Windows Server 2025で新規に導入されたポリシーの一覧

Last updated at 2025-01-29Posted at 2025-01-29

本記事では Windows Server 2025 に新たに追加されたポリシーを日本語で一覧にまとめます。

なお、下記で公開されている情報を元として一覧にまとめております。

Download Administrative Templates (.admx) for Windows Server 2025 (Nov 24 release) from Official Microsoft Download Center

1. コンピュータの構成\Windows コンポーネント\Internet Explorer 配下のポリシー
2. コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策配下のポリシー
3. コンピュータの構成\Windows コンポーネント\Microsoft アカウント配下のポリシー
4. コンピュータの構成\Windows コンポーネント\PC 設定の同期配下のポリシー
5. コンピュータの構成\Windows コンポーネント\Windows Hello for Business 配下のポリシー
6. コンピュータの構成\Windows コンポーネント\Windows Update 配下のポリシー
7. コンピュータの構成\Windows コンポーネント\Windows サンドボックス配下のポリシー
8. コンピュータの構成\Windows コンポーネント\Windows ログオンのオプション配下のポリシー
9. コンピュータの構成\Windows コンポーネント\アプリパッケージの展開配下のポリシー
10. コンピュータの構成\Windows コンポーネント\アプリとデバイスのインベントリ配下のポリシー
11. コンピュータの構成\Windows コンポーネント\アプリのプライバシー配下のポリシー
12. コンピュータの構成\Windows コンポーネント\アプリ実行時配下のポリシー
13. コンピュータの構成\Windows コンポーネント\イベントログサービス配下のポリシー
14. コンピュータの構成\Windows コンポーネント\ウィジェット配下のポリシー
15. コンピュータの構成\Windows コンポーネント\エクスプローラー配下のポリシー
16. コンピュータの構成\Windows コンポーネント\クラウドコンテンツ配下のポリシー
17. コンピュータの構成\Windows コンポーネント\チャット配下のポリシー
18. コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー配下のポリシー
19. コンピュータの構成\Windows コンポーネント\リモートデスクトップサービス配下のポリシー
20. コンピュータの構成\Windows コンポーネント\検索配下のポリシー
21. コンピュータの構成\Windows コンポーネント\人の存在配下のポリシー
22. コンピュータの構成\Windows コンポーネント\配信の最適化配下のポリシー
23. コンピュータの構成\コントロールパネル\個人用設定配下のポリシー
24. コンピュータの構成\システム配下のポリシー
25. コンピュータの構成\システム\Device Guard 配下のポリシー
26. コンピュータの構成\システム\KDC 配下のポリシー
27. コンピュータの構成\システム\Kerberos 配下のポリシー
28. コンピュータの構成\システム\LAPS 配下のポリシー
29. コンピュータの構成\システム\Net Logon 配下のポリシー
30. コンピュータの構成\システム\セキュリティアカウントマネージャー配下のポリシー
31. コンピュータの構成\システム\デバイスのインストール配下のポリシー
32. コンピュータの構成\システム\ファイルシステム配下のポリシー
33. コンピュータの構成\システム\ローカルセキュリティ機関配下のポリシー
34. コンピュータの構成\タスクバーと [スタート] メニュー配下のポリシー
35. コンピュータの構成\デスクトップ配下のポリシー
36. コンピュータの構成\ネットワーク\DNS クライアント配下のポリシー
37. コンピュータの構成\ネットワーク\LAN Manager サーバー配下のポリシー
38. コンピュータの構成\ネットワーク\Lanman ワークステーション配下のポリシー
39. コンピュータの構成\プリンター配下のポリシー
40. ユーザーの構成\Windows コンポーネント\Internet Explore 配下のポリシー
41. ユーザーの構成\Windows コンポーネント\Snipping Tool 配下のポリシー
42. ユーザーの構成\Windows コンポーネント\Windows Copilot 配下のポリシー
43. ユーザーの構成\Windows コンポーネント\Windows Update 配下のポリシー
44. ユーザーの構成\Windows コンポーネント\アカウント通知配下のポリシー
45. ユーザーの構成\Windows コンポーネント\クラウドコンテンツ配下のポリシー
46. ユーザーの構成\Windows コンポーネント\クラウドコンテンツ配下のポリシー
47. ユーザーの構成\Windows コンポーネント\マルチタスキング配下のポリシー
48. ユーザーの構成\Windows コンポーネント\リモートデスクトップサービス配下のポリシー
49. ユーザーの構成\システム\ドライバーのインストール配下のポリシー
50. ユーザーの構成\タスクバーと [スタート] メニュー配下のポリシー

1. コンピュータの構成\Windows コンポーネント\Internet Explorer 配下のポリシー

ポリシー名	エンタープライズモードサイト一覧に含まれていないすべてのサイトを Microsoft Edge に送信します
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Internet Explorer
サポートされるOS、バージョン	Windows 10 Version 1607 の Internet Explorer 11.0 以降
説明	この設定では、Microsoft Edge でエンタープライズモードサイト一覧に含まれていないすべてのサイトを開くかどうかを決定できます。この設定を使用する場合は、管理用テンプレート\Windows コンポーネント\Internet Explorer\エンタープライズモード IE の Web サイト一覧を使用するポリシー設定を有効にし、エンタープライズモードサイト一覧に少なくとも 1 つのサイトを含める必要もあります。この設定を有効にすると、エンタープライズモードサイト一覧に含まれていないすべてのサイトが Microsoft Edge で自動的に開かれます。この設定を無効にした場合、または構成しなかった場合は、現在アクティブなブラウザーに基づいてすべてのサイトが開かれます。メモ: 管理用テンプレート\Windows コンポーネント\Microsoft Edge\すべてのイントラネットサイトを Internet Explorer 11 に送るポリシー設定も有効にしている場合は、引き続きすべてのイントラネットサイトが Internet Explorer 11 で開かれます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Internet Explorer\Main\EnterpriseMode!RestrictIE

ポリシー名	Internet Explorer モードでグローバルウィンドウリストを有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Internet Explorer
サポートされるOS、バージョン	Internet Explorer 11.0 以降
説明	この設定では、Internet Explorer モードでグローバルウィンドウの一覧を使用して、他のアプリケーションと状態を共有できるようにします。この設定は、Internet Explorer 11 がスタンドアロンブラウザーとして無効になっている場合にのみ有効になります。このポリシーを有効にした場合、Internet Explorer モードではグローバルウィンドウの一覧が使用されます。このポリシーを無効にした場合、または構成しなかった場合、Internet Explorer モードでは引き続き別のウィンドウの一覧が保持されます。Internet Explorer モードの詳細については、https://go.microsoft.com/fwlink/?linkid=2102921を参照してくださいスタンドアロンブラウザーとして Internet Explorer 11 を無効にする方法の詳細については、https://go.microsoft.com/fwlink/?linkid=2168340を参照してください
レジストリ情報	HKLM\Software\Policies\Microoft\Internet Explorer\Main\EnterpriseMode!EnableGlobalWindowListInIEMode

ポリシー名	インターネットショートカットファイルのレガシ機能を許可する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Internet Explorer
サポートされるOS、バージョン	Internet Explorer 7.0 以降
説明	このポリシー設定を使用すると、WorkingDirectory フィールドやプラグ可能なプロトコル処理などの無効な機能をインターネットショートカットファイルで使用できます。このポリシーを有効にした場合、インターネットショートカットファイルの無効な機能が再度有効になります。このポリシーを無効にした場合、または構成しなかった場合は、WorkingDirectory フィールドやプラグ可能なプロトコル処理などのインターネットショートカットファイルの一部の機能が無効になります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Internet Explorer\Main!AllowLegacyURLFields

ポリシー名	Internet Explorer モードの HTML ダイアログのズームを既定にリセットする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Internet Explorer
サポートされるOS、バージョン	Internet Explorer 11.0 以降
説明	このポリシー設定を使用すると、管理者は、Internet Explorer モードで HTML ダイアログのズームを既定値にリセットできます。このポリシーを有効にした場合、Internet Explorer モードの HTML ダイアログのズームは親ページから引き継がれません。このポリシーを無効にした場合、または構成しなかった場合、Internet Explorer モードの HTML ダイアログのズームは、親ページのズームに基づいて設定されます。詳細については、https://go.microsoft.com/fwlink/?linkid=2220107 を参照してください
レジストリ情報	HKLM\Software\Policies\Microsoft\Internet Explorer\Main\EnterpriseMode!ResetZoomForDialogInIEMode

ポリシー名	Internet Explorer 11 の提供終了通知を非表示にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Internet Explorer
サポートされるOS、バージョン	Windows 10 の Internet Explorer 11.0 以降
説明	このポリシー設定を使用すると、Internet Explorerが廃止される通知バーのアラームを表示するかどうかを管理できます。既定では、通知バーは Internet Explorer 11 に表示されます。このポリシー設定を有効にした場合、通知バーは Internet Explorer 11 に表示されません。このポリシー設定を無効にするか、未構成にした場合、通知バーは Internet Explorer 11 に表示されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Internet Explorer\Main!DisableIEAppNotificationPolicy

ポリシー名	JScript の代わりに JScript9Legacy を読み込んで、JScript を置き換えます。
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Internet Explorer
サポートされるOS、バージョン	Internet Explorer 11.0 以降
説明	このポリシー設定では、JScriptまたは JScript9Legacy を読み込むかどうかを指定します。このポリシー設定を有効にした場合、または構成しなかった場合は、JScriptがインスタンス化されている場合に JScript9Legacy が読み込まれます。このポリシーを無効にすると、JScriptが使用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Internet Explorer\Main!JScriptReplacement

ポリシー名	HTML アプリケーションを無効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Internet Explorer
サポートされるOS、バージョン	Internet Explorer 11.0 以降
説明	このポリシー設定では、HTML アプリケーション (HTA ファイル) の実行をブロックするか許可するか指定します。このポリシー設定を有効にすると、HTML アプリケーション (HTA ファイル) の実行がブロックされます。このポリシー設定を無効にした場合、または構成しなかった場合は、HTML アプリケーション (HTA ファイル) の実行が許可されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Internet Explorer\Hta!DisableHTMLApplication

ポリシー名	Internet Explorer で Adobe Flash をオフにし、アプリケーションが Internet Explorer テクノロジを使用して Flash オブジェクトをインスタンス化できないようにする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Internet Explorer\セキュリティの機能\アドオン管理
サポートされるOS、バージョン	Windows 8 の Internet Explorer 10.0 以降
説明	このポリシー設定は、Internet Explorer 上で Adobe Flash をオフにし、アプリケーションが Internet Explorer テクノロジを使用して Flash オブジェクトをインスタンス化できないようにします。このポリシー設定を有効にすると、Internet Explorer で Flash がオフになり、アプリケーションが Internet Explorer テクノロジを使用して Flash オブジェクトをインスタンス化できなくなります。[アドオンの管理] ダイアログボックスで、Flash のステータスは [無効] になり、ユーザーは Flash を有効にできません。このポリシー設定を有効にすると、[アドオンの一覧] ポリシー設定および [アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する] ポリシー設定を通じた Adobe Flash に対する設定を Internet Explorer は無視します。このポリシー設定を無効にした場合、または構成しなかった場合、Internet Explorer で Flash がオンになり、アプリケーションが Internet Explorer テクノロジを使用して Flash オブジェクトをインスタンス化できます。ユーザーは [アドオンの管理] ダイアログボックスで、Flash を有効または無効にできます。このポリシー設定を無効にした場合、または構成しなかった場合でも、[アドオンの一覧] ポリシー設定および [アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する] ポリシー設定を通じて Adobe Flash を無効にできます。ただし、このポリシー設定ではなく、[アドオンの一覧] ポリシー設定および [アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する] ポリシー設定を通じて Adobe Flash を無効にした場合は、Internet Explorer テクノロジを使用して Flash オブジェクトをインスタンス化するすべてのアプリケーションでそれまでと同じくインスタンス化できます。詳細については、Internet Explorer TechNet ライブラリの Internet Explorer 10 のグループポリシー設定に関するページを参照してください。
レジストリ情報	HKLM\Software\Policies\Microsoft\Internet Explorer!DisableFlashInIE

2. コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策配下のポリシー

ポリシー名	スケジュールされたタスク時間のランダム化ウィンドウを構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	このポリシー設定を使用すると、スケジュールされたタスクのスキャン開始時刻と、スケジュールされたセキュリティインテリジェンス更新の開始時刻の時間帯を 1 時間単位で構成できます。この設定は、スケジュールされたタスク時間のランダム化の構成に影響します。この設定を有効にした場合、ランダム化ウィンドウを 1 時間単位で選択する必要があります。使用可能なランダム化ウィンドウの間隔は、1 時間から 23 時間です。実装されるランダム化の間隔は、0 から構成された値の間です。この設定を有効にすると、スケジュールされたタスク時間のランダム化の設定で、この構成設定で指定されたランダム化ウィンドウが使用されます。このポリシー設定を無効にするか、未構成にした場合、スケジュールされたタスク時間のランダム化の設定によって、スケジュールされたタスクの時間が 0 時間から 4 時間の間でランダム化されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender!SchedulerRandomizationTime HKLM\Software\Policies\Microsoft\Windows Defender!SchedulerRandomizationTime

ポリシー名	ローカル管理者が除外を表示できるかどうかを管理
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	このポリシー設定では、除外をローカル管理者に表示するかどうかを制御します。エンドユーザー (ローカル管理者ではない) にとっては、この設定が有効になっているかどうか関わらず、除外は表示されません。無効 (既定): この設定を無効にするか、構成しなかった場合、ローカル管理者は、Windows セキュリティアプリで、または PowerShell 経由で除外を表示できます。有効：この設定を有効にした場合、ローカル管理者は、Windows セキュリティアプリで、または PowerShell 経由で除外リストを表示できなくなります。注: この設定を適用しても除外は削除されず、ローカル管理者にのみ表示されなくなるだけです。これは Get-MpPreference に反映されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender!HideExclusionsFromLocalAdmins

ポリシー名	除外をローカルユーザーに表示するかどうかを制御します
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	このポリシー設定では、除外をデバイス上のローカルユーザーに表示するかどうかを制御します。ポリシー設定 HideExclusionsFromLocalAdmins を使用して、標準ユーザーと管理ローカルユーザーの両方から除外を非表示にします。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender!HideExclusionsFromLocalUsers

ポリシー名	Microsoft Defender の毎月のプラットフォーム更新プログラムのチャネルを選択します
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	このポリシーを有効にして、月単位の段階的なロールアウト中にデバイスが Microsoft Defender プラットフォームの更新プログラムを受信するタイミングを指定します。このチャネルに設定されているデバイスは、新しい更新プログラムを最初に受信します。問題の特定と Microsoft への報告に参加するには、[ベータチャネル] を選択します。Windows Insider Program 内のデバイスは、既定でこのチャネルにサブスクライブされます。(手動) テスト環境でのみ使用、限定数のデバイス。現在のチャネル (プレビュー): このチャネルに設定されたデバイスには、毎月の段階的なリリースサイクルの最も早い段階で更新プログラムが提供されます。運用前/検証環境に推奨されます。現在のチャネル (ステージング): デバイスは、月次の段階的なリリースサイクル後に更新プログラムが提供されます。運用母集団のごく代表的な部分 (~10%) に適用することをお勧めします。現在のチャネル (広範): 段階的なリリースサイクルが完了した後にのみ、デバイスに更新プログラムが提供されます。運用環境の母集団 (~10 - 100%) の広範なデバイスセットに適用することをお勧めします。クリティカル - 遅延時間: デバイスには 48 時間の遅延で更新プログラムが提供されます。重要な環境にのみ推奨されます。このポリシーを無効にした場合、または構成しなかった場合は、段階的なリリースサイクル中にデバイスが自動的に最新の状態に維持されます。ほとんどのデバイスに適しています。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender!PlatformRing

ポリシー名	Microsoft Defender の毎月のエンジン更新プログラムのチャネルを選択します。
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	このポリシーを有効にして、月次の段階的なロールアウト中にデバイスが Microsoft Defender エンジンの更新プログラムを受信するタイミングを指定します。ベータチャネル: このチャネルに設定されているデバイスは、新しい更新プログラムを最初に受信します。問題の特定と Microsoft への報告に参加するには、[ベータチャネル] を選択します。Windows Insider Program 内のデバイスは、既定でこのチャネルにサブスクライブされます。(手動) テスト環境でのみ使用、限定数のデバイス。現在のチャネル (プレビュー): このチャネルに設定されたデバイスには、月次の段階的なリリースサイクル中に最も早い更新プログラムが提供されます。運用前/検証環境に推奨されます。現在のチャネル (ステージング): デバイスは、月次の段階的なリリースサイクル後に更新プログラムが提供されます。運用母集団のごく代表的な部分 (~10%) に適用することをお勧めします。現在のチャネル (広範): 段階的なリリースサイクルが完了した後にのみ、デバイスに更新プログラムが提供されます。運用環境の母集団 (~10 ~ 100%) の広範なデバイスセットに適用することをお勧めします。クリティカル - 遅延時間: デバイスには 48 時間の遅延で更新プログラムが提供されます。重要な環境にのみ推奨されます。このポリシーを無効にした場合、または構成しなかった場合は、段階的なリリースサイクル中にデバイスが自動的に最新の状態に維持されます。ほとんどのデバイスに適しています。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender!EngineRing

ポリシー名	Microsoft Defender の毎日のセキュリティインテリジェンス更新プログラムのチャネルを選択します
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	このポリシーを有効にすると、毎日の段階的なロールアウト中にデバイスが Microsoft Defender セキュリティインテリジェンスの更新プログラムを受信するタイミングを指定できます。現在のチャネル (ステージング済み): デバイスには、リリースサイクル後に更新プログラムが提供されます。運用環境の母集団における少数の代表的な部分 (10%) に適用することをお勧めします。現在のチャネル (広範): デバイスには、段階的なリリースサイクルが完了した後にのみ更新プログラムが提供されます。運用環境の母集団における広範なデバイスセット (10 - 100%) に適用することをお勧めします。重大 - 時間の遅延: デバイスには、48 時間の遅延で更新プログラムが提供されます。重要な環境にのみ推奨されます。このポリシーを無効にした場合、または構成しなかった場合、デバイスは毎日のリリースサイクル中に自動的に最新の状態に維持されます。ほとんどのデバイスに適しています。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender!SignaturesRing

ポリシー名	特定の攻撃面の減少 (ASR) ルールに除外の一覧を適用する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\Microsoft Defender Exploit Guard\Attack Surface Reduction
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1709 以降
説明	このポリシーを使用すると、管理者は特定の ASR ルールの除外の一覧を指定できます。各エントリは名前と値のペアです。キーは規則 GUID を示し、値は > 文字で区切られた完全なパスのセットであり、その特定の ASR ルールの除外を示します。注意: GUID は KEY であり、値ではありません。例: KEY: {75668C1F-73B5-4CF0-BB93-3ECF5DB7C484} 値: C:\Notepad.exe>c:\regedit.exe>C:\SomeFolder
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR!ExploitGuard_ASR_ASROnlyPerRuleExclusions HKLM\Software\Policies\Microsoft\Windows Defender\Windows Defender Exploit Guard\ASR\ASROnlyPerRuleExclusions

ポリシー名	Microsoft Defender 更新プログラムの段階的なロールアウトを無効にします。
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\MpEngine
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	Defender 更新プログラムの段階的なロールアウトを無効にするには、このポリシーを有効にします。現在のチャネル (広帯): このチャネルに設定されているデバイスは、段階的なリリースサイクル中に最後に更新プログラムが提供されます。制限付きの更新プログラムのみを受け取るデータセンターマシンに最適です。注: この設定は、月次と日次の Defender 更新の両方に適用され、プラットフォームとエンジンの更新に対して以前に構成されたチャネルの選択がオーバーライドされます。このポリシーを無効にするか、未構成にした場合、プラットフォームとエンジンの更新に対して特定のチャネルで指定されない限り、デバイスは現在のチャネル (既定) に残ります。段階的なリリースサイクル中に自動的に最新の状態を維持しましょう。ほとんどのデバイスに適しています。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\MpEngine!DisableGradualRelease

ポリシー名	CPU 調整の種類
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\スキャン
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	このポリシー設定では、スキャン中に許可される最大 CPU 使用率を、スケジュールされたスキャンのみに適用するか、スケジュールされたスキャンとカスタムスキャンの両方に適用するかを決定します (ただし、リアルタイム保護は適用されません)。最大 CPU 使用率の制限は、CPU 調整または CPU 使用率の制限とも呼ばれます。このポリシー設定の既定値は True です。つまり、CPU 調整はスケジュールされたスキャンにのみ適用されます。この設定を有効にするか、未構成にした場合、CPU 調整はスケジュールされたスキャンにのみ適用されます。この設定を無効にした場合、CPU 調整はスケジュールされたスキャンとカスタムスキャンに適用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Scan!ThrottleForScheduledScanOnly

ポリシー名	スキャンなしで X 日後にクイックスキャンをトリガーする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\スキャン
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	このポリシー設定では、前回のスキャンから、積極的なキャッチアップクイックスキャンが自動的にトリガーされるまでの経過日数を定義します。この値は、積極的なクイックスキャンがトリガーされるまでのスキャンを実行せずに経過できる日数を表します。有効な値の範囲は 7 ~ 60 日です。未構成の場合、積極的なクイックスキャンは無効になります。既定では、値は有効な場合は 25 日に設定されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Scan!DaysUntilAggressiveCatchupQuickScan HKLM\Software\Policies\Microsoft\Windows Defender\Scan!DaysUntilAggressiveCatchupQuickScan

ポリシー名	ネットワークファイルのスキャンを構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\スキャン
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	このポリシー設定では、アクセス保護を使用したネットワークファイルのスキャンを許可します。既定値は有効です。ほとんどの場合、有効のままにしておくことをお勧めします。この設定を有効にした場合、または構成しなかった場合は、ネットワークファイルがスキャンされます。この設定を無効にした場合、ネットワークファイルはスキャンされません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Scan!DisableScanningNetworkFiles

ポリシー名	除外されたファイルとディレクトリをクイックスキャン中にスキャンします。
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\スキャン
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	このポリシー設定を使用すると、クイックスキャン中に除外されたファイルとディレクトリをスキャンできます。このポリシー設定を 1 に設定すると、コンテキストの除外を使用してリアルタイム保護から除外されたすべてのファイルとディレクトリがクイックスキャン中にスキャンされます。このポリシーを 0 に設定した場合、または構成しなかった場合、クイックスキャン中に除外はスキャンされません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Scan!QuickScanIncludeExclusions HKLM\Software\Policies\Microsoft\Windows Defender\Scan!QuickScanIncludeExclusions

ポリシー名	VDI クライアントのスケジューラーに従ってセキュリティインテリジェンスの更新を構成します。
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\セキュリティインテリジェンスの更新
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1903 以降
説明	このポリシー設定を使用すると、VDI で構成されたコンピューターのスケジューラーに従ってセキュリティインテリジェンスの更新を構成できます。これは、共有されたセキュリティインテリジェンスの場所 (SharedSignaturesLocation) と共に使用されます。このポリシー設定を有効にして SharedSignaturesLocation を構成すると、構成された場所からの更新は、以前に構成された更新時刻にのみ行われます。このポリシー設定を無効にするか、未構成にした場合、SharedSignaturesLocation で指定された場所で新しいセキュリティインテリジェンスの更新が検出されるたびに更新が行われます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Signature Updates!SharedSignatureRootUpdateAtScheduledTimeOnly

ポリシー名	デバイス制御ポリシーグループの定義
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	デバイス制御ポリシーグループの XML スキーマに従って、ポリシーグループのデータを入力してください。または、XML グループデータを含むファイルパスを使用することもできます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Device Control\Policy Groups!PolicyGroups

ポリシー名	デバイス制御ポリシールールの定義
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	デバイス制御ポリシー規則の XML スキーマに従って、ポリシー規則データを入力してください。または、XML ルールデータを含むファイルパスを使用することもできます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Device Control\Policy Rules!PolicyRules

ポリシー名	デバイスコントロールの既定の強制ポリシーの選択
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	既定の許可: この既定の強制を選択すると、一致するポリシールールが見つからない場合、アタッチされたデバイスで操作を実行できるようになります。既定の拒否: この既定の適用を選択すると、一致するポリシールールが見つからない場合、アタッチされたデバイスであらゆる操作が拒否されます。既定の強制は、ポリシールールが一致しない場合にデバイス制御アクセスチェック中に行う必要がある決定を確立します。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Device Control!DefaultEnforcement

ポリシー名	デバイス制御証拠データのリモートの場所を定義する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	証拠ファイルのリモートの場所を定義します。デバイス制御サービスによってキャプチャされた証拠データが移動されます。この設定を構成する場合は、デバイス制御が有効で、指定されたパスがユーザーがアクセスできるリモートパスであることを確認してください。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Device Control!DataDuplicationRemoteLocation

ポリシー名	ローカルデバイスコントロールキャッシュ内のファイルの保持期間を設定します
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	このポリシー設定は、デバイスコントロールがデバイス上のローカルキャッシュ内の証拠のファイルを保持する期間を決定します。デバイスコントロールは、指定されたネットワーク共有または Azure Storage にファイルをアップロードできない場合にのみ、ファイルをローカルキャッシュに保持します。既定では、デバイスコントロールはファイルをローカルキャッシュに 60 日間保持します。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Device Control!DataDuplicationLocalRetentionPeriod

ポリシー名	特定のデバイスの種類に対してデバイス制御を有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	このポリシー設定では、PrimaryId で識別されるデバイスの種類でデバイス制御保護を有効にするデバイスを制御します。特定のデバイスの種類に対してこの設定を有効にした場合、デバイス制御は対応するカスタムポリシーに基づいてそれらのデバイスへのアクセスを制限します。デバイスコントロールは、カスタム保護ポリシーがそれらのデバイスに対して構成されている場合でも、サポートされている他のすべての種類のデバイスに対して無効になります。この設定は現在、次のデバイスの種類をサポートしています: RemovableMediaDevices、CdRomDevices、WpdDevices、PrinterDevices。このポリシー設定を有効にしても PrimaryId を指定しない場合、サポートされているすべてのデバイスの種類でデバイス制御がオフになります。このポリシー設定を無効にするか、未構成にした場合、対応するカスタムポリシーに基づいてサポートされているすべてのデバイスにデバイス制御が適用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Device Control!SecuredDevicesConfiguration

ポリシー名	デバイス制御通知のサポートリンクを設定する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	この設定を使用すると、organizationはデバイス制御通知で [サポートの取得] リンクを指定できます。構成すると、[サポートの取得] ボタンは指定されたリンクに自動的に移動します。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Device Control!CustomSupportLink

ポリシー名	ポリシーのリフレッシュレートを設定する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	この設定では、エラーが発生し、ポリシーを読み込めなかった場合に、デバイスがポリシー構成の読み込みを再試行する間隔を分単位で定義します。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Device Control!PolicyRefreshFailureInterval

ポリシー名	Azure AD のリフレッシュレートを設定する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	この設定では、デバイスが関連する設定、構成、グループメンバーシップを更新するためにAzure ADを照会する間隔を分単位で定義します。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Device Control!AzureAdRefreshInterval

ポリシー名	データ重複の制限 (MB) を設定する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\デバイス制御
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	この設定では、デバイス制御用に複製できるデータの最大量を定義します。制限に達すると、リムーバブル記憶域にコピーされるファイルはコンピューター上で複製されません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Device Control!DataDuplicationMaximumQuota

ポリシー名	非同期検査を有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\ネットワーク検査システム
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1709 以降
説明	リアルタイム検査から非同期検査に切り替えて、ネットワーク保護でパフォーマンスを向上できるかどうかを制御します。無効 (既定): 未構成または無効の場合、非同期検査はネットワーク保護に対して有効になりません。有効: 有効の場合、非同期検査への切り替えがネットワーク保護に許可されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\NIS!AllowSwitchToAsyncInspection

ポリシー名	警告判定をブロックに変換する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\ネットワーク検査システム
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1709 以降
説明	ネットワーク保護は、ネットワークトラフィックを検査し、トラフィックを許可するかブロックするか、警告を表示するかを判断します。無効 (既定): 未構成または無効の場合、ネットワーク保護は警告判定の警告を表示します。有効: この設定を有効にすると、ネットワーク保護は警告を表示せずにネットワークトラフィックをブロックします。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\NIS!EnableConvertWarnToBlock

ポリシー名	OOBE 中にリアルタイム保護とセキュリティインテリジェンスの更新を構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\リアルタイム保護
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	このポリシー設定では、OOBE (最初の実行エクスペリエンス) 中にリアルタイム保護とセキュリティインテリジェンスの更新を有効にするかどうかを構成できます。この設定を有効にした場合、OOBE 中にリアルタイム保護とセキュリティインテリジェンスの更新が有効になります。このポリシー設定を無効にするか、構成しない場合、OOBE 中にリアルタイム保護とセキュリティインテリジェンスの更新は有効になりません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection!OobeEnableRtpAndSigUpdate

ポリシー名	パフォーマンスモードの状態を構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\リアルタイム保護
サポートされるOS、バージョン	Unknown
説明	このポリシーは、Microsoft Defender ウイルス対策の開発者ドライブ用パフォーマンスモードを制御します。開発者ドライブは、ソフトウェア開発シナリオでパフォーマンスを向上させるために最適化されたディスクドライブです。このポリシーを有効にした場合、または構成しなかった場合、Microsoft Defender ウイルス対策でパフォーマンスモードが有効になります。パフォーマンスモードでは、開発者ドライブに格納されているコンテンツの Microsoft Defender ウイルス対策セキュリティチェックが非同期に実行され、パフォーマンスが向上します。パフォーマンスモードでは、次のポリシーも有効にする必要があります: 開発者ドライブを有効にする、および開発者ドライブフィルターアタッチポリシー。このポリシー設定を有効にするか、未構成にした場合、パフォーマンスモードはオンになります。このポリシー設定を無効にすると、パフォーマンスモードはオフになり、Microsoft Defender ウイルス対策は他のドライブと同じ方法で開発者ドライブを保護します。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Real-Time Protection!DisableAsyncScanOnOpen

