エンタープライズ ビジネス デバイスの Dev Drive セキュリティ ポリシーを構成する方法

  • [アーティクル]

エンタープライズ レベルの管理者は、多くの場合、組織内のさまざまな Windows デバイスのセキュリティを管理する責任があります。 新しい Windows リリースで使用可能になったときに新機能を有効にするかどうかを制御するポリシーを構成する方法は複数あります。 このガイドでは、Windows 11 Dev Drive ストレージ ボリュームの機能に関する重要な情報と、組織のグループ ポリシーを構成して、開発者がセキュリティ システム フィルターのアタッチに対するセキュリティと制御を維持しながら、このパフォーマンス最適化されたストレージ形式を使用できるようにする方法について説明します。

グループ ポリシーを有効にする方法に関するガイダンスは、任意のポリシー管理ツールを使用して以下にあります。

前提条件

  • Windows 11、ビルド #10.0.22621.2338 以降 (Windows 更新プログラムの確認)
  • 16 GB のメモリを推奨 (最小 8 GB)
  • 50 GB の最小空きディスク領域
  • 開発者ドライブ はすべての Windows SKU バージョンで使用可能

一時的なエンタープライズ機能コントロールによって開発ドライブが無効になる

毎月の累積的な更新プログラムを通じて新機能と拡張機能が導入され、Windows 11に継続的なイノベーションが提供されます。 組織に計画と準備の時間を与えるために、これらの新機能の一部は、Windows 11の一時的なエンタープライズ機能コントロールを使用して既定で一時的にオフになっています。

開発者ドライブ は、ポリシーによって管理されている Windows 更新プログラムを持つデバイスに対して自動的に無効になります。 開発ドライブを作成する機能を無効にするのは、セキュリティ管理者が新しいポリシーの更新を決定してロールアウトする時間を確保するための一時的なものです。 これらのポリシーの更新を決定して構成するためのガイダンスの概要を以下に示します。

Dev Drive ストレージの有効化とウイルス対策フィルターのセキュリティに関するグループ ポリシーを決定する

グループ ポリシーは、エンタープライズ管理者が職場のデバイスの設定を管理し、ユーザー アカウント (ローカル管理者) がビジネス環境で行うことができる設定の変更をある程度制御できるようにする Windows の機能です。

既定では、Microsoft Defender とサード パーティのウイルス対策フィルターの両方を含むウイルス対策フィルターが Dev Drive に追加されます。 Dev Drive ストレージ ボリュームの既定の設定では、ローカル デバイス管理者がアタッチするフィルターを制御することもできます。 つまり、ローカル デバイス管理者は、既定のウイルス対策フィルターを削除するようにシステムを構成して、開発ドライブにウイルス対策フィルターがアタッチされないようにすることができます。 これが問題になる場合は、開発ドライブが有効になっているときにウイルス対策フィルターがアタッチされたままになるようにグループ ポリシーを構成できます。 さらに、許可されたファイル・システム・フィルタ・リストを定義できます。

グループ ポリシーを更新して開発ドライブを有効にする

[Dev Drive を有効にする] ポリシー設定には、次のものが含まれます。

  • 未構成: 既定では、グループ ポリシーでエンタープライズ管理者によって有効にされるまで、一時的なエンタープライズ機能の制御ポリシーでは [開発者ドライブ ストレージ ボリューム] オプションがオフになります。
  • 有効: 有効にすると、Dev Drive ストレージ ボリュームを作成するオプションがオンになります。
  • オプション - ウイルス対策フィルターで開発ドライブを保護させる: 開発ドライブは、開発者シナリオのパフォーマンスに合わせて最適化されており、ローカル管理者 (ユーザー アカウント) は、アタッチするファイル システム フィルターを選択できます。 これにより、ローカル管理者は、"ウイルス対策フィルターで開発ドライブを保護させる" オプションがオンになっていない限り、既定のウイルス対策機能をデタッチすることもできます。 このオプションをオンにすると、既定のウイルス対策フィルターが強制的にアタッチされたままになります。
  • 無効: この設定を無効にすると、Dev Drive ストレージ ボリュームを作成して使用する機能がオフになります。

Dev Drive フィルターのアタッチ ポリシーを更新する

さらに、開発ドライブにアタッチできるフィルターをエンタープライズ管理者が制御できる Dev Drive フィルター アタッチ ポリシー設定があります。 設定は次のとおりです。

