Windows 10 で UWF (Unified Write Filter) とグループ ポリシーによるデバイスのインストール制限を併用する場合の動作について

こんにちは、Windows Platform サポートチームです。

この記事では、 Windows 10 で UWF (Unified Write Filter) とグループ ポリシーによるデバイスのインストール制限を併用する場合に発生する事象についてご案内します。

 

事象

グループ ポリシーでデバイスのインストール制限を有効にした状態で、UWF のフィルターでドライブの保護を有効にすると、以下のような事象が発生します。

・フィルター除外を設定したフォルダーを開こうとすると、「<アクセスしたフォルダー> は利用できません。」というエラー メッセージが表示される。
・UWF 関連の処理 (uwfmgr コマンドの実行など) に非常に時間がかかる。

 

（グループ ポリシーでデバイスのインストール制限を実施する設定例）

以下の設定と、許可または禁止するデバイスの設定を組み合わせて適用します。

項目：[コンピューターの構成] - [管理用テンプレート] - [システム] - [デバイスのインストール] - [デバイスのインストール制限]
設定：[他のポリシーで記述されていないデバイスのインストールを禁止する] を [有効]

 

発生理由

これは想定された動作です。
UWF によるフィルター除外設定やコミット処理などの変更を一時的に保存するため、Windows では仮想ボリュームを使用しますが、グループ ポリシーでデバイスのインストール制限を有効にしている場合、仮想ボリュームのインストールが制限されるため、上記のような動作となります。
この事象が発生する場合、システム イベント ログに以下の ID 20005 の UserPnp イベントが記録されます。

（記録されるイベントの例）
情報 xxxx/xx/xx xx:xx:xx UserPnp 20005 (7005)
デバイスのインストールの制限ポリシー設定により、ドライバー管理が、デバイス インスタンス ID STORAGE\VOLUME\x&xxxxxxxx&x&-x のインストールを制限しました。

 

回避策

上記の通り、上記動作は想定されたものであり、現時点で回避策はございません。

 

参考情報: Universal Write Filter について
Unified Write Filter (UWF) feature
https://docs.microsoft.com/en-us/windows-hardware/customize/enterprise/unified-write-filter