ポリシー名	サービス正常性レポートの時間間隔を構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\レポート
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	このポリシー設定では、サービス正常性レポートをエンドポイントから送信する間隔 (分単位) を構成します。この設定を無効にした場合、または構成しなかった場合は、既定値が適用されます。既定値は 60 分 (1 時間) に設定されています。この設定を 0 に構成すると、サービス正常性レポートは送信されません。設定できる最大値は 14400 分 (10 日) です。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Reporting!ServiceHealthReportInterval HKLM\Software\Policies\Microsoft\Windows Defender\Reporting!ServiceHealthReportInterval

ポリシー名	動的シグネチャの破棄されたイベントを報告するかどうかを構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\レポート
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	このポリシー設定では、動的署名の破棄イベントを報告するかどうかを構成します。この設定を構成しない場合、既定値が適用されます。既定値は無効に設定されています (このようなイベントは報告されません)。この設定を有効に構成すると、動的署名によって削除されたイベントが報告されます。この設定を無効に構成すると、動的署名の破棄されたイベントは報告されません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Reporting!EnableDynamicSignatureDroppedEventReporting

ポリシー名	デバイス制御
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\機能
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	このコンピューターで Defender デバイス制御を有効または無効にします。注: デバイスコントロールを有効にするには、E3 または E5 として登録する必要があります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Features!DeviceControlEnabled

ポリシー名	Intel TDT 統合レベル
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\機能
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	このポリシー設定では、Intel TDT 対応デバイスの Intel TDT 統合レベルを構成します。この設定を構成しない場合、既定値が適用されます。既定値は Microsoft セキュリティインテリジェンスの更新によって制御されます。既知の脅威がある場合、Microsoft は Intel TDT を有効にします。この設定を有効にして構成すると、Intel TDT 統合がオンになります。この設定を無効にして構成すると、Intel TDT 統合がオフになります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Features!TDTFeatureEnabled

ポリシー名	ブロックモードで EDR を有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\機能
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	このポリシー設定は、ブロックモード (パッシブ修復とも呼ばれます) の EDR を有効または無効にします。パッシブモードで Microsoft Defender ウイルス対策を実行しているデバイスでは、ブロックモードの EDR をお勧めします。プラットフォームリリースで使用可能: 4.18.2202.Xデータ型が整数ですサポートされている値:1: EDR をブロックモードでオンにする 0: EDR をブロックモードでオフにする
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Features!PassiveRemediation

ポリシー名	リモート暗号化保護モードを構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワークブロック\Brute-Force 保護
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	Microsoft Defender ウイルス対策で Brute-Force 保護のモードを設定します。これにより、強制的にサインインを開始してセッションを開始する試行を検出してブロックできます。サポートされている設定: * 0 - 未構成または既定: 既定値を適用します。これは、ウイルス対策エンジンのバージョンとプラットフォームによって異なる場合があります * 1 - ブロック: 疑わしい動作や悪意のある動作を防止する * 2 - 監査: ブロックせずに EDR 検出を生成する * 4 - オフ: 機能はオフで、パフォーマンスに影響はありません
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection!BruteForceProtectionConfiguredState HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection!BruteForceProtectionConfiguredState

ポリシー名	Brute-Force 保護のブロック時間を構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワークブロック\Brute-Force 保護
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	Brute-Force Protection によって IP アドレスがブロックされる最長時間を設定します。この時間が経過すると、ブロックされた IP アドレスはサインインしてセッションを開始できるようになります。サポートされている設定: * 0 - なし: 内部機能ロジックによって実際のブロック時間が決定されます * その他の時間を 15 分単位で指定する
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection!BruteForceProtectionMaxBlockTime HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection!BruteForceProtectionMaxBlockTime

ポリシー名	Brute-Force 保護の強度を構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワークブロック\Brute-Force 保護
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	Brute-Force Protection が IP アドレスをブロックする条件を設定します。サポートされている設定: 0 - 低: 信頼度が 100% の場合にのみブロックする (既定) 1 - 中: 信頼度レベルが 99% を上回る場合は、クラウドの集計とブロックを使用します *2 - 高: クラウドの情報とコンテキストを使用し、信頼度が 90% を上回る場合はブロックする
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection!BruteForceProtectionAggressiveness HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection!BruteForceProtectionAggressiveness

ポリシー名	Brute-Force 保護からの除外を設定する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワークブロック\Brute-Force 保護
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	Brute-Force 保護から除外する IP アドレス、サブネット、またはワークステーション名を指定します。除外された IP アドレスでは、Brute-Force アクティビティの可能性はチェックされません。攻撃者は、除外されたアドレスと名前をスプーフィングして保護をバイパスできることに注意してください。名前が一意であり、攻撃者によって推測される可能性が低いことを確認してください。新しい行の各アドレスまたはサブネットを名前と値のペアとして入力します: - 名前列: IP アドレス、サブネット名またはワークステーション名を入力します。たとえば、1.1.127.0 は、この IP アドレスが BFP にブロックされないように除外します。 - 値列: 各項目に「0」と入力します
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection!BruteForceProtection_Exclusions HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Brute Force Protection\BruteForceProtectionExclusions

ポリシー名	リモート暗号化保護モードを構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワークブロック\リモート暗号化保護
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	Microsoft Defender ウイルス対策でリモート暗号化保護のモードを設定します。このモードでは、ローカルファイルを別のデバイスの暗号化されたバージョンに置き換える試みを検出してブロックできます。サポートされている設定: * 0 - 未構成または既定: 既定値を適用します。これは、ウイルス対策エンジンのバージョンとプラットフォームによって異なる場合があります * 1 - ブロック: 疑わしい動作や悪意のある動作を防止する * 2 - 監査: ブロックせずに EDR 検出を生成する * 4 - オフ: 機能はオフで、パフォーマンスに影響はありません
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection!RemoteEncryptionProtectionConfiguredState HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection!RemoteEncryptionProtectionConfiguredState

ポリシー名	リモート暗号化保護のブロック時間を構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワークブロック\リモート暗号化保護
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	IP アドレスがリモート暗号化保護によってブロックされる最長時間を設定します。この時間が経過すると、ブロックされた IP アドレスは接続を再開できるようになります。サポートされている設定: * 0 - なし: 内部機能ロジックによって実際のブロック時間が決定されます * その他の時間を 15 分単位で指定する
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection!RemoteEncryptionProtectionMaxBlockTime HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection!RemoteEncryptionProtectionMaxBlockTime

ポリシー名	リモート暗号化保護が脅威をどの程度積極的にブロックするかを構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワークブロック\リモート暗号化保護
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	リモート暗号化防止保護が IP アドレスをブロックする条件を設定します。サポートされている設定: 0 - 低: 信頼度レベルが 100% の場合にのみブロックする (既定) 1 - 中: クラウド集計を使用し、信頼度レベルが 99% を超えるとブロックする *2 - 高: クラウド Intel とコンテキストを使用し、信頼度レベルが 90% を超えるとブロックする
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection!RemoteEncryptionProtectionAggressiveness HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection!RemoteEncryptionProtectionAggressiveness

ポリシー名	リモート暗号化保護からの除外を設定する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策\修復\動作ネットワークブロック\リモート暗号化保護
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	リモート暗号化保護から除外する IP アドレス、サブネット、ドメイン名を指定します。攻撃者は、除外されたアドレスと名前をスプーフィングして保護をバイパスできることに注意してください。新しい行の各アドレスまたはサブネットを名前と値のペアとして入力します: - 名前列: IP アドレスまたはサブネット名を入力します。たとえば、1.1.127.0 は、この IP アドレスがブロックされないように除外します。 - 値列: 各項目に「0」と入力します
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection!RemoteEncryptionProtection_Exclusions HKLM\Software\Policies\Microsoft\Windows Defender\Remediation\Behavioral Network Blocks\Remote Encryption Protection\RemoteEncryptionProtectionExclusions

3. コンピュータの構成\Windows コンポーネント\Microsoft アカウント配下のポリシー

ポリシー名	Microsoft アカウントサインインアシスタントに対してのみデバイス認証を許可する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Microsoft アカウント
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	この設定は、Microsoft アカウントサインインアシスタントサービス (wlidsvc) のエンタープライズデバイス認証のみを許可するかどうかを決定します。既定では、この設定は無効になっており、ユーザー認証とデバイス認証の両方が許可されます。値が 1 に設定されている場合は、デバイス認証のみを許可し、ユーザー認証をブロックします。
レジストリ情報	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System!EnterpriseDeviceAuthOnly

4. コンピュータの構成\Windows コンポーネント\PC 設定の同期配下のポリシー

ポリシー名	アクセシビリティ設定を同期しない
ポリシーのパス	コンピュータの構成\Windows コンポーネント\PC 設定の同期
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	accessibility グループがこの PC と同期しないようにします。これにより、PC 設定の [Windows バックアップ] 設定ページの [アクセシビリティ] グループがオフになり、無効になります。このポリシー設定を有効にした場合、[アクセシビリティ] グループは同期されません。[ユーザーがアクセシビリティの同期をオンにできるようにする] オプションを使用すると、同期は既定で無効になりますが、無効になりません。この設定を設定しなかった場合、または無効にした場合、accessibility グループの同期は既定でオンになり、ユーザーが構成できます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\SettingSync!DisableAccessibilitySettingSync HKLM\Software\Policies\Microsoft\Windows\SettingSync!DisableAccessibilitySettingSyncUserOverride

ポリシー名	言語設定を同期しない
ポリシーのパス	コンピュータの構成\Windows コンポーネント\PC 設定の同期
サポートされるOS、バージョン	Unknown
説明	[言語設定] グループがこの PC と同期しないようにします。これにより、PC 設定の [Windows バックアップ] 設定ページの [言語の基本設定] グループがオフになり、無効になります。このポリシー設定を有効にした場合、[言語設定] グループは同期されません。[ユーザーが言語設定の同期をオンにできるようにする] オプションを使用すると、同期は既定で無効になりますが、無効になりません。この設定を設定しなかった場合、または無効にした場合、既定では言語設定グループの同期が有効になり、ユーザーが構成できます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\SettingSync!DisableLanguageSettingSync HKLM\Software\Policies\Microsoft\Windows\SettingSync!DisableLanguageSettingSyncUserOverride

5. コンピュータの構成\Windows コンポーネント\Windows Hello for Business 配下のポリシー

ポリシー名	サポートされている周辺機器を使用して ESS を有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Hello for Business
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	サインインセキュリティの強化 (ESS) により、Windows Hello の生体認証 (顔と指紋) テンプレートのデータと照合操作は信頼されるハードウェアまたは指定されたメモリ領域に分離され、オペレーティングシステムの残りの部分からアクセスしたり、改ざんしたりできなくなります。センサーとアルゴリズムの間の通信チャネルもセキュリティで保護されているため、ユーザーのサインインをシミュレートしたり、ユーザーをコンピューターから締め出したりするためにマルウェアでデータの挿入や再現を行うことは不可能です。このポリシーを有効にした場合に指定できる値は次のとおりです。0 - 周辺機器センサーを使用してサインインセキュリティの強化を無効化対応するソフトウェアとハードウェアを含むシステムで ESS が無効化されます。現在の機能の制限を条件に、Windows Hello 対応の周辺デバイスの認証操作が許可されます。1 - 周辺機器センサーを使用せずにサインインセキュリティの強化を有効化 (既定かつ推奨)Windows の既存の既定動作に従い、対応するソフトウェアとハードウェアを含むシステムで ESS が有効化されます。生体認証用周辺デバイスの認証操作はブロックされ、Windows Hello には使用できません。このポリシーが無効または未構成の場合、非 ESS センサーが ESS デバイスでブロックされます。
レジストリ情報	HKLM\Software\Microsoft\Policies\PassportForWork\Biometrics!EnableESSwithSupportedPeripherals

ポリシー名	サインイン後にWindows Hello for Business資格情報のキャッシュを無効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Hello for Business
サポートされるOS、バージョン	Windows 10 以降
説明
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\PassportForWork!DisablePostLogonCredentialCaching

6. コンピュータの構成\Windows コンポーネント\Windows Update 配下のポリシー

ポリシー名	自動更新の検出頻度
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\Windows Server Update Service から提供される更新プログラムの管理
サポートされるOS、バージョン	Windows XP Professional Service Pack 1 または Windows 2000 Service Pack 3 以降 (Windows RT を除く)
説明	利用可能な更新を確認する前の待機時間を決定するための時間を指定します。正確な待機時間は、特定の値とランダムな可変数値 (0 - 4 時間) を合計した時間になります。状態が有効に設定されている場合、指定した間隔で使用可能な更新が確認されます。状態が無効または未構成に設定されている場合は、既定の間隔である 22 時間で利用可能な更新が確認されます。注: このポリシーを有効にするには、[イントラネットの Microsoft の更新サービスの場所を指定する] 設定を有効にする必要があります。注: [自動更新を構成する] ポリシーが無効になっている場合は、このポリシーは効果はありません。注: このポリシーは、Windows RT ではサポートされていません。このポリシーを設定しても、Windows RT PC に影響はありません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!DetectionFrequencyEnabled HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!DetectionFrequency

ポリシー名	クライアント側のターゲットを有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\Windows Server Update Service から提供される更新プログラムの管理
サポートされるOS、バージョン	Windows XP Professional Service Pack 1 または Windows 2000 Service Pack 3 以降 (Windows RT を除く)
説明	イントラネットの Microsoft 更新サービスから更新プログラムを受信するために使用されるターゲットのグループ名を指定します。状態が有効に設定されている場合、指定されたターゲットグループの情報がイントラネットの Microsoft 更新サービスに送信されます。Microsoft 更新サービスはグループの情報を使用して、このコンピューターに展開される必要がある更新プログラムを決定します。イントラネットの Microsoft 更新サービスで複数のターゲットグループに対応している場合、このポリシーでグループ名をセミコロンで区切り、複数のグループ名を指定できます。サポートされていない場合は、指定できるグループは 1 つだけです。状態が無効または未構成に設定されている場合は、イントラネットの Microsoft 更新サービスにはターゲットグループ情報は送信されません。注: このポリシーは、このコンピューターで指定されている先のイントラネット Microsoft 更新サービスがクライアント側のターゲットをサポートするように構成されているときにのみ適用されます。[イントラネットの Microsoft の更新サービスの場所を指定する] ポリシーが無効か構成されていない場合、このポリシーは有効にはなりません。注: このポリシーは、Windows RT ではサポートされていません。このポリシーを設定しても、Windows RT PC に影響はありません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!TargetGroupEnabled HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!TargetGroup

ポリシー名	イントラネットの Microsoft 更新サービスの保存場所にある署名済み更新を許可する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\Windows Server Update Service から提供される更新プログラムの管理
サポートされるOS、バージョン	Windows Server 2003 オペレーティングシステムまたは Windows XP Professional SP1 以降 (Windows RT を除く)
説明	このポリシー設定では、Microsoft 以外のエンティティによって署名された更新がイントラネットの Microsoft 更新サービスの保存場所で見つかったときに自動更新がそれを受け入れるかどうかを管理できます。このポリシー設定を有効にすると、更新が、ローカルコンピューターの信頼できる発行元証明書ストアに含まれている証明書によって署名された場合、自動更新は、イントラネットの Microsoft 更新サービスの保存場所を経由して受信された更新の受け入れを許可します。このポリシー設定を無効または未構成にした場合は、イントラネットの Microsoft 更新サービスの保存場所から配信される更新は Microsoft によって署名されることになっています。注: イントラネット Microsoft 更新サービス以外のサービスから配信される更新には、このポリシー設定に関係なく Microsoft による署名が常に必要です。注: このポリシーは、Windows RT ではサポートされていません。このポリシーを設定しても、Windows RT PC に影響はありません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!AcceptTrustedPublisherCerts

ポリシー名	インターネット上の Windows Update に接続しない
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\Windows Server Update Service から提供される更新プログラムの管理
サポートされるOS、バージョン	Windows Server 2012 R2、Windows 8.1、Windows RT 8.1 またはそれ以降
説明	イントラネットの更新サービスから更新プログラムを受信するように Windows Update が構成されている場合でも、定期的に、公開されている Windows Update サービスから情報を取得し、Windows Update やその他のサービス (Microsoft Update や Windows ストアなど) に今後接続できるようにします。このポリシーを有効にすると、その機能は無効になり、Windows ストアなど公開されているサービスへの接続が動作しなくなる可能性があります。注: このポリシーは、イントラネットの Microsoft 更新サービスの場所を指定するポリシーを使用してイントラネットの更新サービスに接続するようにこの PC が構成されているときにのみ適用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!DoNotConnectToWindowsUpdateInternetLocations

ポリシー名	イントラネットの Microsoft 更新サービスの場所を指定する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\Windows Server Update Service から提供される更新プログラムの管理
サポートされるOS、バージョン	Windows XP Professional Service Pack 1 または Windows 2000 Service Pack 3 以降 (Windows RT を除く)
説明	Microsoft Update からの更新プログラムをホストするイントラネットサーバーを指定します。その後、この更新サービスを使用して、ネットワーク上のコンピューターを自動的に更新できます。この設定を使うと、内部の更新サービスとして機能する、ネットワーク上のサーバーを指定できます。自動更新クライアントは、このサービスでネットワーク上のコンピューターに適用される更新プログラムを検索します。この設定を使用するには、2 つのサーバー名の値を設定する必要があります。自動更新クライアントが更新プログラムを検出してダウンロードするためのサーバー、そして更新が完了したワークステーションが統計をアップロードするためのサーバーです。両方の値を同じサーバーに設定することもできます。オプションのサーバー名の値を指定して、イントラネットの更新サービスの代わりに代替ダウンロードサーバーから更新プログラムがダウンロードされるように Windows Update エージェントを構成できます。状態が有効に設定されている場合、自動更新クライアントは、Windows Update ではなく、指定されたイントラネットの Microsoft 更新サービス (または代替ダウンロードサーバー) に接続し、更新プログラムの検索およびダウンロードを行います。この設定を有効にすると、組織のエンドユーザーがファイアウォールを通過して更新プログラムを取得する必要がなくなり、更新プログラムを展開前にテストできるようになります。状態が無効または未構成に設定されていて、ポリシーまたはユーザー設定で自動更新が無効になっていない場合は、自動更新クライアントが直接インターネットの Windows Update サイトにアクセスします。代替ダウンロードサーバーは、イントラネットの更新サービスの代わりに代替ダウンロードサーバーからファイルをダウンロードするよう Windows Update エージェントを構成します。 URL がないファイルをダウンロードするオプションを使うと、更新プログラムのメタデータにファイルダウンロード用 URL が指定されていない場合に、代替ダウンロードサーバーからコンテンツをダウンロードできます。このオプションは、イントラネットの更新サービスが、代替ダウンロードサーバー上に存在するファイルの更新用メタデータでダウンロード URL を提供しない場合にのみ使用してください。注: ""自動更新を構成する"" ポリシーが無効になっている場合、このポリシーには効力がありません。注: ""代替ダウンロードサーバー"" が設定されていない場合、更新プログラムのダウンロードには既定でイントラネットの更新サービスが使用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!WUServer HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!WUStatusServer HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!UpdateServiceUrlAlternate HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!FillEmptyContentUrls HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!DoNotEnforceEnterpriseTLSCertPinningForUpdateDetection HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetProxyBehaviorForUpdateDetection HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!UseWUServer

ポリシー名	Windows Update の特定のクラスにソースサービスを指定する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\Windows Server Update Service から提供される更新プログラムの管理
サポートされるOS、バージョン	Windows Server 2022 以降、または Windows 10 バージョン 2004 以降
説明	このポリシーを有効にすると、デバイスは、指定された更新元から一覧表示されたクラス (Windows Update または Windows Server Update Service) の Windows 更新プログラムを受信します。注: Windows Server Update サービスから更新プログラムを受け取るには、[イントラネットの Microsoft 更新サービスの場所を指定する] ポリシーを使用してイントラネットの Microsoft 更新サービスの場所を正しく構成する必要があります。このポリシーが構成されていないか、無効になっている場合、デバイスは他のポリシー構成に従って更新プログラムを引き続き検出します。注: 現在、[延期ポリシーを許可しない] を使用してWindows Updateに対するスキャンを実行し、デバイスが指定されたサーバーに対してのみスキャンされるようにする場合は、代わりに、またはこれに加えてこのポリシーを構成することをお勧めします。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetPolicyDrivenUpdateSourceForFeatureUpdates HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetPolicyDrivenUpdateSourceForQualityUpdates HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetPolicyDrivenUpdateSourceForDriverUpdates HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetPolicyDrivenUpdateSourceForOtherUpdates HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!UseUpdateClassPolicySource

ポリシー名	ターゲット機能更新プログラムのバージョンを選択する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\Windows Update から提供される更新プログラムの管理
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	Windows Update の対象バージョンのページに記載されている通りに製品とバージョンを入力してください。 aka.ms/WindowsTargetVersioninfoデバイスは、以降のスキャンで製品とバージョンを更新するよう Windows に要求します。対象の製品を入力して [OK] または [適用] をクリックすると、aka.ms/WindowsTargetVersioninfo にある Microsoft ソフトウェアライセンス条項に同意したとみなされます。組織がソフトウェアのライセンスを提供している場合、その組織に義務を負わせる権限があることを認めたことになります。無効な値を入力した場合、その値をサポートされている製品とバージョンの値に修正するまで、現在のバージョンが維持されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!TargetReleaseVersion HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ProductVersion HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!TargetReleaseVersionInfo

ポリシー名	機能更新プログラムに対するセーフガードを無効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\Windows Update から提供される更新プログラムの管理
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1909 以降
説明	セーフガードホールドによるブロックを行わずに機能更新プログラムをデバイスに展開する必要がある場合に、この設定を有効にしてください。 セーフガードホールドは、問題が解決されるまでは、影響を受けるデバイスにアップグレードが展開されないようになる、互換性に関する既知の問題です。 このポリシーを有効にすると、組織はテスト用に機能更新プログラムをデバイスに展開したり、セーフガードホールドによるブロックを行わずに機能更新プログラムを展開したりできるようになります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!DisableWUfBSafeguards

ポリシー名	プレビュービルドを管理にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\Windows Update から提供される更新プログラムの管理
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1709 以降
説明	このポリシーを有効にして、更新が一般にリリースされる前に受け取る更新プログラムを管理します。Dev チャネル高度に技術的なユーザーに最適です。Dev チャネルの Insider は、開発サイクルの最初に位置するアクティブな開発ブランチからビルドを受け取ります。これらのビルドは、特定の Windows 10 リリースに対応していません。ベータチャネル今後予定されている Windows 10 の機能を確認し、探求したいユーザーに最適です。ここでは、メジャーリリースの前にエンジニアが主要な問題を確実に修正するのに役立つため、フィードバックが特に重要です。リリースプレビューチャネル (既定)リリースプレビューチャネルの Insider は、一般にリリースされる前に Windows 10 の次のリリースにアクセスできます。これらのビルドは Microsoft によってサポートされています。リリースプレビューチャネルでは、組織内で広範囲に展開する前に、今後の Windows 10 リリースをプレビューおよび検証することをお勧めします。リリースプレビューチャネル、品質更新プログラムのみ現在のバージョンに追加される予定の機能と修正を検証したいユーザーに最適です。このオプションが選択されている場合、構成されているポリシーに従って、リリースされた機能更新プログラムの提供が継続されることに留意してください。注: プレビュービルドの登録には、テレメトリレベルの設定が 2 以上で、ドメインが insider.windows.com に登録されている必要があります。プレビュービルドの詳細については、https://aka.ms/wipforbiz を参照してください。このポリシーを無効にするか、構成しない場合、Windows Update はプレリリースの更新プログラムを提供せず、一般にリリースされるときにそのようなコンテンツを受け取ります。このポリシーを無効にすると、現在プレリリースビルドのすべてのデバイスがオプトアウトされ、リリース後の最新の機能更新プログラムが適用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ManagePreviewBuildsPolicyValue HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!BranchReadinessLevel

ポリシー名	プレビュービルドや機能更新プログラムをいつ受信するかを選択してください
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\Windows Update から提供される更新プログラムの管理
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	このポリシーを有効にして、機能更新プログラムを受信するタイミングを指定します。更新プログラムの延期
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!DeferFeatureUpdates HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!DeferFeatureUpdatesPeriodInDays HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!PauseFeatureUpdatesStartTime

ポリシー名	品質更新プログラムをいつ受信するかを選択してください
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\Windows Update から提供される更新プログラムの管理
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	品質更新プログラムを受信するタイミングを指定するには、このポリシーを有効にします。品質更新プログラムの受信を最大 30 日間延期することができます。スケジュールされた時刻になっても品質更新プログラムを受信しないようにするには、品質更新プログラムを一時的に一時停止できます。一時停止は、35 日間または開始日フィールドをクリアするまで有効です。一時停止している品質更新プログラムの受信を再開するには、開始日フィールドをクリアします。このポリシーを無効にした場合、または構成しなかった場合は、Windows Update の動作は変更されません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!DeferQualityUpdates HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!DeferQualityUpdatesPeriodInDays HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!PauseQualityUpdatesStartTime

ポリシー名	Windows Update からドライバーを除外する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\Windows Update から提供される更新プログラムの管理
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	Windows 品質更新プログラムにドライバーを含めないようにするには、このポリシーを有効にします。このポリシーを無効にした場合、または構成しなかった場合は、Windows Update にドライバー分類の更新プログラムが含まれます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ExcludeWUDriversInQualityUpdate

ポリシー名	オプションの更新プログラムを有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\Windows Update から提供される更新プログラムの管理
サポートされるOS、バージョン	Windows Server 2025、Windows 10 Version 21H2、または Windows 11 Version 22H2 以降
説明	このポリシーにより、デバイスはオプションの更新プログラムを取得できます (段階的な機能ロールアウト (CFR) を含む - 詳細については、aka.ms/AllowOptionalContent をご覧ください)ポリシーが構成されたとき• [オプションの更新プログラム (CFR を含む) を自動的に受信する] が選択されている場合、デバイスは、構成されている品質更新プログラムの延期に従って、最新のオプションの更新プログラムを自動的に取得します。これには、オプションのセキュリティ以外の累積的な更新プログラムと段階的な機能ロールアウト (CFR) が含まれます。• [オプションの更新プログラムを自動的に受信する] が選択されている場合、デバイスは、品質更新プログラムの延期に従って、オプションの累積的な更新プログラムのみを自動的に取得します。• [受信するオプションの更新プログラムをユーザーが選択できる] を選択した場合は、[設定] > [Windows Update] > [詳細オプション] > [オプションの更新プログラム] にアクセスして、どのオプションの更新プログラムを取得するかをユーザーが選択できます。また、ユーザーは、[利用可能になったらすぐに最新の更新プログラムを入手する] の切り替えを有効にして、オプションの更新プログラムと段階的な機能ロールアウトを自動的に受信することもできます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetAllowOptionalContent HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!AllowOptionalContent

ポリシー名	自動更新を構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\エンドユーザーエクスペリエンスの管理
サポートされるOS、バージョン	Windows XP Professional Service Pack 1 または Windows 2000 Service Pack 3 以降オプション 7 は Windows Server 2016 エディション以降のサーバーでのみサポートされています
説明	このコンピューターで Windows の自動更新サービスを使用してセキュリティ更新プログラムやその他の重要なダウンロードを受け取るかどうかを指定します。注: このポリシーは、Windows RT には適用されません。この設定では、このコンピューターで自動更新の機能を有効にするかどうかを指定できます。サービスを有効にした場合は、グループポリシー設定の 4 つのオプションのうち 1 つを選択する必要があります: 2 = 更新プログラムをダウンロードする前、およびインストールする前に通知する。このコンピューターに適用する更新プログラムが見つかると、ダウンロードできる更新プログラムがあることがユーザーに通知されます。ユーザーは Windows Update にアクセスし、使用可能なすべての更新プログラムをダウンロードしてインストールできます。 3 = (既定の設定) 更新プログラムを自動的にダウンロードし、インストールの準備ができたら通知する。 Windows がコンピューターに適用する更新プログラムを見つけてバックグラウンドでダウンロードする (ユーザーには通知しません。この処理中ユーザーの作業は中断されません)。ダウンロードが完了したら、インストールする準備ができたことをユーザーに通知します。ユーザーは Windows Update にアクセスして更新プログラムをインストールできます。 4 = 更新プログラムを自動的にダウンロードし、以下に指定されたスケジュールでインストールする。インストールを実行する時間として [自動] を選択すると、更新プログラムの確認、ダウンロード、インストールが Windows によって自動的に実行されます。グループポリシーで構成されている場合を除き、Windows の既定の設定に従ってデバイスが再起動されます (Windows 10 Version 1809 以上に適用)。グループポリシー設定のオプションを使用してスケジュールを指定します。バージョン 1709 およびそれ以降では、更新を毎週、隔週、または毎月行うように制限する追加の選択項目があります。スケジュールが指定されていない場合は、すべてのインストールに使用される既定のスケジュールは、毎日 3:00 AM です。更新プログラムのインストールを完了するために再起動が必要な場合、コンピューターは自動的に再起動されます (Windows の再起動が準備できた時点でユーザーがコンピューターにサインインしている場合は、ユーザーに通知が表示され、再起動を延期するオプションが表示されます)。 Windows 8 以降では、特定のスケジュールではなく自動メンテナンス時にインストールするように更新プログラムを設定できます。自動メンテナンスでは、更新プログラムはコンピューターを使用していないときにインストールされます。また、コンピューターがバッテリで動作している場合はインストールされません。自動メンテナンスで更新プログラムをインストールできない状態が 2 日間続くと、Windows Update によってすぐに更新プログラムがインストールされます。その後、もうすぐ再起動されることがユーザーに通知されます。この再起動は、誤ってデータが失われる可能性がない場合にのみ実行されます。その後、もうすぐ再起動されることがユーザーに通知されます。この再起動は、誤ってデータが失われる可能性がない場合にのみ実行されます。 5 = ローカルの管理者が構成モードを選択し、自動更新による更新の通知とインストールを実行できるようにする (このオプションは、Windows 10 バージョンではサポートされていません)。このオプションを使用すると、ローカルの管理者は Windows Update コントロールパネルを使用して任意の構成オプションを選択できます。ローカルの管理者が自動更新の構成を無効にすることはできません。 7 = インストールと再起動について通知します (Windows Server 専用)。 Server SKU デバイスのみに適用される、Windows Server 2016 のこのオプションを使用すると、ローカルの管理者は Windows Update を使用して手動でインストールまたは再起動を進めることができます。このポリシーの状態が無効に設定されている場合、Windows Update で利用できる更新プログラムがあるときは、手動でダウンロードしてインストールする必要があります。これを行うには、[スタート] を使用して「Windows Update」を検索します。状態が未構成に設定されている場合は、自動更新の使用はグループポリシーレベルでは指定されません。ただし、管理者はコントロールパネルを使用して自動更新を構成できます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!NoAutoUpdate HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!AUOptions HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!AutomaticMaintenanceEnabled HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!ScheduledInstallDay HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!ScheduledInstallTime HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!AllowMUUpdateService HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!ScheduledInstallEveryWeek HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!ScheduledInstallFirstWeek HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!ScheduledInstallSecondWeek HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!ScheduledInstallThirdWeek HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!ScheduledInstallFourthWeek

