概要
新しい Windows OS がリリースされますと、あらたなポリシーが追加されます。
本記事では Windows 11 バージョン 24H2 に新たに追加されたポリシーを日本語で一覧にまとめます。
なお、下記で公開されている情報を元として一覧にまとめております。
Download Group Policy Settings Reference Spreadsheet for Windows 11 2024 Update (24H2) from Official Microsoft Download Center
また 2024年10月6日時点では日本語化が完全に終わっていないようで一部のポリシーは英語での記載となります。
1 コンピュータの構成\Windows コンポーネント\Internet Explorer 配下のポリシー
| ポリシー名 |
インターネット ショートカット ファイルのレガシ機能を許可する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Internet Explorer |
| サポートされるOS、バージョン |
Internet Explorer 7.0 以降 |
| 説明 |
このポリシー設定を使用すると、WorkingDirectory フィールドやプラグ可能なプロトコル処理などの無効な機能をインターネット ショートカット ファイルで使用できます。このポリシーを有効にした場合、インターネット ショートカット ファイルの無効な機能が再度有効になります。このポリシーを無効にした場合、または構成しなかった場合は、WorkingDirectory フィールドやプラグ可能なプロトコル処理などのインターネット ショートカット ファイルの一部の機能が無効になります。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Internet Explorer\Main!AllowLegacyURLFields |
2 コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策 配下のポリシー
| ポリシー名 |
ローカル管理者が除外を表示できるかどうかを管理 |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
このポリシー設定では、除外をローカル管理者に表示するかどうかを制御します。 エンド ユーザー (ローカル管理者ではない) にとっては、この設定が有効になっているかどうか関わらず、除外は表示されません。 無効 (既定): この設定を無効にするか、構成しなかった場合、ローカル管理者は、Windows セキュリティ アプリで、または PowerShell 経由で除外を表示できます。有効: この設定を有効にした場合、ローカル管理者は、Windows セキュリティ アプリで、または PowerShell 経由で除外リストを表示できなくなります。 注: この設定を適用しても除外は削除されず、ローカル管理者にのみ表示されなくなるだけです。これは Get-MpPreference に反映されます。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender!HideExclusionsFromLocalAdmins |
| ポリシー名 |
除外をローカル ユーザーに表示するかどうかを制御します |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
このポリシー設定では、除外をデバイス上のローカル ユーザーに表示するかどうかを制御します。 ポリシー設定 HideExclusionsFromLocalAdmins を使用して、標準ユーザーと管理ローカル ユーザーの両方から除外を非表示にします。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender!HideExclusionsFromLocalUsers |
3 コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\Microsoft Defender Exploit Guard\Attack Surface Reduction 配下のポリシー
| ポリシー名 |
特定の攻撃面の減少 (ASR) ルールに除外の一覧を適用する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\Microsoft Defender Exploit Guard\Attack Surface Reduction |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1709 以降 |
| 説明 |
このポリシーを使用すると、管理者は特定の ASR ルールの除外の一覧を指定できます。 各エントリは名前と値のペアです。キーは規則 GUID を示し、値は > 文字で区切られた完全なパスのセットであり、その特定の ASR ルールの除外を示します。 注意: GUID は KEY であり、値ではありません。 例: KEY: {75668C1F-73B5-4CF0-BB93-3ECF5DB7C484} 値: C:\Notepad.exe>c:\regedit.exe>C:\SomeFolder |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR!ExploitGuard_ASR_ASROnlyPerRuleExclusions HKLM\Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ASROnlyPerRuleExclusions |
4 コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\スキャン 配下のポリシー
| ポリシー名 |
スキャンなしで X 日後にクイック スキャンをトリガーする |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\スキャン |
| サポートされるOS、バージョン |
Windows Server 2012、Windows 8、Windows RT またはそれ以降 |
| 説明 |
このポリシー設定では、前回のスキャンから、積極的なキャッチアップ クイック スキャンが自動的にトリガーされるまでの経過日数を定義します。この値は、積極的なクイック スキャンがトリガーされるまでのスキャンを実行せずに経過できる日数を表します。 有効な値の範囲は 7 ~ 60 日です。未構成の場合、積極的なクイック スキャンは無効になります。既定では、値は有効な場合は 25 日に設定されます。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Scan!DaysUntilAggressiveCatchupQuickScan HKLM\Software\Policies\Microsoft\Windows Defender\Scan!DaysUntilAggressiveCatchupQuickScan |
| ポリシー名 |
ネットワーク ファイルのスキャンを構成する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\スキャン |
| サポートされるOS、バージョン |
Windows Server 2012、Windows 8、Windows RT またはそれ以降 |
| 説明 |
このポリシー設定では、アクセス保護を使用したネットワーク ファイルのスキャンを許可します。既定値は有効です。ほとんどの場合、有効のままにしておくことをお勧めします。 この設定を有効にした場合、または構成しなかった場合は、ネットワーク ファイルがスキャンされます。 この設定を無効にした場合、ネットワーク ファイルはスキャンされません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Scan!DisableScanningNetworkFiles |
| ポリシー名 |
除外されたファイルとディレクトリをクイック スキャン中にスキャンします。 |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\スキャン |
| サポートされるOS、バージョン |
Windows Server 2012、Windows 8、Windows RT またはそれ以降 |
| 説明 |
このポリシー設定を使用すると、クイック スキャン中に除外されたファイルとディレクトリをスキャンできます。このポリシー設定を 1 に設定すると、コンテキストの除外を使用してリアルタイム保護から除外されたすべてのファイルとディレクトリがクイック スキャン中にスキャンされます。このポリシーを 0 に設定した場合、または構成しなかった場合、クイック スキャン中に除外はスキャンされません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Scan!QuickScanIncludeExclusions HKLM\Software\Policies\Microsoft\Windows Defender\Scan!QuickScanIncludeExclusions |
5 コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\セキュリティ インテリジェンスの更新 配下のポリシー
| ポリシー名 |
VDI クライアントのスケジューラーに従ってセキュリティ インテリジェンスの更新を構成します。 |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\セキュリティ インテリジェンスの更新 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1903 以降 |
| 説明 |
このポリシー設定を使用すると、VDI で構成されたコンピューターのスケジューラーに従ってセキュリティ インテリジェンスの更新を構成できます。これは、共有されたセキュリティ インテリジェンスの場所 (SharedSignaturesLocation) と共に使用されます。 このポリシー設定を有効にして SharedSignaturesLocation を構成すると、構成された場所からの更新は、以前に構成された更新時刻にのみ行われます。 このポリシー設定を無効にするか、未構成にした場合、SharedSignaturesLocation で指定された場所で新しいセキュリティ インテリジェンスの更新が検出されるたびに更新が行われます。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Signature Updates!SharedSignatureRootUpdateAtScheduledTimeOnly |
6 コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御 配下のポリシー 配下のポリシー
| ポリシー名 |
Azure AD のリフレッシュ レートを設定する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
この設定では、デバイスが関連する設定、構成、グループ メンバーシップを更新するためにAzure ADを照会する間隔を分単位で定義します。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Device Control!AzureAdRefreshInterval |
| ポリシー名 |
データ重複の制限 (MB) を設定する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
この設定では、デバイス制御用に複製できるデータの最大量を定義します。制限に達すると、リムーバブル記憶域にコピーされるファイルはコンピューター上で複製されません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Device Control!DataDuplicationMaximumQuota |
| ポリシー名 |
デバイス制御通知のサポート リンクを設定する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
この設定を使用すると、organizationはデバイス制御通知で [サポートの取得] リンクを指定できます。構成すると、[サポートの取得] ボタンは指定されたリンクに自動的に移動します。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Device Control!CustomSupportLink |
| ポリシー名 |
ポリシーのリフレッシュ レートを設定する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
この設定では、エラーが発生し、ポリシーを読み込めなかった場合に、デバイスがポリシー構成の読み込みを再試行する間隔を分単位で定義します。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Device Control!PolicyRefreshFailureInterval |
| ポリシー名 |
ローカル デバイス コントロール キャッシュ内のファイルの保持期間を設定します |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
このポリシー設定は、デバイスコントロールがデバイス上のローカル キャッシュ内の証拠のファイルを保持する期間を決定します。デバイス コントロールは、指定されたネットワーク共有または Azure Storage にファイルをアップロードできない場合にのみ、ファイルをローカル キャッシュに保持します。既定では、デバイス コントロールはファイルをローカル キャッシュに 60 日間保持します。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Device Control!DataDuplicationLocalRetentionPeriod |
| ポリシー名 |
特定のデバイスの種類に対してデバイス制御を有効にする |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
このポリシー設定では、PrimaryId で識別されるデバイスの種類でデバイス制御保護を有効にするデバイスを制御します。特定のデバイスの種類に対してこの設定を有効にした場合、デバイス制御は対応するカスタム ポリシーに基づいてそれらのデバイスへのアクセスを制限します。デバイスコントロールは、カスタム保護ポリシーがそれらのデバイスに対して構成されている場合でも、サポートされている他のすべての種類のデバイスに対して無効になります。 この設定は現在、次のデバイスの種類をサポートしています: RemovableMediaDevices、CdRomDevices、WpdDevices、PrinterDevices。 このポリシー設定を有効にしても PrimaryId を指定しない場合、サポートされているすべてのデバイスの種類でデバイス制御がオフになります。 このポリシー設定を無効にするか、未構成にした場合、対応するカスタム ポリシーに基づいてサポートされているすべてのデバイスにデバイス制御が適用されます。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Device Control!SecuredDevicesConfiguration |
7 コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\ネットワーク検査システム 配下のポリシー
| ポリシー名 |
警告判定をブロックに変換する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\ネットワーク検査システム |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1709 以降 |
| 説明 |
