyToSupplementPath のいずれかを使用して、基本ポリシーを指定できます。

  • "SupplementsBasePolicyID": 補助ポリシーが適用される基本ポリシーの GUID
  • "BasePolicyToSupplementPath": 補足ポリシーが適用される基本ポリシー ファイルへのパス
Set-CIPolicyIdInfo [-FilePath] <string> [-PolicyName <string>] [-SupplementsBasePolicyID <guid>] [-BasePolicyToSupplementPath <string>] [-ResetPolicyID] [-PolicyId <string>]  [<CommonParameters>]

注意

ResetPolicyId は 補助ポリシーを基本ポリシーに戻し、ポリシー GUID をランダムな GUID にリセットします。

ポリシーの結合

マージ時には、指定された左端/最初のポリシーのポリシーの種類と ID が使用されます。 左端が ID を持つ基本ポリシーである場合、後続のポリシーの GUID と種類に関係なく、結合されたポリシーは ID を持つ基本ポリシーです <ID> <ID> 。

複数のポリシーを展開する

複数の WDAC ポリシーを展開するには、ポリシー ファイルを適切なフォルダーにコピーするか、MEM Intune のカスタム OMA-URI 機能でサポートされている ApplicationControl CSP を使用してローカルに展開する必要があります。 *.cip

複数のポリシーをローカルに展開する

新しい複数のポリシー形式を使用してポリシーをローカルに展開するには、次の手順を実行します。

  1. バイナリ ポリシー ファイルの名前付け形式が正しいか {PolicyGUID}.cip 確認します。
    • バイナリ ポリシー ファイルの名前がポリシーの PolicyID GUID とまったく同じことを確認する
    • たとえば、ポリシー XML に ID が指定されている場合、バイナリ ポリシー ファイルの正しい <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID> 名前は {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip .
  2. バイナリ ポリシーをにコピーします C:\Windows\System32\CodeIntegrity\CiPolicies\Active
  3. システムを再起動します。

ApplicationControl CSP による複数のポリシーの展開

複数の WDAC ポリシーは、MDM サーバーから ApplicationControl 構成サービス プロバイダー (CSP) を介して管理できます。 CSP は、再起動のないポリシー展開のサポートも提供します。

ただし、ポリシーが MDM サーバーから登録されていない場合、CSP は CSP によって追加されたポリシーではなく、すべてのポリシーをデバイスから削除します。 この理由は、ApplicationControl CSP が CSP によって展開された場合に関係なく、デバイス上のすべてのポリシーに対してクエリを実行する場合でも、ApplicationControl CSP は個々のポリシーの登録ソースを追跡しなかだからです。

MEM Intune のカスタム OMA-URI 機能を使用した複数のポリシーの展開の詳細については 、「ApplicationControl CSP」を参照してください。

注意

WMI と GP は現在、複数のポリシーをサポートしていない。 その代わりに、MDM スタックに直接アクセスできないお客様は 、MDM ブリッジ WMI プロバイダー経由で ApplicationControl CSP を使用して複数のポリシー形式 WDAC ポリシーを管理する必要があります。