ポリシー名	アクティブ時間内の更新プログラムの自動再起動をオフにします
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\エンドユーザーエクスペリエンスの管理
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	このポリシーを有効にした場合、アクティブ時間内の更新後に PC の自動再起動を行いません。アクティブ時間外に PC の再起動を試みます。特定の更新プログラムを有効にするには PC の再起動が必要であることにご注意ください。このポリシー設定を無効にした場合、または構成しなかった場合は、他の再起動グループポリシーが定義されていなければ、ユーザーが選択したアクティブ時間が有効になります。次の 2 つのポリシーのいずれかが有効な場合、このポリシーは無効です: 1. ユーザーがログオンしているときは、スケジュールされた自動更新プログラムのインストール時に自動再起動を行わない。 2. スケジュールされた時刻に常に自動的に再起動する。既定の最大アクティブ時間範囲は、[自動再起動のアクティブ時間範囲を指定する] ポリシーを通じて構成されない限り、開始時刻から 18 時間です。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetActiveHours HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ActiveHoursStart HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ActiveHoursEnd

ポリシー名	Windows Update のすべての機能へのアクセスを削除する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\エンドユーザーエクスペリエンスの管理
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	この設定では、Windows Update スキャンに対するアクセス権を削除することができます。この設定を有効にした場合は、Windows Update スキャン、ダウンロード、インストールに対するアクセス権が削除されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetDisableUXWUAccess

ポリシー名	更新の一時停止機能へのアクセスを削除する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\エンドユーザーエクスペリエンスの管理
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	この機能では、更新の一時停止機能へのアクセスを削除できます。有効にすると、更新の一時停止に対するユーザーアクセスが削除されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetDisablePauseUXAccess

ポリシー名	自動再起動のアクティブ時間範囲を指定する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\エンドユーザーエクスペリエンスの管理
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	このポリシーを有効にすると、ユーザーがアクティブ時間を設定できる、開始時刻からの最大時間数を指定できます。アクティブ時間の最大範囲は、8～18 時間の間で設定できます。このポリシーを無効にしたり、構成しなかった場合は、既定の最大アクティブ時間範囲が使用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetActiveHoursMaxRange HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ActiveHoursMaxRange

ポリシー名	カート再起動の電源ポリシーを更新します
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\エンドユーザーエクスペリエンスの管理
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	一晩中カートに残っている EDU デバイスに対してこのポリシーを有効にすると、更新プログラムの再起動がスケジュールされたインストール時間に実行されるよう、電源チェックがスキップされます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetEDURestart

ポリシー名	更新プログラムが従量制課金接続で自動的にダウンロードされるのを許可する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\エンドユーザーエクスペリエンスの管理
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	このポリシーを有効にすると、従量制課金データ接続であっても、更新プログラムが自動的にダウンロードされます (料金がかかる場合があります)
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!AllowAutoWindowsUpdateDownloadOverMeteredNetwork

ポリシー名	既定でオフになっているサービスによって導入された機能を有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\エンドユーザーエクスペリエンスの管理
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	サービスによって導入された機能 (年間機能更新プログラム以外) は、Windows Update が管理されているデバイスでは既定でオフになっています。このポリシーが有効に構成されている場合、インストールされている最新の月次品質更新プログラムで利用可能なすべての機能がオンになります。このポリシーが [未構成] または [無効] に設定されている場合、これらの機能を含む機能更新プログラムがインストールされるまで、月次品質更新プログラム (サービス) を通じて出荷される機能はオフのままになります。Windows Update が管理されているデバイスとは、Windows Update がポリシーによって管理されているデバイスです。Windows Update for Business を使用するクラウド経由でも、Windows Server Update Services (WSUS) を使用したオンプレミスでも使用できます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!AllowTemporaryEnterpriseFeatureControl

ポリシー名	更新通知の表示オプション
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\エンドユーザーエクスペリエンスの管理
サポートされるOS、バージョン	Windows Server 2019 以降、または Windows 10 バージョン 1809 以降
説明	0 (既定) – 既定のWindows Update通知を使用する1 - 再起動の警告を除くすべての通知をオフにする2 - 再起動の警告を含むすべての通知をオフにするこのポリシーを使用すると、ユーザーに表示される Windows Update 通知を定義できます。このポリシーでは、更新プログラムのダウンロードとインストールの方法と時点は制御されません。重要: 更新通知を受け取らないよう設定し、さらに他のグループポリシーでもデバイスが更新プログラムを自動的に取得しないように定義した場合、管理者もデバイスユーザーも重大なセキュリティ、品質、機能の更新を認識できず、デバイスが危険にさらされる可能性があります。オプション 1 または 2 と組み合わせて [アクティブな時間帯にのみ適用] を選択した場合、通知はアクティブ時間中にのみ無効になります。アクティブ時間を設定するには、[アクティブ時間内の更新プログラムの自動再起動をオフにします] を設定するか、ユーザーの動作に基づいてデバイスでアクティブ時間を設定できるようにします。デバイスのセキュリティを維持するために、このオプションを選択すると、アクティブ時間に関係なく、[自動更新と再起動の期限を指定する] の期限 (構成されている場合) に達すると通知が表示されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetUpdateNotificationLevel HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!UpdateNotificationLevel HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!NoUpdateNotificationsDuringActiveHours

ポリシー名	Specify deadline for automatic updates and restarts for feature update
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\エンドユーザーエクスペリエンスの管理
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1709 以降
説明	This policy lets you specify the number of days before feature updates are installed on devices automatically and a grace period after which required restarts occur automatically.Set deadlines for feature updates and quality updates to meet your compliance goals. Updates will be downloaded and installed as soon as they are offered and automatic restarts will be attempted outside of active hours. Once the deadline has passed restarts will occur regardless of active hours and users will not be able to reschedule. If the deadline is set to 0 days the update will be installed immediately upon offering but might not finish within the day due to device availability and network connectivity.Set a grace period for feature updates to guarantee users a minimum time to manage their restarts once updates are installed. Users will be able to schedule restarts during the grace period and Windows can still automatically restart outside of active hours if users choose not to schedule restarts. The grace period might not take effect if users already have more than the number of days set as grace period to manage their restart based on deadline configurations.You can set the device to delay restarting until both the deadline and grace period have expired.If you disable or do not configure this policy devices will get updates and will restart according to the default schedule.This policy will override the following policies:1. Specify deadline before auto restart for update installation2. Specify Engaged restart transition and notification schedule for updates3. Always automatically restart at the scheduled time4. Configure Automatic Updates
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetComplianceDeadlineForFU HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ConfigureDeadlineForFeatureUpdates HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ConfigureDeadlineGracePeriodForFeatureUpdates HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ConfigureDeadlineNoAutoRebootForFeatureUpdates

ポリシー名	Specify deadline for automatic updates and restarts for quality update
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\エンドユーザーエクスペリエンスの管理
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1709 以降
説明	This policy lets you specify the number of days before quality updates are installed on devices automatically and a grace period after which required restarts occur automatically.Set deadlines for quality updates to meet your compliance goals. Updates will be downloaded and installed as soon as they are offered and automatic restarts will be attempted outside of active hours. Once the deadline has passed restarts will occur regardless of active hours and users will not be able to reschedule. If the deadline is set to 0 days the update will be installed immediately upon offering but might not finish within the day due to device availability and network connectivity.Set a grace period for quality updates to guarantee users a minimum time to manage their restarts once updates are installed. Users will be able to schedule restarts during the grace period and Windows can still automatically restart outside of active hours if users choose not to schedule restarts. The grace period might not take effect if users already have more than the number of days set as grace period to manage their restart based on deadline configurations.You can set the device to delay restarting until both the deadline and grace period have expired.If you disable or do not configure this policy devices will get updates and will restart according to the default schedule.This policy will override the following policies:1. Specify deadline before auto restart for update installation2. Specify Engaged restart transition and notification schedule for updates3. Always automatically restart at the scheduled time4. Configure Automatic Updates
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetComplianceDeadlineForQU HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ConfigureDeadlineForQualityUpdates HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ConfigureDeadlineGracePeriod HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ConfigureDeadlineNoAutoRebootForQualityUpdates

ポリシー名	[Windows シャットダウン] ダイアログボックスで [更新をインストールしてシャットダウン] オプションを表示しない
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows 7、Windows Server 2008 R2、Windows Vista、Windows XP SP2
説明	このポリシー設定で、[Windows のシャットダウン] ダイアログボックスに [更新をインストールしてシャットダウン] オプションを表示するかどうか管理します。このポリシー設定を有効にすると、ユーザーが [スタート] メニューの [シャットダウン] を選択したとき、インストールできる更新がある場合でも、[更新をインストールしてシャットダウン] は [Windows のシャットダウン] ダイアログボックスに選択肢として表示されません。このポリシー設定を無効または未構成にすると、ユーザーが [スタート] メニューの [シャットダウン] を選択したとき、更新が利用可能な場合、[更新をインストールしてシャットダウン] が [Windows のシャットダウン] ダイアログボックスで利用可能です。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!NoAUShutdownOption

ポリシー名	[Windows シャットダウン] ダイアログボックスの既定のオプションを [更新をインストールしてシャットダウン] に調整しない
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows 7、Windows Server 2008 R2、Windows Vista、Windows XP SP2
説明	このポリシー設定で、[Windows のシャットダウン] ダイアログで [更新をインストールしてシャットダウン] オプションを既定の選択肢にできるかどうか管理します。このポリシー設定を有効にすると、[実行する操作を選んでください] ボックスで [更新をインストールしてシャットダウン] オプションが利用可能かどうかにかかわらず、ユーザーが最後に選択したシャットダウンの選択 (休止状態、再起動など) が [Windows のシャットダウン] ダイアログボックスでの既定のオプションになります。このポリシー設定を無効または未構成にすると、ユーザーが [スタート] メニューの [シャットダウン] を選択したとき、インストールできる更新がある場合、[更新をインストールしてシャットダウン] オプションが [Windows のシャットダウン] ダイアログボックスで既定のオプションになります。コンピューターの構成\管理用テンプレート\Windows コンポーネント\Windows Update の [[Windows のシャットダウン] ダイアログボックスで [更新をインストールしてシャットダウン] オプションを表示しない] ポリシー設定が有効な場合は、このポリシー設定は効力がありません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!NoAUAsDefaultShutdownOption

ポリシー名	非管理者による更新の通知の受信を許可する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows XP Professional Service Pack 1 以降、または Windows 2000 Service Pack 3 ~ Windows 8.1 または最新の Service Pack を搭載した Windows Server 2012 R2 以降。Windows 10以上ではサポートされていません。
説明	このポリシー設定を使用すると、管理者以外のユーザーが [自動更新を構成する] ポリシー設定に基づいた更新通知を受信するかどうかを制御できます。このポリシー設定を有効にすると、ログオンしているどのユーザーが更新通知を受信するのかを Windows 自動更新および Microsoft Update で決定する際に、管理者以外のユーザーも対象になります。管理者以外のユーザーも、受信した通知のすべてのコンテンツ (オプション、推奨、および重要コンテンツ) をインストールできます。ユーザーインターフェイス、ソフトウェアライセンス条項、または Windows Update の設定変更を含む更新プログラムの場合以外では、[ユーザーアカウント制御] ウィンドウは表示されません。また、これらの更新プログラムをインストールする場合、管理者特権でのアクセス許可は必要ありません。この設定による影響がオペレーティングシステムによって異なる状況には、更新プログラムを非表示または復元する場合、およびインストールをキャンセルする場合の 2 つがあります。XP の場合: このポリシー設定を有効にすると、[ユーザーアカウント制御] ウィンドウが表示されなくなります。前のいずれの更新関連タスクを実行する場合でも、管理者特権でのアクセス許可は必要ありません。Vista の場合: このポリシー設定を有効にすると、[ユーザーアカウント制御] ウィンドウが表示されなくなります。前のいずれのタスクを実行する場合でも、管理者特権でのアクセス許可は必要ありません。このポリシー設定を無効にすると、アカウント制御のウィンドウが常に表示されるようになります。前のいずれのタスクを実行する場合でも、管理者特権でのアクセス許可が必要になります。Windows 7 の場合: このポリシー設定による影響はありません。アカウント制御のウィンドウは常に表示されます。前のいずれのタスクを実行する場合でも、管理者特権でのアクセス許可が必要です。Windows 8 および Windows RT の場合: このポリシー設定による影響はありません。アカウント制御のウィンドウは常に表示されます。前のいずれのタスクを実行する場合でも、管理者特権でのアクセス許可が必要です。このポリシー設定を無効にすると、管理者ユーザーのみが更新通知を受信します。注: Windows 8 および Windows RT では、このポリシー設定は既定で有効です。それ以前のすべてのバージョンの Windows では、このポリシー設定は既定で無効です。[自動更新を構成する] ポリシー設定を無効にするか、または構成しない場合は、[非管理者を昇格する] ポリシー設定による影響はありません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ElevateNonAdmins

ポリシー名	自動更新を直ちにインストールすることを許可する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows XP Professional Service Pack 1 以降、または Windows 2000 Service Pack 3 ~ Windows 8.1 または最新の Service Pack を搭載した Windows Server 2012 R2 以降。Windows 10以上ではサポートされていません。
説明	Windows サービスへの割り込みまたは Windows の再起動を行わない特定の更新を、自動更新によって自動的にインストールするかどうかを指定します。状態が有効に設定されている場合、これらの更新はダウンロード後に準備ができしだいインストールされます。状態が無効に設定されている場合は、すぐにはインストールされません。注: [自動更新を構成する] ポリシーが無効になっている場合は、このポリシーは効果はありません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!AutoInstallMinorUpdates

ポリシー名	推奨される更新の自動更新を有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows Vista から Windows 8.1、または最新の Service Pack を搭載した Windows Server 2012 R2 以降。Windows 10以上ではサポートされていません。
説明	Windows Update 更新サービスからの重要な更新と推奨される更新の両方を、自動更新で配布するかどうかを指定します。このポリシーを有効にした場合、自動更新では Windows Update 更新サービスからの推奨される更新と重要な更新の両方がインストールされます。このポリシーを無効にした場合、または構成しなかった場合は、自動更新が既に重要な更新を配布するよう構成されていれば、引き続き重要な更新が配布されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!IncludeRecommendedUpdates

ポリシー名	ソフトウェアの通知を有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows Server 2008、Windows 7、および Windows Vista
説明	このポリシー設定を使用すると、Microsoft Update サービスから配信される、注目のソフトウェアに関する拡張通知メッセージを表示するかどうかを制御できます。拡張通知メッセージによってこの値が送られると、オプションのソフトウェアをインストールして使用するように促されます。このポリシー設定は、エンドユーザーが Microsoft Update サービスにアクセスできる、管理が厳密でない環境で使用します。このポリシー設定を有効にすると、注目のソフトウェアが利用可能になったときに、ユーザーのコンピューターに通知メッセージが表示されます。ユーザーは、この通知をクリックして Windows Update アプリケーションを開くことができ、ソフトウェアに関する詳細情報を取得したり、ソフトウェアをインストールしたりできます。また、[このメッセージを閉じる] または [後で表示する] をクリックすると、必要に応じて通知の表示を保留できます。Windows 7 では、このポリシー設定で制御できるのは、オプションのアプリケーションの詳細通知だけです。Windows Vista では、このポリシー設定で、オプションのアプリケーションと更新プログラムの詳細通知を制御できます。このポリシー設定を無効にするか、または構成しない場合は、Windows 7 ユーザーにオプションのアプリケーションの詳細通知メッセージが送信されなくなります。また、Windows Vista ユーザーにオプションのアプリケーションと更新プログラムの詳細通知メッセージが送信されなくなります。既定では、このポリシー設定は無効になっています。Microsoft Update サービスを使用しない場合、[ソフトウェアの通知] ポリシー設定による影響はありません。[自動更新を構成する] ポリシー設定を無効にするか、または構成しない場合は、[ソフトウェアの通知] ポリシー設定による影響はありません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!EnableFeaturedSoftware

ポリシー名	Windows Update の電源管理を有効にして、システムのスリープ状態が自動的に解除され、スケジュールされた更新がインストールされるようにする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows Server 2008、Windows 7、Windows Vista、および Windows 10
説明	インストールが実行されるようにスケジュールされた更新がある場合に、Windows Update で、Windows 電源管理機能を使用してシステムをスリープ状態から自動的に解除するかどうかを指定します。Windows Update は、更新を自動的にインストールするように構成されている場合に限り、システムのスリープ状態を解除します。スケジュールされたインストール時間になり適用する更新があるときに、システムがスリープ状態になっていると、Windows Update は Windows 電源管理機能を使用して自動的にシステムのスリープ状態を解除し、更新をインストールします。またインストールの期限日になると、システムのスリープ状態を解除し更新をインストールします。インストールする更新がない場合は、システムのスリープ状態は解除されません。システムの電源がバッテリの場合は、スリープ状態が解除されても更新はインストールされず、システムは自動的に 2 分間でスリープ状態に戻ります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!AUPowerManagement

ポリシー名	スケジュールされた自動更新のインストールで、ログオンしているユーザーがいる場合には自動的に再起動しない
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows XP Professional Service Pack 1、または Windows 2000 Service Pack 3 以降
説明	自動更新で、スケジュールされたインストールを完了するためにコンピューターを自動的に再起動せず、ログオンユーザーによってコンピューターが再起動されることを待つかどうかを指定します。状態が有効に設定されている場合、ユーザーがコンピューターにログオンしている場合は自動更新がコンピューターを自動的に再起動することはありません。代わりに、コンピューターの再起動が必要であることをユーザーに通知します。更新を有効にするには、コンピューターを再起動する必要があります。状態が無効または未構成に設定されている場合は、インストールを完了するためにコンピューターが 5 分以内に自動的に再起動されることがユーザーに通知されます。注: このポリシーは、自動更新がスケジュールされた更新のインストールを行うように構成されている場合にのみ適用されます。[自動更新を構成する] ポリシーが無効になっている場合は、このポリシーは効果はありません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!NoAutoRebootWithLoggedOnUsers

ポリシー名	スケジュールされた時刻に常に自動的に再起動する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	このポリシーを有効にした場合、2 日間以上ログイン画面について最初にユーザーに通知する代わりに、Windows Update で重要な更新プログラムをインストールした直後に再起動のタイマーを開始します。再起動のタイマーは、15 ～ 180 分の任意の値から開始するように構成できます。タイマーが切れると、PC にサインインしているユーザーがいる場合でも再起動が続行されます。このポリシーを無効にした場合、または構成しなかった場合、Windows Update によってその再起動の動作が変更されることはありません。スケジュールされた自動更新のインストールで、ログオンしているユーザーがいる場合には自動的に再起動しないポリシーが有効になっている場合は、このポリシーによる影響はありません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!AlwaysAutoRebootAtScheduledTime HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!AlwaysAutoRebootAtScheduledTimeMinutes

ポリシー名	スケジュールされたインストール時の再起動を再確認する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows 7、Windows Server 2008 R2、Windows Vista、Windows Server 2003、Windows XP SP2、Windows XP SP1、Windows 2000 SP4、Windows 2000 SP3
説明	スケジュールされた再起動を再確認するまでの、自動更新の待機時間を指定します。状態が有効に設定されている場合、前回の確認を延期した後、指定した時間 (分数) が経過したら再起動が実行されます。状態が無効または未構成に設定されている場合は、既定の間隔は 10 分になります。注: このポリシーは、自動更新がスケジュールされた更新のインストールを行うように構成されている場合にのみ適用されます。[自動更新を構成する] ポリシーが無効になっている場合は、このポリシーは効果はありません。このポリシーは Windows RT への影響はありません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!RebootRelaunchTimeoutEnabled HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!RebootRelaunchTimeout

ポリシー名	スケジュールされたインストールの再起動を遅らせる
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows 7、Windows Server 2008 R2、Windows Vista、Windows Server 2003、Windows XP SP2、Windows XP SP1、Windows 2000 SP4、Windows 2000 SP3
説明	スケジュールされた再起動を続行するまでの、自動更新の待機時間を指定します。状態が有効に設定されている場合、インストールが完了した後、指定した時間 (分数) が経過したら再起動が実行されます。状態が無効または未構成に設定されている場合は、既定の待機時間は 15 分になります。注: このポリシーは、自動更新がスケジュールされた更新のインストールを行うように構成されている場合にのみ適用されます。[自動更新を構成する] ポリシーが無効になっている場合は、このポリシーは効果はありません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!RebootWarningTimeoutEnabled HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!RebootWarningTimeout

ポリシー名	自動更新のインストールの予定を変更する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows 7、Windows Server 2008 R2、Windows Vista、Windows Server 2003、Windows XP SP2、Windows XP SP1、Windows 2000 SP4、Windows 2000 SP3
説明	システムが起動されてから、前回実行されなかったインストールを自動更新が実行するまでの時間を指定します。状態が有効に設定されている場合、コンピューターが次回起動された後、指定された時間が経過したら前回実行されなかったインストールが実行されます。状態が無効に設定されている場合は、実行されなかったインストールは次の予定時刻に実行されます。状態が未構成に設定されている場合は、実行されなかったインストールはコンピューターの次回起動後 1 分が経過したら実行されます。注: このポリシーは、自動更新がスケジュールされた更新のインストールを行うように構成されている場合にのみ適用されます。[自動更新を構成する] ポリシーが無効になっている場合は、このポリシーは効果はありません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!RescheduleWaitTimeEnabled HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!RescheduleWaitTime

ポリシー名	更新プログラムをインストールするための自動再起動の期限を指定する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows Server 2016 から Windows Server 2022、または Windows 10
説明	更新プログラムを適用するために PC を自動的に再起動する期限までの日数を指定します。期限は、既定の再起動日を過ぎてから 2 日から 14 日後の日付に設定できます。再起動はアクティブ時間内に行われる可能性があります。このポリシーを無効にするか、未構成にした場合、PC は既定のスケジュールに従って再起動されます。次の 2 つのポリシーのいずれかを有効にすると、上記のポリシーが上書きされます。 1. スケジュールされた自動更新のインストールで、ログオンしているユーザーがいる場合には自動的に再起動しない。 2. スケジュールされた時刻に常に自動的に再起動する。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetAutoRestartDeadline HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!AutoRestartDeadlinePeriodInDays HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!AutoRestartDeadlinePeriodInDaysForFeatureUpdates

ポリシー名	更新のための自動再起動必須通知を構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows Server 2016 から Windows Server 2022、または Windows 10
説明	このポリシーを有効にすると、自動再起動必須通知を閉じる方法を指定できます。更新プログラムをインストールするための再起動が必須の場合、自動再起動必須通知が表示されます。既定では、この通知は 25 秒後に自動的に閉じられます。方法を設定することで、通知を閉じるために必要なユーザー操作を指定することができます。このポリシーを無効にしたり、構成しなかった場合は、既定の方法が使用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetAutoRestartRequiredNotificationDismissal HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!AutoRestartRequiredNotificationDismissal

ポリシー名	更新のための自動再起動リマインダー通知を構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows Server 2016 から Windows Server 2022、または Windows 10
説明	このポリシーを有効にすると、自動再起動リマインダーを表示するタイミングを指定できます。スケジュールされた再起動をユーザーに通知するまでの時間を指定できます。このポリシーを無効にしたり、構成しなかった場合は、既定の時間が使用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetAutoRestartNotificationConfig HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!AutoRestartNotificationSchedule

ポリシー名	更新プログラムをインストールするための自動再起動通知をオフにする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows Server 2016 から Windows Server 2022、または Windows 10
説明	このポリシー設定では、更新をインストールするための自動再起動に関する通知 (リマインダー通知や警告通知など) を、ユーザーが受け取るかどうかを制御できます。このポリシーを有効にすると、すべての自動再起動通知がオフになります。このポリシーを無効にしたり、構成しなかった場合、既定の通知動作は変更されません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetAutoRestartNotificationDisable

ポリシー名	更新のための自動再起動警告通知のスケジュールを構成する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows Server 2016 から Windows Server 2022、または Windows 10
説明	このポリシーを有効にすると、更新プログラムのインストール期日に向けてスケジュールされた再起動についての警告通知を、ユーザーにいつ表示するかを制御できます。期限に達すると、スケジュールされた再起動をユーザーが延期することはできなくなり、再起動が自動的に実行されます。スケジュールされた再起動についての警告リマインダーをユーザーに表示するまでの時間を指定します。自動再起動の期限が迫っていることをユーザーに通知するまでの時間を指定し、スケジュールされた再起動を事前に知らせることで、ユーザーが作業を保存するための猶予期間を提供できます。このポリシーを無効にしたり、構成しなかった場合は、既定の通知動作が使用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetRestartWarningSchd HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ScheduleRestartWarning HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!ScheduleImminentRestartWarning

ポリシー名	更新プログラムのための再起動猶予期間を移行および通知するスケジュールを指定します
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows Server 2016 から Windows Server 2022、または Windows 10
説明	このポリシーを有効にすると、アクティブ時間外にスケジュールされた自動再起動を再起動猶予期間に移行するタイミングを制御できます。再起動猶予期間はユーザーがスケジュールする必要があります。猶予期間は、再起動が保留状態になった日を基点に、0 - 30 日間の間で設定できます。再起動猶予期間のリマインダー通知をユーザーが再通知にできる日数を指定できます。再通知の期間は 1 - 3 日間の間で設定できます。保留中の再起動をアクティブ時間に関係なく自動的にスケジュールして実行するまでの期限を日数で指定できます。この期限は、再起動が保留状態になった日を基点に、2 - 30 日間の間で設定できます。これを構成した場合、保留中の再起動は自動再起動から再起動猶予期間 (ユーザーによるスケジュール待ち) に移行され、指定された期間内に自動的に実行されます。期限を指定しなかった場合、または期限を 0 に設定した場合、PC は自動的には再起動されず、ユーザーがあらかじめ再起動をスケジュールする必要があります。このポリシーを無効にするか、未構成にした場合、既定のスケジュールに従って PC が再起動されます。次のポリシーのいずれかを有効にすると、上記のポリシーが上書きされます。 1. スケジュールされた自動更新のインストールで、ログオンしているユーザーがいる場合には自動的に再起動しない 2. スケジュールされた時刻に常に自動的に再起動する 3. 更新プログラムをインストールするための自動再起動の期限を指定する
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!SetEngagedRestartTransitionSchedule HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!EngagedRestartTransitionSchedule HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!EngagedRestartSnoozeSchedule HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!EngagedRestartDeadline HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!EngagedRestartTransitionScheduleForFeatureUpdates HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!EngagedRestartSnoozeScheduleForFeatureUpdates HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!EngagedRestartDeadlineForFeatureUpdates

ポリシー名	Windows Update に対するスキャンを発生させる更新遅延ポリシーを許可しない
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1607 以降
説明	このポリシーを有効にすると、更新の遅延ポリシーが Windows Update に対してスキャンを実行できなくなります。このポリシーが無効になっているか、構成されていない場合は、更新の遅延ポリシーが有効になっている間、Windows Update クライアントは Windows Update に対して自動スキャンを開始できます。注: このポリシーが適用されるのは、このコンピューターに指定されているイントラネットの Microsoft 更新サービスが、クライアント側のターゲット設定をサポートするように構成されている場合のみです。イントラネットの Microsoft 更新サービスの場所を指定するポリシーが無効になっているか、未構成の場合、このポリシーは無効です。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\WindowsUpdate!DisableDualScan

7. コンピュータの構成\Windows コンポーネント\Windows サンドボックス配下のポリシー

ポリシー名	Windows サンドボックスへのフォルダーのマッピングを許可する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows サンドボックス
サポートされるOS、バージョン	少なくとも Windows 11 Pro、Enterprise または Education 以降と Windows サンドボックス
説明	このポリシー設定は、サンドボックスに対するフォルダーのマッピングを有効または無効にします。このポリシー設定を有効にした場合、ホストからサンドボックスへのフォルダーのマッピングが許可されます。このポリシー設定を有効にして、マッピングされたフォルダーへの書き込みを無効にした場合、ホストからサンドボックスへのフォルダーのマッピングは許可されますが、サンドボックスのアクセス許可はファイルの読み取りのみになります。このポリシー設定を無効にした場合、ホストからサンドボックスへのフォルダーのマッピングは許可されません。このポリシー設定を構成しない場合、マッピングされたフォルダーが有効になります。ホストからコンテナーにフォルダーを公開すると、セキュリティに影響する可能性があることに注意してください。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Windows\Sandbox!AllowMappedFolders HKLM\SOFTWARE\Policies\Microsoft\Windows\Sandbox!AllowWriteToMappedFolders