  • [未構成]: 既定では、Dev Drive はパフォーマンスのために最適化されており、Microsoft Defender と 3rdパーティのウイルス対策フィルターがアタッチされていますが、他のファイル システム フィルターは適用されていません。 この既定の設定では、ローカル管理者は、既定のウイルス対策フィルターを含むフィルターをアタッチまたはデタッチできます。 上記の [開発ドライブを有効にする] ポリシーでオプションの [ウイルス対策フィルターで開発ドライブを保護させる] をオンにすると、それ以上のフィルター ポリシーが定義されていない場合でも、ウイルス対策フィルターが強制的にアタッチされたままになります。
  • 有効: ローカル管理者 (ユーザー アカウント) は、フィルターをアタッチまたはデタッチできます。 フィルタ一覧を追加すると、エンタープライズ管理者 (グループ ポリシー ドメイン レベル) は、アタッチできるフィルタを定義できます。 フィルター リストを含めない場合は、任意のフィルターをアタッチできます。
  • 無効: ローカル管理者 (ユーザー アカウント) は、フィルターをアタッチまたはデタッチできません。

Dev Drive 機能を有効にし、グループ ポリシーを更新するには、いくつかの方法があります。

Microsoft Intuneを使用してDev Driveのグループ ポリシーを更新する

グループ ポリシーを更新し、Microsoft Intune を使用して Dev Drive を有効にするには):

  1. Intune ポータル (https://endpoint.microsoft.com) を開き、資格情報を使用してログインします。

  2. プロファイルを作成する:

    1. [デバイス] > [Windows] > [構成プロファイル] > [プロファイルの作成]
    2. プラットフォーム > の選択: Windows 10 以降
    3. プロファイルの種類 > 設定カタログの選択

    Microsoft Intune 管理センターの Windows 構成プロファイルのスクリーンショット

  3. カスタムプロファイルの名前と説明を設定します。

    構成プロファイルを作成する Microsoft Intune のスクリーンショット

  4. Dev Drive 関連の設定を構成します。

    1. 設定ピッカーで "Dev Drive" を検索するか、"管理用テンプレート\System\Filesystem" に移動します
    2. [Dev Drive 関連のポリシー] を選択します: [Dev Drive を有効にする][ウイルス対策フィルターで Dev Drives を保護させる][Dev Drive フィルターのアタッチ ポリシー][フィルター リスト] を選択します

    開発者ドライブの結果を含む Microsoft Intune 管理センターの設定ピッカーのスクリーンショット

  5. Dev Drive ポリシー設定を構成し、スコープ タグと割り当ての残りの構成を完了し、 [作成] を選択します

    確認と作成のための Microsoft Intune 管理センターの最終的なプロファイル構成手順のスクリーンショット

Microsoft Configuration Managerを使用してDev Driveのグループ ポリシーを更新する

Microsoft Configuration Manager (ConfigMgr、旧称 MEMCM/SCCM) を使用してグループ ポリシーを更新し、Dev Drive を有効にするには、次の PowerShell スクリプトを使用できます。 (Configuration Manager とは?)

Configuration Manager コンソールには、PowerShell スクリプトを実行して、ネットワーク内のすべてのコンピューターのグループ ポリシー設定を更新する機能が統合されています。

  1. Microsoft Endpoint Configuration Manager コンソールを開きます。 「ソフトウェア・ライブラリ>」の「スクリプト>」の「スクリプトの作成」を選択します。

    スクリプト名、説明、言語、タイムアウト時間、実際のスクリプトなどの詳細を示す Microsoft Configuration Manager の [スクリプトの作成] ウィンドウのスクリーンショット

  2. スクリプト名 (例: Dev Drive demo)、説明 (Dev Drive 設定を有効にするためのデモ構成)、言語 (PowerShell)、タイムアウト秒 (180) を入力し、次の "Dev Drive demo" スクリプトの例を貼り付けてテンプレートとして使用します。

    ######
#ConfigMgr Management of Dev Drive
#Dev Drive is a new form of storage volume available to improve performance for key developer workloads.
#Check Log File for enforcement status - C:\Windows\temp\ConfigDevDrive-<TimeStamp>.log
######

