WSL の Intune 設定

Intune などの管理ツールを使用して、WINDOWS コンポーネントとして WSL を管理できるようになりました。

これらの設定にアクセスするには、Microsoft Intune 管理センターポータルに移動し、[ デバイス] -> [構成プロファイル] -> [Create -> New Policy ]\(新しいポリシーの作成\) -> Windows 10 以降 -> Settings カタログを選択し、新しいプロファイルの名前を作成し、"Windows Subsystem for Linux" を検索して、使用可能な設定の完全な一覧を表示して追加します。

推奨設定

エンタープライズ環境でセキュリティを最大化するには、次の設定を指定することをお勧めします。

設定の名前	価値	説明
Windows Subsystem for Linux の受信トレイバージョンを許可する	障害者	無効に設定すると、このポリシーは Windows Subsystem for Linux の受信トレイバージョン (オプションコンポーネント) を無効にします。このポリシーが無効になっている場合は、WSL のストアバージョンのみを使用できます。ストア WSL と受信トレイ WSL の違いの詳細については、こちらを参照してください
WSL1 を許可する	障害者	無効に設定すると、このポリシーは WSL1 を無効にします。無効にすると、WSL2 ディストリビューションのみを使用できます。
デバッグシェルを許可する	障害者	無効に設定すると、このポリシーはデバッグシェル (--debug-shellwsl.exe) を無効にします。このポリシーは、ストア WSL にのみ適用されます。
カスタムカーネル構成を許可する	障害者	無効に設定すると、このポリシーは .wslconfig (wsl2.kernel) を使用してカスタムカーネル構成を無効にします。このポリシーは、ストア WSL にのみ適用されます。
カーネルコマンドラインの構成を許可する	障害者	無効に設定すると、このポリシーは .wslconfig (wsl2.kernelCommandLine) を使用してカーネルコマンドラインの構成を無効にします。このポリシーは、ストア WSL にのみ適用されます。
カスタムシステム配布構成を許可する	障害者	無効に設定すると、このポリシーは .wslconfig (wsl2.systemDistro) を使用してカスタムシステム配布構成を無効にします。このポリシーは、ストア WSL にのみ適用されます。
カスタムネットワーク構成を許可する	障害者	無効に設定すると、このポリシーは .wslconfig (wsl2.networkingmode) を使用してカスタムネットワーク構成を無効にします。このポリシーは、ストア WSL にのみ適用されます。
ユーザー設定ファイアウォールの構成を許可する	障害者	無効に設定すると、このポリシーは .wslconfig (wsl2.firewall) を使用してファイアウォール構成を無効にします。このポリシーは、ストア WSL にのみ適用されます。
入れ子になった仮想化を許可する	障害者	無効に設定すると、このポリシーは .wslconfig (wsl2.nestedVirtualization) を使用して入れ子になった仮想化構成を無効にします。このポリシーは、ストア WSL にのみ適用されます。
カーネルデバッグを許可する	障害者	無効に設定すると、このポリシーは .wslconfig (wsl2.kernelDebugPort) を使用してカーネルデバッグ構成を無効にします。このポリシーは、ストア WSL にのみ適用されます。

WSL へのアクセスを制御する

AllowWSL、AllowInboxWSL、およびAllowWSL1設定によって、WSL へのユーザーアクセスが制御されます。これらの設定を構成して、WINDOWS バージョンの WSL、WSL 1 ディストリビューション、または WSL 自体へのアクセスを有効または無効にすることができます。

これにより、ユーザーが最新バージョンの WSL と Enterprise 機能のサポートのみを使用するように WSL を構成できます。

WSL コマンドを制御する

AllowDebugShellユーザーがAllowDiskMountコマンドとwsl --debug-shellコマンドを実行できるかどうかを制御wsl --mount。コマンドを使用して wsl --mountする方法について説明します。

で WSL 設定へのアクセスを制御する `.wslconfig`

*UserSettingConfigurableの WSL 詳細設定へのアクセス.wslconfig制御で終わる設定の最後のグループ。これらが無効に設定されている場合、ユーザーはその設定の既定値のみを使用でき、カスタム値に構成することはできません。 WSL 2 で実行されているすべての Linux ディストリビューションに対してグローバルに構成できる設定の一覧など、 .wslconfig の構成設定の詳細について説明します。

使用可能な設定の完全な一覧

設定の名前	説明
Linux 用 Windows サブシステムを許可する	無効に設定すると、このポリシーは、マシン上のすべてのユーザーの Windows Subsystem For Linux へのアクセスを無効にします。
Linux 用 Windows サブシステムの受信トレイバージョンを許可する	無効に設定すると、このポリシーは Windows Subsystem for Linux の受信トレイバージョン (オプションコンポーネント) を無効にします。このポリシーが無効になっている場合は、WSL のストアバージョンのみを使用できます。
WSL1 を許可する	無効に設定すると、このポリシーは WSL1 を無効にします。無効にすると、WSL2 ディストリビューションのみを使用できます。
デバッグシェルを許可する	無効に設定すると、このポリシーはデバッグシェル (--debug-shellwsl.exe) を無効にします。このポリシーは、ストア WSL にのみ適用されます。
パススルーディスクのマウントを許可する	無効に設定すると、このポリシーは WSL2 (wsl.exe --mount) でのパススルーディスクのマウントを無効にします。このポリシーは、ストア WSL にのみ適用されます。
カスタムカーネル構成を許可する	無効に設定すると、このポリシーは .wslconfig (wsl2.kernel) を使用してカスタムカーネル構成を無効にします。このポリシーは、ストア WSL にのみ適用されます。
カーネルコマンドラインの構成を許可する	無効に設定すると、このポリシーは .wslconfig (wsl2.kernelCommandLine) を使用してカーネルコマンドラインの構成を無効にします。このポリシーは、ストア WSL にのみ適用されます。
カスタムシステム配布構成を許可する	無効に設定すると、このポリシーは .wslconfig (wsl2.systemDistro) を使用してカスタムシステム配布構成を無効にします。このポリシーは、ストア WSL にのみ適用されます。
カスタムネットワーク構成を許可する	無効に設定すると、このポリシーは .wslconfig (wsl2.networkingmode) を使用してカスタムネットワーク構成を無効にします。このポリシーは、ストア WSL にのみ適用されます。
ユーザー設定ファイアウォールの構成を許可する	無効に設定すると、このポリシーは .wslconfig (wsl2.firewall) を使用してファイアウォール構成を無効にします。このポリシーは、ストア WSL にのみ適用されます。
入れ子になった仮想化を許可する	無効に設定すると、このポリシーは .wslconfig (wsl2.nestedVirtualization) を使用して入れ子になった仮想化構成を無効にします。このポリシーは、ストア WSL にのみ適用されます。
カーネルデバッグを許可する	無効に設定すると、このポリシーは .wslconfig (wsl2.kernelDebugPort) を使用してカーネルデバッグ構成を無効にします。このポリシーは、ストア WSL にのみ適用されます。

グループポリシーを使用して設定する

WSL ポリシーは、GitHub からダウンロードできる WSL ADMX ファイルによって定義されます。

ADMX ファイルは手動でインポートし、グループポリシーをコンピューター上でローカルに管理するために使用できます。そのプロセスの詳細については、ADMX ドキュメントページを参照してください。

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-08-07

次の方法で共有