8. コンピュータの構成\Windows コンポーネント\Windows ログオンのオプション配下のポリシー

ポリシー名	winlogon によって送信される MPR 通知の内容に含まれるユーザーのパスワードの送信を構成します。
ポリシーのパス	コンピュータの構成\Windows コンポーネント\Windows ログオンのオプション
サポートされるOS、バージョン	Windows 10 Version 1903 以降
説明	このポリシーでは、システムの winlogon によって送信される MPR 通知のコンテンツにユーザーのパスワードを含めるかどうかを制御します。この設定を無効にした場合、または構成しなかった場合、winlogon はユーザーの認証情報のパスワードフィールドが空の MPR 通知を送信します。この設定を有効にした場合、winlogon は認証情報にユーザーのパスワードを含む MPR 通知を送信します。
レジストリ情報	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System!EnableMPR

9. コンピュータの構成\Windows コンポーネント\アプリパッケージの展開配下のポリシー

ポリシー名	パッケージ済み Microsoft Store アプリの開発と統合開発環境 (IDE) からのインストールを許可する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\アプリパッケージの展開
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	Microsoft Store アプリケーションの開発と IDE からの直接インストールを許可または拒否します。この設定を有効にして、「信頼できるすべてのアプリのインストールを許可する」グループポリシーを有効にした場合、Microsoft Store アプリを開発して IDE から直接インストールすることができます。この設定を無効にした場合、または構成しなかった場合は、Microsoft Store アプリを開発することも、IDE から直接インストールすることもできません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Appx!AllowDevelopmentWithoutDevLicense

ポリシー名	サイドロードアプリがバックグラウンドで自動更新されることを許可しない
ポリシーのパス	コンピュータの構成\Windows コンポーネント\アプリパッケージの展開
サポートされるOS、バージョン	Windows Server 2016、Windows 10 Version 2106 以降
説明	バックグラウンドで自動更新するサイドロードアプリの機能を管理します。このポリシーを有効にすると、サイドロードアプリがバックグラウンドで自動更新されません。このポリシーを無効にすると、サイドロードアプリはバックグラウンドで自動更新されます。デフォルトは「無効」です (キーは存在しません)。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Appx!DisableBackgroundAutoUpdates

ポリシー名	従量制課金接続では、サイドロードアプリがバックグラウンドで自動更新されることを許可しない
ポリシーのパス	コンピュータの構成\Windows コンポーネント\アプリパッケージの展開
サポートされるOS、バージョン	Windows Server 2016、Windows 10 Version 2106 以降
説明	従量制課金接続の場合、バックグラウンドで自動更新するサイドロードアプリの機能を管理します。このポリシーを有効にすると、従量制課金接続ではサイドロードアプリがバックグラウンドで自動更新されません。このポリシーを無効にすると、サイドロードアプリは従量制課金接続のバックグラウンドで自動更新されます。デフォルトは「無効」です (キーは存在しません)。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Appx!DisableMeteredNetworkBackgroundAutoUpdates

ポリシー名	既定でユーザーごとの署名されていないパッケージのインストールを許可しません (インストールごとに明示的に許可する必要があります)
ポリシーのパス	コンピュータの構成\Windows コンポーネント\アプリパッケージの展開
サポートされるOS、バージョン	Unknown
説明	既定でユーザーごとの署名されていないパッケージのインストールを許可しません (インストールごとに明示的に許可する必要があります) このポリシーを有効にすると、AllowUnsigned オプションの既定値は 'false' になります。このポリシーを無効にすると、AllowUnsigned オプションの既定値は 'true' になります。既定値は 'disabled' です (キーがありません)。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Appx!DisablePerUserUnsignedPackagesByDefault

10. コンピュータの構成\Windows コンポーネント\アプリとデバイスのインベントリ配下のポリシー

ポリシー名	インストールトレーシングをオフにする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\アプリとデバイスのインベントリ
サポートされるOS、バージョン	Windows 11 バージョン 24H2 以降
説明	このポリシーは、インストールトレースの状態を制御します。インストールトレースは、アプリケーションのインストールを追跡し、互換性の問題についての診断を支援するメカニズムです。このポリシーを有効にした場合、インストールトレースは実行されません。このポリシーを無効にした場合、または構成しなかった場合は、インストールトレースが有効になります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppCompat!DisableInstallTracing

ポリシー名	API サンプリングをオフにする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\アプリとデバイスのインベントリ
サポートされるOS、バージョン	Windows 11 バージョン 24H2 以降
説明	このポリシーは、API サンプリングの状態を制御します。API サンプリングは、システムの実行時に使用されるアプリケーションプログラミングインターフェイスのサンプリングされたコレクションをモニターし、互換性の問題についての診断を支援します。このポリシーを有効にすると、API サンプリングは実行されません。このポリシーを無効にした場合、または構成しなかった場合は、API サンプリングが有効になります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppCompat!DisableAPISamping

ポリシー名	アプリケーションフットプリントをオフにする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\アプリとデバイスのインベントリ
サポートされるOS、バージョン	Windows 11 バージョン 24H2 以降
説明	このポリシーは、アプリケーションフットプリントの状態を制御します。アプリケーションフットプリントは、レジストリとファイルの使用状況のサンプリングされたコレクションをモニターして、互換性の問題についての診断を支援します。このポリシーを有効にした場合、アプリケーションフットプリントは実行されません。このポリシーを無効にした場合、または構成しなかった場合は、アプリケーションフットプリントが有効になります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppCompat!DisableApplicationFootprint

ポリシー名	バックアップされたアプリケーションの互換性スキャンを無効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\アプリとデバイスのインベントリ
サポートされるOS、バージョン	Windows 11 バージョン 24H2 以降
説明	このポリシーは、バックアップされたアプリケーションの互換性スキャンの状態を制御します。バックアップされたアプリケーションの互換性スキャンでは、インストールされているアプリケーションの互換性の問題を評価します。このポリシーを有効にした場合、バックアップされたアプリケーションの互換性スキャンは実行されません。このポリシーを無効にするか、構成しなかった場合、バックアップされたアプリケーションの互換性スキャンが実行されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppCompat!DisableWin32AppBackup

11. コンピュータの構成\Windows コンポーネント\アプリのプライバシー配下のポリシー

ポリシー名	Windows アプリにプレゼンスセンシングへのアクセスを許可する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\アプリのプライバシー
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	このポリシー設定では、Windows アプリがプレゼンスセンシングにアクセスできるかどうかを指定します。すべてのアプリに既定の設定を適用するか、パッケージファミリ名を指定してアプリごとの設定を適用するかを指定できます。アプリのパッケージファミリ名を取得するには、Get-AppPackage Windows PowerShell コマンドレットを使います。既定の設定はアプリごとの設定によって上書きされます。[ユーザーが制御] オプションを選ぶと、Windows アプリがプレゼンスセンシングにアクセスできるかどうかを、組織の従業員が選ぶことができます (デバイスで [設定] > [プライバシー] を使います)。[強制的に許可] オプションを選ぶと、Windows アプリはプレゼンスセンシングにアクセスできます。組織の従業員はこの設定を変更することはできません。[強制的に拒否] オプションを選ぶと、Windows アプリはプレゼンスセンシングにアクセスできません。組織の従業員はこの設定を変更することはできません。このポリシー設定を無効にした場合や構成しなかった場合、Windows アプリがプレゼンスセンシングにアクセスできるかどうかを、組織の従業員が選ぶことができます (デバイスで [設定] > [プライバシー] を使います)。このグループポリシーオブジェクトがデバイスに適用されているときに、アプリを開く場合、従業員は、アプリやデバイスを再起動してポリシーの変更をアプリに適用する必要があります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessHumanPresence HKLM\Software\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessHumanPresence_UserInControlOfTheseApps HKLM\Software\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessHumanPresence_ForceAllowTheseApps HKLM\Software\Policies\Microsoft\Windows\AppPrivacy!LetAppsAccessHumanPresence_ForceDenyTheseApps

12. コンピュータの構成\Windows コンポーネント\アプリ実行時配下のポリシー

ポリシー名	パッケージ化された Microsoft Store アプリの動的コンテンツ URI 規則を有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\アプリ実行時
サポートされるOS、バージョン	Windows Server 2012 R2、Windows 8.1、Windows RT 8.1 またはそれ以降
説明	このポリシー設定では、アプリマニフェストの一部として定義された静的コンテンツ URI 規則を補足するコンテンツ URI 規則を有効にして、コンピューターで enterpriseAuthentication 機能を使用するパッケージ化されたすべての Microsoft Store アプリに適用できます。このポリシー設定を有効にした場合、コンピューターで enterpriseAuthentication 機能を使用するパッケージ化されたすべての Microsoft Store アプリで利用できる追加のコンテンツ URI 規則を定義できます。このポリシー設定を無効にした場合、または構成しなかった場合、パッケージ化された Microsoft Store アプリでは静的コンテンツ URI 規則のみを使用します。
レジストリ情報	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Packages\Applications!EnableDynamicContentUriRules HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Packages\Applications\ContentUriRules

13. コンピュータの構成\Windows コンポーネント\イベントログサービス配下のポリシー

ポリシー名	イベントログサービスへのリモートアクセスを制限する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\イベントログサービス
サポートされるOS、バージョン	Unknown
説明	このポリシー設定は、どのリモートユーザーにこのマシン上のイベントログサービスへの接続を許可するかを制御します。このポリシーを有効にすると、このマシン上のイベントログサービスに接続するためにはリモートユーザーはどのグループのメンバーでなければならないかを制限できます。リモートユーザーが以下の組み込みグループのいずれかのメンバーであることを必須条件にできます。• 認証されたユーザー• イベントログリーダー• 管理者このポリシーを無効にするかポリシーを構成しない場合、既定値は認証されたユーザーになります。以前のバージョンの Windows では、認証されたユーザーのみがサポートされていました。下位互換性を維持するためには、認証されたユーザーからこのサービスへのローカル接続を常に許可する必要があります。この設定は、個別のログへのアクセスを制御するものではありません。リモート接続が許可された場合でも、使用しようとする特定のリソースへのアクセスは別途必要になります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\EventLog!EnableRemoteRpcAccessRestrictions HKLM\Software\Policies\Microsoft\Windows\EventLog!RpcAccess_Remote_Setting

14. コンピュータの構成\Windows コンポーネント\ウィジェット配下のポリシー

ポリシー名	ウィジェットを許可する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\ウィジェット
サポートされるOS、バージョン	Windows 10 以降
説明	このポリシーでは、デバイスでウィジェット機能を使用できるかどうかを指定します。設定でこれを変更しない限り、ウィジェットは既定でオンになります。以前にこの機能をオンにした場合は、オフにしない限り自動的にオンになります。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Dsh!AllowNewsAndInterests

15. コンピュータの構成\Windows コンポーネント\エクスプローラー配下のポリシー

ポリシー名	エクスプローラーでアカウントベースの分析情報、最近使ったファイル、お気に入り、推奨されるファイルをオフにする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\エクスプローラー
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	この設定をオフにすると、エクスプローラーがクラウドファイルメタデータを要求できなくなり、ホームページやエクスプローラーの他のビューにクラウドファイルメタデータが表示されなくなります。アカウントアクティビティに基づく分析情報とファイル情報の提供が停止され、最近使用した項目、おすすめ、お気に入り、詳細ウィンドウなどに表示されなくなります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Explorer!DisableGraphRecentItems

ポリシー名	Do not apply the Mark of the Web tag to files copied from insecure sources
ポリシーのパス	コンピュータの構成\Windows コンポーネント\エクスプローラー
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	This policy setting determines the application of the Mark of the Web tag to files sourced from insecure locations.If you enable this policy setting files copied from unsecure sources will not be tagged with the Mark of the Web.If you disable or do not configure this policy setting files copied from unsecure sources will be tagged with the appropriate Mark of the Web.Note: Failure to tag files from unsecure sources with the Mark of the Web can expose users’ computers to security risks.
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Explorer!DisableMotWOnInsecurePathCopy

16. コンピュータの構成\Windows コンポーネント\クラウドコンテンツ配下のポリシー

ポリシー名	クラウドコンシューマーアカウントの状態コンテンツを無効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\クラウドコンテンツ
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1909 以降
説明	このポリシー設定を使用すると、すべての Windows エクスペリエンスのクラウドコンシューマーアカウントの状態のコンテンツを無効にすることができます。このポリシーを有効にした場合、クラウドコンシューマーアカウント状態コンテンツクライアントコンポーネントを使用する Windows エクスペリエンスでは、代わりに既定のフォールバックコンテンツが表示されます。このポリシーを無効にした場合、または構成しなかった場合、Windows エクスペリエンスではクラウドコンシューマーのアカウント状態コンテンツを使用できます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\CloudContent!DisableConsumerAccountStateContent

17. コンピュータの構成\Windows コンポーネント\チャット配下のポリシー

ポリシー名	タスクバーの [チャット] アイコンを構成する。
ポリシーのパス	コンピュータの構成\Windows コンポーネント\チャット
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	このポリシー設定を使用すると、タスクバーの [チャット] アイコンを構成できます。このポリシー設定を有効にし、[表示] に設定すると、既定でタスクバーに [チャット] アイコンが表示されます。ユーザーは [設定] で表示または非表示を切り替えることができます。このポリシー設定を有効にして [非表示] に設定すると、既定でチャットアイコンが非表示になります。ユーザーは [設定] で表示または非表示を切り替えることができます。このポリシー設定を有効にして無効に設定すると、チャットアイコンは表示されず、ユーザーは [設定] で表示または非表示にすることもできません。このポリシー設定を無効にするか、未構成にした場合、チャットアイコンは Windows エディションの既定値に従って構成されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Windows Chat!ChatIcon

18. コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー配下のポリシー

ポリシー名	アプリインストーラーを有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	このポリシーでは、Windows パッケージマネージャーをユーザーが使用できるかどうかを制御します。この設定を有効にするか、未構成にした場合、ユーザーはWindows パッケージマネージャーを使用できます。この設定を無効にすると、ユーザーはWindows パッケージマネージャーを使用できなくなります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableAppInstaller

ポリシー名	アプリのインストーラーの設定を有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	このポリシーでは、ユーザーが設定を変更できるかどうかを制御します。この設定を有効にするか、未構成にした場合、ユーザーはWindows パッケージマネージャーの設定を変更できます。この設定を無効にすると、ユーザーはWindows パッケージマネージャーの設定を変更できなくなります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableSettings

ポリシー名	アプリインストーラーの試験的な機能を有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	このポリシーでは、ユーザーがWindows パッケージマネージャーで試験的な機能を有効にできるかどうかを制御します。この設定を有効にするか、未構成にした場合、ユーザーはWindows パッケージマネージャーの試験的な機能を有効にできます。この設定を無効にすると、ユーザーはWindows パッケージマネージャーの試験的な機能を有効にできなくなります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableExperimentalFeatures

ポリシー名	アプリインストーラーのローカルマニフェストファイルを有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	このポリシーでは、ユーザーがローカルマニフェストファイルを使用してパッケージをインストールできるかどうかを制御します。この設定を有効にするか、未構成にした場合、ユーザーはWindows パッケージマネージャーを使用してローカルマニフェストを使用してパッケージをインストールできます。この設定を無効にすると、ユーザーはWindows パッケージマネージャーを使用してローカルマニフェスト付きのパッケージをインストールできなくなります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableLocalManifestFiles

ポリシー名	アプリインストーラーでの Microsoft Store ソースの固定証明書のバイパスを有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	このポリシーでは、Microsoft Store ソースへの接続を開始するときに、Windows パッケージマネージャーが既知の Microsoft Store 証明書と一致する Microsoft Store 証明書ハッシュを検証するかどうかを制御します。このポリシーを有効にした場合、Windows パッケージマネージャーは Microsoft Store 証明書の検証をバイパスします。このポリシーを無効にした場合、Windows パッケージマネージャーは、Microsoft Store ソースと通信する前に、使用されている Microsoft Store 証明書が有効であり、Microsoft Store に属していることを検証します。このポリシーを構成しなかった場合は、Windows パッケージマネージャー管理者の設定が適用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableBypassCertificatePinningForMicrosoftStore

ポリシー名	アプリインストーラーのハッシュ上書きを有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	このポリシーでは、設定の SHA256 セキュリティ検証を上書きする機能を有効にできるように Windows パッケージマネージャーを構成できるかどうかを制御します。このポリシーを有効にした場合、または構成しなかった場合、ユーザーは Windows パッケージマネージャーの設定で SHA256 セキュリティ検証を上書きする機能を有効にすることができます。このポリシーを無効にした場合、ユーザーは Windows パッケージマネージャーの設定で SHA256 セキュリティ検証を上書きする機能を有効することができなくなります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableHashOverride

ポリシー名	アプリインストーラーローカルアーカイブマルウェアスキャンの上書きを有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	このポリシーでは、コマンドライン引数を使用してローカルマニフェストを使用してアーカイブファイルをインストールするときに、マルウェアの脆弱性スキャンをオーバーライドする機能を制御します。このポリシーを有効にした場合、アーカイブファイルのローカルマニフェストのインストールを実行するときに、ユーザーはマルウェアスキャンをオーバーライドできます。このポリシーを無効にすると、ユーザーはローカルマニフェストを使用してインストールするときにアーカイブファイルのマルウェアスキャンをオーバーライドできなくなります。このポリシーを構成しなかった場合は、Windows パッケージマネージャー管理者の設定が適用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableLocalArchiveMalwareScanOverride

ポリシー名	アプリインストーラーの既定のソースを有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	このポリシーでは、Windows パッケージマネージャーに含まれている既定ソースを制御します。この設定を構成しなかった場合、Windows パッケージマネージャーの既定ソースが利用可能になり、削除できるようになります。この設定を有効にした場合、Windows パッケージマネージャーの既定ソースが利用できるようになり、削除できなくなります。この設定を無効にした場合、Windows パッケージマネージャーの既定ソースは利用できなくなります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableDefaultSource

ポリシー名	アプリインストーラー Microsoft Store ソースを有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	このポリシーでは、Windows パッケージマネージャーに含まれている Microsoft Store ソースを制御します。この設定を構成しなかった場合、Windows パッケージマネージャーの Microsoft Store ソースが利用可能になり、削除できるようになります。この設定を有効にした場合、Windows パッケージマネージャーの Microsoft Store ソースが利用できるようになり、削除できなくなります。この設定を無効にした場合、Windows パッケージマネージャーの Microsoft Store ソースは利用できなくなります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableMicrosoftStoreSource

ポリシー名	アプリインストーラーソースの自動更新間隔を分単位で設定します
ポリシーのパス	コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	このポリシーは、パッケージベースのソースの自動更新間隔を制御します。Windows パッケージマネージャーの既定のソースは、パッケージのインデックスがローカルコンピューターにキャッシュされるように構成されています。インデックスは、ユーザーがコマンドを呼び出し、間隔が過ぎたときにダウンロードされます。この設定を無効にした場合、または構成しなかった場合は、既定の間隔またはWindows パッケージマネージャー設定で指定された値が使用されます。この設定を有効にした場合、指定した分数がWindows パッケージマネージャーで使用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppInstaller!SourceAutoUpdateInterval

ポリシー名	アプリインストーラーの追加ソースを有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	このポリシーは、エンタープライズIT管理者によって提供される追加のソースを制御します。このポリシーを構成しない場合、Windows パッケージマネージャー用に追加のソースは構成されません。このポリシーを有効にすると、追加のソースが Windows パッケージマネージャーに追加され、削除できなくなります。追加の各ソースの表現は、「wingetsourceexport」を使用してインストールされたソースから取得できます。このポリシーを無効にすると、Windows パッケージマネージャーに追加のソースを構成できなくなります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableAdditionalSources HKLM\Software\Policies\Microsoft\Windows\AppInstaller\AdditionalSources

ポリシー名	アプリインストーラーの許可されたソースを有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	このポリシーは、エンタープライズ IT 管理者が許可する追加のソースを制御します。このポリシーを構成しない場合、ユーザーはポリシーで構成されたソース以外のソースを追加または削除できます。このポリシーを有効にすると、指定したソースのみを Windows パッケージマネージャーに追加または Windows パッケージマネージャーから削除できます。許可された各ソースの表現は、「wingetsourceexport」を使用してインストールされたソースから取得できます。このポリシーを無効にすると、Windows パッケージマネージャーに追加のソースを構成できなくなります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableAllowedSources HKLM\Software\Policies\Microsoft\Windows\AppInstaller\AllowedSources

ポリシー名	アプリインストーラーの ms-appinstaller プロトコルを有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	このポリシーでは、ユーザーが ms-appinstaller プロトコルを使用している Web サイトからパッケージをインストールできるかどうかを制御します。この設定を有効にした場合、ユーザーは、このプロトコルを使用する Web サイトからパッケージをインストールできます。この設定を無効にするか、未構成にした場合、ユーザーはこのプロトコルを使用する Web サイトからパッケージをインストールできなくなります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableMSAppInstallerProtocol

ポリシー名	Windows パッケージマネージャーのコマンドラインインターフェイスを有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	このポリシーは、ユーザーがコマンドラインインターフェイス (WinGet CLI または WinGet PowerShell) を通じて Windows パッケージマネージャーを使用してアクションを実行できるかどうかを決定します。このポリシーを無効にすると、ユーザーは Windows パッケージマネージャー CLI と PowerShell コマンドレットを実行できなくなります。このポリシーを有効にした場合、または構成しなかった場合、ユーザーは Windows パッケージマネージャー CLI コマンドと PowerShell コマンドレットを実行できます ([アプリインストーラーを有効にする] ポリシーが無効になっている場合に限る)。このポリシーは、[アプリインストーラーを有効にする] ポリシーをオーバーライドしません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableWindowsPackageManagerCommandLineInterfaces

ポリシー名	Windows パッケージマネージャーの構成を有効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1809 以降
説明	このポリシーでは、Windows パッケージマネージャー構成機能をユーザーが使用できるかどうかを制御します。この設定を有効にした場合、または構成しなかった場合、ユーザーはWindows パッケージマネージャー構成機能を使用できます。この設定を無効にすると、ユーザーはWindows パッケージマネージャー構成機能を使用できなくなります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\AppInstaller!EnableWindowsPackageManagerConfiguration

19. コンピュータの構成\Windows コンポーネント\リモートデスクトップサービス配下のポリシー

ポリシー名	レガシ認証のロック時にリモートセッションを切断する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\リモートデスクトップサービス\リモートデスクトップセッションホスト\セキュリティ
サポートされるOS、バージョン	Windows Vista 以降
説明	このポリシー設定を使用すると、リモートデスクトップセッションがユーザーまたはポリシーによってロックされたときのユーザーエクスペリエンスを構成できます。リモートセッションがロックされたときに、リモートロック画面を表示するか、または切断するかを指定できます。リモートセッションを切断すると、リモートセッションをロック画面のまま放置したり、ネットワーク接続が失われたことにより自動的に再接続したりすることがなくなります。このポリシーは、リモート PC への認証にレガシ認証を使用する場合にのみ適用されます。レガシ認証は、ユーザー名とパスワード、またはスマートカードなどの証明書に制限されています。レガシ認証は、Microsoft Entra ID などの Microsoft ID プラットフォームを利用しません。レガシ認証には、NTLM、CredSSP、RDSTLS、TLS、RDP 基本認証プロトコルが含まれます。このポリシー設定を有効にした場合、レガシ認証を使用したリモートデスクトップ接続では、リモートセッションがロックされるとリモートセッションが切断されます。ユーザーは準備ができたら再接続し、メッセージが表示されたら資格情報を再入力できます。このポリシー設定を無効にしたか構成しなかった場合、レガシ認証を使用したリモートデスクトップ接続では、リモートセッションがロックされるとリモートロック画面が表示されます。ユーザーは、ユーザー名とパスワード、または証明書を使用してリモートセッションのロックを解除できます。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!fDisconnectOnLockLegacy

ポリシー名	Microsoft ID プラットフォーム認証のロック時にリモートセッションを切断する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\リモートデスクトップサービス\リモートデスクトップセッションホスト\セキュリティ
サポートされるOS、バージョン	Windows Vista 以降
説明	このポリシー設定を使用すると、リモートデスクトップセッションがユーザーまたはポリシーによってロックされている場合のユーザーエクスペリエンスを構成できます。リモートセッションがロックされているときにリモートロック画面を表示するか、または切断するかを指定できます。リモートセッションを切断すると、リモートセッションがロック画面に残らないようにし、ネットワーク接続が失われたことが原因で自動的に再接続できなくなります。このポリシーは、リモート PC への認証にMicrosoft Entra IDなどのMicrosoft ID プラットフォームを使用する ID プロバイダーを使用する場合にのみ適用されます。NTLM、CredSSP、RDSTLS、TLS、RDP 基本認証プロトコルを含むレガシ認証を使用する場合、このポリシーは適用されません。このポリシー設定を有効にするか、未構成にした場合、Microsoft ID プラットフォームを使用したリモートデスクトップ接続は、リモートセッションがロックされたときにリモートセッションを切断します。ユーザーは準備ができたら再接続でき、パスワードレス認証を使用できます (構成されている場合)。このポリシー設定を無効にすると、Microsoft ID プラットフォームを使用したリモートデスクトップ接続は、リモートセッションがロックされたときにリモートロック画面を表示します。ユーザーは、ユーザー名とパスワード、または証明書を使用してリモートセッションのロックを解除できます。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!fDisconnectOnLockMicrosoftIdentity

ポリシー名	サーバーからクライアントへのクリップボード転送を制限する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\リモートデスクトップサービス\リモートデスクトップセッションホスト\デバイスとリソースのリダイレクト
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	このポリシー設定を使用すると、サーバーからクライアントへのクリップボードデータ転送を制限できます。このポリシー設定を有効にする場合、次の動作から選択する必要があります。- サーバーからクライアントへのクリップボード転送を無効にします。- サーバーからクライアントへのテキストのコピーを許可します。- サーバーからクライアントへのプレーンテキストと画像のコピーを許可します。- サーバーからクライアントへのプレーンテキスト、画像、リッチテキスト形式のコピーを許可します。- サーバーからクライアントへのプレーンテキスト、画像、リッチテキスト形式と HTML のコピーを許可します。このポリシー設定を無効にした場合、または構成しなかった場合、クリップボードリダイレクトが有効になっていれば、サーバーからクライアントに任意のコンテンツをコピーできます。注: このポリシー設定は、[コンピューターの構成] と [ユーザーの構成] の両方に表示されます。両方のポリシー設定が構成されている場合、より厳密な制限が使用されます。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!SCClipLevel

ポリシー名	クライアントからサーバーへのクリップボード転送を制限する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\リモートデスクトップサービス\リモートデスクトップセッションホスト\デバイスとリソースのリダイレクト
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	このポリシー設定を使用すると、クライアントからサーバーへのクリップボードデータ転送を制限できます。このポリシー設定を有効にする場合、次の動作から選択する必要があります。- クライアントからサーバーへのクリップボード転送を無効にします。- クライアントからサーバーへのテキストのコピーを許可します。- クライアントからサーバーへのプレーンテキストと画像のコピーを許可します。- クライアントからサーバーへのプレーンテキスト、画像、リッチテキスト形式のコピーを許可します。- クライアントからサーバーへのプレーンテキスト、画像、リッチテキスト形式と HTML のコピーを許可します。このポリシー設定を無効にした場合、または構成しなかった場合、クリップボードリダイレクトが有効になっていれば、ユーザーはクライアントからサーバーに任意のコンテンツをコピーできます。注: このポリシー設定は、[コンピューターの構成] と [ユーザーの構成] の両方に表示されます。両方のポリシー設定が構成されている場合、より厳密な制限が使用されます。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!CSClipLevel

ポリシー名	場所のリダイレクトを許可しない
ポリシーのパス	コンピュータの構成\Windows コンポーネント\リモートデスクトップサービス\リモートデスクトップセッションホスト\デバイスとリソースのリダイレクト
サポートされるOS、バージョン	Windows 10 Version 2106 以降
説明	このポリシー設定を使用すると、リモートデスクトップサービスセッション中のリモートコンピューターへの場所データのリダイレクトを制御できます。既定では、リモートデスクトップサービスは位置情報データのリダイレクトを許可します。このポリシー設定を有効にした場合、ユーザーはリモートコンピューターに位置情報データをリダイレクトできません。このポリシー設定を無効にした場合、または構成しなかった場合、ユーザーはリモートコンピューターに位置情報データをリダイレクトできます。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!fDisableLocationRedir

ポリシー名	UI オートメーションのリダイレクトを許可する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\リモートデスクトップサービス\リモートデスクトップセッションホスト\デバイスとリソースのリダイレクト
サポートされるOS、バージョン	Windows 10 Version 2106 以降
説明	このポリシー設定は、ローカルコンピューターで実行されているユーザーインターフェイス (UI) オートメーションクライアントアプリケーションがサーバー上の UI 要素にアクセスできるかどうかを決定します。UI オートメーションを使用すると、プログラムはほとんどの UI 素にアクセスできます。これにより、正しく機能するために UI と対話する必要がある拡大鏡やナレーターなどの支援技術製品を使用できます。UI情報により、自動テストスクリプトが UI と対話することもできます。リモートデスクトップセッションは現在、UI オートメーションリダイレクトをサポートしていません。このポリシー設定を有効にするまたは構成しない場合、ローカルコンピューター上のすべての UI オートメーションクライアントがリモートアプリと対話できるようになります。たとえば、ローカルコンピューターのナレータークライアントと拡大鏡クライアントを使用して、リモートセッションで開いた Web ページの UI を操作できます。このポリシー設定を無効にするか、構成しない場合、ローカルコンピューターで実行されている UI ートメーションクライアントはリモートアプリと対話できません。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!EnableUiaRedirection