ネットワーク保護は、ネットワーク トラフィックを検査し、トラフィックを許可するかブロックするか、警告を表示するかを判断します。 無効 (既定): 未構成または無効の場合、ネットワーク保護は警告判定の警告を表示します。 有効: この設定を有効にすると、ネットワーク保護は警告を表示せずにネットワーク トラフィックをブロックします。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\NIS!EnableConvertWarnToBlock |
| ポリシー名 |
非同期検査を有効にする |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\ネットワーク検査システム |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1709 以降 |
| 説明 |
リアルタイム検査から非同期検査に切り替えて、ネットワーク保護でパフォーマンスを向上できるかどうかを制御します。 無効 (既定): 未構成または無効の場合、非同期検査はネットワーク保護に対して有効になりません。 有効: 有効の場合、非同期検査への切り替えがネットワーク保護に許可されます。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\NIS!AllowSwitchToAsyncInspection |
8 コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\リアルタイム保護 配下のポリシー
| ポリシー名 |
OOBE 中にリアルタイム保護とセキュリティ インテリジェンスの更新を構成する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\リアルタイム保護 |
| サポートされるOS、バージョン |
Windows Server 2012、Windows 8、Windows RT またはそれ以降 |
| 説明 |
このポリシー設定では、OOBE (最初の実行エクスペリエンス) 中にリアルタイム保護とセキュリティ インテリジェンスの更新を有効にするかどうかを構成できます。 この設定を有効にした場合、OOBE 中にリアルタイム保護とセキュリティ インテリジェンスの更新が有効になります。 このポリシー設定を無効にするか、構成しない場合、OOBE 中にリアルタイム保護とセキュリティ インテリジェンスの更新は有効になりません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection!OobeEnableRtpAndSigUpdate |
| ポリシー名 |
パフォーマンス モードの状態を構成する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\リアルタイム保護 |
| サポートされるOS、バージョン |
SUPPORTED_Windows_11_0_22H1 |
| 説明 |
このポリシーは、Microsoft Defender ウイルス対策の開発者ドライブ用パフォーマンス モードを制御します。 開発者ドライブは、ソフトウェア開発シナリオでパフォーマンスを向上させるために最適化されたディスク ドライブです。このポリシーを有効にした場合、または構成しなかった場合、Microsoft Defender ウイルス対策でパフォーマンス モードが有効になります。パフォーマンス モードでは、開発者ドライブに格納されているコンテンツの Microsoft Defender ウイルス対策セキュリティ チェックが非同期に実行され、パフォーマンスが向上します。パフォーマンス モードでは、次のポリシーも有効にする必要があります: 開発者ドライブを有効にする、および 開発者ドライブ フィルターアタッチ ポリシー。 このポリシー設定を有効にするか、未構成にした場合、パフォーマンス モードはオンになります。 このポリシー設定を無効にすると、パフォーマンス モードはオフになり、Microsoft Defender ウイルス対策は他のドライブと同じ方法で開発者ドライブを保護します。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection!DisableAsyncScanOnOpen |
9 コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\レポート 配下のポリシー
| ポリシー名 |
動的シグネチャの破棄されたイベントを報告するかどうかを構成する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\レポート |
| サポートされるOS、バージョン |
Windows Server 2012、Windows 8、Windows RT またはそれ以降 |
| 説明 |
このポリシー設定では、動的署名の破棄イベントを報告するかどうかを構成します。この設定を構成しない場合、既定値が適用されます。既定値は無効に設定されています (このようなイベントは報告されません)。 この設定を有効に構成すると、動的署名によって削除されたイベントが報告されます。 この設定を無効に構成すると、動的署名の破棄されたイベントは報告されません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Reporting!EnableDynamicSignatureDroppedEventReporting |
10 コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\機能 配下のポリシー
| ポリシー名 |
Intel TDT 統合レベル |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\機能 |
| サポートされるOS、バージョン |
Windows Server 2016 以降または Windows 10 以降 |
| 説明 |
このポリシー設定では、Intel TDT 対応デバイスの Intel TDT 統合レベルを構成します。 この設定を構成しない場合、既定値が適用されます。既定値は Microsoft セキュリティ インテリジェンスの更新によって制御されます。既知の脅威がある場合、Microsoft は Intel TDT を有効にします。 この設定を有効にして構成すると、Intel TDT 統合がオンになります。 この設定を無効にして構成すると、Intel TDT 統合がオフになります。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Features!TDTFeatureEnabled |
| ポリシー名 |
ブロックモードで EDR を有効にする |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\機能 |
| サポートされるOS、バージョン |
Windows Server 2012、Windows 8、Windows RT またはそれ以降 |
| 説明 |
このポリシー設定は、ブロック モード (パッシブ修復 とも呼ばれます) の EDR を有効または無効にします。パッシブ モードで Microsoft Defender ウイルス対策を実行しているデバイスでは、ブロック モードの EDR をお勧めします。プラットフォーム リリースで使用可能: 4.18.2202.Xデータ型が整数ですサポートされている値:1: EDR をブロック モードでオンにする 0: EDR をブロック モードでオフにする |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Features!PassiveRemediation |
11 コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワーク ブロック\Brute-Force 保護 配下のポリシー
| ポリシー名 |
Brute-Force 保護からの除外を設定する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワーク ブロック\Brute-Force 保護 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
Brute-Force 保護から除外する IP アドレス、サブネット、またはワークステーション名を指定します。除外された IP アドレスでは、Brute-Force アクティビティの可能性はチェックされません。 攻撃者は、除外されたアドレスと名前をスプーフィングして保護をバイパスできることに注意してください。名前が一意であり、攻撃者によって推測される可能性が低いことを確認してください。 新しい行の各アドレスまたはサブネットを名前と値のペアとして入力します: - 名前列: IP アドレス、サブネット名またはワークステーション名を入力します。たとえば、1.1.127.0 は、この IP アドレスが BFP にブロックされないように除外します。 - 値列: 各項目に「0」と入力します |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection!BruteForceProtection_Exclusions HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection\BruteForceProtectionExclusions |
| ポリシー名 |
Brute-Force 保護のブロック時間を構成する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワーク ブロック\Brute-Force 保護 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
Brute-Force Protection によって IP アドレスがブロックされる最長時間を設定します。この時間が経過すると、ブロックされた IP アドレスはサインインしてセッションを開始できるようになります。サポートされている設定: * 0 - なし: 内部機能ロジックによって実際のブロック時間が決定されます * その他の時間を 15 分単位で指定する |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection!BruteForceProtectionMaxBlockTime HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection!BruteForceProtectionMaxBlockTime |
| ポリシー名 |
Brute-Force 保護の強度を構成する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワーク ブロック\Brute-Force 保護 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
Brute-Force Protection が IP アドレスをブロックする条件を設定します。サポートされている設定: *0 - 低: 信頼度が 100% の場合にのみブロックする (既定) *1 - 中: 信頼度レベルが 99% を上回る場合は、クラウドの集計とブロックを使用します *2 - 高: クラウド の情報とコンテキストを使用し、信頼度が 90% を上回る場合はブロックする |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection!BruteForceProtectionAggressiveness HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection!BruteForceProtectionAggressiveness |
| ポリシー名 |
リモート暗号化保護モードを構成する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワーク ブロック\Brute-Force 保護 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
Microsoft Defender ウイルス対策で Brute-Force 保護のモードを設定します。これにより、強制的にサインインを開始してセッションを開始する試行を検出してブロックできます。サポートされている設定: * 0 - 未構成または既定: 既定値を適用します。これは、ウイルス対策エンジンのバージョンとプラットフォームによって異なる場合があります * 1 - ブロック: 疑わしい動作や悪意のある動作を防止する * 2 - 監査: ブロックせずに EDR 検出を生成する * 4 - オフ: 機能はオフで、パフォーマンスに影響はありません |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection!BruteForceProtectionConfiguredState HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection!BruteForceProtectionConfiguredState |
12 コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワーク ブロック\リモート暗号化保護 配下のポリシー
| ポリシー名 |
リモート暗号化保護からの除外を設定する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワーク ブロック\リモート暗号化保護 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
リモート暗号化保護から除外する IP アドレス、サブネット、ドメイン名を指定します。攻撃者は、除外されたアドレスと名前をスプーフィングして保護をバイパスできることに注意してください。 新しい行の各アドレスまたはサブネットを名前と値のペアとして入力します: - 名前列: IP アドレスまたはサブネット名を入力します。たとえば、1.1.127.0 は、この IP アドレスがブロックされないように除外します。 - 値列: 各項目に「0」と入力します |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection!RemoteEncryptionProtection_Exclusions HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection\RemoteEncryptionProtectionExclusions |
| ポリシー名 |
リモート暗号化保護が脅威をどの程度積極的にブロックするかを構成する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワーク ブロック\リモート暗号化保護 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
リモート暗号化防止保護が IP アドレスをブロックする条件を設定します。 サポートされている設定: *0 - 低: 信頼度レベルが 100% の場合にのみブロックする (既定) *1 - 中: クラウド集計を使用し、信頼度レベルが 99% を超えるとブロックする *2 - 高: クラウド Intel とコンテキストを使用し、信頼度レベルが 90% を超えるとブロックする |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection!RemoteEncryptionProtectionAggressiveness HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection!RemoteEncryptionProtectionAggressiveness |
| ポリシー名 |
リモート暗号化保護のブロック時間を構成する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワーク ブロック\リモート暗号化保護 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
