WSL のための Intune の設定
Intune などの管理ツールを使って、WSL を Windows コンポーネントとして管理できるようになりました。
これらの設定にアクセスするには、Microsoft Intune 管理センター ポータルに移動して、Devices -> Configuration Profiles -> Create -> New Policy -> Windows 10 and later -> Settings catalog を選びます。新しいプロファイルの名前を作成し、"Linux 用 Windows サブシステム" を検索して、使用できるすべての設定の一覧を表示して追加します。
推奨設定
エンタープライズ環境でセキュリティを最高にするには、次の設定を指定することをお勧めします。
| 設定名 | 値 | 説明 |
|---|---|---|
| Allow the Inbox version of the Windows Subsystem for Linux (Linux 用 Windows サブシステムの受信トレイ バージョンを許可する) | 無効 | このポリシーを無効に設定すると、Linux 用 Windows サブシステムの受信トレイ バージョン (オプション コンポーネント) が無効になります。 このポリシーが無効になっている場合は、WSL のストア バージョンのみを使用できます。 ストア版 WSL と同梱版 WSL の違いについて詳しくは、こちらをご覧ください |
| Allow WSL1 (WSL1 を許可する) | 無効 | このポリシーを無効に設定すると、WSL1 が無効になります。 無効にすると、WSL2 ディストリビューションのみを使用できます。 |
| Allow the debug shell (デバッグ シェルを許可する) | 無効 | このポリシーを無効に設定すると、デバッグ シェル (wsl.exe --debug-shell) が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
| Allow custom kernel configuration (カスタム カーネル構成を許可する) | 無効 | このポリシーを無効に設定すると、.wslconfig (wsl2.kernel) によるカスタム カーネルの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
| Allow kernel command line configuration (カーネル コマンド ラインの構成を許可する) | 無効 | このポリシーを無効に設定すると、.wslconfig (wsl2.kernelCommandLine) によるカーネル コマンド ラインの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
| Allow custom system distribution configuration (カスタム システム ディストリビューションの構成を許可する) | 無効 | このポリシーを無効に設定すると、.wslconfig (wsl2.systemDistro) によるカスタム システム ディストリビューションの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
| Allow custom networking configuration (カスタム ネットワークの構成を許可する) | 無効 | このポリシーを無効に設定すると、.wslconfig (wsl2.networkingmode) によるカスタム ネットワークの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
| Allow user setting firewall configuration (ユーザー設定のファイアウォールの構成を許可する) | 無効 | このポリシーを無効に設定すると、.wslconfig (wsl2.firewall) によるファイアウォールの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
| Allow nested virtualization (入れ子になった仮想化を許可する) | 無効 | このポリシーを無効に設定すると、.wslconfig (wsl2.nestedVirtualization) による入れ子になった仮想化の構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
| Allow kernel debugging (カーネル デバッグを許可する) | 無効 | これを無効に設定すると、.wslconfig (wsl2.kernelDebugPort) によるデバッグの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
WSL へのアクセスを制御する
WSL へのユーザー アクセスは、AllowWSL、AllowInboxWSL、AllowWSL1 の設定によって制御されます。 これらの設定を構成して、Windows バージョンの WSL、WSL 1 ディストリビューション、または WSL 自体へのアクセスを有効または無効にできます。
これにより、ユーザーがエンタープライズ機能のサポートを含む最新バージョンの WSL のみを使うように WSL を構成できます。
WSL のコマンドを制御する
ユーザーが wsl --debug-shell と wsl --mount コマンドを実行できるかどうかは、AllowDebugShell と AllowDiskMount によって制御されます。 wsl --mount コマンドを使用した、WSL 2 でのディスクのマウント方法について説明します。
.wslconfig で WSL の設定へのアクセスを制御する
*UserSettingConfigurable で終わる設定の最後のグループは、.wslconfig での WSL の高度な設定へのアクセスを制御します。 これらが無効に設定されている場合、ユーザーはその設定の既定値のみを使用でき、カスタム値に構成することはできません。 WSL 2 で実行されているすべての Linux ディストリビューションに対してグローバルに構成できる設定の一覧など、.wslconfig の構成設定の詳細について説明します。
使用できるすべての設定の一覧
| 設定名 | 説明 |
|---|---|
| Allow the Windows Subsystem For Linux (Linux 用 Windows サブシステムを許可する) | このポリシーを無効に設定すると、そのマシン上のすべてのユーザーが Linux 用 Windows サブシステムにアクセスできなくなります。 |
| Allow the Inbox version of the Windows Subsystem For Linux (Linux 用 Windows サブシステムの受信トレイ バージョンを許可する) | このポリシーを無効に設定すると、Linux 用 Windows サブシステムの受信トレイ バージョン (オプション コンポーネント) が無効になります。 このポリシーが無効になっている場合は、WSL のストア バージョンのみを使用できます。 |
| Allow WSL1 (WSL1 を許可する) | このポリシーを無効に設定すると、WSL1 が無効になります。 無効にすると、WSL2 ディストリビューションのみを使用できます。 |
| Allow the debug shell (デバッグ シェルを許可する) | このポリシーを無効に設定すると、デバッグ シェル (wsl.exe --debug-shell) が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
| Allow passthrough disk mount (パススルー ディスク マウントを許可する) | このポリシーを無効に設定すると、WSL2 (wsl.exe --mount) でのパススルー ディスク マウントが無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
| Allow custom kernel configuration (カスタム カーネル構成を許可する) | このポリシーを無効に設定すると、.wslconfig (wsl2.kernel) によるカスタム カーネルの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
| Allow kernel command line configuration (カーネル コマンド ラインの構成を許可する) | このポリシーを無効に設定すると、.wslconfig (wsl2.kernelCommandLine) によるカーネル コマンド ラインの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
| Allow custom system distribution configuration (カスタム システム ディストリビューションの構成を許可する) | このポリシーを無効に設定すると、.wslconfig (wsl2.systemDistro) によるカスタム システム ディストリビューションの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
| Allow custom networking configuration (カスタム ネットワークの構成を許可する) | このポリシーを無効に設定すると、.wslconfig (wsl2.networkingmode) によるカスタム ネットワークの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
| Allow user setting firewall configuration (ユーザー設定のファイアウォールの構成を許可する) | このポリシーを無効に設定すると、.wslconfig (wsl2.firewall) によるファイアウォールの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
| Allow nested virtualization (入れ子になった仮想化を許可する) | このポリシーを無効に設定すると、.wslconfig (wsl2.nestedVirtualization) による入れ子になった仮想化の構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
| Allow kernel debugging (カーネル デバッグを許可する) | これを無効に設定すると、.wslconfig (wsl2.kernelDebugPort) によるデバッグの構成が無効になります。 このポリシーは、ストア WSL にのみ適用されます。 |
Windows Subsystem for Linux