グループポリシーとPowerShellを使用して制御されたフォルダーアクセスを構成する
制御されたフォルダアクセスは、 (Controlled folder access)MicrosoftDefenderAntivirusの一部であるMicrosoftDefenderExploitGuardで利用できる侵入防止機能です。これは主にランサムウェアがデータ/ファイルを暗号化するのを防ぐように設計されていますが、他の悪意のあるアプリケーションからの不要な変更からファイルを保護します。この投稿では、Windows11/10でグループポリシーとPowerShellを使用して制御フォルダーアクセスを構成する方法を紹介します。(configure Controlled Folder Access using Group Policy & PowerShell)
この機能はWindows10では(Windows 10)オプションですが、有効にすると、保護されたフォルダー内のファイルに変更を加えようとする実行可能ファイル、スクリプト、およびDLLを追跡できます。(DLLs)アプリまたはファイルが悪意のあるものであるか認識されていない場合、この機能はリアルタイムで試行をブロックし、疑わしいアクティビティの通知を受け取ります。
グループポリシー(Group Policy)を使用して制御されたフォルダーアクセスを構成する(Folder Access)
グループポリシー(Group Policy)を使用して制御フォルダーアクセス(Controlled Folder Access)を構成するには、最初にこの機能を有効にする必要があります。完了したら、次の設定に進むことができます。
ローカルグループポリシーエディター(Local Group Policy Editor)を使用して保護するための新しい場所を追加する
制御されたフォルダアクセスが有効になっている場合、基本フォルダはデフォルトで追加されます。別の場所にあるデータを保護する必要がある場合は、保護フォルダーの構成(Configure protected folders)ポリシーを使用して新しいフォルダーを追加できます。
方法は次のとおりです。
- Windows key + Rを押して、[実行]ダイアログを呼び出します
- [ファイル名を指定して実行]ダイアログボックス
gpedit.msc
で、Enterキーを押して、グループポリシーエディターを開き(open Group Policy Editor)ます。 - ローカルグループポリシーエディター(Local Group Policy Editor)内で、左側のウィンドウを使用して以下のパスに移動します。
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
- 右側のペインで[保護フォルダー(Configure protected folders)の構成]ポリシーをダブルクリックして、 そのプロパティを編集します。
- [有効(Enabled)]ラジオボタンを選択し ます。
- [オプション(Options)]セクションで、[表示(Show) ]ボタンをクリックします。
- [値の名前(Value name)]フィールドにフォルダのパス(例:;
F:MyData
)を入力し、[値]フィールドに(Value)0を追加して、保護する場所を指定します。この手順を繰り返して、さらに場所を追加します。 - [ OK ]ボタンをクリックします。
- [ 適用(Apply) ]ボタンをクリックします。
- [ OK ]ボタンをクリックします。
これで、新しいフォルダが制御(Controlled)されたフォルダアクセスの保護リストに追加されます。変更を元に戻すには、上記の手順に従いますが、[ 未構成(Not Configured)]または[無効(Disabled)]オプションを選択します。
ローカルグループポリシーエディターを使用して、(Local Group Policy Editor)制御(Controlled)されたフォルダーアクセスでアプリをホワイトリストに登録する
- ローカルグループポリシーエディターを開きます。
- ローカルグループポリシーエディター(Local Group Policy Editor)内で、左側のウィンドウを使用して以下のパスに移動します。
Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Controlled Folder Access
- 右側のペインで[許可されたアプリケーション(Configure allowed applications)の構成]ポリシーをダブルクリックして、そのプロパティを編集します。
- [有効(Enabled)]ラジオボタンを選択し ます。
- [オプション(Options)]セクションで、[表示(Show) ]ボタンをクリックします。
- 許可するアプリの.exe(.exe)ファイルの場所(例:;
C:Program Files (x86)GoogleChromeApplicationchrome.exe
)を[値の名前(Value name)]フィールドに指定し、[値]フィールドに(Value)0を追加します。この手順を繰り返して、さらに場所を追加します。 - [ OK ]ボタンをクリックします。
- [ 適用(Apply) ]ボタンをクリックします。
- [ OK ]ボタンをクリックします。
これで、制御されたフォルダーアクセスがオンになっているときに、指定されたアプリがブロックされず、保護されたファイルとフォルダーに変更を加えることができるようになります。変更を元に戻すには、上記の手順に従いますが、[ 未構成(Not Configured)]または[無効(Disabled)]オプションを選択します。