IP アドレスがリモート暗号化保護によってブロックされる最長時間を設定します。この時間が経過すると、ブロックされた IP アドレスは接続を再開できるようになります。サポートされている設定: * 0 - なし: 内部機能ロジックによって実際のブロック時間が決定されます * その他の時間を 15 分単位で指定する |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection!RemoteEncryptionProtectionMaxBlockTime HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection!RemoteEncryptionProtectionMaxBlockTime |
| ポリシー名 |
リモート暗号化保護モードを構成する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワーク ブロック\リモート暗号化保護 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1607 以降 |
| 説明 |
Microsoft Defender ウイルス対策でリモート暗号化保護のモードを設定します。このモードでは、ローカル ファイルを別のデバイスの暗号化されたバージョンに置き換える試みを検出してブロックできます。サポートされている設定: * 0 - 未構成または既定: 既定値を適用します。これは、ウイルス対策エンジンのバージョンとプラットフォームによって異なる場合があります * 1 - ブロック: 疑わしい動作や悪意のある動作を防止する * 2 - 監査: ブロックせずに EDR 検出を生成する * 4 - オフ: 機能はオフで、パフォーマンスに影響はありません |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection!RemoteEncryptionProtectionConfiguredState HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection!RemoteEncryptionProtectionConfiguredState |
13 コンピュータの構成\Windows コンポーネント\Windows Hello for Business 配下のポリシー
| ポリシー名 |
サインイン後にWindows Hello for Business資格情報のキャッシュを無効にする |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Windows Hello for Business |
| サポートされるOS、バージョン |
At least Windows 10 |
| 説明 |
特定のセキュリティ関連アプリケーションが資格情報をユーザー入力なしで使用してユーザー エクスペリエンスを中断しないようにするために、サインイン後に Windows Hello for Business の資格情報がキャッシュされます。これをオフにして、ユーザー入力が明示的に必要になるようにキャッシュを削除する場合は、このポリシーを有効にします。 |
| レジストリ情報 |
HKLM\SOFTWARE\Policies\Microsoft\PassportForWork!DisablePostLogonCredentialCaching |
14 コンピュータの構成\Windows コンポーネント\Windows Update\エンド ユーザー エクスペリエンスの管理 配下のポリシー
| ポリシー名 |
Specify deadline for automatic updates and restarts for feature update |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Windows Update\エンド ユーザー エクスペリエンスの管理 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1709 以降 |
| 説明 |
This policy lets you specify the number of days before feature updates are installed on devices automatically and a grace period after which required restarts occur automatically.Set deadlines for feature updates and quality updates to meet your compliance goals. Updates will be downloaded and installed as soon as they are offered and automatic restarts will be attempted outside of active hours. Once the deadline has passed restarts will occur regardless of active hours and users will not be able to reschedule. If the deadline is set to 0 days the update will be installed immediately upon offering but might not finish within the day due to device availability and network connectivity.Set a grace period for feature updates to guarantee users a minimum time to manage their restarts once updates are installed. Users will be able to schedule restarts during the grace period and Windows can still automatically restart outside of active hours if users choose not to schedule restarts. The grace period might not take effect if users already have more than the number of days set as grace period to manage their restart based on deadline configurations.You can set the device to delay restarting until both the deadline and grace period have expired.If you disable or do not configure this policy devices will get updates and will restart according to the default schedule.This policy will override the following policies:1. Specify deadline before auto restart for update installation2. Specify Engaged restart transition and notification schedule for updates3. Always automatically restart at the scheduled time4. Configure Automatic Updates |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetComplianceDeadlineForFU HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ConfigureDeadlineForFeatureUpdates HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ConfigureDeadlineGracePeriodForFeatureUpdates HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ConfigureDeadlineNoAutoRebootForFeatureUpdates |
| ポリシー名 |
Specify deadline for automatic updates and restarts for quality update |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Windows Update\エンド ユーザー エクスペリエンスの管理 |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1709 以降 |
| 説明 |
This policy lets you specify the number of days before quality updates are installed on devices automatically and a grace period after which required restarts occur automatically.Set deadlines for quality updates to meet your compliance goals. Updates will be downloaded and installed as soon as they are offered and automatic restarts will be attempted outside of active hours. Once the deadline has passed restarts will occur regardless of active hours and users will not be able to reschedule. If the deadline is set to 0 days the update will be installed immediately upon offering but might not finish within the day due to device availability and network connectivity.Set a grace period for quality updates to guarantee users a minimum time to manage their restarts once updates are installed. Users will be able to schedule restarts during the grace period and Windows can still automatically restart outside of active hours if users choose not to schedule restarts. The grace period might not take effect if users already have more than the number of days set as grace period to manage their restart based on deadline configurations.You can set the device to delay restarting until both the deadline and grace period have expired.If you disable or do not configure this policy devices will get updates and will restart according to the default schedule.This policy will override the following policies:1. Specify deadline before auto restart for update installation2. Specify Engaged restart transition and notification schedule for updates3. Always automatically restart at the scheduled time4. Configure Automatic Updates |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetComplianceDeadlineForQU HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ConfigureDeadlineForQualityUpdates HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ConfigureDeadlineGracePeriod HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ConfigureDeadlineNoAutoRebootForQualityUpdates |
15 コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー 配下のポリシー
| ポリシー名 |
スケジュールされた時刻に常に自動的に再起動する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー |
| サポートされるOS、バージョン |
Windows Server 2012、Windows 8、Windows RT またはそれ以降 |
| 説明 |
このポリシーを有効にした場合、2 日間以上ログイン画面について最初にユーザーに通知する代わりに、Windows Update で重要な更新プログラムをインストールした直後に再起動のタイマーを開始します。再起動のタイマーは、15 ~ 180 分の任意の値から開始するように構成できます。タイマーが切れると、PC にサインインしているユーザーがいる場合でも再起動が続行されます。このポリシーを無効にした場合、または構成しなかった場合、Windows Update によってその再起動の動作が変更されることはありません。スケジュールされた自動更新のインストールで、ログオンしているユーザーがいる場合には自動的に再起動しない ポリシーが有効になっている場合は、このポリシーによる影響はありません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!AlwaysAutoRebootAtScheduledTime HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!AlwaysAutoRebootAtScheduledTimeMinutes |
16 コンピュータの構成\Windows コンポーネント\Windows サンドボックス 配下のポリシー
| ポリシー名 |
Windows サンドボックスへのフォルダーのマッピングを許可する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Windows サンドボックス |
| サポートされるOS、バージョン |
少なくとも Windows 11 Pro、Enterprise または Education 以降と Windows サンドボックス |
| 説明 |
このポリシー設定は、サンドボックスに対するフォルダーのマッピングを有効または無効にします。 このポリシー設定を有効にした場合、ホストからサンドボックスへのフォルダーのマッピングが許可されます。 このポリシー設定を有効にして、マッピングされたフォルダーへの書き込みを無効にした場合、ホストからサンドボックスへのフォルダーのマッピングは許可されますが、サンドボックスのアクセス許可はファイルの読み取りのみになります。 このポリシー設定を無効にした場合、ホストからサンドボックスへのフォルダーのマッピングは許可されません。 このポリシー設定を構成しない場合、マッピングされたフォルダーが有効になります。 ホストからコンテナーにフォルダーを公開すると、セキュリティに影響する可能性があることに注意してください。 |