ポリシー名	WebAuthn リダイレクトを許可しない
ポリシーのパス	コンピュータの構成\Windows コンポーネント\リモートデスクトップサービス\リモートデスクトップセッションホスト\デバイスとリソースのリダイレクト
サポートされるOS、バージョン	Windows Server 2019 Windows 10 Version 2004 以降
説明	このポリシー設定を使用すると、リモートデスクトップセッションからローカルデバイスへの Web 認証 (WebAuthn) 要求のリダイレクトを制御できます。このリダイレクトにより、ユーザーはローカル 認証システム (Windows Hello for Business、セキュリティキーなど) を使用してリモートデスクトップセッション内のリソースに対して認証を行えるようになります。既定では、リモートデスクトップは WebAuthn 要求のリダイレクトを許可します。このポリシー設定を有効にすると、ユーザーはリモートデスクトップセッション内でローカル認証システムを使用できなくなります。このポリシー設定を無効にするか、構成しなかった場合は、ユーザーはリモートデスクトップセッション内でローカル認証システムを使用できます。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!fDisableWebAuthn

ポリシー名	サーバーからクライアントへのデータ転送のクラウドクリップボード統合を無効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\リモートデスクトップサービス\リモートデスクトップ接続のクライアント
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	このポリシー設定を使用すると、クリップボードリダイレクトを使用してリモートセッションからクライアントに転送されたデータをクライアント側のクラウドクリップボードに追加するかどうかを制御できます。既定では、リモートデスクトップは、クリップボードリダイレクトを使用してリモートセッションから転送されたデータのクライアント側クラウドクリップボードとの統合を無効にします。このポリシー設定を有効にするか、未構成にした場合、リモートセッションでコピーされ、クライアントに貼り付けられたデータは、クライアント側のクラウドクリップボードに追加されません。このポリシー設定を無効にした場合、リモートセッションでコピーされ、クライアントに貼り付けられたデータは、クライアント側のクラウドクリップボードに追加されます (有効な場合)。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\Client!DisableCloudClipboardIntegration

20. コンピュータの構成\Windows コンポーネント\検索配下のポリシー

ポリシー名	検索 UI を完全に無効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\検索
サポートされるOS、バージョン	Windows 11 SE
説明	このポリシーを有効にした場合、検索 UI は、キーボードショートカット、タッチパッドジェスチャ、スタートメニューでの入力検索など、すべてのエントリポイントと共に無効になります。スタートメニューの検索ボックスと [タスクバーの検索] ボタンも非表示になります。このポリシー設定を無効にした場合、または構成しなかった場合、ユーザーは検索 UI を開け、その異なるエントリポイントが表示されます。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Search!DisableSearch

ポリシー名	検索ハイライトを許可する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\検索
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	この設定を無効にすると、スタートメニューの検索ボックスと検索ホームの検索ハイライトがオフになります。この設定を有効または未構成にすると、スタートメニューの検索ボックスと検索ホームの検索ハイライトがオンになります。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Windows\Windows Search!EnableDynamicContentInWSB

ポリシー名	タスクバーの検索を構成します
ポリシーのパス	コンピュータの構成\Windows コンポーネント\検索
サポートされるOS、バージョン	Windows 11 以降
説明	このポリシー設定を使用すると、タスクバーで検索を構成できます。このポリシー設定を有効にして非表示に設定すると、タスクバーの検索は既定で非表示になります。ユーザーは [設定] で変更できません。このポリシー設定を有効にし、検索アイコンのみに設定すると、既定で検索アイコンがタスクバーに表示されます。ユーザーは [設定] で変更できません。このポリシー設定を有効にして、検索アイコンとラベルに設定すると、既定で検索アイコンとラベルがタスクバーに表示されます。ユーザーは [設定] で変更できません。このポリシー設定を有効にして検索ボックスに設定すると、既定でタスクバーに検索ボックスが表示されます。ユーザーは [設定] で変更できません。このポリシー設定を無効にした場合、または構成しなかった場合は、Windows エディションの既定値に従ってタスクバーで検索が構成されます。ユーザーは、[設定] でタスクバーの検索を変更できます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Windows Search!SearchOnTaskbarMode

21. コンピュータの構成\Windows コンポーネント\人の存在配下のポリシー

ポリシー名	Instant Wake を強制する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\人の存在
サポートされるOS、バージョン	Windows 10 以降
説明	MDM ポリシーで Wake On Arrival を強制的にオン/オフにするかどうかを決定します。ユーザーはこの設定を変更することはできません。また、UI の切り替えはグレー表示されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\HumanPresence!ForceInstantWake HKLM\Software\Policies\Microsoft\HumanPresence!ForceInstantWake

ポリシー名	Instant Lock を強制する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\人の存在
サポートされるOS、バージョン	Windows 10 以降
説明	MDM ポリシーでロックオンリーブを強制的にオン/オフにするかどうかを決定します。ユーザーはこの設定を変更することはできません。また、UI の切り替えはグレー表示されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\HumanPresence!ForceInstantLock HKLM\Software\Policies\Microsoft\HumanPresence!ForceInstantLock

ポリシー名	ロックのタイムアウト
ポリシーのパス	コンピュータの構成\Windows コンポーネント\人の存在
サポートされるOS、バージョン	Windows 10 以降
説明	MDM ポリシーによって強制されるロックオンリーブのタイムアウトを決定します。ユーザーはこの設定を変更することはできません。また、UI の切り替えはグレー表示されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\HumanPresence!ForceLockTimeout

ポリシー名	瞬時暗転を強制する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\人の存在
サポートされるOS、バージョン	Windows 10 以降
説明	MDM ポリシーで「Attention Based Display Dimming (ユーザーの注目度に応じたデバイス画面の調光)」を強制的にオン/オフにするかどうかを決定します。ユーザーはこの設定を変更することはできません。また、UI の切り替えはグレー表示されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\HumanPresence!ForceInstantDim

ポリシー名	バッテリー節約機能がオンの場合に強制的にスリープ解除を無効にする
ポリシーのパス	コンピュータの構成\Windows コンポーネント\人の存在
サポートされるOS、バージョン	Windows 10 以降
説明	MDM ポリシーにより、[バッテリー節約機能がオンの場合にウェイクオンアプローチを無効にする] チェックボックスを強制的にオンまたはオフにするかどうかを決定します。ユーザーはこの設定を変更できず、UI のチェックボックスは灰色表示されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\HumanPresence!ForceDisableWakeWhenBatterySaverOn HKLM\Software\Policies\Microsoft\HumanPresence!ForceDisableWakeWhenBatterySaverOn

ポリシー名	外部ディスプレイが接続されているときにスリープ解除を強制的に許可する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\人の存在
サポートされるOS、バージョン	Windows 10 以降
説明	MDM ポリシーにより、[外部ディスプレイが接続されているときにウェイクオンアプローチを許可する] チェックボックスを強制的にオンまたはオフにするかどうかを決定します。ユーザーはこの設定を変更できず、UI のチェックボックスは灰色表示されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\HumanPresence!ForceAllowWakeWhenExternalDisplayConnected HKLM\Software\Policies\Microsoft\HumanPresence!ForceAllowWakeWhenExternalDisplayConnected

ポリシー名	外部ディスプレイが接続されているときにロックを強制的に許可する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\人の存在
サポートされるOS、バージョン	Windows 10 以降
説明	MDM ポリシーにより、[バッテリー節約機能がオンの場合にロックオンリーブを許可する] チェックボックスを強制的にオンまたはオフにするかどうかを決定します。ユーザーはこの設定を変更できず、UI のチェックボックスは灰色表示されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\HumanPresence!ForceAllowLockWhenExternalDisplayConnected HKLM\Software\Policies\Microsoft\HumanPresence!ForceAllowLockWhenExternalDisplayConnected

ポリシー名	外部ディスプレイが接続されているときに輝度調整を強制的に許可する
ポリシーのパス	コンピュータの構成\Windows コンポーネント\人の存在
サポートされるOS、バージョン	Windows 10 以降
説明	MDM ポリシーにより、[バッテリー節約機能がオンの場合自動輝度調整を許可する] チェックボックスを強制的にオンまたはオフにするかどうかを決定します。ユーザーはこの設定を変更できず、UI のチェックボックスは灰色表示されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\HumanPresence!ForceAllowDimWhenExternalDisplayConnected HKLM\Software\Policies\Microsoft\HumanPresence!ForceAllowDimWhenExternalDisplayConnected

22. コンピュータの構成\Windows コンポーネント\配信の最適化配下のポリシー

ポリシー名	デバイスが VPN 経由で接続するときに Microsoft 接続キャッシュサーバーからのダウンロードを許可しない
ポリシーのパス	コンピュータの構成\Windows コンポーネント\配信の最適化
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	デバイスが VPN 経由で接続するときに、Microsoft 接続キャッシュサーバーからのダウンロードを禁止します。既定では、VPN 経由で接続すると、デバイスを Microsoft 接続キャッシュからダウンロードできます。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization!DODisallowCacheServerDownloadsOnVPN

ポリシー名	VPN キーワード
ポリシーのパス	コンピュータの構成\Windows コンポーネント\配信の最適化
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	このポリシーを使用すると、VPN 接続を認識するために使用される 1 つ以上のキーワードを設定できます。複数のキーワードを追加するには、コンマで区切ります。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization!DOVpnKeywords

23. コンピュータの構成\コントロールパネル\個人用設定配下のポリシー

ポリシー名	特定のテーマを読み込む
ポリシーのパス	コンピュータの構成\コントロールパネル\個人用設定
サポートされるOS、バージョン	Windows Server 2008 R2、Windows 7 またはそれ以降
説明	ユーザーが初めてログオンしたときにコンピューターに適用するテーマファイルを指定します。この設定を有効にした場合、新しいユーザーが初めてログオンしたときに、指定したテーマが適用されます。この設定を有効にした場合も、ユーザーは初回のログオン後に、テーマや、デスクトップの背景、色、サウンド、スクリーンセーバーなどのテーマ要素を変更できます。この設定を無効にした場合、または構成しなかった場合は、初回のログオン時に既定のテーマが適用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Personalization!ThemeFile

ポリシー名	ロック画面の背景が動かないようにする
ポリシーのパス	コンピュータの構成\コントロールパネル\個人用設定
サポートされるOS、バージョン	Windows 10 以降
説明	このポリシー設定では、ロック画面画像を静的にするか、デバイスの加速度計出力によって微妙なパン効果を与えるかを制御します。この設定を有効にした場合、動きが止められ、従来の静的なロック画面の背景画像が表示されます。この設定を無効にした場合 (およびデバイスに加速度計がある場合)、ユーザーがデバイスを物理的に移動したときに、ロック画面の背景が静止画像の周りで表示されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Personalization!AnimateLockScreenBackground

24. コンピュータの構成\システム配下のポリシー

ポリシー名	Windows システム要件を満たしていない場合にメッセージを非表示にする
ポリシーのパス	コンピュータの構成\システム
サポートされるOS、バージョン	Windows 11 以降
説明	このポリシーは、この OS バージョンの最小システム要件を満たしていないデバイスで Windows が実行されているときに表示されるメッセージを制御します。このポリシー設定を有効にした場合、これらのメッセージはデスクトップまたは設定アプリに表示されません。このポリシー設定を無効にするか、未構成にした場合、この OS バージョンの最小システム要件を満たしていないデバイスで Windows が実行されている場合、これらのメッセージはデスクトップと設定アプリに表示されます。
レジストリ情報	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System!HideUnsupportedHardwareNotifications

ポリシー名	sudo コマンドの動作を構成する
ポリシーのパス	コンピュータの構成\システム
サポートされるOS、バージョン	Windows 11 以降
説明	このポリシー設定は、sudo.exeコマンドラインツールの使用を制御します。このポリシー設定を有効にした場合は、sudo を実行する最大許容モードを設定できます。これにより、ユーザーが sudo を使用してコマンドラインアプリケーションを操作する方法が制限されます。sudo の実行を許可するには、次のいずれかのモードを選択できます。無効: sudo はこのコンピューターで完全に無効になっています。ユーザーが sudo を実行しようとすると、sudo はエラーメッセージを出力して終了します。新しいウィンドウの強制: sudo がコマンドラインアプリケーションを起動すると、新しいコンソールウィンドウでそのアプリが起動します。入力を無効にする: sudo がコマンドラインアプリケーションを起動すると、現在のコンソールウィンドウでアプリを起動しますが、ユーザーはコマンドラインアプリへの入力を入力できません。ユーザーは、新しいウィンドウの強制モードで sudo を実行することもできます。ノーマル: sudo がコマンドラインアプリケーションを起動すると、現在のコンソールウィンドウでアプリを起動します。ユーザーは、新しいウィンドウの強制モードまたは入力の無効化モードで sudo を実行することもできます。このポリシーを無効にした場合、または構成しなかった場合、ユーザーは通常どおり (設定アプリで設定を有効にした後) sudo.exe を実行できます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Sudo!Enabled

25. コンピュータの構成\システム\Device Guard 配下のポリシー

ポリシー名	ビジネス向けアプリコントロールの展開
ポリシーのパス	コンピュータの構成\システム\Device Guard
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	ビジネス向けアプリコントロールのデプロイこのポリシー設定を使用すると、コード整合性ポリシーをコンピューターに展開して、そのコンピューターでの実行を許可する内容を制御できます。コード整合性ポリシーを展開すると、カーネルモードと Windows デスクトップの両方で実行できる動作が、ポリシーに基づいて制限されます。このポリシーを有効にするには、コンピューターを再起動する必要があります。ファイルパスは UNC パス (例: \ServerName\ShareName\SIPolicy.p7b) またはローカルで有効なパス (例: C:\FolderName\SIPolicy.p7b) である必要があります。ローカルコンピューターアカウント (LOCAL SYSTEM) には、ポリシーファイルへのアクセス許可が必要です。署名付きの保護されたポリシーを使用している場合、このポリシー設定を無効にしても、この機能はコンピューターから削除されません。代わりに、次のいずれかを行う必要があります:1) 最初にポリシーを保護されていないポリシーに更新してから、設定を無効にするか、 2) 設定を無効にしてから、物理的に存在するユーザーと共に各コンピューターからポリシーを削除します。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard!DeployConfigCIPolicy HKLM\SOFTWARE\Policies\Microsoft\Windows\DeviceGuard!ConfigCIPolicyFilePath

26. コンピュータの構成\システム\KDC 配下のポリシー

ポリシー名	証明書ログオンのハッシュアルゴリズムを構成する
ポリシーのパス	コンピュータの構成\システム\KDC
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	このポリシー設定は、証明書認証を実行するときに Kerberos クライアントで使用されるハッシュまたはチェックサムのアルゴリズムを制御します。このポリシーを有効にした場合、各アルゴリズムで 4 つの状態のうち 1 つを構成できるようになります。- 既定の場合、アルゴリズムは推奨されている状態に設定されます。- サポートの場合、アルゴリズムの使用が有効になります。既定で無効にされたアルゴリズムを有効にすると、セキュリティが低下するおそれがあります。- 監査対象の場合、アルゴリズムの使用が有効になり、それが使用されるたびにイベント (ID 309) が報告されます。この状態は、そのアルゴリズムが使用されておらず、無効にして差し支えないことを確認することを意図したものです。- サポートされないの場合、アルゴリズムの使用が無効になります。この状態は、安全ではないと見なされるアルゴリズムを対象としています。このポリシーを無効にした場合、または構成しなかった場合、各アルゴリズムは既定状態と見なされます。Windows Kerberos クライアントでサポートされているハッシュおよびチェックサムのアルゴリズムと、その既定の状態の詳細については、https://go.microsoft.com/fwlink/?linkid=2169037 をご覧ください。この構成によって生成されるイベント: 309、310。
レジストリ情報	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters!PKINITHashAlgorithmConfigurationEnabled HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters!PKINITSHA1 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters!PKINITSHA256 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters!PKINITSHA384 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters!PKINITSHA512

ポリシー名	証明書に関して名前ベースの強力なマッピングを許可する
ポリシーのパス	コンピュータの構成\システム\KDC
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	このポリシー設定では、代替の名前ベースの識別子を使用して、Active Directory ユーザーアカウントに発行された証明書を厳密にマップし、どの証明書をどのアカウントにマップするかを指定できます。この設定を有効にしない場合、証明書は aka.ms/StrongCertMapKB で指定された厳密なマッピング条件を満たす必要があります。これは通常、名前ベースの識別子を許可しません。このポリシーで指定する各マッピングには、次に示す構文を使用して、IssuerSubject や UPN サフィックスと共にポリシー OID を含める必要があります。指定された証明書の有効なマッピングがこのポリシーで見つからない場合、Active Directory は、 KB5014754 で指定された既存の強力なマッピング条件を使用して一致を検索しようとします。厳密な名前マッピング条件 (このポリシー) または既存の厳密なマッピング条件のいずれにも準拠していない証明書マッピングは、認証にには無効と見なされます。一般的なポリシー形式といくつかの例を以下に示します。このポリシーは、Active Directory ユーザーアカウントにのみ適用されます。一般的な構文==============<拇印> <名前一致メソッド>例==============IssuerThumbprint1 oid1 oid2 oid3 UpnSuffix=domain.comIssuerThumbprint2 oid1 UpnSuffix=domain.com UpnSuffix=other.domain.com IssuerSubjectIssuerThumbprint3 oid1 oid2 IssuerSubjectポリシーには、規則ごとに証明書の拇印が 1 つだけ含まれている必要があります。各規則はタプルとして表されます。拇印は一意である必要があり、複数のルールで繰り返すことはできません。セミコロンで区切られた各タプルのセクションは、指定された順序にする必要がありますが、コンマで区切られたフィールドは任意の順序で指定できます。ルール自体は改行で区切ります。
レジストリ情報	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters!UseStrongNameMatches HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters!StrongNameMatchesList

27. コンピュータの構成\システム\Kerberos 配下のポリシー

ポリシー名	証明書ログオンのハッシュアルゴリズムを構成する
ポリシーのパス	コンピュータの構成\システム\Kerberos
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	このポリシー設定は、証明書認証を実行するときに Kerberos クライアントで使用されるハッシュまたはチェックサムのアルゴリズムを制御します。このポリシーを有効にした場合、各アルゴリズムで 4 つの状態のうち 1 つを構成できるようになります。- 既定の場合、アルゴリズムは推奨されている状態に設定されます。- サポートの場合、アルゴリズムの使用が有効になります。既定で無効にされたアルゴリズムを有効にすると、セキュリティが低下するおそれがあります。- 監査対象の場合、アルゴリズムの使用が有効になり、それが使用されるたびにイベント (ID 206) が報告されます。この状態は、そのアルゴリズムが使用されておらず、無効にして差し支えないことを確認することを意図したものです。- サポートされないの場合、アルゴリズムの使用が無効になります。この状態は、安全ではないと見なされるアルゴリズムを対象としています。このポリシーを無効にした場合、または構成しなかった場合、各アルゴリズムは既定状態と見なされます。Windows Kerberos クライアントでサポートされているハッシュおよびチェックサムのアルゴリズムと、その既定の状態の詳細については、https://go.microsoft.com/fwlink/?linkid=2169037 をご覧ください。この構成によって生成されるイベント: 205、206、207、208。
レジストリ情報	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters!PKInitHashAlgorithmConfigurationEnabled HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters!PKInitSHA1 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters!PKInitSHA256 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters!PKInitSHA384 HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters!PKInitSHA512

ポリシー名	ログオン中にAzure AD Kerberos チケット保証チケットの取得を許可する
ポリシーのパス	コンピュータの構成\システム\Kerberos
サポートされるOS、バージョン	Windows Server 2019 Windows 10 Version 2004 以降
説明	このポリシー設定を使用すると、ログオン時にAzure AD Kerberos チケット保証チケットを取得できます。このポリシー設定を無効にした場合、または構成しなかった場合、ログオン時に Azure AD Kerberos チケット保証チケットは取得されません。このポリシー設定を有効にした場合、ログオン時にAzure AD Kerberos チケット保証チケットが取得されます。
レジストリ情報	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters!CloudKerberosTicketRetrievalEnabled

ポリシー名	委任された管理されたサービスアカウントログオンを有効にする
ポリシーのパス	コンピュータの構成\システム\Kerberos
サポートされるOS、バージョン	Windows 11 バージョン 24H2 以降
説明	このポリシー設定は、このコンピューターの委任された管理されたサービスアカウントログオンを有効または無効にします。このポリシー設定を有効にすると、委任された管理されたサービスアカウントトログオンが Kerberos クライアントでサポートされます。このポリシーには特定の前提条件があることにご注意ください。新しい委任された管理されたサービスアカウントを作成するための前提条件と手順については、https://go.microsoft.com/fwlink/?linkid=2250379 を参照してください。このポリシー設定を無効にするか構成しない場合、委任された管理されたサービスアカウントトログオンは Kerberos クライアントでサポートされません。
レジストリ情報	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters!DelegatedMSAEnabled HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters!DmsaRealms

28. コンピュータの構成\システム\LAPS 配下のポリシー

ポリシー名	パスワードバックアップディレクトリの構成
ポリシーのパス	コンピュータの構成\システム\LAPS
サポートされるOS、バージョン	少なくとも Microsoft Windows 10 以降
説明	この設定を使用して、ローカル管理者アカウントのパスワードをバックアップするディレクトリを構成します。許可されている設定は次のとおりです:0=無効 (パスワードはバックアップされません)1=パスワードをAzure Active DirectoryにBackupする2=パスワードを Active Directory にBackupする指定しない場合、この設定の既定値は 0 (無効) になります。この設定が 1 に構成されていて、マネージドデバイスがAzure Active Directoryに参加していない場合、ローカル管理者パスワードは管理されません。この設定が 2 に構成されていて、マネージドデバイスが Active Directory に参加していない場合、ローカル管理者パスワードは管理されません。この設定を無効にした場合、または構成しなかった場合、ローカル管理者パスワードは管理されません。詳細については、https://go.microsoft.com/fwlink/?linkid=2188435を参照してください。
レジストリ情報	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!BackupDirectory

ポリシー名	パスワードの設定
ポリシーのパス	コンピュータの構成\システム\LAPS
サポートされるOS、バージョン	少なくとも Microsoft Windows 10 以降
説明	パスワードパラメーターを構成しますパスワードの複雑さ: 新しいパスワードを生成するときに使用される文字既定値: 大きい文字 + 小文字 + 数字 + 特殊文字パスワードの長さ最小: 8 文字最大: 64 文字既定値: 14 文字パスワードの有効期間 (日数) 最小: 1 日 (バックアップディレクトリがAzure ADするように構成されている場合は 7 日間) 最大: 365 日既定値: 30 日パスフレーズの長さ最小: 3 単語最大: 10 語既定値: 6 単語詳細については、https://go.microsoft.com/fwlink/?linkid=2188435 を参照してください。Electronic Benchmark Foundation の Deep Dive: EFF のランダムパスフレーズの新しいワードリストから取得したパスフレーズの一覧。CC-BY-3.0 属性ライセンスで使用されます。詳細については、https://go.microsoft.com/fwlink/?linkid=2255471 を参照してください。
レジストリ情報	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!PasswordComplexity HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!PasswordLength HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!PasswordAgeDays HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!PassphraseLength

ポリシー名	管理する管理者アカウントの名前
ポリシーのパス	コンピュータの構成\システム\LAPS
サポートされるOS、バージョン	少なくとも Microsoft Windows 10 以降
説明	このポリシー設定では、パスワードを管理するカスタム管理者アカウント名を指定します。このポリシー設定を有効にすると、LAPS はこの名前のローカルアカウントのパスワードを管理します。このポリシー設定を無効にした場合、または構成しなかった場合、LAPS は既知の Administrator アカウントのパスワードを管理します。ビルトイン Administrator アカウントを管理するには、このポリシー設定を有効にしないでください。ビルトイン Administrator アカウントは既知の SID によって自動検出され、アカウント名に依存しません。詳細については、https://go.microsoft.com/fwlink/?linkid=2188435を参照してください。
レジストリ情報	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!AdministratorAccountName

ポリシー名	ポリシーで必要な時間よりも長いパスワードの有効期限を許可しない
ポリシーのパス	コンピュータの構成\システム\LAPS
サポートされるOS、バージョン	少なくとも Microsoft Windows 10 以降
説明	この設定が有効になっている場合、または構成されていない場合、パスワードの設定ポリシーで指定されたパスワードの有効期間を超える予定のパスワードの有効期限は許可されません。このような有効期限が検出されると、パスワードはすぐに変更され、ポリシーに従ってパスワードの有効期限が設定されます。この設定を無効にすると、パスワードの有効期限がパスワードの設定ポリシーで要求されるよりも長くなる可能性があります。詳細については、https://go.microsoft.com/fwlink/?linkid=2188435 を参照してください。
レジストリ情報	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!PasswordExpirationProtectionEnabled

ポリシー名	パスワードの暗号化をオンにする
ポリシーのパス	コンピュータの構成\システム\LAPS
サポートされるOS、バージョン	少なくとも Microsoft Windows 10 以降
説明	この設定を有効にすると、管理パスワードは Active Directory に送信される前に暗号化されます。この設定を有効にした場合は、1) パスワードが Active Directory にバックアップされるように構成されていること、2) Active Directory ドメインの機能レベルが Windows Server 2016 以上である場合を除き、効果はありません。この設定を有効にし、ドメインの機能レベルが Windows Server 2016 以上の場合は、マネージドアカウントのパスワードが暗号化されます。この設定を有効にし、ドメインの機能レベルが Windows Server 2016 未満の場合、マネージドアカウントのパスワードはディレクトリにバックアップされません。この設定を無効にした場合、マネージドアカウントのパスワードは暗号化されません。構成されていない場合、この設定は既定で有効になります。詳細については、https://go.microsoft.com/fwlink/?linkid=2188435を参照してください。
レジストリ情報	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!ADPasswordEncryptionEnabled

ポリシー名	承認されたパスワード復号化機能の構成
ポリシーのパス	コンピュータの構成\システム\LAPS
サポートされるOS、バージョン	少なくとも Microsoft Windows 10 以降
説明	この設定は、暗号化されたパスワードの暗号化解除権限を持つ特定のユーザーまたはグループに対する制御の目的で構成されます。パスワードの暗号化が有効になっていない場合は、この設定を構成しても効果がありません。この設定を有効にすると、指定したグループは、暗号化されたパスワードの暗号化解除を実行できます。この設定が無効または未構成の場合、暗号化されたパスワードの暗号化解除を実行できるのはドメイン管理者グループのみです。この設定を構成する際は、グループまたはユーザーのドメイン修飾名、または文字列形式の SID を設定する必要があります。有効な設定の例:contoso\LAPSAdminslapsadmins@contoso.comS-1-5-21-2127521184-1604012920-1887927527-35197ユーザー名、グループ名、SID は、引用符やカッコで囲まないでください。指定されたユーザーまたはグループは、管理対象デバイスで解決可能になっている必要があります。そうでない場合、パスワードはバックアップされません。注: ディレクトリサービス修復モード (DSRM) アカウントのパスワードがドメインコントローラ上にバックアップされている場合、この設定は無視されます。そのようなシナリオでは、この設定にはドメインコントローラーのドメインの Domain Admins グループが指定されていると見なされます。詳細については、https://go.microsoft.com/fwlink/?linkid=2188435 を参照してください。
レジストリ情報	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!ADPasswordEncryptionPrincipal

ポリシー名	暗号化されたパスワード履歴のサイズを構成する
ポリシーのパス	コンピュータの構成\システム\LAPS
サポートされるOS、バージョン	少なくとも Microsoft Windows 10 以降
説明	この設定を使用して、Active Directory に保存される以前の暗号化されたパスワードの数を構成します。1) パスワードが Active Directory にバックアップされるように構成されており、2) パスワードの暗号化が有効になっている場合を除き、この設定の構成は効果がありません。この設定を有効にした場合、指定した数の古いパスワードが Active Directory に保存されます。この設定を無効にした場合、または構成しなかった場合、古いパスワードは一切 Active Directory に保存されません。この設定では、パスワードの最小値として 0 を指定できます。この設定には、最大 12 個のパスワードが設定されています。詳細については、https://go.microsoft.com/fwlink/?linkid=2188435 を参照してください。
レジストリ情報	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!ADEncryptedPasswordHistorySize

ポリシー名	DSRM アカウントのパスワードバックアップを有効にする
ポリシーのパス	コンピュータの構成\システム\LAPS
サポートされるOS、バージョン	少なくとも Microsoft Windows 10 以降
説明	この設定を有効にすると、DSRM 管理者アカウントのパスワードが管理され、Active Directory にバックアップされます。マネージドデバイスがドメインコントローラーであり、パスワード暗号化も有効になっていない限り、この設定を有効にしても効果はありません。この設定を有効にすると、ドメインコントローラーの DSRM 管理者アカウントのパスワードが Active Directory にバックアップされます。この設定を無効にした場合、または構成しなかった場合、ドメインコントローラーの DSRM 管理者アカウントのパスワードは Active Directory にバックアップされません。詳細については、https://go.microsoft.com/fwlink/?linkid=2188435を参照してください。
レジストリ情報	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!ADBackupDSRMPassword