Windows 11/10 Homeユーザーの場合、ローカルグループポリシーエディター(add Local Group Policy Editor)機能を追加してから、上記の手順を実行するか、以下のPowerShellメソッドを実行できます。
PowerShellを使用して制御フォルダーアクセスを構成する(Folder Access)
グループポリシー(Group Policy)を使用して制御フォルダーアクセス(Controlled Folder Access)を構成するには、最初にこの機能を有効にする必要があります。完了したら、次の設定に進むことができます。
(Add)PowerShellを使用して保護するための新しい場所を追加する
- Windowsキー+Xを押して、パワーユーザーメニューを開きます(open Power User Menu)。
- キーボードのA( A)をタップして、 PowerShellを管理/昇格モードで起動します。
- PowerShellコンソールで、以下のコマンドを入力し、Enterキー(Enter)を押します。
Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\add"
コマンドで、許可するアプリの場所と実行可能ファイルの実際のパスをプレースホルダーに置き換えF:olderpath oadd
ます。したがって、たとえば、コマンドは次のようになります。
Add-MpPreference -ControlledFolderAccessProtectedFolders "F:\MyData"
- フォルダを削除するには、以下のコマンドを入力してEnterキー(Enter)を押します。
Disable-MpPreference -ControlledFolderAccessProtectedFolders "F:\folder\path\to\remove"
PowerShellを使用して(PowerShell)制御(Controlled)されたフォルダーアクセスでアプリをホワイトリストに登録する
- 管理者/昇格モードでPowerShellを起動します。
- PowerShellコンソールで、以下のコマンドを入力し、Enterキー(Enter)を押します。
Add-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"
コマンドで、許可するアプリの場所と実行可能ファイルの実際のパスをプレースホルダーに置き換えF:path oappapp.exe
ます。したがって、たとえば、コマンドは次のようになります。
Add-MpPreference -ControlledFolderAccessAllowedApplications "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
上記のコマンドにより、許可されたアプリのリストにChromeが追加され、フォルダーアクセスの制御が有効になっている場合、アプリの実行とファイルへの変更が許可されます。(Controlled)
- アプリを削除するには、以下のコマンドを入力してEnterキー(Enter)を押します。
Remove-MpPreference -ControlledFolderAccessAllowedApplications "F:\path\to\app\app.exe"
これで、Windows 11/10グループポリシー(Group Policy)とPowerShellを使用して制御フォルダーアクセス(Controlled Folder Access)を構成する方法は終わりです。
Related posts
Folder Redirection Group Policy SCCMを使用するときは適用されません
Group Policyを使用してstandalone browserとしてInternet Explorer 11を無効にします
Group Policy EditorをWindows 10 Home Editionに追加する方法
取り外し可能Media SourceからProgramsのPrevent installation
Windows Updatesの場合はDelivery Optimization Cache Driveを変更してください
Windows 10のImport or Export Group Policy settingsの方法
Group Policy or Registryを使用してZoom autoアップデートを有効または無効にします
Edge browserでAudio Sandboxを有効にする方法
Windows 10の場合はGroup Policy Settings Reference Guide
ページが表示されないページは、IT administratorに限定された場所にアクセスできます
ユーザーがDiagnostic DataのDiagnostic Dataを削除するのを防ぐ方法
Windows 10でローカルGroup Policy Editorを開くとエラーが発生しました
Desktop Background Group PolicyがWindows 10には適用されません
Windows 11/10でLayered Group Policyを適用する方法
EdgeでEdgeを使用してRegistry or Group Policyを使用して無効にします
Windows 10でPicture Password Sign-In optionを無効にする方法
Windows 10コンピュータに適用さGroup Policyを確認する方法
無効:この種のファイルを開くことができる新しいアプリがあります
Computer policyは正常に更新できませんでした
Windows 10のGroup Policyを使ってNetwork Driveをマッピングする方法