| レジストリ情報 |
HKLM\SOFTWARE\Policies\Microsoft\Windows\Sandbox!AllowMappedFolders HKLM\SOFTWARE\Policies\Microsoft\Windows\Sandbox!AllowWriteToMappedFolders |
17 コンピュータの構成\Windows コンポーネント\Windows ログオンのオプション 配下のポリシー
| ポリシー名 |
winlogon によって送信される MPR 通知の内容に含まれるユーザーのパスワードの送信を構成します。 |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\Windows ログオンのオプション |
| サポートされるOS、バージョン |
Windows 10 Version 1903 以降 |
| 説明 |
このポリシーでは、システムの winlogon によって送信される MPR 通知のコンテンツにユーザーのパスワードを含めるかどうかを制御します。この設定を無効にした場合、または構成しなかった場合、winlogon はユーザーの認証情報のパスワード フィールドが空の MPR 通知を送信します。この設定を有効にした場合、winlogon は認証情報にユーザーのパスワードを含む MPR 通知を送信します。 |
| レジストリ情報 |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System!EnableMPR |
18 コンピュータの構成\Windows コンポーネント\アプリ パッケージの展開 配下のポリシー
| ポリシー名 |
パッケージ済み Microsoft Store アプリの開発と統合開発環境 (IDE) からのインストールを許可する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\アプリ パッケージの展開 |
| サポートされるOS、バージョン |
Windows Server 2012、Windows 8、Windows RT またはそれ以降 |
| 説明 |
Microsoft Store アプリケーションの開発と IDE からの直接インストールを許可または拒否します。 この設定を有効にして、「信頼できるすべてのアプリのインストールを許可する」グループ ポリシーを有効にした場合、Microsoft Store アプリを開発して IDE から直接インストールすることができます。 この設定を無効にした場合、または構成しなかった場合は、Microsoft Store アプリを開発することも、IDE から直接インストールすることもできません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\Appx!AllowDevelopmentWithoutDevLicense |
| ポリシー名 |
既定でユーザーごとの署名されていないパッケージのインストールを許可しません (インストールごとに明示的に許可する必要があります) |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\アプリ パッケージの展開 |
| サポートされるOS、バージョン |
SUPPORTED_Windows_10_0_22H2 |
| 説明 |
既定でユーザーごとの署名されていないパッケージのインストールを許可しません (インストールごとに明示的に許可する必要があります) このポリシーを有効にすると、AllowUnsigned オプションの既定値は 'false' になります。 このポリシーを無効にすると、AllowUnsigned オプションの既定値は 'true' になります。既定値は 'disabled' です (キーがありません)。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\Appx!DisablePerUserUnsignedPackagesByDefault |
19 コンピュータの構成\Windows コンポーネント\アプリとデバイスのインベントリ 配下のポリシー
| ポリシー名 |
API サンプリングをオフにする |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\アプリとデバイスのインベントリ |
| サポートされるOS、バージョン |
Windows 11 バージョン 24H2 以降 |
| 説明 |
このポリシーは、API サンプリングの状態を制御します。API サンプリングは、システムの実行時に使用されるアプリケーション プログラミング インターフェイスのサンプリングされたコレクションをモニターし、互換性の問題についての診断を支援します。このポリシーを有効にすると、API サンプリングは実行されません。このポリシーを無効にした場合、または構成しなかった場合は、API サンプリングが有効になります。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\AppCompat!DisableAPISamping |
| ポリシー名 |
アプリケーション フットプリントをオフにする |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\アプリとデバイスのインベントリ |
| サポートされるOS、バージョン |
Windows 11 バージョン 24H2 以降 |
| 説明 |
このポリシーは、アプリケーション フットプリントの状態を制御します。アプリケーション フットプリントは、レジストリとファイルの使用状況のサンプリングされたコレクションをモニターして、互換性の問題についての診断を支援します。このポリシーを有効にした場合、アプリケーション フットプリントは実行されません。このポリシーを無効にした場合、または構成しなかった場合は、アプリケーション フットプリントが有効になります。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\AppCompat!DisableApplicationFootprint |
| ポリシー名 |
インストール トレーシングをオフにする |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\アプリとデバイスのインベントリ |
| サポートされるOS、バージョン |
Windows 11 バージョン 24H2 以降 |
| 説明 |
このポリシーは、インストール トレースの状態を制御します。インストール トレースは、アプリケーションのインストールを追跡し、互換性の問題についての診断を支援するメカニズムです。このポリシーを有効にした場合、インストール トレースは実行されません。このポリシーを無効にした場合、または構成しなかった場合は、インストール トレースが有効になります。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\AppCompat!DisableInstallTracing |
| ポリシー名 |
バックアップされたアプリケーションの互換性スキャンを無効にする |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\アプリとデバイスのインベントリ |
| サポートされるOS、バージョン |
Windows 11 バージョン 24H2 以降 |
| 説明 |
このポリシーは、バックアップされたアプリケーションの互換性スキャンの状態を制御します。バックアップされたアプリケーションの互換性スキャンでは、インストールされているアプリケーションの互換性の問題を評価します。このポリシーを有効にした場合、バックアップされたアプリケーションの互換性スキャンは実行されません。このポリシーを無効にするか、構成しなかった場合、バックアップされたアプリケーションの互換性スキャンが実行されます。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\AppCompat!DisableWin32AppBackup |
20 コンピュータの構成\Windows コンポーネント\アプリ実行時 配下のポリシー
| ポリシー名 |
パッケージ化された Microsoft Store アプリの動的コンテンツ URI 規則を有効にする |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\アプリ実行時 |
| サポートされるOS、バージョン |
Windows Server 2012 R2、Windows 8.1、Windows RT 8.1 またはそれ以降 |
| 説明 |
このポリシー設定では、アプリ マニフェストの一部として定義された静的コンテンツ URI 規則を補足するコンテンツ URI 規則を有効にして、コンピューターで enterpriseAuthentication 機能を使用するパッケージ化されたすべての Microsoft Store アプリに適用できます。このポリシー設定を有効にした場合、コンピューターで enterpriseAuthentication 機能を使用するパッケージ化されたすべての Microsoft Store アプリで利用できる追加のコンテンツ URI 規則を定義できます。このポリシー設定を無効にした場合、または構成しなかった場合、パッケージ化された Microsoft Store アプリでは静的コンテンツ URI 規則のみを使用します。 |
| レジストリ情報 |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Packages\Applications!EnableDynamicContentUriRules HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Packages\Applications\ContentUriRules |
21 コンピュータの構成\Windows コンポーネント\イベント ログ サービス 配下のポリシー
| ポリシー名 |
イベント ログ サービスへのリモート アクセスを制限する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\イベント ログ サービス |
| サポートされるOS、バージョン |
SUPPORTED_Windows_11_0_22H1 |
| 説明 |
このポリシー設定は、どのリモート ユーザーにこのマシン上のイベント ログ サービスへの接続を許可するかを制御します。このポリシーを有効にすると、このマシン上のイベント ログ サービスに接続するためにはリモート ユーザーはどのグループのメンバーでなければならないかを制限できます。リモート ユーザーが以下の組み込みグループのいずれかのメンバーであることを必須条件にできます。• 認証されたユーザー• イベントログ リーダー• 管理者このポリシーを無効にするかポリシーを構成しない場合、既定値は 認証されたユーザー になります。以前のバージョンの Windows では、認証されたユーザー のみがサポートされていました。下位互換性を維持するためには、認証されたユーザー からこのサービスへのローカル接続を常に許可する必要があります。この設定は、個別のログへのアクセスを制御するものではありません。リモート接続が許可された場合でも、使用しようとする特定のリソースへのアクセスは別途必要になります。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\EventLog!EnableRemoteRpcAccessRestrictions HKLM\Software\Policies\Microsoft\Windows\EventLog!RpcAccess_Remote_Setting |
22 コンピュータの構成\Windows コンポーネント\エクスプローラー 配下のポリシー
| ポリシー名 |
Do not apply the Mark of the Web tag to files copied from insecure sources |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\エクスプローラー |
| サポートされるOS、バージョン |
Windows Server 2012、Windows 8、Windows RT またはそれ以降 |
| 説明 |
This policy setting determines the application of the Mark of the Web tag to files sourced from insecure locations.If you enable this policy setting files copied from unsecure sources will not be tagged with the Mark of the Web.If you disable or do not configure this policy setting files copied from unsecure sources will be tagged with the appropriate Mark of the Web.Note: Failure to tag files from unsecure sources with the Mark of the Web can expose users’ computers to security risks. |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\Explorer!DisableMotWOnInsecurePathCopy |
23 コンピュータの構成\Windows コンポーネント\デスクトップ アプリ インストーラー 配下のポリシー
| ポリシー名 |
Windows パッケージ マネージャーのコマンド ライン インターフェイスを有効にする |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\デスクトップ アプリ インストーラー |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1809 以降 |
| 説明 |
このポリシーは、ユーザーがコマンド ライン インターフェイス (WinGet CLI または WinGet PowerShell) を通じて Windows パッケージ マネージャーを使用してアクションを実行できるかどうかを決定します。このポリシーを無効にすると、ユーザーは Windows パッケージ マネージャー CLI と PowerShell コマンドレットを実行できなくなります。このポリシーを有効にした場合、または構成しなかった場合、ユーザーは Windows パッケージ マネージャー CLI コマンドと PowerShell コマンドレットを実行できます ([アプリ インストーラーを有効にする] ポリシーが無効になっている場合に限る)。このポリシーは、[アプリ インストーラーを有効にする] ポリシーをオーバーライドしません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableWindowsPackageManagerCommandLineInterfaces |
| ポリシー名 |
Windows パッケージ マネージャーの構成を有効にする |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\デスクトップ アプリ インストーラー |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1809 以降 |
| 説明 |
このポリシーでは、Windows パッケージ マネージャー構成機能をユーザーが使用できるかどうかを制御します。この設定を有効にした場合、または構成しなかった場合、ユーザーはWindows パッケージ マネージャー構成機能を使用できます。この設定を無効にすると、ユーザーはWindows パッケージ マネージャー構成機能を使用できなくなります。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableWindowsPackageManagerConfiguration |
