この記事は、Microsoft Intuneのローカル AI エージェント ベースライン - OpenClaw セキュリティ ベースラインで使用できる設定のリファレンスです。
このベースラインは、一般的に使用される実行パスを中断するデバイス設定を構成することで、OpenClaw などの未承認のローカル AI エージェントの使用を制限します。 含まれているファイアウォール規則は、Node.js などの一般的なローカル エージェント ランタイム環境からの送信ネットワーク通信を制限します。
重要
これらの設定によって、すべてのエージェント実行パスが完全にブロックされない場合があります。 このベースラインには、ローカル エージェントが利用できるランタイム環境 (Linux 用 Windows サブシステムや Node.js など) を制限するコントロールが含まれます。 このベースラインは、OpenClaw に加えて他のプロセスもブロックする可能性があります。 デプロイ前に各設定を確認してテストし、正当なワークロードに許容できない影響を与える設定を無効にします。
ヒント
このベースラインをデプロイする前にローカル AI エージェントがインストールされているデバイスを特定するには、 プロパティ カタログ を使用して ローカル AI エージェント インベントリ データを収集します。
このリファレンス記事について
各セキュリティ ベースラインは、関連するセキュリティ チームが推奨する詳細なセキュリティ設定を適用および適用するのに役立つ、構成済みの Windows 設定のグループです。 展開する各ベースラインをカスタマイズして、必要な設定と値のみを適用することもできます。 Intune でセキュリティ ベースラインのプロファイルを作成する場合、複数の "デバイス構成" 設定で構成されたテンプレートを作成することになります。
この記事では、次の情報を表示します。
- そのベースライン バージョンの既定のインスタンスにある構成を持つ各設定の一覧。
- 使用可能な場合は、コンテキストを提供する関連製品グループの基になる構成サービス プロバイダー (CSP) ドキュメントまたはその他の関連コンテンツへのリンクが使用されます。
ベースラインの新しいバージョンが使用可能になると、以前のバージョンが置き換えられます。 新しいバージョンの可用性の前に作成されたプロファイル インスタンス:
- 読み取り専用になります。 これらのプロファイルは引き続き使用できますが、それらのプロファイルを編集して構成を変更することはできません。
- 現在のバージョンに更新できます。 プロファイルを現在のベースライン バージョンに更新した後、プロファイルを編集して設定を変更できます。
セキュリティ ベースラインの使用の詳細については、次を参照してください。
ローカル AI エージェント ベースライン - OpenClaw (プレビュー)、バージョン 1
Linux用 Windows サブシステム
ファイアウォール
ファイアウォール規則名
ベースラインの既定値: 構成済み
詳細情報このベースラインには、構成済みの 2 つのファイアウォール規則が含まれています。 どちらの規則でも、Node.js 実行可能ファイルからの送信 TCP 接続がブロックされ、OpenClaw によって使用される一般的な実行パスが中断されます。
規則: LOCALAPPDATA フォルダー内の nodejs をブロックする
プロパティ 既定値 Enabled (有効) Enabled (有効) 名前 LOCALAPPDATA フォルダー内の nodejs をブロックする インターフェイスの種類 All ファイル パス %LOCALAPPDATA%\Programs\node\node.exeネットワークの種類 FW_PROFILE_TYPE_ALL 方向 規則は送信トラフィックに適用されます 操作 Block プロトコル 構成済み - 6 (TCP) 規則: ProgramFiles フォルダーの nodejs をブロックする
プロパティ 既定値 Enabled (有効) Enabled (有効) 名前 ProgramFiles フォルダーの nodejs をブロックする インターフェイスの種類 All ファイル パス %ProgramFiles%\nodejs\node.exeネットワークの種類 FW_PROFILE_TYPE_ALL 方向 規則は送信トラフィックに適用されます 操作 Block プロトコル 構成済み - 6 (TCP) ファイアウォール規則のプロパティの詳細については、「 Firewall CSP - FirewallRules」を参照してください。