Function Set-RegistryKeyValue{
param (
$KeyPath,
$ValueName,
$Value,
$PropertyType,
$LogFile
)
Try {
    If (!(Test-path $KeyPath)) {
    $Path = ($KeyPath.Split(':'))[1].TrimStart("\")
    ([Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey([Microsoft.Win32.RegistryHive]::LocalMachine,$env:COMPUTERNAME)).CreateSubKey($Path)
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    Else {
    New-ItemProperty -path $KeyPath -name $ValueName -value $Value -PropertyType $PropertyType -Force | Out-Null
    }
    $TestValue = (Get-ItemProperty -Path $KeyPath)."$ValueName"
    If ($TestValue -eq $Value){ Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Success" }
    Else { Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure" }
    }
    Catch {
    $ExceptionMessage = $($PSItem.ToString()) -replace [Environment]::NewLine,"";
    Add-Content -Path $LogFile -Value "$KeyPath,$ValueName,$Value,$PropertyType,$TestValue,Failure - $ExceptionMessage"
    }
}
$ExecutionTime = Get-Date
$StartTime = Get-Date $ExecutionTime -Format yyyyMMdd-HHmmss
$LogFile = "C:\Windows\temp\ConfigDevDrive-$StartTime.log"
Add-Content -Path $LogFile -Value "------------------------------------V 1.0 $ExecutionTime - Execution Starts -------------------------------------------"
Add-Content -Path $LogFile -Value "RegistryKeyPath,ValueName,ExpectedValue,PropertyType,CurrentValue,ComparisonResult"
#Set up a Dev Drive
Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FsEnableDevDrive" -Value "1" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAllowAntivirusFilter" -Value "1" -PropertyType "Dword" -LogFile $LogFile
Set-RegistryKeyValue -KeyPath "HKLM:\System\CurrentControlSet\Policies\" -ValueName "FltmgrDevDriveAttachPolicy" -Value "PrjFlt, MsSecFlt, WdFilter, bindFlt, wcifs, FileInfo" -PropertyType "MultiString" -LogFile $LogFile
$ExecutionTime = Get-Date
Add-Content -Path $LogFile -Value "------------------------------------ $ExecutionTime - Execution Ends -------------------------------------------"
--------------------

  3. 新しいスクリプトを追加するときは、スクリプトを選択して承認する必要があります。 承認状態が「承認待ち」から「承認済み」に変わります。

  4. 承認されたら、1 つのデバイスまたはデバイス コレクションを右クリックし、[スクリプトの実行] を選択します。

    開発者ドライブのデモ スクリプトを示す Microsoft Configuration Manager の [スクリプトの実行] ウィンドウのスクリーンショット

  5. スクリプトの実行ウィザードのスクリプト ページで、一覧からスクリプトを選択します (この例では Dev Drive demo)。 承認されたスクリプトのみが表示されます。 [次へ] を選択し、ウィザードを完了します。

「FsUtil を使用したポリシーのクエリ」を参照して、グループ ポリシー設定が正確に更新されたことを確認します。

詳細については、「Configuration Manager コンソールから PowerShell スクリプトを作成して実行する」を参照してください。

Windows 11 ローカル グループ ポリシー エディターを使用して、Dev Drive のグループ ポリシーを更新する

グループ ポリシーを更新し、Windows 11 ローカル グループ ポリシー エディターを使用して Dev Drive を有効にするには:

  1. Windowsのコントロールパネルでローカルグループポリシーエディターを開きます。

    ディレクトリ項目の一覧が表示された [ローカル グループ ポリシー エディター] ウィンドウのスクリーンショット

  2. [コンピューターの構成] で [管理用テンプレート> システム > ファイルシステム] を選択し、[設定] の一覧で [開発ドライブを有効にする] を選択します。

    ローカル グループ ポリシー エディターで [開発者ドライブを有効にする] を選択したスクリーンショット

  3. [有効] を選択して、グループ ポリシーで Dev Drive を有効にします。

    ローカル グループ ポリシー エディターの [開発者ドライブが有効] チェック ボックスのスクリーンショット

このフィルター アタッチ ポリシーを更新するには、Windows の [コントロール パネル] の [ローカル グループ ポリシー エディター] から [Dev Drive フィルター アタッチ ポリシー] を選択します。

ローカル グループ ポリシー エディターで [開発者ドライブ フィルターのアタッチ ポリシーとフィルター一覧] を選択したスクリーンショット

FsUtil を使用したポリシーのクエリ

FSUtil を使用して、開発ドライブ用に構成されたグループ ポリシーに対してクエリを実行できます。 次に、Dev Drive グループ ポリシーの FsUtil クエリの出力を示します。

  • Dev Drive を有効にする
  • ウイルス対策フィルターで開発ドライブを保護する (MsSecFlt)
  • FileInfoミニフィルターが、許可されたフィルターとして [フィルター リスト] に追加されました

FSUtil コマンドを入力します。

fsutil devdrv query

結果:

Developer volumes are enabled. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo

この同じクエリを特定の開発ドライブで実行して、アタッチされたフィルターを確認できます。 特定の開発ドライブでコマンドを実行するには、次のコマンドを入力します。

fsutil devdrv query d:

結果:

This is a trusted developer volume. 
Developer volumes are protected by antivirus filter, by group policy. 
Filters allowed on any developer volume, by group policy: 
    MsSecFlt 
Filters allowed on any developer volume: 
    FileInfo 
Filters currently attached to this developer volume: 
    MsSecFlt, WdFilter, FileInfo

その他のリソース