| ポリシー名 |
アプリ インストーラー ローカル アーカイブ マルウェア スキャンの上書きを有効にする |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\デスクトップ アプリ インストーラー |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1809 以降 |
| 説明 |
このポリシーでは、コマンド ライン引数を使用してローカル マニフェストを使用してアーカイブ ファイルをインストールするときに、マルウェアの脆弱性スキャンをオーバーライドする機能を制御します。このポリシーを有効にした場合、アーカイブ ファイルのローカル マニフェストのインストールを実行するときに、ユーザーはマルウェア スキャンをオーバーライドできます。このポリシーを無効にすると、ユーザーはローカル マニフェストを使用してインストールするときにアーカイブ ファイルのマルウェア スキャンをオーバーライドできなくなります。このポリシーを構成しなかった場合は、Windows パッケージ マネージャー管理者の設定が適用されます。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableLocalArchiveMalwareScanOverride |
| ポリシー名 |
アプリ インストーラーでの Microsoft Store ソースの固定証明書のバイパスを有効にする |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\デスクトップ アプリ インストーラー |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1809 以降 |
| 説明 |
このポリシーでは、Microsoft Store ソースへの接続を開始するときに、Windows パッケージ マネージャーが既知の Microsoft Store 証明書と一致する Microsoft Store 証明書ハッシュを検証するかどうかを制御します。このポリシーを有効にした場合、Windows パッケージ マネージャーは Microsoft Store 証明書の検証をバイパスします。このポリシーを無効にした場合、Windows パッケージ マネージャーは、Microsoft Store ソースと通信する前に、使用されている Microsoft Store 証明書が有効であり、Microsoft Store に属していることを検証します。このポリシーを構成しなかった場合は、Windows パッケージ マネージャー管理者の設定が適用されます。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableBypassCertificatePinningForMicrosoftStore |
24 コンピュータの構成\コントロール パネル\個人用設定 配下のポリシー
| ポリシー名 |
特定のテーマを読み込む |
| ポリシーのパス |
コンピュータの構成\コントロール パネル\個人用設定 |
| サポートされるOS、バージョン |
Windows Server 2008 R2、Windows 7 またはそれ以降 |
| 説明 |
ユーザーが初めてログオンしたときにコンピューターに適用するテーマ ファイルを指定します。この設定を有効にした場合、新しいユーザーが初めてログオンしたときに、指定したテーマが適用されます。 この設定を有効にした場合も、ユーザーは初回のログオン後に、テーマや、デスクトップの背景、色、サウンド、スクリーン セーバーなどのテーマ要素を変更できます。この設定を無効にした場合、または構成しなかった場合は、初回のログオン時に既定のテーマが適用されます。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\Personalization!ThemeFile |
25 コンピュータの構成\システム 配下のポリシー
| ポリシー名 |
sudo コマンドの動作を構成する |
| ポリシーのパス |
コンピュータの構成\システム |
| サポートされるOS、バージョン |
Windows 11 以降 |
| 説明 |
このポリシー設定は、sudo.exeコマンド ライン ツールの使用を制御します。このポリシー設定を有効にした場合は、sudo を実行する最大許容モードを設定できます。これにより、ユーザーが sudo を使用してコマンド ライン アプリケーションを操作する方法が制限されます。sudo の実行を許可するには、次のいずれかのモードを選択できます。無効: sudo はこのコンピューターで完全に無効になっています。ユーザーが sudo を実行しようとすると、sudo はエラー メッセージを出力して終了します。新しいウィンドウの強制: sudo がコマンド ライン アプリケーションを起動すると、新しいコンソール ウィンドウでそのアプリが起動します。入力を無効にする: sudo がコマンド ライン アプリケーションを起動すると、現在のコンソール ウィンドウでアプリを起動しますが、ユーザーはコマンド ライン アプリへの入力を入力できません。ユーザーは、新しいウィンドウの強制 モードで sudo を実行することもできます。ノーマル: sudo がコマンド ライン アプリケーションを起動すると、現在のコンソール ウィンドウでアプリを起動します。ユーザーは、新しいウィンドウの強制 モードまたは 入力の無効化 モードで sudo を実行することもできます。このポリシーを無効にした場合、または構成しなかった場合、ユーザーは通常どおり (設定アプリで設定を有効にした後) sudo.exe を実行できます。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\Sudo!Enabled |
26 コンピュータの構成\システム\Device Guard 配下のポリシー
| ポリシー名 |
ビジネス向けアプリ コントロールの展開 |
| ポリシーのパス |
コンピュータの構成\システム\Device Guard |
| サポートされるOS、バージョン |
Windows Server 2016 以降または Windows 10 以降 |
| 説明 |
ビジネス向けアプリ コントロールのデプロイこのポリシー設定を使用すると、コード整合性ポリシーをコンピューターに展開して、そのコンピューターでの実行を許可する内容を制御できます。コード整合性ポリシーを展開すると、カーネル モードと Windows デスクトップの両方で実行できる動作が、ポリシーに基づいて制限されます。このポリシーを有効にするには、コンピューターを再起動する必要があります。ファイル パスは UNC パス (例: \ServerName\ShareName\SIPolicy.p7b) またはローカルで有効なパス (例: C:\FolderName\SIPolicy.p7b) である必要があります。 ローカル コンピューター アカウント (LOCAL SYSTEM) には、ポリシー ファイルへのアクセス許可が必要です。署名付きの保護されたポリシーを使用している場合、このポリシー設定を無効にしても、この機能はコンピューターから削除されません。代わりに、次のいずれかを行う必要があります:1) 最初にポリシーを保護されていないポリシーに更新してから、設定を無効にするか、 2) 設定を無効にしてから、物理的に存在するユーザーと共に各コンピューターからポリシーを削除します。 |
| レジストリ情報 |
HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard!DeployConfigCIPolicy HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard!ConfigCIPolicyFilePath |
27 コンピュータの構成\システム\KDC 配下のポリシー
| ポリシー名 |
証明書に関して名前ベースの強力なマッピングを許可する |
| ポリシーのパス |
コンピュータの構成\システム\KDC |
| サポートされるOS、バージョン |
Windows Server 2016 以降または Windows 10 以降 |
| 説明 |
このポリシー設定では、代替の名前ベースの識別子を使用して、Active Directory ユーザー アカウントに発行された証明書を厳密にマップし、どの証明書をどのアカウントにマップするかを指定できます。この設定を有効にしない場合、証明書は aka.ms/StrongCertMapKB で指定された 厳密なマッピング 条件を満たす必要があります。これは通常、名前ベースの識別子を許可しません。このポリシーで指定する各マッピングには、次に示す構文を使用して、IssuerSubject や UPN サフィックスと共にポリシー OID を含める必要があります。指定された証明書の有効なマッピングがこのポリシーで見つからない場合、Active Directory は、 KB5014754 で指定された既存の強力なマッピング条件を使用して一致を検索しようとします。厳密な名前マッピング 条件 (このポリシー) または既存の 厳密なマッピング 条件のいずれにも準拠していない証明書マッピングは、認証にには無効と見なされます。一般的なポリシー形式といくつかの例を以下に示します。このポリシーは、Active Directory ユーザー アカウントにのみ適用されます。一般的な構文==============<拇印>; ; <名前一致メソッド>例==============IssuerThumbprint1; oid1 oid2 oid3; UpnSuffix=domain.comIssuerThumbprint2; oid1; UpnSuffix=domain.com UpnSuffix=other.domain.com IssuerSubjectIssuerThumbprint3; oid1 oid2; IssuerSubjectポリシーには、規則ごとに証明書の拇印が 1 つだけ含まれている必要があります。各規則はタプルとして表されます。拇印は一意である必要があり、複数のルールで繰り返すことはできません。セミコロンで区切られた各タプルのセクションは、指定された順序にする必要がありますが、コンマで区切られたフィールドは任意の順序で指定できます。ルール自体は改行で区切ります。 |
| レジストリ情報 |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters!UseStrongNameMatches HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters!StrongNameMatchesList |
28 コンピュータの構成\システム\Kerberos 配下のポリシー
| ポリシー名 |
委任された管理されたサービス アカウント ログオンを有効にする |
| ポリシーのパス |
コンピュータの構成\システム\Kerberos |
| サポートされるOS、バージョン |
Windows 11 バージョン 24H2 以降 |
| 説明 |
このポリシー設定は、このコンピューターの委任された管理されたサービス アカウント ログオンを有効または無効にします。このポリシー設定を有効にすると、委任された管理されたサービス アカウント トログオンが Kerberos クライアントでサポートされます。このポリシーには特定の前提条件があることにご注意ください。新しい委任された管理されたサービス アカウントを作成するための前提条件と手順については、https://go.microsoft.com/fwlink/?linkid=2250379 を参照してください。このポリシー設定を無効にするか構成しない場合、委任された管理されたサービス アカウント トログオンは Kerberos クライアントでサポートされません。 |
| レジストリ情報 |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters!DelegatedMSAEnabled HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters!DmsaRealms |
29 コンピュータの構成\システム\LAPS 配下のポリシー
| ポリシー名 |
自動アカウント管理を構成する |
| ポリシーのパス |
コンピュータの構成\システム\LAPS |
| サポートされるOS、バージョン |
少なくとも Microsoft Windows 10 以降 |
| 説明 |
このポリシーは、自動アカウント管理のポリシー オプションを構成します。管理するターゲット アカウントを指定する: 組み込みの管理者アカウントまたはカスタム アカウントのどちらを管理するかを指定します。自動アカウント名 (または名前のプレフィックス): 管理アカウントに使用する名前または名前のプレフィックスを指定します。このポリシー設定が構成されている場合、Windows LAPS はターゲット アカウントのアカウント名または名前のプレフィックスとして使用します。このポリシー設定が構成されていない場合、Windows LAPS は WLapsAdminをアカウント名または名前のプレフィックスとして使用します。注: アカウント名のランダム化が構成されている場合、この名前はプレフィックスとして処理されます。以下のコメントを参照してください。管理アカウントを有効にする: 管理アカウントを有効にするかどうかを指定します。このポリシー設定が構成されている場合、Windows LAPS は指定された管理アカウントを有効にします。このポリシー設定が構成されていない場合、Windows LAPS は指定された管理アカウントを無効にします。注: Windows LAPS は、アカウントが有効または無効の状態で維持されているかどうかに関係なく、管理アカウントのパスワードを定期的に保持およびローテーションします。管理アカウントの名前をランダム化する: 管理アカウントの名前をランダムな数値サフィックスでランダム化するかどうかを指定します。このポリシー設定が構成されている場合、Windows LAPS は管理対象の自動アカウント名に 8 桁のランダムな数値サフィックスを追加し、パスワードがローテーションされるたびに管理アカウントの名前を再ランダム化します。このポリシー設定が構成されていない場合、Windows LAPS は、構成済みの管理対象の自動アカウント名を使用します。管理対象の自動アカウント名のプレフィックスが構成されている場合、Windows LAPS では、その名前の最初の 12 文字までがランダムな名前のプレフィックスとして使用されます。管理対象の自動アカウント名が構成されていない場合、Windows LAPS は WLapsAdminを名前のプレフィックスとして使用します。注: ドメイン コントローラーの DSRM アカウントを自動アカウント管理用に構成することはできません。このポリシーはドメイン コントローラーには影響しません。DC 用に構成されている場合でも無視されます。詳細については、https://go.microsoft.com/fwlink/?linkid=2188435 を参照してください。 |
| レジストリ情報 |
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!AutomaticAccountManagementEnabled HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!AutomaticAccountManagementTarget HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!AutomaticAccountManagementNameOrPrefix HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!AutomaticAccountManagementEnableAccount HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!AutomaticAccountManagementRandomizeName |
30 コンピュータの構成\システム\Net Logon\DC ロケーター DNS レコード 配下のポリシー