ポリシー名	認証後アクション
ポリシーのパス	コンピュータの構成\システム\LAPS
サポートされるOS、バージョン	少なくとも Microsoft Windows 10 以降
説明	このポリシーは、マネージドアカウントによる認証の検出後に実行される認証後アクションを構成します。支払猶予期間: 指定された認証後のアクションを実行するまでの認証後の待機時間 (時間単位) を指定します。この設定が有効であり、0 より大きい場合、指定された認証後のアクションは、支払猶予期間の満了時点で実行されます。この設定を無効にした場合、または構成しなかった場合は、既定の 24 時間の支払猶予期間後に、指定された認証後アクションが実行されます。この設定が 0 の場合、認証後アクションは実行されません。アクション: 支払猶予期間の満了時に実行するアクションを指定します。パスワードのリセット: 支払猶予期間が満了すると、マネージドアカウントのパスワードがリセットされます。パスワードをリセットし、マネージドアカウントをログオフします。支払猶予期間が満了すると、マネージドアカウントのパスワードがリセットされ、マネージドアカウントを使用しているすべての対話型ログオンセッションはログオフされます。パスワードをリセットして再起動します。支払猶予期間が満了すると、マネージドアカウントのパスワードがリセットされ、マネージドデバイスが再起動されます。パスワードをリセットし、マネージドアカウントをログオフし、残りのプロセスを終了します。支払猶予期間が満了すると、マネージドアカウントのパスワードがリセットされ、マネージドアカウントを使用するすべての対話型ログオンセッションがログオフされ、残りのプロセスがすべて終了します。(注: 対話型ログオンセッションの終了後も、マネージドアカウントで他の認証セッションが使用される場合があります。以前のパスワードの使用を長くするための唯一の堅牢な方法は、デバイスを再起動することです。)この設定を無効にした場合、または構成しなかった場合、認証後アクションの既定値はパスワードをリセットしてマネージドアカウントをログオフするになります。注: ドメインコントローラー上の DSRM アカウントは、認証後のアクション向けに構成できません。このポリシーはドメインコントローラーに影響せず、DC 向けに構成されている場合でも無視されます。詳細については、https://go.microsoft.com/fwlink/?linkid=2188435 を参照してください。
レジストリ情報	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!PostAuthenticationResetDelay HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!PostAuthenticationActions

ポリシー名	自動アカウント管理を構成する
ポリシーのパス	コンピュータの構成\システム\LAPS
サポートされるOS、バージョン	少なくとも Microsoft Windows 10 以降
説明	このポリシーは、自動アカウント管理のポリシーオプションを構成します。管理するターゲットアカウントを指定する: 組み込みの管理者アカウントまたはカスタムアカウントのどちらを管理するかを指定します。自動アカウント名 (または名前のプレフィックス): 管理アカウントに使用する名前または名前のプレフィックスを指定します。このポリシー設定が構成されている場合、Windows LAPS はターゲットアカウントのアカウント名または名前のプレフィックスとして使用します。このポリシー設定が構成されていない場合、Windows LAPS は WLapsAdminをアカウント名または名前のプレフィックスとして使用します。注: アカウント名のランダム化が構成されている場合、この名前はプレフィックスとして処理されます。以下のコメントを参照してください。管理アカウントを有効にする: 管理アカウントを有効にするかどうかを指定します。このポリシー設定が構成されている場合、Windows LAPS は指定された管理アカウントを有効にします。このポリシー設定が構成されていない場合、Windows LAPS は指定された管理アカウントを無効にします。注: Windows LAPS は、アカウントが有効または無効の状態で維持されているかどうかに関係なく、管理アカウントのパスワードを定期的に保持およびローテーションします。管理アカウントの名前をランダム化する: 管理アカウントの名前をランダムな数値サフィックスでランダム化するかどうかを指定します。このポリシー設定が構成されている場合、Windows LAPS は管理対象の自動アカウント名に 8 桁のランダムな数値サフィックスを追加し、パスワードがローテーションされるたびに管理アカウントの名前を再ランダム化します。このポリシー設定が構成されていない場合、Windows LAPS は、構成済みの管理対象の自動アカウント名を使用します。管理対象の自動アカウント名のプレフィックスが構成されている場合、Windows LAPS では、その名前の最初の 12 文字までがランダムな名前のプレフィックスとして使用されます。管理対象の自動アカウント名が構成されていない場合、Windows LAPS は WLapsAdminを名前のプレフィックスとして使用します。注: ドメインコントローラーの DSRM アカウントを自動アカウント管理用に構成することはできません。このポリシーはドメインコントローラーには影響しません。DC 用に構成されている場合でも無視されます。詳細については、https://go.microsoft.com/fwlink/?linkid=2188435 を参照してください。
レジストリ情報	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!AutomaticAccountManagementEnabled HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!AutomaticAccountManagementTarget HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!AutomaticAccountManagementNameOrPrefix HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!AutomaticAccountManagementEnableAccount HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS!AutomaticAccountManagementRandomizeName

29. コンピュータの構成\システム\Net Logon 配下のポリシー

ポリシー名	ドメインコントローラーの場所の NetBIOS ベースの検出をブロックする
ポリシーのパス	コンピュータの構成\システム\Net Logon\DC ロケーター DNS レコード
サポートされるOS、バージョン	Unknown
説明	このポリシー設定を使用すると、ドメインコントローラー (DC) の場所アルゴリズムでドメインコントローラーの場所の検出に NetBIOS ベースを使用するかどうかを制御できます。このポリシー設定を有効にするか、構成しなかった場合、DC の場所アルゴリズムでは NetBIOS ベースの検出は使用されません。これは既定の動作です。このポリシー設定を無効にした場合、必要に応じて DC の場所アルゴリズムで NetBIOS ベースの検出を使用できます。最終的な動作は、AvoidFallbackNetbiosDiscovery 設定によってさらに制御されます。NetBIOS ベースの検出はセキュリティで保護されていないと見なされ、多くの制限があるため、今後のリリースでは非推奨になる予定です。これらの理由により、NetBIOS ベースの検出はお勧めではありません。詳細については、https://aka.ms/dclocatornetbiosdeprecation を参照してください。
レジストリ情報	HKLM\Software\Policies\Microsoft\Netlogon\Parameters!BlockNetbiosDiscovery

30. コンピュータの構成\システム\セキュリティアカウントマネージャー配下のポリシー

ポリシー名	SAM パスワード変更 RPC メソッドポリシーの構成
ポリシーのパス	コンピュータの構成\システム\セキュリティアカウントマネージャー
サポートされるOS、バージョン	Unknown
説明	このポリシーを使用すると、管理者はセキュリティアカウントマネージャー (SAM) でユーザーパスワード変更 RPC メソッドのリモート使用を構成できるようになります。ポリシーを有効にすると、次のオプションがサポートされます:すべてのパスワード変更 RPC メソッドをブロックする: すべてのセキュリティアカウントマネージャー (SAM) 変更パスワード RPC メソッドのリモート使用をブロックします。強力な暗号化の変更パスワード RPC メソッドを許可する: 強力な暗号化を使用し、脆弱な暗号化方法のリモート使用をブロックするパスワード変更 RPC メソッドをリモートで使用できるようにします。すべてのパスワード変更 RPC メソッドを許可する: 暗号化に関係なく、すべてのパスワード変更 RPC メソッドのリモート使用を許可します。既定のポリシー: 1. ドメインメンバーコンピューター - すべてのパスワード変更 RPC メソッドをブロックします。 2. ドメインコントローラー - 強力な暗号化変更パスワード RPC メソッドを許可します。注: ポリシーが無効になっている場合、または構成されていない場合、コンピューターは既定のポリシーを使用します。
レジストリ情報	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\SAM!SamrChangeUserPasswordApiPolicy

31. コンピュータの構成\システム\デバイスのインストール配下のポリシー

ポリシー名	すべてのデバイス一致基準にわたって、デバイスのインストールを許可および防止するポリシーの評価の階層化された順序を適用します
ポリシーのパス	コンピュータの構成\システム\デバイスのインストール\デバイスのインストールの制限
サポートされるOS、バージョン	Windows Server 2016、Windows 10 Version 2106 以降
説明	このポリシー設定は、特定のデバイスに複数のインストールポリシー設定が適用可能な場合に、許可および防止ポリシー設定が適用される評価順序を変更します。このポリシー設定を有効にすると、確立された階層に基づいて重複するデバイス一致基準が適用され、より具体的な一致基準がより具体的でない一致基準よりも優先されます。デバイスの一致基準を指定するポリシー設定の評価の階層順序は次のとおりです。デバイスインスタンス ID > デバイス ID > デバイスセットアップクラス > リムーバブルデバイスデバイスインスタンス ID1. これらのデバイスインスタンス ID と一致するドライバーを使用したデバイスのインストールを防止します2. これらのデバイスインスタンス ID と一致するドライバーを使用したデバイスのインストールを許可しますデバイス ID3. これらのデバイス ID と一致するドライバーを使用したデバイスのインストールを防止します4. これらのデバイス ID と一致するドライバーを使用したデバイスのインストールを許可しますデバイスセットアップクラス5. これらのデバイスセットアップクラスと一致するドライバーを使用したデバイスのインストールを防止します6. これらのデバイスセットアップクラスと一致するドライバーを使用したデバイスのインストールを許可しますリムーバブルデバイス7. リムーバブルデバイスのインストールを防止します注: このポリシー設定では、[他のポリシー設定で記述されていないデバイスのインストールを禁止する] ポリシー設定よりもきめ細かい制御が可能です。これらの競合するポリシー設定が同時に有効になっている場合、[すべてのデバイス一致基準にわたって、デバイスのインストールを許可および防止するポリシーの評価の階層化された順序を適用します] ポリシー設定が有効になり、他のポリシー設定は無視されます。このポリシー設定を無効にするか構成しない場合、既定の評価が使用されます。既定では、すべての [インストールを防止する...] ポリシー設定は、Windows でのデバイスのインストールを許可する他のポリシー設定よりも優先されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\DeviceInstall\Restrictions!AllowDenyLayered

32. コンピュータの構成\システム\ファイルシステム配下のポリシー

ポリシー名	開発者ドライブフィルターアタッチポリシー
ポリシーのパス	コンピュータの構成\システム\ファイルシステム
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	開発者ドライブは、開発者のシナリオを考慮してパフォーマンスが最適化されたドライブであり、既定ではファイルシステムフィルターは関連付けられていません。この設定にリストされているフィルタは、開発者ドライブにも接続できます。この設定を有効にするには、再起動が必要です。
レジストリ情報	HKLM\System\CurrentControlSet\Policies!FltmgrDevDriveAttachPolicy

ポリシー名	開発者ドライブを有効にする
ポリシーのパス	コンピュータの構成\システム\ファイルシステム
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	開発者ドライブまたは開発者ボリュームは、開発者シナリオのパフォーマンスのために最適化されたボリュームです。開発者ボリュームを使用すると、管理者はボリュームにアタッチされているファイルシステムフィルターを選択できます。この設定を無効にすると、新しい開発者ボリュームの作成が禁止され、既存の開発者ボリュームは通常のボリュームとしてマウントされます。この設定が構成されていない場合、既定のポリシーでは開発者ボリュームを有効にし、Deveveloper ボリュームにウイルス対策フィルターをアタッチできます。さらに、構成されていない場合、ローカル管理者は、開発者ボリュームにウイルス対策フィルターをアタッチしないように選択できます。この設定を有効にするには再起動が必要です。
レジストリ情報	HKLM\System\CurrentControlSet\Policies!FsEnableDevDrive HKLM\System\CurrentControlSet\Policies!FltmgrDevDriveAllowAntivirusFilter

33. コンピュータの構成\システム\ローカルセキュリティ機関配下のポリシー

ポリシー名	カスタム SSP と AP を LSASS に読み込むことを許可する
ポリシーのパス	コンピュータの構成\システム\ローカルセキュリティ機関
サポートされるOS、バージョン	Windows 10 Version 1903 以降
説明	このポリシーは、LSASS がカスタム SP と AP を読み込む構成を制御します。この設定を有効にした場合、または構成しなかった場合、LSA はカスタムの SSP と AP の読み込みを許可します。この設定を無効にした場合、LSA はカスタム SSP と AP を読み込みません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\System!AllowCustomSSPsAPs

ポリシー名	保護されたプロセスとして実行するように LSASS を構成します
ポリシーのパス	コンピュータの構成\システム\ローカルセキュリティ機関
サポートされるOS、バージョン	Windows 10 Version 1903 以降
説明	このポリシーは、LSASS を実行する構成を制御します。このポリシーを構成せず、レジストリに現在の設定がない場合、LSA は、クリーンインストール済み、HVCI 対応、クライアント SKU すべてに対して保護されたプロセスとして実行されます。この構成は UEFI ロックされていません。ポリシーが構成されている場合、これは上書きできます。このポリシー設定を構成して無効に設定すると、LSA は保護されたプロセスとして実行されません。このポリシー設定を構成して EnabledWithUEFILock に設定すると、LSA は保護されたプロセスとして実行され、この構成は UEFI ロックされます。このポリシー設定を構成して EnabledWithoutUEFILock に設定すると、LSA は保護されたプロセスとして実行され、この構成は UEFI ロックされません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\System!RunAsPPL

34. コンピュータの構成\タスクバーと [スタート] メニュー配下のポリシー

ポリシー名	ユーザーがスタート画面をカスタマイズできないようにする
ポリシーのパス	コンピュータの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	Windows 2000 以降
説明	このポリシー設定は、ユーザーがスタート画面のレイアウトを変更できないようにします。この設定を有効にした場合、ユーザーによるアプリの選択、タイルのサイズ変更、タイルやセカンダリタイルのピン留め操作とピン留めを外す操作、カスタマイズモードへの切り替え、および [スタート画面とアプリ] のタイルの並べ替えを禁止します。この設定を無効にした場合、または構成しなかった場合、ユーザーによるアプリの選択、タイルのサイズ変更、タイルやセカンダリタイルのピン留め操作とピン留めを外す操作、カスタマイズモードへの切り替え、および [スタート画面とアプリ] のタイルの並べ替えを許可します。
レジストリ情報	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer!NoChangeStartMenu

ポリシー名	[スタート] メニューから [ファイル名を指定して実行] を削除する
ポリシーのパス	コンピュータの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	Windows Server 2012 R2、Windows 8.1、Windows RT 8.1、Windows Server 2008、Windows Server 2003、Windows 7、Windows Vista、Windows XP、および Windows 2000
説明	[スタート] メニュー、Internet Explorer、およびタスクマネージャーから [ファイル名を指定して実行] を削除します。この設定を有効にした場合、次のような変更が発生します。(1) [ファイル名を指定して実行] が [スタート] メニューから削除される(2) タスクマネージャーから [新しいタスク] コマンドが削除される(3) ユーザーは次の Internet Explorer アドレスバーに次の項目を入力できなくなる--- UNC パス: \<サーバー>\<共有> ---ローカルドライブへのアクセス: 例: C:---ローカルフォルダーへのアクセス: 例: \temp>また、拡張キーボートを使用しているユーザーは、アプリケーションキー (Windows のロゴが付いているキー) + R を押して [ファイル名を指定して実行] を表示することはできなくなります。この設定を無効にした場合、または構成しなかった場合は、ユーザーは [スタート] メニューやタスクマネージャーの [ファイル名を指定して実行] を使うことができ、また Internet Explorer のアドレスバーも利用できます。注: この設定は特定のインターフェイスにのみ影響します。ユーザーは他の方法を使ってプログラムを実行することができます。注: Windows 2000 以降の証明書を持つサードパーティアプリケーションでは、この設定を守る必要があります。
レジストリ情報	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer!NoRun

ポリシー名	タスクバーと [スタート] メニューの設定を変更できないようにする
ポリシーのパス	コンピュータの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	Windows 2000 以降
説明	このポリシー設定は、タスクバーと [スタート] メニューの設定を変更できないようにします。このポリシー設定を有効にすると、ユーザーはタスクバーの [プロパティ] ダイアログボックスを開くことができなくなります。ユーザーがタスクバーを右クリックしてから [プロパティ] をクリックすると、設定によって操作が実行されないという内容のエラーメッセージが表示されます。このポリシー設定を無効にした場合、または構成しなかった場合、[スタート] メニューの [設定] から [タスクバーと [スタート] メニュー] を利用できます。
レジストリ情報	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer!NoSetTaskbar

ポリシー名	タスクバーのショートカットメニューへのアクセスを削除する
ポリシーのパス	コンピュータの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	Windows 2000 以降
説明	このポリシー設定を使用すると、タスクバーのショートカットメニューへのアクセスを削除できます。このポリシー設定を有効にすると、タスクバーを右クリックしたときに表示されるメニュー、およびタスクバーの項目を非表示にします ([スタート] ボタン、時計、タスクバーボタンなど)。このポリシー設定を無効にした場合、または構成しなかった場合は、タスクバーのショートカットメニューを利用できます。このポリシー設定を有効にした場合でも、ユーザーは別の方法を使ってこれらの項目のコマンドを実行することができます。
レジストリ情報	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer!NoTrayContextMenu

ポリシー名	ユーザーに [スタート] からアプリケーションをアンインストールさせないようにする
ポリシーのパス	コンピュータの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	この設定を有効にした場合、ユーザーは [スタート] からアプリをアンインストールできません。この設定を無効にした場合、または構成しなかった場合、ユーザーは [スタート] からアンインストールコマンドにアクセスできます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Explorer!NoUninstallFromStart

ポリシー名	[スタート] メニューから [おすすめ] セクションを削除する
ポリシーのパス	コンピュータの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	Windows 11 SE
説明	このポリシーを使用すると、[スタート] メニューに推奨されるアプリケーションとファイルの一覧が表示されないようにすることができます。このポリシー設定を有効にした場合、[スタート] メニューには、推奨されるファイルとアプリの一覧が含まれているセクションが表示されなくなります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Explorer!HideRecommendedSection

ポリシー名	スタートメニューの [推奨事項] セクションから個人用 Web サイトのおすすめ候補を削除する
ポリシーのパス	コンピュータの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	Windows 11 SE
説明	スタートメニューの [推奨事項] セクションから個人用 Web サイトのおすすめ候補を削除する
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Explorer!HideRecommendedPersonalizedSites

ポリシー名	クイック設定レイアウトの簡略化
ポリシーのパス	コンピュータの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	Windows 11 SE
説明	このポリシーを有効にした場合、クイック設定は、WiFi、Bluetooth、アクセシビリティ、明るさと音量スライダーおよびバッテリインジケーターと設定アプリへのリンクなどの VPN ボタンのみが使用されるように縮小されます。このポリシー設定を無効にするか、未構成にした場合、クイック設定が呼び出されるたびに通常のクイック設定レイアウトが表示されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Explorer!SimplifyQuickSettings

ポリシー名	クイック設定の編集を無効にする
ポリシーのパス	コンピュータの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	Windows 11 SE
説明	このポリシーを有効にすると、ユーザーはクイック設定を変更できなくなります。このポリシー設定を無効にした場合、または構成しなかった場合、ユーザーはボタンのピン留めやピン留めを外すなどのクイック設定を編集できます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Explorer!DisableEditingQuickSettings

ポリシー名	タスクバーから固定されたプログラムを削除する
ポリシーのパス	コンピュータの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	Windows Server 2008 R2、Windows 7 またはそれ以降
説明	このポリシー設定では、タスクバーから固定されたプログラムを削除できます。このポリシー設定を有効にした場合、固定されたプログラムはタスクバーに表示されません。ユーザーはタスクバーにプログラムを固定できません。このポリシー設定を無効にした場合、または構成しなかった場合は、タスクバー上にプログラムのショートカットが表示されたままになるように、ユーザーはプログラムを固定できます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Explorer!TaskbarNoPinnedList

ポリシー名	通知とアクションセンターを削除する
ポリシーのパス	コンピュータの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	このポリシー設定を使用して、タスクバーの通知領域から通知とアクションセンターを削除できます。通知領域はタスクバーの右端にあり、最新の通知を表すアイコンとシステムクロックが表示されています。この設定を有効にした場合、通知とアクションセンターが通知領域に表示されなくなります。ユーザーは通知が表示されたときにそれを読むことができますが、見落とした通知を後で確認することはできません。このポリシー設定を無効にした場合、または構成しない場合は、通知と [セキュリティとメンテナンス] がタスクバーに表示されます。このポリシー設定を適用するには再起動が必要です。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Explorer!DisableNotificationCenter

ポリシー名	タスクビューボタンを非表示にする
ポリシーのパス	コンピュータの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	少なくとも Windows 11 Pro、Enterprise または Education 以降と Windows サンドボックス
説明	このポリシー設定を使用すると、[TaskView] ボタンを非表示にすることができます。このポリシー設定を有効にした場合、[タスクビュー] ボタンは非表示になり、[設定] トグルは無効になります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Explorer!HideTaskViewButton

ポリシー名	トースト通知をオフにする
ポリシーのパス	コンピュータの構成\タスクバーと [スタート] メニュー\通知
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	このポリシー設定は、アプリケーションのトースト通知をオフにします。このポリシー設定を有効にした場合、アプリケーションはトースト通知を表示できません。このポリシーは、タスクバーの通知バルーンには影響しません。 Windows システムの機能はこのポリシーの影響を受けません。システムの機能がトースト通知を表示しないようにするには、システムの機能を個別に有効または無効にする必要があります。このポリシー設定を無効にした場合、または構成しなかった場合、トースト通知が有効になり、管理者またはユーザーが通知をオフにできます。このポリシー設定を有効にするために、再起動したり、サービスを再開したりする必要はありません。
レジストリ情報	HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications!NoToastApplicationNotification

35. コンピュータの構成\デスクトップ配下のポリシー

ポリシー名	デスクトップ上のすべてのアイコンを非表示にして無効にする
ポリシーのパス	コンピュータの構成\デスクトップ
サポートされるOS、バージョン	Windows 2000 以降
説明	[ブリーフケース]、[ごみ箱]、[コンピューター] および [ネットワークの場所] も含めて、デスクトップからアイコン、ショートカットおよびその他の既定の項目とユーザー定義の項目を削除します。アイコンとショートカットを削除しても、ユーザーは他の方法を使ってプログラムを開始できます。ユーザーの構成\管理者用テンプレート\Windows コンポーネント\共通オープンファイルダイアログにある [ショートカットバーに表示されている項目] を使ってショートカットバーにあるデスクトップアイコンを削除することができます。これを設定することによって、ユーザーはデスクトップにデータを保存できないようになります。
レジストリ情報	HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer!NoDesktop

36. コンピュータの構成\ネットワーク\DNS クライアント配下のポリシー

ポリシー名	暗号化された名前解決の構成
ポリシーのパス	コンピュータの構成\ネットワーク\DNS クライアント
サポートされるOS、バージョン	Windows Server 20H2 Windows 10 Version 20H2 以降
説明	DNS クライアントが暗号化されたプロトコルを介して名前解決を実行するかどうかを指定します。既定では、DNS クライアントは (UDP または TCP ポート 53 を介して) 従来の DNS 名解決を行います。この設定により、DNS クライアントを拡張して、暗号化されたプロトコルを使用してドメイン名を解決できます。このポリシー設定を使用するには、[有効] をクリックし、ドロップダウンリストから次のオプションのいずれかを選択します。暗号化を禁止する: 暗号化された名前解決は実行されません。暗号化を許可する: 構成されたサーバーが暗号化をサポートしている場合は、暗号化された名前解決を使用します。サポートされていない場合は、従来の名前解決を試してください。暗号化を要求する暗号化された名前解決のみを許可します。暗号化を処理する: 構成済みのDNSサーバーがない場合、名前解決は失敗します。一般的な暗号化ポリシーに加えて、追加のポリシーを個々のプロトコル　レベルで構成できます。たとえば、DoT の名前解決のみを強制するには、「暗号化が必要」と「DoH をブロック」の組み合わせが必要になります (DoH を強制するにはその逆です)。上記の例では、DoT が強制された場合、マシンに有効な DoT サーバーが構成されていることを確認するのは管理者の責任です (DoH の場合はその逆です)。このポリシー設定を無効にした場合、またはこのポリシー設定を構成しない場合、DNS クライアントはローカルに構成された設定を使用します。DDR (指定リゾルバーの検出) プレーンテキストトラフィックは、暗号化設定の自動検出に必要なため許可されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows NT\DNSClient!DoHPolicy HKLM\Software\Policies\Microsoft\Windows NT\DNSClient!DohPolicySetting HKLM\Software\Policies\Microsoft\Windows NT\DNSClient!DotPolicySetting

ポリシー名	指定されたリゾルバー検出 (DDR) プロトコルの構成
ポリシーのパス	コンピュータの構成\ネットワーク\DNS クライアント
サポートされるOS、バージョン	Windows 11 バージョン 23H2 以降
説明	DNS クライアントが DDR プロトコルを使用するかどうかを指定します。指定リゾルバー (DDR) プロトコルを使用すると、リゾルバーの IP アドレスのみが認識されている場合に、暗号化されていない DNS から暗号化された DNS に Windows を移動できます。このポリシーを有効にした場合、DNS クライアントは DDR プロトコルを使用します。このポリシー設定を無効にした場合、または構成しなかった場合、DNS クライアントはローカルで構成された設定を使用します。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows NT\DNSClient!EnableDdr

ポリシー名	マルチキャスト DNS (mDNS) プロトコルの構成
ポリシーのパス	コンピュータの構成\ネットワーク\DNS クライアント
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1703 以降
説明	DNS クライアントが mDNS で名前解決を実行するかどうかを指定します。このポリシーを有効にした場合、DNS クライアントは mDNS プロトコルを使用します。このポリシー設定を無効にした場合、または構成しなかった場合、DNS クライアントはローカルで構成された設定を使用します。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows NT\DNSClient!EnableMDNS

ポリシー名	NetBIOS 設定の構成
ポリシーのパス	コンピュータの構成\ネットワーク\DNS クライアント
サポートされるOS、バージョン	Windows Vista 以降
説明	DNS クライアントが NetBIOS を通じて名前解決を実行するかどうかを指定します。既定では、セキュリティ上の理由により、DNS クライアントはパブリックネットワークでの NetBIOS 名前解決を無効にします。このポリシー設定を使用するには、[有効] をクリックし、ドロップダウンリストから以下のオプションのいずれかを選択します:NetBIOS 名前解決を無効にする: NetBIOS 名前解決を許可しません。NetBIOS 名前解決を許可する: NetBIOS 名前解決を常に許可します。パブリックネットワークでの NetBIOS 名前解決を無効にする: パブリックネットワークに接続されていないネットワークアダプターでのみ NetBIOS 名前解決を許可します。NetBIOS 学習モード: NetBIOS 名前解決を常に許可し、mDNS/LLMNR クエリの失敗後にフォールバックとして使用します。このポリシー設定を無効にした場合、またはこのポリシー設定を構成しない場合、DNS クライアントはローカルで構成された設定を使用します。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows NT\DNSClient!EnableNetbios

ポリシー名	既定の IPv6 DNS サーバーを無効にする
ポリシーのパス	コンピュータの構成\ネットワーク\DNS クライアント
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	このポリシーを有効にした場合、DNS クライアントは Windows によって提供される既定の IPv6 DNS サーバーアドレスを使用しません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows NT\DNSClient!DisableIPv6DefaultDnsServers

37. コンピュータの構成\ネットワーク\LAN Manager サーバー配下のポリシー

ポリシー名	すべての共有のトラフィック圧縮を要求する
ポリシーのパス	コンピュータの構成\ネットワーク\LAN Manager サーバー
サポートされるOS、バージョン	Windows Server 2022 以降または Windows 11 以降
説明	このポリシーでは、SMB サーバーが SMB クライアントに対して、すべての SMB 共有にトラフィック圧縮の使用を要求するかどうかを制御します。このポリシー設定を有効にした場合、SMB 圧縮が有効な場合、SMB サーバーは既定で SMB クライアントにトラフィックの圧縮を要求します。以下のメモを参照してください。このポリシー設定を無効にした場合、または構成しなかった場合、SMB サーバーは既定で SMB クライアントにトラフィックの圧縮を要求しません。ただし、トラフィックの圧縮は他の方法で要求される可能性があります。以下のメモを参照してください。注: このポリシーを無効にした場合、トラフィック圧縮はサーバー側の共有ごとのプロパティまたは SMB クライアントによって要求される可能性があります。これが望ましくない場合で、圧縮を完全に無効にしたい場合は、代わりに付随する 'SMB 圧縮を無効にする' ポリシーを構成します。注: トラフィック圧縮は、SMB クライアントと SMB サーバーの両方がトラフィック圧縮をサポートし、有効にしている場合にのみ使用できます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanServer!EnableCompressedTraffic

ポリシー名	SMB 圧縮を無効にする
ポリシーのパス	コンピュータの構成\ネットワーク\LAN Manager サーバー
サポートされるOS、バージョン	Windows Server 2022 以降または Windows 11 以降
説明	このポリシーは、SMB サーバーがトラフィック圧縮を無効にする (完全に禁止する) かどうかを制御します。このポリシー設定を有効にした場合、他のポリシー ([既定で SMB 圧縮を使用する] ポリシーや共有ごとのプロパティなど) に関係なく、SMB サーバーはデータを圧縮しません。このポリシー設定を無効にするか、未構成にした場合、SMB サーバーはトラフィックを圧縮する可能性があります (他のポリシーと条件の組み合わせによって異なります)。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanServer!DisableCompression

ポリシー名	SMB の最大バージョンを義務付ける
ポリシーのパス	コンピュータの構成\ネットワーク\LAN Manager サーバー
サポートされるOS、バージョン	Windows Server 2022 以降または Windows 11 以降
説明	このポリシーは、SMB プロトコルの最大バージョンを制御します注: SMB 1 コンポーネントが現時点でもインストールされ有効になっている場合、このグループポリシーは SMB 1 の使用を妨げません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanServer!MaxSmb2Dialect

ポリシー名	SMB の最小バージョンを義務付ける
ポリシーのパス	コンピュータの構成\ネットワーク\LAN Manager サーバー
サポートされるOS、バージョン	Windows Server 2022 以降または Windows 11 以降
説明	このポリシーは、SMB プロトコルの最小バージョンを制御します注: SMB 1 コンポーネントが現時点でもインストールされ有効になっている場合、このグループポリシーは SMB 1 の使用を妨げません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanServer!MinSmb2Dialect