| ポリシー名 |
ドメイン コントローラーの場所の NetBIOS ベースの検出をブロックする |
| ポリシーのパス |
コンピュータの構成\システム\Net Logon\DC ロケーター DNS レコード |
| サポートされるOS、バージョン |
At least Microsoft Windows 10 or later |
| 説明 |
このポリシー設定を使用すると、ドメイン コントローラー (DC) の場所アルゴリズムでドメイン コントローラーの場所の検出に NetBIOS ベースを使用するかどうかを制御できます。このポリシー設定を有効にするか、構成しなかった場合、DC の場所アルゴリズムでは NetBIOS ベースの検出は使用されません。これは既定の動作です。このポリシー設定を無効にした場合、必要に応じて DC の場所アルゴリズムで NetBIOS ベースの検出を使用できます。最終的な動作は、AvoidFallbackNetbiosDiscovery 設定によってさらに制御されます。NetBIOS ベースの検出はセキュリティで保護されていないと見なされ、多くの制限があるため、今後のリリースでは非推奨になる予定です。これらの理由により、NetBIOS ベースの検出はお勧めではありません。詳細については、https://aka.ms/dclocatornetbiosdeprecation を参照してください。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Netlogon\Parameters!BlockNetbiosDiscovery |
31 コンピュータの構成\システム\セキュリティ アカウント マネージャー 配下のポリシー
| ポリシー名 |
SAM パスワード変更 RPC メソッド ポリシーの構成 |
| ポリシーのパス |
コンピュータの構成\システム\セキュリティ アカウント マネージャー |
| サポートされるOS、バージョン |
At least Microsoft Windows 10 or later |
| 説明 |
このポリシーを使用すると、管理者はセキュリティ アカウント マネージャー (SAM) でユーザー パスワード変更 RPC メソッドのリモート使用を構成できるようになります。ポリシーを有効にすると、次のオプションがサポートされます:すべてのパスワード変更 RPC メソッドをブロックする: すべてのセキュリティ アカウント マネージャー (SAM) 変更パスワード RPC メソッドのリモート使用をブロックします。強力な暗号化の変更パスワード RPC メソッドを許可する: 強力な暗号化を使用し、脆弱な暗号化方法のリモート使用をブロックするパスワード変更 RPC メソッドをリモートで使用できるようにします。すべてのパスワード変更 RPC メソッドを許可する: 暗号化に関係なく、すべてのパスワード変更 RPC メソッドのリモート使用を許可します。既定のポリシー: 1. ドメイン メンバー コンピューター - すべてのパスワード変更 RPC メソッドをブロックします。 2. ドメイン コントローラー - 強力な暗号化変更パスワード RPC メソッドを許可します。注: ポリシーが無効になっている場合、または構成されていない場合、コンピューターは既定のポリシーを使用します。 |
| レジストリ情報 |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM!SamrChangeUserPasswordApiPolicy |
32 コンピュータの構成\タスク バーと [スタート] メニュー 配下のポリシー
| ポリシー名 |
ユーザーがスタート画面をカスタマイズできないようにする |
| ポリシーのパス |
コンピュータの構成\タスク バーと [スタート] メニュー |
| サポートされるOS、バージョン |
Windows 2000 以降 |
| 説明 |
このポリシー設定は、ユーザーがスタート画面のレイアウトを変更できないようにします。この設定を有効にした場合、ユーザーによるアプリの選択、タイルのサイズ変更、タイルやセカンダリ タイルのピン留め操作とピン留めを外す操作、カスタマイズ モードへの切り替え、および [スタート画面とアプリ] のタイルの並べ替えを禁止します。この設定を無効にした場合、または構成しなかった場合、ユーザーによるアプリの選択、タイルのサイズ変更、タイルやセカンダリ タイルのピン留め操作とピン留めを外す操作、カスタマイズ モードへの切り替え、および [スタート画面とアプリ] のタイルの並べ替えを許可します。 |
| レジストリ情報 |
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer!NoChangeStartMenu |
| ポリシー名 |
通知とアクション センターを削除する |
| ポリシーのパス |
コンピュータの構成\タスク バーと [スタート] メニュー |
| サポートされるOS、バージョン |
Windows Server 2016 以降または Windows 10 以降 |
| 説明 |
このポリシー設定を使用して、タスク バーの通知領域から通知とアクション センターを削除できます。通知領域はタスク バーの右端にあり、最新の通知を表すアイコンとシステム クロックが表示されています。この設定を有効にした場合、通知とアクション センターが通知領域に表示されなくなります。ユーザーは通知が表示されたときにそれを読むことができますが、見落とした通知を後で確認することはできません。このポリシー設定を無効にした場合、または構成しない場合は、通知と [セキュリティとメンテナンス] がタスク バーに表示されます。このポリシー設定を適用するには再起動が必要です。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\Explorer!DisableNotificationCenter |
33 コンピュータの構成\タスク バーと [スタート] メニュー\通知 配下のポリシー
| ポリシー名 |
トースト通知をオフにする |
| ポリシーのパス |
コンピュータの構成\タスク バーと [スタート] メニュー\通知 |
| サポートされるOS、バージョン |
Windows Server 2012、Windows 8、Windows RT またはそれ以降 |
| 説明 |
このポリシー設定は、アプリケーションのトースト通知をオフにします。 このポリシー設定を有効にした場合、アプリケーションはトースト通知を表示できません。 このポリシーは、タスク バーの通知バルーンには影響しません。 Windows システムの機能はこのポリシーの影響を受けません。 システムの機能がトースト通知を表示しないようにするには、システムの機能を個別に有効または無効にする必要があります。 このポリシー設定を無効にした場合、または構成しなかった場合、トースト通知が有効になり、管理者またはユーザーが通知をオフにできます。 このポリシー設定を有効にするために、再起動したり、サービスを再開したりする必要はありません。 |
| レジストリ情報 |
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications!NoToastApplicationNotification |
34 コンピュータの構成\ネットワーク\DNS クライアント 配下のポリシー
| ポリシー名 |
マルチキャスト DNS (mDNS) プロトコルの構成 |
| ポリシーのパス |
コンピュータの構成\ネットワーク\DNS クライアント |
| サポートされるOS、バージョン |
Windows Server 2016、Windows 10 バージョン 1703 以降 |
| 説明 |
DNS クライアントが mDNS で名前解決を実行するかどうかを指定します。このポリシーを有効にした場合、DNS クライアントは mDNS プロトコルを使用します。このポリシー設定を無効にした場合、または構成しなかった場合、DNS クライアントはローカルで構成された設定を使用します。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows NT\DNSClient!EnableMDNS |
| ポリシー名 |
暗号化された名前解決の構成 |
| ポリシーのパス |
コンピュータの構成\ネットワーク\DNS クライアント |
| サポートされるOS、バージョン |
Windows Server 20H2 Windows 10 Version 20H2 以降 |
| 説明 |
DNS クライアントが暗号化されたプロトコルを介して名前解決を実行するかどうかを指定します。既定では、DNS クライアントは (UDP または TCP ポート 53 を介して) 従来の DNS 名解決を行います。 この設定により、DNS クライアントを拡張して、暗号化されたプロトコルを使用してドメイン名を解決できます。このポリシー設定を使用するには、[有効] をクリックし、ドロップダウン リストから次のオプションのいずれかを選択します。暗号化を禁止する: 暗号化された名前解決は実行されません。暗号化を許可する: 構成されたサーバーが暗号化をサポートしている場合は、暗号化された名前解決を使用します。 サポートされていない場合は、従来の名前解決を試してください。暗号化を要求する暗号化された名前解決のみを許可します。 暗号化を処理する: 構成済みのDNSサーバーがない場合、名前解決は失敗します。一般的な暗号化ポリシーに加えて、追加のポリシーを個々のプロトコル レベルで構成できます。たとえば、DoT の名前解決のみを強制するには、「暗号化が必要」と「DoH をブロック」の組み合わせが必要になります (DoH を強制するにはその逆です)。上記の例では、DoT が強制された場合、マシンに有効な DoT サーバーが構成されていることを確認するのは管理者の責任です (DoH の場合はその逆です)。このポリシー設定を無効にした場合、またはこのポリシー設定を構成しない場合、DNS クライアントはローカルに構成された設定を使用します。DDR (指定リゾルバーの検出) プレーンテキスト トラフィックは、暗号化設定の自動検出に必要なため許可されます。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows NT\DNSClient!DoHPolicy HKLM\Software\Policies\Microsoft\Windows NT\DNSClient!DohPolicySetting HKLM\Software\Policies\Microsoft\Windows NT\DNSClient!DotPolicySetting |
| ポリシー名 |
既定の IPv6 DNS サーバーを無効にする |
| ポリシーのパス |
コンピュータの構成\ネットワーク\DNS クライアント |
| サポートされるOS、バージョン |
Windows Server 2012、Windows 8、Windows RT またはそれ以降 |
| 説明 |
このポリシーを有効にした場合、DNS クライアントは Windows によって提供される既定の IPv6 DNS サーバー アドレスを使用しません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows NT\DNSClient!DisableIPv6DefaultDnsServers |
35 コンピュータの構成\ネットワーク\LAN Manager サーバー 配下のポリシー
| ポリシー名 |
QUIC 経由で SMB を有効にする |
| ポリシーのパス |
コンピュータの構成\ネットワーク\LAN Manager サーバー |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシー設定では、SMB サーバーで SMB over QUIC を有効にするかどうかを制御します。このポリシー設定を無効にすると、SMB サーバーは QUIC 経由の接続を受け付けなくなります。このポリシー設定を構成しなかった場合、SMB サーバーは QUIC 経由の接続を受け入れる可能性があります。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanServer!EnableSMBQUIC |
| ポリシー名 |
SMB の最小バージョンを義務付ける |
| ポリシーのパス |
コンピュータの構成\ネットワーク\LAN Manager サーバー |
| サポートされるOS、バージョン |
Windows Server 2022 以降または Windows 11 以降 |
| 説明 |
このポリシーは、SMB プロトコルの最小バージョンを制御します注: SMB 1 コンポーネントが現時点でもインストールされ有効になっている場合、このグループ ポリシーは SMB 1 の使用を妨げません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanServer!MinSmb2Dialect |
| ポリシー名 |
SMB の最大バージョンを義務付ける |
| ポリシーのパス |
コンピュータの構成\ネットワーク\LAN Manager サーバー |
| サポートされるOS、バージョン |
Windows Server 2022 以降または Windows 11 以降 |
| 説明 |
このポリシーは、SMB プロトコルの最大バージョンを制御します注: SMB 1 コンポーネントが現時点でもインストールされ有効になっている場合、このグループ ポリシーは SMB 1 の使用を妨げません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanServer!MaxSmb2Dialect |
| ポリシー名 |
リモート メールスロットを有効にする |
| ポリシーのパス |
コンピュータの構成\ネットワーク\LAN Manager サーバー |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシーでは、SMB サーバーがコンピューター ブラウザー サービス経由のリモート メールスロットを有効または無効にするかどうかを制御します。このポリシー設定を無効にすると、コンピューター ブラウザー サービスは予期したとおりに実行されなくなります。このポリシー設定を構成しなかった場合でも、コンピューターブラウザーはリモート メールスロットを有効にして動作している可能性があります。注: このポリシーを有効にするには、Windows の再起動が必要です。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\Bowser!EnableMailslots |
| ポリシー名 |
安全でないゲスト ログオンを監査する |
| ポリシーのパス |
コンピュータの構成\ネットワーク\LAN Manager サーバー |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシーでは、クライアントがゲスト アカウントとしてログオンしたときに SMB サーバーが監査イベントを有効にするかどうかを制御します。このポリシー設定を有効にした場合、SMB サーバーはクライアントがゲスト アカウントとしてログオンしたときにイベントをログに記録します。このポリシー設定を無効にするか、未構成にした場合、SMB サーバーはイベントをログに記録しません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanServer!AuditInsecureGuestLogon |
| ポリシー名 |
監査クライアントが署名をサポートしていない |
| ポリシーのパス |
コンピュータの構成\ネットワーク\LAN Manager サーバー |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシーは、SMB クライアントが署名をサポートしていない場合に、SMB サーバーがイベントをログに記録するかどうかを制御します。このポリシー設定を有効にすると、SMB クライアントが署名をサポートしていない場合に、SMB サーバーはイベントをログに記録します。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanServer!AuditClientDoesNotSupportSigning |