ポリシー名	リモートメールスロットを有効にする
ポリシーのパス	コンピュータの構成\ネットワーク\LAN Manager サーバー
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシーでは、SMB サーバーがコンピューターブラウザーサービス経由のリモートメールスロットを有効または無効にするかどうかを制御します。このポリシー設定を無効にすると、コンピューターブラウザーサービスは予期したとおりに実行されなくなります。このポリシー設定を構成しなかった場合でも、コンピューターブラウザーはリモートメールスロットを有効にして動作している可能性があります。注: このポリシーを有効にするには、Windows の再起動が必要です。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\Bowser!EnableMailslots

ポリシー名	認証レートリミッターを有効にする
ポリシーのパス	コンピュータの構成\ネットワーク\LAN Manager サーバー
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシーでは、SMB サーバーが認証レートリミッタを有効または無効にするかどうかを制御します。このポリシー設定を無効にした場合、認証レートリミッタは有効になりません。このポリシー設定を構成しなかった場合、遅延設定によっては、認証レートリミッタが動作している可能性があります (推奨される遅延値は 2000 ミリ秒です)。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanServer!EnableAuthRateLimiter

ポリシー名	監査クライアントは暗号化をサポートしていません
ポリシーのパス	コンピュータの構成\ネットワーク\LAN Manager サーバー
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシーでは、SMB クライアントが暗号化をサポートしていない場合に SMB サーバーがイベントをログに記録するかどうかを制御します。このポリシー設定を有効にした場合、SMB クライアントが暗号化をサポートしていない場合、SMB サーバーはイベントをログに記録します。このポリシー設定を無効にするか、未構成にした場合、SMB サーバーはイベントをログに記録しません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanServer!AuditClientDoesNotSupportEncryption

ポリシー名	監査クライアントが署名をサポートしていない
ポリシーのパス	コンピュータの構成\ネットワーク\LAN Manager サーバー
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシーは、SMB クライアントが署名をサポートしていない場合に、SMB サーバーがイベントをログに記録するかどうかを制御します。このポリシー設定を有効にすると、SMB クライアントが署名をサポートしていない場合に、SMB サーバーはイベントをログに記録します。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanServer!AuditClientDoesNotSupportSigning

ポリシー名	安全でないゲストログオンを監査する
ポリシーのパス	コンピュータの構成\ネットワーク\LAN Manager サーバー
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシーでは、クライアントがゲストアカウントとしてログオンしたときに SMB サーバーが監査イベントを有効にするかどうかを制御します。このポリシー設定を有効にした場合、SMB サーバーはクライアントがゲストアカウントとしてログオンしたときにイベントをログに記録します。このポリシー設定を無効にするか、未構成にした場合、SMB サーバーはイベントをログに記録しません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanServer!AuditInsecureGuestLogon

ポリシー名	QUIC 経由で SMB を有効にする
ポリシーのパス	コンピュータの構成\ネットワーク\LAN Manager サーバー
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシー設定では、SMB サーバーで SMB over QUIC を有効にするかどうかを制御します。このポリシー設定を無効にすると、SMB サーバーは QUIC 経由の接続を受け付けなくなります。このポリシー設定を構成しなかった場合、SMB サーバーは QUIC 経由の接続を受け入れる可能性があります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanServer!EnableSMBQUIC

ポリシー名	認証レートリミッターの遅延を設定する (ミリ秒)
ポリシーのパス	コンピュータの構成\ネットワーク\LAN Manager サーバー
サポートされるOS、バージョン	Unknown
説明	このポリシーは、SMB サーバーが無効な認証の遅延にミリ秒単位の既定値を使用するかどうかを制御します。このポリシー設定を構成した場合、認証レートリミッターは、無効な認証試行を遅延するために指定された値を使用します。このポリシー設定を構成しない場合、認証レートリミッターは、HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters の下のローカルレジストリの既定値または値を使用します。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanServer!InvalidAuthenticationDelayTimeInMs

38. コンピュータの構成\ネットワーク\Lanman ワークステーション配下のポリシー

ポリシー名	既定で SMB 圧縮を使用する
ポリシーのパス	コンピュータの構成\ネットワーク\Lanman ワークステーション
サポートされるOS、バージョン	Windows Server 2022 以降または Windows 11 以降
説明	このポリシーは、SMB クライアントが既定でトラフィック圧縮を使用するかどうかを制御します。このポリシー設定を有効にした場合、SMB 圧縮が有効になっている場合、SMB クライアントは既定でトラフィックの圧縮を試みます。このポリシー設定を無効にするか、または構成しなかった場合、SMB クライアントは既定でトラフィックの圧縮を試みません。ただし、トラフィックの圧縮は他の方法で要求される可能性があります。以下のメモを参照してください。注: このポリシーは、共有ごとのプロパティとファイルごとのハンドルプロパティで組み合わされ、それを通じてトラフィックの圧縮が要求される場合があります。また、SMB サーバーは圧縮をサポートし、有効にする必要があります。たとえば、このポリシーを無効にした (または構成しなかった) 場合、SMB サーバー共有が圧縮を要求されていると、SMB クライアントは圧縮を実行できます。これが望ましくない場合で、圧縮を完全に無効にしたい場合は、代わりに付随する 'SMB 圧縮を無効にする' ポリシーを構成します。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!EnableCompressedTraffic

ポリシー名	SMB 圧縮を無効にする
ポリシーのパス	コンピュータの構成\ネットワーク\Lanman ワークステーション
サポートされるOS、バージョン	Windows Server 2022 以降または Windows 11 以降
説明	このポリシーは、SMB クライアントがトラフィック圧縮を無効にする (完全に禁止する) かどうかを制御します。このポリシー設定を有効にした場合、他のポリシー ([既定で SMB 圧縮を使用する] ポリシーや共有ごとのプロパティなど) に関係なく、SMB クライアントはデータを圧縮しません。このポリシー設定を無効にするか、未構成にした場合、SMB クライアントはトラフィックを圧縮する可能性があります (他のポリシーと条件の組み合わせによって異なります)。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!DisableCompression

ポリシー名	SMB の最大バージョンを義務付ける
ポリシーのパス	コンピュータの構成\ネットワーク\Lanman ワークステーション
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシーは、SMB プロトコルの最大バージョンを制御します注: SMB 1 コンポーネントが現時点でもインストールされ有効になっている場合、このグループポリシーは SMB 1 の使用を妨げません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!MaxSmb2Dialect

ポリシー名	SMB の最小バージョンを義務付ける
ポリシーのパス	コンピュータの構成\ネットワーク\Lanman ワークステーション
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシーは、SMB プロトコルの最小バージョンを制御します注: SMB 1 コンポーネントが現時点でもインストールされ有効になっている場合、このグループポリシーは SMB 1 の使用を妨げません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!MinSmb2Dialect

ポリシー名	NTLM (LM、NTLM、NTLMv2) をブロックする
ポリシーのパス	コンピュータの構成\ネットワーク\Lanman ワークステーション
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシーは、SMB クライアントがリモート接続認証のために NTLM をブロックするかどうかを制御します。このポリシー設定を有効にした場合、SMB クライアントはリモート接続認証に NTLM を使用しません。このポリシー設定を無効にした場合、または構成しなかった場合でも、SMB クライアントは NTLM を使用できます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!BlockNTLM

ポリシー名	NTLM サーバー禁止例外一覧
ポリシーのパス	コンピュータの構成\ネットワーク\Lanman ワークステーション
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシー設定により、指定されたサーバーへのアクセスに NTLM を使用できるかどうかが決定されます。このポリシー設定を有効にすると (NTLM (LM、NTLM、NTLMv2) がブロックされている場合にのみ有効)、指定されたサーバーへのアクセスに NTLM を使用できます。編集ボックスに目的のサーバー (DNS 名、IP アドレス、または NetBIOS 名) を 1 行に 1 サーバー名ずつ入力してください。このポリシー設定を無効にした場合、または構成しなかった場合、サーバーへの NTLM アクセスは他の設定によって決定されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!BlockNTLMServerExceptionList

ポリシー名	リモートメールスロットを有効にする
ポリシーのパス	コンピュータの構成\ネットワーク\Lanman ワークステーション
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシーでは、SMB クライアントが MUP 経由のリモートメールスロットを有効または無効にするかどうかを制御します。このポリシー設定を無効にした場合、リモートメールスロットは MUP 経由で機能しないため、SMB クライアントリダイレクターを経由しません。このポリシー設定を構成しなかった場合、リモートメールスロットは MUP 経由で許可される可能性があります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\NetworkProvider!EnableMailslots

ポリシー名	暗号化が必要
ポリシーのパス	コンピュータの構成\ネットワーク\Lanman ワークステーション
サポートされるOS、バージョン	Windows Server 2022 以降または Windows 11 以降
説明	このポリシーでは、SMB クライアントで暗号化を要求するかどうかを制御します。このポリシー設定を有効にした場合、SMB クライアントでは、暗号化とデータの暗号化をサポートするために SMB サーバーが必要になります。このポリシー設定を無効にするか、未構成にした場合、SMB クライアントは暗号化を要求しません。ただし、SMB 暗号化がまだ必要な可能性があります。以下のメモを参照してください。注: このポリシーは、共有単位、サーバー単位、マップされたドライブごとの接続プロパティと組み合わされ、SMB 暗号化が必要になる場合があります。SMB サーバーは SMB 暗号化をサポートし、有効にする必要があります。たとえば、このポリシーを無効にした場合 (または構成しなかった場合)、SMB サーバー共有に必要な暗号化がある場合でも、SMB クライアントは暗号化を実行できます。重要: SMB 暗号化には SMB 3.0 以降が必要です
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!RequireEncryption

ポリシー名	代替ポートを有効にする
ポリシーのパス	コンピュータの構成\ネットワーク\Lanman ワークステーション
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシーは、SMB クライアントが代替ポートを有効または無効にするかどうかを制御します。このポリシー設定を無効にした場合、代替ポートは SMB クライアントで使用されません。このポリシー設定を構成しなかった場合、SMB クライアントで代替ポートが使用される可能性があります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!EnableAlternativePorts

ポリシー名	監査サーバーは暗号化をサポートしていません
ポリシーのパス	コンピュータの構成\ネットワーク\Lanman ワークステーション
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシーは、SMB サーバーが暗号化をサポートしていない場合に、SMB クライアントが監査イベントを有効にするかどうかを制御します。このポリシー設定を有効にした場合、SMB サーバーが暗号化をサポートしていない場合、SMB クライアントはイベントをログに記録します。このポリシー設定を無効にするか、未構成にした場合、SMB クライアントはイベントをログに記録しません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!AuditServerDoesNotSupportEncryption

ポリシー名	監査サーバーが署名をサポートしていない
ポリシーのパス	コンピュータの構成\ネットワーク\Lanman ワークステーション
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシーは、SMB サーバーが署名をサポートしていない場合に、SMB クライアントが監査イベントを有効にするかどうかを制御します。このポリシー設定を有効にすると、SMB サーバーが署名をサポートしていない場合に、SMB クライアントはイベントをログに記録します。このポリシー設定を無効にするか構成しなかった場合、SMB クライアントはイベントをログに記録しません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!AuditServerDoesNotSupportSigning

ポリシー名	安全でないゲストログオンを監査する
ポリシーのパス	コンピュータの構成\ネットワーク\Lanman ワークステーション
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシーでは、SMB クライアントがゲストアカウントとしてログオンしたときに、SMB クライアントが監査イベントを有効にするかどうかを制御します。このポリシー設定を有効にした場合、SMB クライアントはクライアントがゲストアカウントとしてログオンしたときにイベントをログに記録します。このポリシー設定を無効にするか、未構成にした場合、SMB クライアントはイベントをログに記録しません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!AuditInsecureGuestLogon

ポリシー名	代替ポートマッピング
ポリシーのパス	コンピュータの構成\ネットワーク\Lanman ワークステーション
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシー設定は、SMB クライアントが使用する代替ポートレジストリマッピングを決定します。このポリシー設定を有効にした場合、マッピングのサーバー名が接続の対象サーバー名と一致する場合、最初の有効なマッピングが使用されます。このポリシー設定を有効にして、有効なマッピングを少なくとも 1 つ指定しない場合、またはこのポリシー設定を無効にした場合、または構成しなかった場合、SMB クライアントは、NET USE コマンドや New-SmbMapping コマンドなど、別のポート使用法を決定する他の方法を参照します。例：contososa.file.core.windows.net:tcp:448edgesrv1.corp.contoso.com:quic:450この設定を変更する方法:編集ボックスで必要な代替ポートマッピングを 1 行に 1 つのマッピングエントリで配置します。各マッピングエントリの形式は、上記の例で行われたように、サーバー名、トランスポートの種類、ポート番号をコロンで区切って指定します。注: このポリシーを有効にするには、Windows の再起動は必要ありません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!AlternativePortMappings

ポリシー名	QUIC 経由で SMB を有効にする
ポリシーのパス	コンピュータの構成\ネットワーク\Lanman ワークステーション
サポートされるOS、バージョン	Windows Server 2025 以降または Windows 11 以降
説明	このポリシー設定では、SMB クライアントで SMB over QUIC を有効にするかどうかを制御します。このポリシー設定を無効にすると、SMB クライアントは QUIC 経由の接続の開始を許可しません。この場合、ユーザーが QUIC 経由で接続しようとすると、SMB クライアントは TCP 経由で接続を試みます。このポリシー設定を構成しなかった場合、SMB クライアントは QUIC 経由の接続の開始を許可する可能性があります。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows\LanmanWorkstation!EnableSMBQUIC

39. コンピュータの構成\プリンター配下のポリシー

ポリシー名	プリントドライバーの除外リストを管理する
ポリシーのパス	コンピュータの構成\プリンター
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	このポリシー設定では、プリンタードライバーの除外一覧を制御します。除外一覧を使用すると、管理者は、システムへのインストールが許可されていないプリンタードライバーの一覧を選別できます。このチェックでは、署名チェックが除外され、印刷ドライバー署名検証ポリシーの有効な署名レベルを持つドライバーを除外できます。除外リスト内のエントリは、INF ファイルの SHA256 ハッシュ (Win7 の SHA1 ハッシュ)、ドライバーのメインドライバー DLL ファイル、およびファイルの名前で構成されます。このポリシー設定を無効にするか、未構成にした場合、現在値に設定されている場合、このポリシー設定に関連付けられているレジストリキーと値は削除されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows NT\Printers\Driver\ExclusionList

ポリシー名	RPC リスナー設定の構成
ポリシーのパス	コンピュータの構成\プリンター
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	このポリシー設定は、プリントスプーラへの着信 RPC 接続が使用できるプロトコルを制御します。既定では、RPC over TCP が有効になっており、認証プロトコルにはネゴシエートが使用されます。着信 RPC 接続を許可するプロトコル: -- 名前付きパイプを経由の RPC: 着信 RPC 接続は名前付きパイプを経由でのみ許可されます -- RPC over TCP: 着信 RPC 接続は TCP を経由でのみ許可されます (既定オプション) -- 名前付きパイプおよび TCP を経由のRPC: 着信 RPC 接続は TCP および名前付きパイプを介して許可されます着信 RPC 接続に使用する認証プロトコル: -- ネゴシエート : ネゴシエート認証プロトコルを使用します (既定オプション) -- Kerberos: Kerberos 認証プロトコルを使用しますこのポリシー設定を無効にするか、構成しない場合、上記の既定が使用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows NT\Printers\RPC!RpcProtocols HKLM\Software\Policies\Microsoft\Windows NT\Printers\RPC!ForceKerberosForRpc

ポリシー名	RPC 接続設定を構成する
ポリシーのパス	コンピュータの構成\プリンター
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	このポリシー設定は、リモート印刷スプーラーへの発信 RPC 接続に使用するプロトコルとプロトコル設定を制御します。既定では、RPC over TCP が使用され、認証は常に有効になっています。名前付きパイプを介した RPC の場合、ドメインに参加しているマシンに対して認証が常に有効になりますが、ドメインに参加していないマシンでは無効になっています。発信 RPC 接続に使用するプロトコル: -- RPC over TCP: リモート印刷スプーラーへの発信 RPC 接続に RPC over TCP を使用します -- 名前付きパイプを経由の RPC: リモート印刷スプーラーへの名前付きパイプを経由する発信 RPC 接続に名前付きパイプを経由の RPC を使用します発信 RPC 接続に認証を使用します: -- 既定: 既定では、ドメインに参加しているコンピューターは名前付きパイプを経由の RPC の RPC 認証を有効にし、ドメインに参加していないコンピューターは名前付きパイプを経由の RPC 認証を無効にします -- 認証が有効になりました: RPC 認証は名前付きパイプを経由の発信 RPC 接続に使用されます -- 認証が無効になっています: RPC 認証は名前付きパイプを経由の発信 RPC 接続には使用されませんこのポリシー設定を無効にするか、構成しない場合は、上記の既定設定が使用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows NT\Printers\RPC!RpcUseNamedPipeProtocol HKLM\Software\Policies\Microsoft\Windows NT\Printers\RPC!RpcAuthentication

ポリシー名	RPC over TCP ポートの構成
ポリシーのパス	コンピュータの構成\プリンター
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	このポリシー設定では、印刷スプーラーへの着信接続とリモート印刷スプーラーへの発信接続に RPC over TCP に使用するポートを制御します。既定では、動的 TCP ポートが使用されます。TCP ポート経由の RPC: -- RPC over TCP に使用するポート。値 0 は既定値で、動的 TCP ポートが使用されることを示しますこのポリシー設定を無効にするか、未構成にした場合、動的 TCP ポートが使用されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows NT\Printers\RPC!RpcTcpPort

ポリシー名	着信接続の RPC パケットレベルのプライバシー設定を構成する
ポリシーのパス	コンピュータの構成\プリンター
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	このポリシー設定では、着信接続の RPC に対してパケットレベルのプライバシーを有効にするかどうかを制御します。既定では、着信接続の RPC に対してパケットレベルのプライバシーが有効になっています。このポリシー設定を有効にするか、未構成にした場合、着信接続の RPC ではパケットレベルのプライバシーが有効になります。
レジストリ情報	HKLM\System\CurrentControlSet\Control\Print!RpcAuthnLevelPrivacyEnabled

ポリシー名	IPP プリンターのジョブページカウント情報を常に送信する
ポリシーのパス	コンピュータの構成\プリンター
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	Microsoft IPP クラスドライバーを使用して、プリンターのアカウンティング目的で常にページ数情報を送信するかどうかを決定します。既定では、ページはレンダリング後すぐにプリンターに送信され、ページ数の情報は、ページの順序を変更する必要がない限り、プリンターに送信されません。この設定を有効にした場合、すべての印刷ジョブページが前面に表示され、印刷ジョブの合計ページ数がプリンターに送信されます。この設定を無効にした場合、または構成しなかった場合、ページはレンダリング後すぐに印刷され、ジョブの処理にページの並べ替えが必要な場合にのみページ数が送信されます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows NT\Printers\IPP!AlwaysSendIppPageCounts

ポリシー名	リダイレクトガードの構成
ポリシーのパス	コンピュータの構成\プリンター
サポートされるOS、バージョン	Windows Server 2008 R2、Windows 7 またはそれ以降
説明	印刷スプーラーに対して Redirection Guard を有効にするかどうかを決定します。この設定を有効にすると、スプーラーに適用される Redirection Guard ポリシーを構成できます。このポリシー設定を無効にするか、未構成にした場合、Redirection Guard の既定値は '有効' になります。この設定を有効にした場合、次のオプションを選択できます。-- 有効 : Redirection Guard は、ファイルリダイレクトのフォローを禁止します-- 問題 : Redirection Guard は有効にされず、スプーラープロセス内でファイルリダイレクトが使用される可能性があります-- 監査 : Redirection Guard はイベントを有効にしたかのようにログに記録しますが、実際にはスプーラー内でファイルリダイレクトが使用されるのを妨げるものではありません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows NT\Printers!RedirectionGuardPolicy

ポリシー名	Windows で保護された印刷を構成する
ポリシーのパス	コンピュータの構成\プリンター
サポートされるOS、バージョン	Windows 11 バージョン 24H2 以降
説明	このコンピューターで Windows で保護された印刷を有効にするかどうかを決定します。既定では、Windows で保護された印刷は有効ではなく、インストールまたは印刷機能を使用できる印刷ドライバーに制限はありません。この設定を有効にした場合、コンピューターは Windows 保護印刷モードで動作します。このモードでは、受信トレイの Windows 印刷ドライバーのサブセットをサポートするプリンターへの印刷のみが許可されます。この設定を無効にした場合、または構成しなかった場合、インストールまたは印刷機能を使用できる印刷ドライバーに制限はありません。詳細については、https://learn.microsoft.com/en-us/windows-hardware/drivers/print/windows-protected-print-mode を参照してください
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows NT\Printers\WPP!WindowsProtectedPrintGroupPolicyState

ポリシー名	プリンタードライバーのインストールを管理者に限定する
ポリシーのパス	コンピュータの構成\プリンター
サポートされるOS、バージョン	Windows Server 2008 R2、Windows 7 またはそれ以降
説明	管理者ではないユーザーがこのコンピューターに印刷ドライバーをインストールできるかどうかを決定します。既定では、管理者ではないユーザーはこのコンピューターに印刷ドライバーをインストールできません。この設定を有効にした場合、または構成しなかった場合は、印刷ドライバーのインストールがこのコンピューターの管理者に制限されます。この設定を無効にした場合、印刷ドライバーのインストールはこのコンピューターに制限されません。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint!RestrictDriverInstallationToAdministrators

ポリシー名	キュー固有のファイルの処理を管理する
ポリシーのパス	コンピュータの構成\プリンター
サポートされるOS、バージョン	Windows Vista 以降
説明	プリンタのインストール中にキュー固有のファイルがどのように処理されるかを管理します。プリンターのインストール時に、ベンダー提供のインストールアプリケーションは、特定の印刷キューに関連付ける任意の種類のファイルのセットを指定できます。ファイルは、プリンターサーバーに接続する各クライアントにダウンロードされます。この設定を有効にすると、キュー固有のファイルに関連する既定の動作を変更できます。この設定を使用するには、[キュー固有のファイルの処理を管理する] ボックスから以下のオプションのいずれかを選択します。このポリシー設定を無効にするか構成しない場合、規定の動作は ”キュー固有のファイルをカラープロファイルに制限する” になります。 -- ""キュー固有のファイルを許可しない"" は、印刷キュー/プリンター接続のインストール中にキュー固有のファイルが許可/処理されないことを指定します。 -- ""キュー固有のファイルをカラープロファイルに制限する"" は、標準のカラープロファイルスキームに準拠するキュー固有のファイルのみが許可されることを指定します。これは、レジストリキー CopyFiles\ICM を使用し、ディレクトリ値 COLOR を含み、モジュール値として mscms.dll をサポートするエントリを意味します。 ""キュー固有のファイルをカラープロファイルに制限する"" は既定の動作です。 -- ""すべてのキュー固有のファイルを許可する"" は、すべてのキュー固有のファイルが印刷キュー / プリンター接続のインストール中に許可 / 処理されることを指定します。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows NT\Printers!CopyFilesPolicy

ポリシー名	プリンタードライバー署名検証を管理する
ポリシーのパス	コンピュータの構成\プリンター
サポートされるOS、バージョン	Windows Server 2012、Windows 8、Windows RT またはそれ以降
説明	このポリシー設定は、プリンタードライバーの署名検証メカニズムを制御します。このポリシーは、プリンタードライバーが有効であると見なされてシステムにインストールされるために必要なデジタル署名のタイプを制御します。この検証の一環として、カタログ/埋め込み署名が検証済みであり、ドライバー内のすべてのファイルがカタログの一部であるか、検証に使用できる独自の埋め込み署名を持っている必要があります。この設定を有効にして、既定の署名検証方法を変更できます。この設定を使用するには、[このコンピューターのドライバー署名メカニズムを選択する] ボックスから以下のオプションのいずれかを選択します。このポリシー設定を無効にするか、構成しない場合、既定の方法は ""有効な署名されたドライバーをすべて許可する"" です。 -- ""受信トレイの署名付きドライバーが必要"" は、Windows イメージの一部として出荷されたドライバーのみがこのコンピューターで許可されることを指定します。 -- ""受信トレイと PrintDrivers の信頼できるストアの署名付きドライバーを許可する"" は、Windows イメージの一部として出荷されるドライバー、または ""PrintDrivers"" 証明書ストアにインストールされた証明書によって署名されたドライバーのみがこのコンピューターで許可されることを指定します。 -- ""受信トレイ、PrintDrivers Trusted Store、WHQL、およびTrusted Publishers Store の署名付きドライバーを許可する"" は、このコンピューターで許可されるドライバーが、Windows イメージの一部として出荷されているか、""PrintDrivers"" 証明書ストアにインストールされた証明書によって署名されているか、Windows Hardware Quality Lab (WHQL) によって署名されているか、""TrustedPublishers"" 証明書ストアにインストールされている証明書によって署名されているもののみであることを指定します。 -- ""受信トレイ、PrintDrivers Trusted Store、WHQL、および Trusted Publishers Store の署名付きドライバーを許可する"" は、このコンピューターで許可されるドライバーが、Windows イメージの一部として出荷されているか、""PrintDrivers"" 証明書ストアにインストールされた証明書によって署名されているか、Windows Hardware Quality Lab (WHQL) によって署名されているか、「TrustedPublishers」証明書ストアにインストール済みの証明書によって署名されているもののみであることを指定します。 ""すべての有効に署名されたドライバーを許可する"" とは、有効な埋め込み署名があるか、印刷ドライバーカタログに対して検証できるすべての印刷ドライバーをこのコンピューターにインストールできることを指定します。 ""PrintDrivers"" 証明書ストアは、管理者がローカルコンピューターストアの配下に作成する必要があります。信頼できる発行元"" の証明書ストアには、印刷ドライバーに関連しないソースからの証明書を含めることができます。
レジストリ情報	HKLM\Software\Policies\Microsoft\Windows NT\Printers\Driver!ValidationLevel

40. ユーザーの構成\Windows コンポーネント\Internet Explore 配下のポリシー

ポリシー名	エンタープライズモードサイト一覧に含まれていないすべてのサイトを Microsoft Edge に送信します
ポリシーのパス	ユーザーの構成\Windows コンポーネント\Internet Explorer
サポートされるOS、バージョン	Windows 10 Version 1607 の Internet Explorer 11.0 以降
説明	この設定では、Microsoft Edge でエンタープライズモードサイト一覧に含まれていないすべてのサイトを開くかどうかを決定できます。この設定を使用する場合は、管理用テンプレート\Windows コンポーネント\Internet Explorer\エンタープライズモード IE の Web サイト一覧を使用するポリシー設定を有効にし、エンタープライズモードサイト一覧に少なくとも 1 つのサイトを含める必要もあります。この設定を有効にすると、エンタープライズモードサイト一覧に含まれていないすべてのサイトが Microsoft Edge で自動的に開かれます。この設定を無効にした場合、または構成しなかった場合は、現在アクティブなブラウザーに基づいてすべてのサイトが開かれます。メモ: 管理用テンプレート\Windows コンポーネント\Microsoft Edge\すべてのイントラネットサイトを Internet Explorer 11 に送るポリシー設定も有効にしている場合は、引き続きすべてのイントラネットサイトが Internet Explorer 11 で開かれます。
レジストリ情報	HKCU\Software\Policies\Microsoft\Internet Explorer\Main\EnterpriseMode!RestrictIE

ポリシー名	Internet Explorer モードでグローバルウィンドウリストを有効にする
ポリシーのパス	ユーザーの構成\Windows コンポーネント\Internet Explorer
サポートされるOS、バージョン	Internet Explorer 11.0 以降
説明	この設定では、Internet Explorer モードでグローバルウィンドウの一覧を使用して、他のアプリケーションと状態を共有できるようにします。この設定は、Internet Explorer 11 がスタンドアロンブラウザーとして無効になっている場合にのみ有効になります。このポリシーを有効にした場合、Internet Explorer モードではグローバルウィンドウの一覧が使用されます。このポリシーを無効にした場合、または構成しなかった場合、Internet Explorer モードでは引き続き別のウィンドウの一覧が保持されます。Internet Explorer モードの詳細については、https://go.microsoft.com/fwlink/?linkid=2102921を参照してくださいスタンドアロンブラウザーとして Internet Explorer 11 を無効にする方法の詳細については、https://go.microsoft.com/fwlink/?linkid=2168340を参照してください
レジストリ情報	HKCU\Software\Policies\Microsoft\Internet Explorer\Main\EnterpriseMode!EnableGlobalWindowListInIEMode

ポリシー名	インターネットショートカットファイルのレガシ機能を許可する
ポリシーのパス	ユーザーの構成\Windows コンポーネント\Internet Explorer
サポートされるOS、バージョン	Internet Explorer 7.0 以降
説明	このポリシー設定を使用すると、WorkingDirectory フィールドやプラグ可能なプロトコル処理などの無効な機能をインターネットショートカットファイルで使用できます。このポリシーを有効にした場合、インターネットショートカットファイルの無効な機能が再度有効になります。このポリシーを無効にした場合、または構成しなかった場合は、WorkingDirectory フィールドやプラグ可能なプロトコル処理などのインターネットショートカットファイルの一部の機能が無効になります。
レジストリ情報	HKCU\Software\Policies\Microsoft\Internet Explorer\Main!AllowLegacyURLFields