| ポリシー名 |
監査クライアントは暗号化をサポートしていません |
| ポリシーのパス |
コンピュータの構成\ネットワーク\LAN Manager サーバー |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシーでは、SMB クライアントが暗号化をサポートしていない場合に SMB サーバーがイベントをログに記録するかどうかを制御します。このポリシー設定を有効にした場合、SMB クライアントが暗号化をサポートしていない場合、SMB サーバーはイベントをログに記録します。このポリシー設定を無効にするか、未構成にした場合、SMB サーバーはイベントをログに記録しません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanServer!AuditClientDoesNotSupportEncryption |
| ポリシー名 |
認証レート リミッターの遅延を設定する (ミリ秒) |
| ポリシーのパス |
コンピュータの構成\ネットワーク\LAN Manager サーバー |
| サポートされるOS、バージョン |
SUPPORTED_Windows_Server_2025_Windows_11_0_24H2 |
| 説明 |
このポリシーは、SMB サーバーが無効な認証の遅延にミリ秒単位の既定値を使用するかどうかを制御します。このポリシー設定を構成した場合、認証レート リミッターは、無効な認証試行を遅延するために指定された値を使用します。このポリシー設定を構成しない場合、認証レート リミッターは、HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters の下のローカル レジストリの既定値または値を使用します。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanServer!InvalidAuthenticationDelayTimeInMs |
| ポリシー名 |
認証レート リミッターを有効にする |
| ポリシーのパス |
コンピュータの構成\ネットワーク\LAN Manager サーバー |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシーでは、SMB サーバーが認証レートリミッタを有効または無効にするかどうかを制御します。このポリシー設定を無効にした場合、認証レートリミッタは有効になりません。このポリシー設定を構成しなかった場合、遅延設定によっては、認証レート リミッタが動作している可能性があります (推奨される遅延値は 2000 ミリ秒です)。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanServer!EnableAuthRateLimiter |
36 コンピュータの構成\ネットワーク\Lanman ワークステーション 配下のポリシー
| ポリシー名 |
Enable SMB over QUIC |
| ポリシーのパス |
コンピュータの構成\ネットワーク\Lanman ワークステーション |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
This policy setting controls whether the SMB client will enable SMB over QUIC.If you disable this policy setting the SMB client will not allow initiating connections over QUIC. In this case if the user attempts to connect over QUIC SMB client will attempt to connect over TCP.If you do not configure this policy setting the SMB client may allow initiating connections over QUIC. |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!EnableSMBQUIC |
| ポリシー名 |
NTLM (LM、NTLM、NTLMv2) をブロックする |
| ポリシーのパス |
コンピュータの構成\ネットワーク\Lanman ワークステーション |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシーは、SMB クライアントがリモート接続認証のために NTLM をブロックするかどうかを制御します。このポリシー設定を有効にした場合、SMB クライアントはリモート接続認証に NTLM を使用しません。このポリシー設定を無効にした場合、または構成しなかった場合でも、SMB クライアントは NTLM を使用できます。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!BlockNTLM |
| ポリシー名 |
NTLM サーバー例外一覧をブロックする |
| ポリシーのパス |
コンピュータの構成\ネットワーク\Lanman ワークステーション |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシー設定は、指定されたサーバーへのアクセスに NTLM を使用できるかどうかを決定します。このポリシー設定を有効にすると (NTLM をブロックする (LM、NTLM、NTLMv2) ポリシーが有効な場合にのみ有効)、指定されたサーバーへのアクセスに NTLM が使用される可能性があります。編集ボックスに目的のサーバー (DNS 名、IP アドレス、または NetBIOS 名) を 1 行に 1 つのサーバー名で入力してください。このポリシー設定を無効にした場合、または構成しなかった場合、サーバーへの NTLM アクセスは他の設定によって決定されます。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!BlockNTLMServerExceptionList |
| ポリシー名 |
SMB の最小バージョンを義務付ける |
| ポリシーのパス |
コンピュータの構成\ネットワーク\Lanman ワークステーション |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシーは、SMB プロトコルの最小バージョンを制御します注: SMB 1 コンポーネントが現時点でもインストールされ有効になっている場合、このグループ ポリシーは SMB 1 の使用を妨げません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!MinSmb2Dialect |
| ポリシー名 |
SMB の最大バージョンを義務付ける |
| ポリシーのパス |
コンピュータの構成\ネットワーク\Lanman ワークステーション |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシーは、SMB プロトコルの最大バージョンを制御します注: SMB 1 コンポーネントが現時点でもインストールされ有効になっている場合、このグループ ポリシーは SMB 1 の使用を妨げません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!MaxSmb2Dialect |
| ポリシー名 |
リモート メールスロットを有効にする |
| ポリシーのパス |
コンピュータの構成\ネットワーク\Lanman ワークステーション |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシーでは、SMB クライアントが MUP 経由のリモート メールスロットを有効または無効にするかどうかを制御します。このポリシー設定を無効にした場合、リモート メールスロットは MUP 経由で機能しないため、SMB クライアント リダイレクターを経由しません。このポリシー設定を構成しなかった場合、リモート メールスロットは MUP 経由で許可される可能性があります。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\NetworkProvider!EnableMailslots |
| ポリシー名 |
安全でないゲスト ログオンを監査する |
| ポリシーのパス |
コンピュータの構成\ネットワーク\Lanman ワークステーション |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシーでは、SMB クライアントがゲスト アカウントとしてログオンしたときに、SMB クライアントが監査イベントを有効にするかどうかを制御します。このポリシー設定を有効にした場合、SMB クライアントはクライアントがゲスト アカウントとしてログオンしたときにイベントをログに記録します。このポリシー設定を無効にするか、未構成にした場合、SMB クライアントはイベントをログに記録しません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!AuditInsecureGuestLogon |
| ポリシー名 |
暗号化が必要 |
| ポリシーのパス |
コンピュータの構成\ネットワーク\Lanman ワークステーション |
| サポートされるOS、バージョン |
Windows Server 2022 以降または Windows 11 以降 |
| 説明 |
このポリシーでは、SMB クライアントで暗号化を要求するかどうかを制御します。このポリシー設定を有効にした場合、SMB クライアントでは、暗号化とデータの暗号化をサポートするために SMB サーバーが必要になります。このポリシー設定を無効にするか、未構成にした場合、SMB クライアントは暗号化を要求しません。ただし、SMB 暗号化がまだ必要な可能性があります。以下のメモを参照してください。注: このポリシーは、共有単位、サーバー単位、マップされたドライブごとの接続プロパティと組み合わされ、SMB 暗号化が必要になる場合があります。SMB サーバーは SMB 暗号化をサポートし、有効にする必要があります。たとえば、このポリシーを無効にした場合 (または構成しなかった場合)、SMB サーバー共有に必要な暗号化がある場合でも、SMB クライアントは暗号化を実行できます。重要: SMB 暗号化には SMB 3.0 以降が必要です |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!RequireEncryption |
| ポリシー名 |
監査サーバーが署名をサポートしていない |
| ポリシーのパス |
コンピュータの構成\ネットワーク\Lanman ワークステーション |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシーは、SMB サーバーが署名をサポートしていない場合に、SMB クライアントが監査イベントを有効にするかどうかを制御します。このポリシー設定を有効にすると、SMB サーバーが署名をサポートしていない場合に、SMB クライアントはイベントをログに記録します。このポリシー設定を無効にするか構成しなかった場合、SMB クライアントはイベントをログに記録しません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!AuditServerDoesNotSupportSigning |
| ポリシー名 |
監査サーバーは暗号化をサポートしていません |
| ポリシーのパス |
コンピュータの構成\ネットワーク\Lanman ワークステーション |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシーは、SMB サーバーが暗号化をサポートしていない場合に、SMB クライアントが監査イベントを有効にするかどうかを制御します。このポリシー設定を有効にした場合、SMB サーバーが暗号化をサポートしていない場合、SMB クライアントはイベントをログに記録します。このポリシー設定を無効にするか、未構成にした場合、SMB クライアントはイベントをログに記録しません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!AuditServerDoesNotSupportEncryption |
| ポリシー名 |
代替ポート マッピング |
| ポリシーのパス |
コンピュータの構成\ネットワーク\Lanman ワークステーション |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシー設定は、SMB クライアントが使用する代替ポート レジストリ マッピングを決定します。このポリシー設定を有効にした場合、マッピングのサーバー名が接続の対象サーバー名と一致する場合、最初の有効なマッピングが使用されます。このポリシー設定を有効にして、有効なマッピングを少なくとも 1 つ指定しない場合、またはこのポリシー設定を無効にした場合、または構成しなかった場合、SMB クライアントは、NET USE コマンドや New-SmbMapping コマンドなど、別のポート使用法を決定する他の方法を参照します。例:contososa.file.core.windows.net:tcp:448edgesrv1.corp.contoso.com:quic:450この設定を変更する方法:編集ボックスで必要な代替ポート マッピングを 1 行に 1 つのマッピング エントリで配置します。各マッピング エントリの形式は、上記の例で行われたように、サーバー名、トランスポートの種類、ポート番号をコロンで区切って指定します。注: このポリシーを有効にするには、Windows の再起動は必要ありません。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!AlternativePortMappings |
| ポリシー名 |
代替ポートを有効にする |
| ポリシーのパス |
コンピュータの構成\ネットワーク\Lanman ワークステーション |
| サポートされるOS、バージョン |
Windows Server 2025 以降または Windows 11 以降 |
| 説明 |
このポリシーは、SMB クライアントが代替ポートを有効または無効にするかどうかを制御します。このポリシー設定を無効にした場合、代替ポートは SMB クライアントで使用されません。このポリシー設定を構成しなかった場合、SMB クライアントで代替ポートが使用される可能性があります。 |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!EnableAlternativePorts |
37 コンピュータの構成\プリンター 配下のポリシー
| ポリシー名 |
Windows で保護された印刷を構成する |
| ポリシーのパス |
コンピュータの構成\プリンター |
| サポートされるOS、バージョン |
Windows 11 バージョン 24H2 以降 |
| 説明 |
このコンピューターで Windows で保護された印刷を有効にするかどうかを決定します。既定では、Windows で保護された印刷は有効ではなく、インストールまたは印刷機能を使用できる印刷ドライバーに制限はありません。この設定を有効にした場合、コンピューターは Windows 保護印刷モードで動作します。このモードでは、受信トレイの Windows 印刷ドライバーのサブセットをサポートするプリンターへの印刷のみが許可されます。この設定を無効にした場合、または構成しなかった場合、インストールまたは印刷機能を使用できる印刷ドライバーに制限はありません。詳細については、[WPP 情報を含む Web ページへのリンクの挿入] を参照してください |
| レジストリ情報 |
HKLM\Software\Policies\Microsoft\Windows NT\Printers\WPP!WindowsProtectedPrintGroupPolicyState |
| ポリシー名 |
着信接続の RPC パケット レベルのプライバシー設定を構成する |
| ポリシーのパス |
コンピュータの構成\プリンター |
| サポートされるOS、バージョン |
Windows Server 2016 以降または Windows 10 以降 |
| 説明 |
このポリシー設定では、着信接続の RPC に対してパケット レベルのプライバシーを有効にするかどうかを制御します。既定では、着信接続の RPC に対してパケット レベルのプライバシーが有効になっています。このポリシー設定を有効にするか、未構成にした場合、着信接続の RPC ではパケット レベルのプライバシーが有効になります。 |
| レジストリ情報 |
HKLM\System\CurrentControlSet\Control\Print!RpcAuthnLevelPrivacyEnabled |
38 ユーザーの構成\Windows コンポーネント\Internet Explorer 配下のポリシー
| ポリシー名 |
JScript の代わりに JScript9Legacy を読み込んで、JScript を置き換えます。 |
| ポリシーのパス |
ユーザーの構成\Windows コンポーネント\Internet Explorer |
| サポートされるOS, |
Internet Explorer 11.0 以降 |
| 説明 |
このポリシー設定では、JScriptまたは JScript9Legacy を読み込むかどうかを指定します。 このポリシー設定を有効にした場合、または構成しなかった場合は、JScriptがインスタンス化されている場合に JScript9Legacy が読み込まれます。このポリシーを無効にすると、JScriptが使用されます。 |
| レジストリ情報 |
HKCU\Software\Policies\Microsoft\Internet Explorer\Main!JScriptReplacement |
| ポリシー名 |
インターネット ショートカット ファイルのレガシ機能を許可する |
| ポリシーのパス |
ユーザーの構成\Windows コンポーネント\Internet Explorer |
| サポートされるOS、バージョン |
Internet Explorer 7.0 以降 |
| 説明 |
このポリシー設定を使用すると、WorkingDirectory フィールドやプラグ可能なプロトコル処理などの無効な機能をインターネット ショートカット ファイルで使用できます。このポリシーを有効にした場合、インターネット ショートカット ファイルの無効な機能が再度有効になります。このポリシーを無効にした場合、または構成しなかった場合は、WorkingDirectory フィールドやプラグ可能なプロトコル処理などのインターネット ショートカット ファイルの一部の機能が無効になります。 |
| レジストリ情報 |
HKCU\Software\Policies\Microsoft\Internet Explorer\Main!AllowLegacyURLFields |
39 ユーザーの構成\Windows コンポーネント\Windows AI 配下のポリシー
| ポリシー名 |
Windows のスナップショットの保存を無効にする |
| ポリシーのパス |
ユーザーの構成\Windows コンポーネント\Windows AI |
| サポートされるOS、バージョン |
少なくとも Windows 11 Pro、Enterprise または Education 以降と Windows サンドボックス |
| 説明 |
このポリシー設定を使用すると、Windows が画面のスナップショットを保存し、デバイス上のユーザーのアクティビティを分析するかどうかを制御できます。このポリシー設定を有効にした場合、Windows はスナップショットを保存できず、ユーザーは呼び戻しを使用して過去のデバイス アクティビティを検索または参照できなくなります。このポリシー設定を無効にするか、未構成にした場合、画面のスナップショットが保存され、ユーザーはリコールを使用して過去のアクティビティのタイムラインを検索または参照できるようになります。 |
| レジストリ情報 |
HKCU\SOFTWARE\Policies\Microsoft\Windows\WindowsAI!DisableAIDataAnalysis |
40 ユーザーの構成\タスク バーと [スタート] メニュー 配下のポリシー
| ポリシー名 |
パッケージ化された Microsoft Store アプリをタスク バーに表示する |
| ポリシーのパス |
ユーザーの構成\タスク バーと [スタート] メニュー |
| サポートされるOS、バージョン |
Windows Server 2012 R2、Windows 8.1、Windows RT 8.1 またはそれ以降 |
| 説明 |
このポリシー設定を使用すると、ユーザーは、パッケージ化された Microsoft Store アプリをタスク バーに表示できます。このポリシー設定を有効にした場合、パッケージ化された Microsoft Store アプリがタスク バーに表示されます。このポリシー設定を無効にした場合、パッケージ化された Microsoft Store アプリはタスク バーに表示されません。このポリシー設定を構成しなかった場合は、ユーザーのデバイスの既定の設定が使用されます。ユーザーが設定を変更することもできます。 |
| レジストリ情報 |
HKCU\Software\Policies\Microsoft\Windows\Explorer!ShowWindowsStoreAppsOnTaskbar |
補足情報 Windows 11 バージョン 23H2 で初期リリース後追加されたポリシー
Windows 11 バージョン 23H2の初期リリースには含まれず後日追加されたポリシーがあります。
参考までにあわせて記載しておきます。
補足1 コンピュータの構成\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ セッション ホスト\セキュリティ 配下のポリシー
| ポリシー名 |
Microsoft ID プラットフォーム認証のロック時にリモート セッションを切断する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ セッション ホスト\セキュリティ |
| サポートされるOS、バージョン |
Windows Vista 以降 |
| 説明 |
このポリシー設定を使用すると、リモート デスクトップ セッションがユーザーまたはポリシーによってロックされている場合のユーザー エクスペリエンスを構成できます。リモート セッションがロックされているときにリモート ロック画面を表示するか、または切断するかを指定できます。リモート セッションを切断すると、リモート セッションがロック画面に残らないようにし、ネットワーク接続が失われたことが原因で自動的に再接続できなくなります。このポリシーは、リモート PC への認証にMicrosoft Entra IDなどのMicrosoft ID プラットフォームを使用する ID プロバイダーを使用する場合にのみ適用されます。NTLM、CredSSP、RDSTLS、TLS、RDP 基本認証プロトコルを含むレガシ認証を使用する場合、このポリシーは適用されません。このポリシー設定を有効にするか、未構成にした場合、Microsoft ID プラットフォームを使用したリモート デスクトップ接続は、リモート セッションがロックされたときにリモート セッションを切断します。ユーザーは準備ができたら再接続でき、パスワードレス認証を使用できます (構成されている場合)。このポリシー設定を無効にすると、Microsoft ID プラットフォームを使用したリモート デスクトップ接続は、リモート セッションがロックされたときにリモート ロック画面を表示します。ユーザーは、ユーザー名とパスワード、または証明書を使用してリモート セッションのロックを解除できます。 |
| レジストリ情報 |
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!fDisconnectOnLockMicrosoftIdentity |
補足2 コンピュータの構成\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ セッション ホスト\デバイスとリソースのリダイレクト 配下のポリシー
| ポリシー名 |
クライアントからサーバーへのクリップボード転送を制限する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ セッション ホスト\デバイスとリソースのリダイレクト |
| サポートされるOS、バージョン |
Windows 11 バージョン 22H2 以降 |
| 説明 |
このポリシー設定を使用すると、クライアントからサーバーへのクリップボード データ転送を制限できます。このポリシー設定を有効にする場合、次の動作から選択する必要があります。- クライアントからサーバーへのクリップボード転送を無効にします。- クライアントからサーバーへのテキストのコピーを許可します。- クライアントからサーバーへのプレーン テキストと画像のコピーを許可します。- クライアントからサーバーへのプレーン テキスト、画像、リッチ テキスト形式のコピーを許可します。- クライアントからサーバーへのプレーン テキスト、画像、リッチ テキスト形式と HTML のコピーを許可します。このポリシー設定を無効にした場合、または構成しなかった場合、クリップボード リダイレクトが有効になっていれば、ユーザーはクライアントからサーバーに任意のコンテンツをコピーできます。注: このポリシー設定は、[コンピューターの構成] と [ユーザーの構成] の両方に表示されます。両方のポリシー設定が構成されている場合、より厳密な制限が使用されます。 |
| レジストリ情報 |
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!CSClipLevel |
| ポリシー名 |
サーバーからクライアントへのクリップボード転送を制限する |
| ポリシーのパス |
コンピュータの構成\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ セッション ホスト\デバイスとリソースのリダイレクト |
| サポートされるOS、バージョン |
Windows 11 バージョン 22H2 以降 |
| 説明 |
このポリシー設定を使用すると、サーバーからクライアントへのクリップボード データ転送を制限できます。このポリシー設定を有効にする場合、次の動作から選択する必要があります。- サーバーからクライアントへのクリップボード転送を無効にします。- サーバーからクライアントへのテキストのコピーを許可します。- サーバーからクライアントへのプレーン テキストと画像のコピーを許可します。- サーバーからクライアントへのプレーン テキスト、画像、リッチ テキスト形式のコピーを許可します。- サーバーからクライアントへのプレーン テキスト、画像、リッチ テキスト形式と HTML のコピーを許可します。このポリシー設定を無効にした場合、または構成しなかった場合、クリップボード リダイレクトが有効になっていれば、サーバーからクライアントに任意のコンテンツをコピーできます。注: このポリシー設定は、[コンピューターの構成] と [ユーザーの構成] の両方に表示されます。両方のポリシー設定が構成されている場合、より厳密な制限が使用されます。 |
| レジストリ情報 |
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!SCClipLevel |
| ポリシー名 |
画面録画を許可する |
| ポリシーのパス |
ユーザーの構成\Windows コンポーネント\Snipping Tool |
| サポートされるOS、バージョン |
Windows 11 バージョン 22H2 以降 |
| 説明 |
このポリシー設定では、Windows Snipping Tool アプリで画面録画機能が使用可能かどうかを制御します。このポリシー設定を無効にした場合、Windows Snipping Tool アプリでは画面録画機能にアクセスできません。このポリシー設定を有効にした場合、または構成しなかった場合、ユーザーは画面録画機能にアクセスできます。 |
| レジストリ情報 |
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\SnippingTool!AllowScreenRecorder |
補足3 ユーザーの構成\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ セッション ホスト\デバイスとリソースのリダイレクト 配下のポリシー
| ポリシー名 |
クライアントからサーバーへのクリップボード転送を制限する |
| ポリシーのパス |
ユーザーの構成\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ セッション ホスト\デバイスとリソースのリダイレクト |
| サポートされるOS、バージョン |
Windows 11 バージョン 22H2 以降 |
| 説明 |
このポリシー設定を使用すると、クライアントからサーバーへのクリップボード データ転送を制限できます。このポリシー設定を有効にする場合、次の動作から選択する必要があります。- クライアントからサーバーへのクリップボード転送を無効にします。- クライアントからサーバーへのテキストのコピーを許可します。- クライアントからサーバーへのプレーン テキストと画像のコピーを許可します。- クライアントからサーバーへのプレーン テキスト、画像、リッチ テキスト形式のコピーを許可します。- クライアントからサーバーへのプレーン テキスト、画像、リッチ テキスト形式と HTML のコピーを許可します。このポリシー設定を無効にした場合、または構成しなかった場合、クリップボード リダイレクトが有効になっていれば、ユーザーはクライアントからサーバーに任意のコンテンツをコピーできます。注: このポリシー設定は、[コンピューターの構成] と [ユーザーの構成] の両方に表示されます。両方のポリシー設定が構成されている場合、より厳密な制限が使用されます。 |
| レジストリ情報 |
HKCU\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!CSClipLevel |
| ポリシー名 |
サーバーからクライアントへのクリップボード転送を制限する |
| ポリシーのパス |
ユーザーの構成\Windows コンポーネント\リモート デスクトップ サービス\リモート デスクトップ セッション ホスト\デバイスとリソースのリダイレクト |
| サポートされるOS、バージョン |
Windows 11 バージョン 22H2 以降 |
| 説明 |
このポリシー設定を使用すると、サーバーからクライアントへのクリップボード データ転送を制限できます。このポリシー設定を有効にする場合、次の動作から選択する必要があります。- サーバーからクライアントへのクリップボード転送を無効にします。- サーバーからクライアントへのテキストのコピーを許可します。- サーバーからクライアントへのプレーン テキストと画像のコピーを許可します。- サーバーからクライアントへのプレーン テキスト、画像、リッチ テキスト形式のコピーを許可します。- サーバーからクライアントへのプレーン テキスト、画像、リッチ テキスト形式と HTML のコピーを許可します。このポリシー設定を無効にした場合、または構成しなかった場合、クリップボード リダイレクトが有効になっていれば、サーバーからクライアントに任意のコンテンツをコピーできます。注: このポリシー設定は、[コンピューターの構成] と [ユーザーの構成] の両方に表示されます。両方のポリシー設定が構成されている場合、より厳密な制限が使用されます。 |
| レジストリ情報 |
HKCU\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!SCClipLevel |
関連情報
Group Policy Settings Reference Spreadsheet のダウンロード先一覧 #Windows - Qiita
最後に
今回は 90 個の新たなポリシーが追加されております。
ここ2年のアップデートではあまり新規のポリシー追加はありませんでしたが、今回は多めです。
今後の運用の中でよくつかわれそうなものもあるので、事前に動作をご確認いただけますとよいかと思います。