ポリシー名	Internet Explorer モードの HTML ダイアログのズームを既定にリセットする
ポリシーのパス	ユーザーの構成\Windows コンポーネント\Internet Explorer
サポートされるOS、バージョン	Internet Explorer 11.0 以降
説明	このポリシー設定を使用すると、管理者は、Internet Explorer モードで HTML ダイアログのズームを既定値にリセットできます。このポリシーを有効にした場合、Internet Explorer モードの HTML ダイアログのズームは親ページから引き継がれません。このポリシーを無効にした場合、または構成しなかった場合、Internet Explorer モードの HTML ダイアログのズームは、親ページのズームに基づいて設定されます。詳細については、https://go.microsoft.com/fwlink/?linkid=2220107 を参照してください
レジストリ情報	HKCU\Software\Policies\Microsoft\Internet Explorer\Main\EnterpriseMode!ResetZoomForDialogInIEMode

ポリシー名	Internet Explorer 11 の提供終了通知を非表示にする
ポリシーのパス	ユーザーの構成\Windows コンポーネント\Internet Explorer
サポートされるOS、バージョン	Windows 10 の Internet Explorer 11.0 以降
説明	このポリシー設定を使用すると、Internet Explorerが廃止される通知バーのアラームを表示するかどうかを管理できます。既定では、通知バーは Internet Explorer 11 に表示されます。このポリシー設定を有効にした場合、通知バーは Internet Explorer 11 に表示されません。このポリシー設定を無効にするか、未構成にした場合、通知バーは Internet Explorer 11 に表示されます。
レジストリ情報	HKCU\Software\Policies\Microsoft\Internet Explorer\Main!DisableIEAppNotificationPolicy

ポリシー名	JScript の代わりに JScript9Legacy を読み込んで、JScript を置き換えます。
ポリシーのパス	ユーザーの構成\Windows コンポーネント\Internet Explorer
サポートされるOS、バージョン	Internet Explorer 11.0 以降
説明	このポリシー設定では、JScriptまたは JScript9Legacy を読み込むかどうかを指定します。このポリシー設定を有効にした場合、または構成しなかった場合は、JScriptがインスタンス化されている場合に JScript9Legacy が読み込まれます。このポリシーを無効にすると、JScriptが使用されます。
レジストリ情報	HKCU\Software\Policies\Microsoft\Internet Explorer\Main!JScriptReplacement

ポリシー名	HTML アプリケーションを無効にする
ポリシーのパス	ユーザーの構成\Windows コンポーネント\Internet Explorer
サポートされるOS、バージョン	Internet Explorer 11.0 以降
説明	このポリシー設定では、HTML アプリケーション (HTA ファイル) の実行をブロックするか許可するか指定します。このポリシー設定を有効にすると、HTML アプリケーション (HTA ファイル) の実行がブロックされます。このポリシー設定を無効にした場合、または構成しなかった場合は、HTML アプリケーション (HTA ファイル) の実行が許可されます。
レジストリ情報	HKCU\Software\Policies\Microsoft\Internet Explorer\Hta!DisableHTMLApplication

ポリシー名	Internet Explorer で Adobe Flash をオフにし、アプリケーションが Internet Explorer テクノロジを使用して Flash オブジェクトをインスタンス化できないようにする
ポリシーのパス	ユーザーの構成\Windows コンポーネント\Internet Explorer\セキュリティの機能\アドオン管理
サポートされるOS、バージョン	Windows 8 の Internet Explorer 10.0 以降
説明	このポリシー設定は、Internet Explorer 上で Adobe Flash をオフにし、アプリケーションが Internet Explorer テクノロジを使用して Flash オブジェクトをインスタンス化できないようにします。このポリシー設定を有効にすると、Internet Explorer で Flash がオフになり、アプリケーションが Internet Explorer テクノロジを使用して Flash オブジェクトをインスタンス化できなくなります。[アドオンの管理] ダイアログボックスで、Flash のステータスは [無効] になり、ユーザーは Flash を有効にできません。このポリシー設定を有効にすると、[アドオンの一覧] ポリシー設定および [アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する] ポリシー設定を通じた Adobe Flash に対する設定を Internet Explorer は無視します。このポリシー設定を無効にした場合、または構成しなかった場合、Internet Explorer で Flash がオンになり、アプリケーションが Internet Explorer テクノロジを使用して Flash オブジェクトをインスタンス化できます。ユーザーは [アドオンの管理] ダイアログボックスで、Flash を有効または無効にできます。このポリシー設定を無効にした場合、または構成しなかった場合でも、[アドオンの一覧] ポリシー設定および [アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する] ポリシー設定を通じて Adobe Flash を無効にできます。ただし、このポリシー設定ではなく、[アドオンの一覧] ポリシー設定および [アドオンの一覧で許可されたものを除き、アドオンはすべて拒否する] ポリシー設定を通じて Adobe Flash を無効にした場合は、Internet Explorer テクノロジを使用して Flash オブジェクトをインスタンス化するすべてのアプリケーションでそれまでと同じくインスタンス化できます。詳細については、Internet Explorer TechNet ライブラリの Internet Explorer 10 のグループポリシー設定に関するページを参照してください。
レジストリ情報	HKCU\Software\Policies\Microsoft\Internet Explorer!DisableFlashInIE

41. ユーザーの構成\Windows コンポーネント\Snipping Tool 配下のポリシー

ポリシー名	画面録画を許可する
ポリシーのパス	ユーザーの構成\Windows コンポーネント\Snipping Tool
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	このポリシー設定では、Windows Snipping Tool アプリで画面録画機能が使用可能かどうかを制御します。このポリシー設定を無効にした場合、Windows Snipping Tool アプリでは画面録画機能にアクセスできません。このポリシー設定を有効にした場合、または構成しなかった場合、ユーザーは画面録画機能にアクセスできます。
レジストリ情報	HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\SnippingTool!AllowScreenRecorder

42. ユーザーの構成\Windows コンポーネント\Windows Copilot 配下のポリシー

ポリシー名	Windows Copilot をオフにする
ポリシーのパス	ユーザーの構成\Windows コンポーネント\Windows Copilot
サポートされるOS、バージョン	少なくとも Windows 11 Pro、Enterprise または Education 以降と Windows サンドボックス
説明	This policy setting allows you to turn off Windows Copilot.If you enable this policy setting users will not be able to use Copilot. The Copilot icon will not appear on the taskbar either.If you disable or do not configure this policy setting users will be able to use Copilot when it's available to them.
レジストリ情報	HKCU\SOFTWARE\Policies\Microsoft\Windows\WindowsCopilot!TurnOffWindowsCopilot

43. ユーザーの構成\Windows コンポーネント\Windows Update 配下のポリシー

ポリシー名	Windows Update のすべての機能へのアクセスを削除する
ポリシーのパス	ユーザーの構成\Windows コンポーネント\Windows Update\Windows Server Update Service から提供される更新プログラムの管理
サポートされるOS、バージョン	Windows XP Professional Service Pack 1 以降、または Windows 2000 Service Pack 3 ~ Windows 8.1 または最新の Service Pack を搭載した Windows Server 2012 R2 以降。Windows 10以上ではサポートされていません。
説明	この設定で、Windows Update へのアクセスを削除できます。この設定を有効にすると、Windows Update のすべての機能が削除されます。この設定には、[スタート] メニューの Windows Update および Internet Explorer の [ツール] メニューのハイパーリンクからの Windows Update の Web サイト http://windowsupdate.microsoft.com へのアクセスのブロックが含まれています。Windows 自動更新も無効になります。Windows Update からの緊急更新プログラムの通知を受けず、受信もしません。デバイスマネージャーで Windows Update の Web サイトからドライバーの更新プログラムを自動的にインストールすることもしません。この設定を有効にすると、次の通知オプションのいずれかを設定できます。0 = 通知を表示しないこの設定では、Windows Update へのアクセス機能がすべて削除され、通知も表示されなくなります。1 = 再起動が必要であることを示す通知を表示するこの設定では、インストールを完了するのに必要な、再起動に関する通知が表示されます。Windows 8 および Windows RT では、このポリシーが有効な場合、再起動や更新プログラムを検出できないことに関連した通知のみが表示されます。通知オプションはサポートされていません。ログオン画面の通知が常に表示されます。
レジストリ情報	HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate!DisableWindowsUpdateAccess HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\WindowsUpdate!DisableWindowsUpdateAccessMode

ポリシー名	[Windows シャットダウン] ダイアログボックスで [更新をインストールしてシャットダウン] オプションを表示しない
ポリシーのパス	ユーザーの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows 7、Windows Server 2008 R2、Windows Vista、Windows XP SP2
説明	このポリシー設定で、[Windows のシャットダウン] ダイアログボックスに [更新をインストールしてシャットダウン] オプションを表示するかどうか管理します。このポリシー設定を有効にすると、ユーザーが [スタート] メニューの [シャットダウン] を選択したとき、インストールできる更新がある場合でも、[更新をインストールしてシャットダウン] は [Windows のシャットダウン] ダイアログボックスに選択肢として表示されません。このポリシー設定を無効または未構成にすると、ユーザーが [スタート] メニューの [シャットダウン] を選択したとき、更新が利用可能な場合、[更新をインストールしてシャットダウン] が [Windows のシャットダウン] ダイアログボックスで利用可能です。
レジストリ情報	HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!NoAUShutdownOption

ポリシー名	[Windows シャットダウン] ダイアログボックスの既定のオプションを [更新をインストールしてシャットダウン] に調整しない
ポリシーのパス	ユーザーの構成\Windows コンポーネント\Windows Update\従来のポリシー
サポートされるOS、バージョン	Windows 7、Windows Server 2008 R2、Windows Vista、Windows XP SP2
説明	このポリシー設定で、[Windows のシャットダウン] ダイアログで [更新をインストールしてシャットダウン] オプションを既定の選択肢にできるかどうか管理します。このポリシー設定を有効にすると、[実行する操作を選んでください] ボックスで [更新をインストールしてシャットダウン] オプションが利用可能かどうかにかかわらず、ユーザーが最後に選択したシャットダウンの選択 (休止状態、再起動など) が [Windows のシャットダウン] ダイアログボックスでの既定のオプションになります。このポリシー設定を無効または未構成にすると、ユーザーが [スタート] メニューの [シャットダウン] を選択したとき、インストールできる更新がある場合、[更新をインストールしてシャットダウン] オプションが [Windows のシャットダウン] ダイアログボックスで既定のオプションになります。ユーザーの構成\管理用テンプレート\Windows コンポーネント\Windows Update の [[Windows のシャットダウン] ダイアログボックスで [更新をインストールしてシャットダウン] オプションを表示しない] ポリシー設定が有効な場合は、このポリシー設定は効力がありません。
レジストリ情報	HKCU\Software\Policies\Microsoft\Windows\WindowsUpdate\AU!NoAUAsDefaultShutdownOption

44. ユーザーの構成\Windows コンポーネント\アカウント通知配下のポリシー

ポリシー名	スタート画面でアカウント通知をオフにする
ポリシーのパス	ユーザーの構成\Windows コンポーネント\アカウント通知
サポートされるOS、バージョン	少なくとも Windows 10 Version 2004
説明	このポリシーを使用すると、[スタート] (ユーザータイル) で Microsoft アカウント (MSA) とローカルユーザーに通知が表示されないようにすることができます。通知には、ユーザーの再認証が含まれます。デバイスをバックアップするクラウドストレージクォータの管理と、Microsoft 365または XBOX サブスクリプションの管理を行います。このポリシー設定を有効にした場合、ローカルおよび MSA ユーザーのアカウント関連の通知はスタート画面のユーザータイルに送信されません。このポリシー設定を無効にするか、未構成にした場合、ローカルおよび MSA ユーザーのアカウント関連の通知がスタート画面のユーザータイルに送信されます。このポリシー設定を有効にするには、再起動またはサービスの再起動は必要ありません。
レジストリ情報	HKCU\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\AccountNotifications!DisableAccountNotifications

45. ユーザーの構成\Windows コンポーネント\クラウドコンテンツ配下のポリシー

ポリシー名	デスクトップ上のスポットライトコレクションをオフにする
ポリシーのパス	ユーザーの構成\Windows コンポーネント\クラウドコンテンツ
サポートされるOS、バージョン	Windows 10 以降
説明	このポリシー設定は、個人用設定のスポットライトの収集設定を削除します。これにより、Microsoft からデスクトップに毎日のイメージを選択してからダウンロードすることができなくなります。このポリシーを有効にした場合、個人用設定のオプションとしてスポットライトコレクションは利用できません。このポリシーを無効にした場合、または構成しなかった場合は、個人用設定のオプションとしてスポットライトコレクションが表示され、ユーザーはデスクトッププロバイダーとしてスポットライトコレクションを選択し、Microsoft からの毎日のイメージをデスクトップに表示することができます。
レジストリ情報	HKCU\Software\Policies\Microsoft\Windows\CloudContent!DisableSpotlightCollectionOnDesktop

46. ユーザーの構成\Windows コンポーネント\クラウドコンテンツ配下のポリシー

ポリシー名	組織のメッセージを有効にする
ポリシーのパス	ユーザーの構成\Windows コンポーネント\クラウドコンテンツ
サポートされるOS、バージョン	Windows 11 以降
説明	組織のメッセージを使用すると、管理者は選択した Windows 11 エクスペリエンスでエンドユーザーにメッセージを配信できます。組織のメッセージは、Microsoft エンドポイントマネージャーなどのサービスを介して管理者が利用できます。既定では、このポリシーは無効になっています。このポリシーを有効にした場合、これらのエクスペリエンスで管理者によって予約されたコンテンツが表示されます。このポリシーを有効にしても、Windows エクスペリエンスでの Microsoft からのコンテンツの配信を管理する既存の MDM ポリシー設定には影響しません。
レジストリ情報	HKCU\Software\Policies\Microsoft\Windows\CloudContent!EnableOrganizationalMessages

47. ユーザーの構成\Windows コンポーネント\マルチタスキング配下のポリシー

ポリシー名	Alt-Tab にアプリタブを含めるように構成する
ポリシーのパス	ユーザーの構成\Windows コンポーネント\マルチタスキング
サポートされるOS、バージョン	Windows Server 2016、Windows 10 バージョン 1909 以降
説明	この設定では、アプリタブをAlt+Tabに含めることを制御します。これは、最新の 3、5、または 20 個のタブを表示するか、アプリのタブを表示しないように設定できます。これが [ウィンドウのみを開く] を表示するように設定されている場合、機能全体が無効になります。
レジストリ情報	HKCU\Software\Policies\Microsoft\Windows\Explorer!MultiTaskingAltTabFilter

48. ユーザーの構成\Windows コンポーネント\リモートデスクトップサービス配下のポリシー

ポリシー名	サーバーからクライアントへのクリップボード転送を制限する
ポリシーのパス	ユーザーの構成\Windows コンポーネント\リモートデスクトップサービス\リモートデスクトップセッションホスト\デバイスとリソースのリダイレクト
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	このポリシー設定を使用すると、サーバーからクライアントへのクリップボードデータ転送を制限できます。このポリシー設定を有効にする場合、次の動作から選択する必要があります。- サーバーからクライアントへのクリップボード転送を無効にします。- サーバーからクライアントへのテキストのコピーを許可します。- サーバーからクライアントへのプレーンテキストと画像のコピーを許可します。- サーバーからクライアントへのプレーンテキスト、画像、リッチテキスト形式のコピーを許可します。- サーバーからクライアントへのプレーンテキスト、画像、リッチテキスト形式と HTML のコピーを許可します。このポリシー設定を無効にした場合、または構成しなかった場合、クリップボードリダイレクトが有効になっていれば、サーバーからクライアントに任意のコンテンツをコピーできます。注: このポリシー設定は、[コンピューターの構成] と [ユーザーの構成] の両方に表示されます。両方のポリシー設定が構成されている場合、より厳密な制限が使用されます。
レジストリ情報	HKCU\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!SCClipLevel

ポリシー名	クライアントからサーバーへのクリップボード転送を制限する
ポリシーのパス	ユーザーの構成\Windows コンポーネント\リモートデスクトップサービス\リモートデスクトップセッションホスト\デバイスとリソースのリダイレクト
サポートされるOS、バージョン	Windows 11 バージョン 22H2 以降
説明	このポリシー設定を使用すると、クライアントからサーバーへのクリップボードデータ転送を制限できます。このポリシー設定を有効にする場合、次の動作から選択する必要があります。- クライアントからサーバーへのクリップボード転送を無効にします。- クライアントからサーバーへのテキストのコピーを許可します。- クライアントからサーバーへのプレーンテキストと画像のコピーを許可します。- クライアントからサーバーへのプレーンテキスト、画像、リッチテキスト形式のコピーを許可します。- クライアントからサーバーへのプレーンテキスト、画像、リッチテキスト形式と HTML のコピーを許可します。このポリシー設定を無効にした場合、または構成しなかった場合、クリップボードリダイレクトが有効になっていれば、ユーザーはクライアントからサーバーに任意のコンテンツをコピーできます。注: このポリシー設定は、[コンピューターの構成] と [ユーザーの構成] の両方に表示されます。両方のポリシー設定が構成されている場合、より厳密な制限が使用されます。
レジストリ情報	HKCU\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services!CSClipLevel

49. ユーザーの構成\システム\ドライバーのインストール配下のポリシー

ポリシー名	ドライバーパッケージのコード署名
ポリシーのパス	ユーザーの構成\システム\ドライバーのインストール
サポートされるOS、バージョン	Windows Server 2003、Windows XP、Windows 2000 のみ
説明	ユーザーがデジタル署名されていないドライバーパッケージファイルをインストールしようとした場合の、システムの対応方法を決定します。この設定では、グループ内のユーザーのシステムで許容できる最低限のセキュリティ対応を確立します。ユーザーはコントロールパネルの [システム] を使用して高度なセキュリティ設定を選択できますが、この設定が有効になっている場合、この設定で確立されている設定より低いセキュリティの設定は実装されません。この設定を有効にする場合は、ドロップダウンボックスを使用して希望する対応を指定してください。-- [無視] を選択すると、署名されていないファイルが含まれている場合でも、インストールは実行されます。-- [警告] を選択すると、ファイルがデジタル署名されていないことがユーザーに通知されます。ユーザーは、インストールの中止または続行、および署名されていないファイルのインストールを許可するかどうかを選択します。[警告] は既定の設定です。-- [ブロック] を選択すると、署名されていないファイルのインストールは拒否されます。この結果、インストールは中止され、ドライバーパッケージにあるファイルはどれもインストールされません。設定を指定しないでドライバーファイルのセキュリティを変更するには、コントロールパネルの [システム] を使用します。[マイコンピューター] を右クリックして、[プロパティ] をクリックし、[ハードウェア] タブをクリックして [ドライバーの署名] ボタンをクリックします。
レジストリ情報	HKCU\Software\Policies\Microsoft\Windows NT\Driver Signing!BehaviorOnFailedVerify

50. ユーザーの構成\タスクバーと [スタート] メニュー配下のポリシー

ポリシー名	[スタート] メニューから [おすすめ] セクションを削除する
ポリシーのパス	ユーザーの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	Windows 11 SE
説明	このポリシーを使用すると、[スタート] メニューに推奨されるアプリケーションとファイルの一覧が表示されないようにすることができます。このポリシー設定を有効にした場合、[スタート] メニューには、推奨されるファイルとアプリの一覧が含まれているセクションが表示されなくなります。
レジストリ情報	HKCU\Software\Policies\Microsoft\Windows\Explorer!HideRecommendedSection

ポリシー名	スタートメニューの [推奨事項] セクションから個人用 Web サイトのおすすめ候補を削除する
ポリシーのパス	ユーザーの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	Windows 11 SE
説明	スタートメニューの [推奨事項] セクションから個人用 Web サイトのおすすめ候補を削除する
レジストリ情報	HKCU\Software\Policies\Microsoft\Windows\Explorer!HideRecommendedPersonalizedSites

ポリシー名	クイック設定の削除
ポリシーのパス	ユーザーの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	Windows Server 2016 以降または Windows 10 以降
説明	このポリシー設定により、タスクバーの右下の領域からクイック設定が削除されます。クイック設定領域は、タスクバーの時計の左側にあり、現在のネットワークと音量のアイコンが含まれています。この設定が有効になっている場合、クイック設定はクイック設定領域に表示されません。このポリシー設定を有効にするには、再起動が必要です。
レジストリ情報	HKCU\Software\Policies\Microsoft\Windows\Explorer!DisableControlCenter

ポリシー名	パッケージ化された Microsoft Store アプリをタスクバーに表示する
ポリシーのパス	ユーザーの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	Windows Server 2012 R2、Windows 8.1、Windows RT 8.1 またはそれ以降
説明	このポリシー設定を使用すると、ユーザーは、パッケージ化された Microsoft Store アプリをタスクバーに表示できます。このポリシー設定を有効にした場合、パッケージ化された Microsoft Store アプリがタスクバーに表示されます。このポリシー設定を無効にした場合、パッケージ化された Microsoft Store アプリはタスクバーに表示されません。このポリシー設定を構成しなかった場合は、ユーザーのデバイスの既定の設定が使用されます。ユーザーが設定を変更することもできます。
レジストリ情報	HKCU\Software\Policies\Microsoft\Windows\Explorer!ShowWindowsStoreAppsOnTaskbar

ポリシー名	タスクビューボタンを非表示にする
ポリシーのパス	ユーザーの構成\タスクバーと [スタート] メニュー
サポートされるOS、バージョン	少なくとも Windows 11 Pro、Enterprise または Education 以降と Windows サンドボックス
説明	このポリシー設定を使用すると、[TaskView] ボタンを非表示にすることができます。このポリシー設定を有効にした場合、[タスクビュー] ボタンは非表示になり、[設定] トグルは無効になります。
レジストリ情報	HKCU\Software\Policies\Microsoft\Windows\Explorer!HideTaskViewButton

ポリシー名	アクションセンターで複数の拡張トースト通知を有効にする
ポリシーのパス	ユーザーの構成\タスクバーと [スタート] メニュー\通知
サポートされるOS、バージョン	Windows 10 Version 2004 以降の Windows 10 のみ
説明	このポリシー設定は、アクションセンターで複数の拡張トースト通知を有効にします。このポリシー設定を有効にした場合、各アプリケーションの最初の 3 つの通知が既定でアクションセンターに展開されます。このポリシー設定を無効にした場合、または構成しなかった場合、既定では、アクションセンターでは各アプリケーションの最初の通知のみが展開されます。Windows 10のみ。これは、Windows 11では直ちに非推奨になります。このポリシー設定を有効にするには、再起動またはサービスの再起動は必要ありません。
レジストリ情報	HKCU\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\PushNotifications!EnableExpandedToastNotifications

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up

Windows Server 2025で新規に導入されたポリシーの一覧

目次

1. コンピュータの構成\Windows コンポーネント\Internet Explorer 配下のポリシー

2. コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策 配下のポリシー

3. コンピュータの構成\Windows コンポーネント\Microsoft アカウント 配下のポリシー

4. コンピュータの構成\Windows コンポーネント\PC 設定の同期 配下のポリシー

5. コンピュータの構成\Windows コンポーネント\Windows Hello for Business 配下のポリシー

6. コンピュータの構成\Windows コンポーネント\Windows Update 配下のポリシー

7. コンピュータの構成\Windows コンポーネント\Windows サンドボックス 配下のポリシー

8. コンピュータの構成\Windows コンポーネント\Windows ログオンのオプション 配下のポリシー

9. コンピュータの構成\Windows コンポーネント\アプリ パッケージの展開 配下のポリシー

10. コンピュータの構成\Windows コンポーネント\アプリとデバイスのインベントリ 配下のポリシー

11. コンピュータの構成\Windows コンポーネント\アプリのプライバシー 配下のポリシー

12. コンピュータの構成\Windows コンポーネント\アプリ実行時 配下のポリシー

13. コンピュータの構成\Windows コンポーネント\イベント ログ サービス 配下のポリシー

14. コンピュータの構成\Windows コンポーネント\ウィジェット 配下のポリシー

15. コンピュータの構成\Windows コンポーネント\エクスプローラー 配下のポリシー

16. コンピュータの構成\Windows コンポーネント\クラウド コンテンツ 配下のポリシー

17. コンピュータの構成\Windows コンポーネント\チャット 配下のポリシー

18. コンピュータの構成\Windows コンポーネント\デスクトップ アプリ インストーラー 配下のポリシー

19. コンピュータの構成\Windows コンポーネント\リモート デスクトップ サービス 配下のポリシー

20. コンピュータの構成\Windows コンポーネント\検索 配下のポリシー

21. コンピュータの構成\Windows コンポーネント\人の存在 配下のポリシー

22. コンピュータの構成\Windows コンポーネント\配信の最適化 配下のポリシー

23. コンピュータの構成\コントロール パネル\個人用設定 配下のポリシー

24. コンピュータの構成\システム 配下のポリシー

25. コンピュータの構成\システム\Device Guard 配下のポリシー

26. コンピュータの構成\システム\KDC 配下のポリシー

27. コンピュータの構成\システム\Kerberos 配下のポリシー

28. コンピュータの構成\システム\LAPS 配下のポリシー

29. コンピュータの構成\システム\Net Logon 配下のポリシー

30. コンピュータの構成\システム\セキュリティ アカウント マネージャー 配下のポリシー

31. コンピュータの構成\システム\デバイスのインストール 配下のポリシー

32. コンピュータの構成\システム\ファイル システム 配下のポリシー

33. コンピュータの構成\システム\ローカル セキュリティ機関 配下のポリシー

34. コンピュータの構成\タスク バーと [スタート] メニュー 配下のポリシー

35. コンピュータの構成\デスクトップ 配下のポリシー

36. コンピュータの構成\ネットワーク\DNS クライアント 配下のポリシー

37. コンピュータの構成\ネットワーク\LAN Manager サーバー 配下のポリシー

38. コンピュータの構成\ネットワーク\Lanman ワークステーション 配下のポリシー

39. コンピュータの構成\プリンター 配下のポリシー

40. ユーザーの構成\Windows コンポーネント\Internet Explore 配下のポリシー

41. ユーザーの構成\Windows コンポーネント\Snipping Tool 配下のポリシー

42. ユーザーの構成\Windows コンポーネント\Windows Copilot 配下のポリシー

43. ユーザーの構成\Windows コンポーネント\Windows Update 配下のポリシー

44. ユーザーの構成\Windows コンポーネント\アカウント通知 配下のポリシー

45. ユーザーの構成\Windows コンポーネント\クラウド コンテンツ 配下のポリシー

46. ユーザーの構成\Windows コンポーネント\クラウド コンテンツ 配下のポリシー

47. ユーザーの構成\Windows コンポーネント\マルチタスキング 配下のポリシー

48. ユーザーの構成\Windows コンポーネント\リモート デスクトップ サービス 配下のポリシー

49. ユーザーの構成\システム\ドライバーのインストール 配下のポリシー

50. ユーザーの構成\タスク バーと [スタート] メニュー 配下のポリシー

2. コンピュータの構成\Windows コンポーネント\Microsoft Defender ウイルス対策配下のポリシー

3. コンピュータの構成\Windows コンポーネント\Microsoft アカウント配下のポリシー

4. コンピュータの構成\Windows コンポーネント\PC 設定の同期配下のポリシー

7. コンピュータの構成\Windows コンポーネント\Windows サンドボックス配下のポリシー

8. コンピュータの構成\Windows コンポーネント\Windows ログオンのオプション配下のポリシー

9. コンピュータの構成\Windows コンポーネント\アプリパッケージの展開配下のポリシー

10. コンピュータの構成\Windows コンポーネント\アプリとデバイスのインベントリ配下のポリシー

11. コンピュータの構成\Windows コンポーネント\アプリのプライバシー配下のポリシー

12. コンピュータの構成\Windows コンポーネント\アプリ実行時配下のポリシー

13. コンピュータの構成\Windows コンポーネント\イベントログサービス配下のポリシー

14. コンピュータの構成\Windows コンポーネント\ウィジェット配下のポリシー

15. コンピュータの構成\Windows コンポーネント\エクスプローラー配下のポリシー

16. コンピュータの構成\Windows コンポーネント\クラウドコンテンツ配下のポリシー

17. コンピュータの構成\Windows コンポーネント\チャット配下のポリシー

18. コンピュータの構成\Windows コンポーネント\デスクトップアプリインストーラー配下のポリシー

19. コンピュータの構成\Windows コンポーネント\リモートデスクトップサービス配下のポリシー

20. コンピュータの構成\Windows コンポーネント\検索配下のポリシー

21. コンピュータの構成\Windows コンポーネント\人の存在配下のポリシー

22. コンピュータの構成\Windows コンポーネント\配信の最適化配下のポリシー

23. コンピュータの構成\コントロールパネル\個人用設定配下のポリシー

24. コンピュータの構成\システム配下のポリシー

30. コンピュータの構成\システム\セキュリティアカウントマネージャー配下のポリシー

31. コンピュータの構成\システム\デバイスのインストール配下のポリシー

32. コンピュータの構成\システム\ファイルシステム配下のポリシー

33. コンピュータの構成\システム\ローカルセキュリティ機関配下のポリシー

34. コンピュータの構成\タスクバーと [スタート] メニュー配下のポリシー

35. コンピュータの構成\デスクトップ配下のポリシー

36. コンピュータの構成\ネットワーク\DNS クライアント配下のポリシー

37. コンピュータの構成\ネットワーク\LAN Manager サーバー配下のポリシー

38. コンピュータの構成\ネットワーク\Lanman ワークステーション配下のポリシー

39. コンピュータの構成\プリンター配下のポリシー

44. ユーザーの構成\Windows コンポーネント\アカウント通知配下のポリシー

45. ユーザーの構成\Windows コンポーネント\クラウドコンテンツ配下のポリシー

46. ユーザーの構成\Windows コンポーネント\クラウドコンテンツ配下のポリシー

47. ユーザーの構成\Windows コンポーネント\マルチタスキング配下のポリシー

48. ユーザーの構成\Windows コンポーネント\リモートデスクトップサービス配下のポリシー

49. ユーザーの構成\システム\ドライバーのインストール配下のポリシー

50. ユーザーの構成\タスクバーと [スタート] メニュー配下のポリシー