Microsoft Defender SmartScreenは、ダウンロードしたファイルの評判を確認してから実行を許可します。 評判のしくみを理解することは、ユーザーがファイルをダウンロードまたは実行するときの警告を回避するのに役立ちます。
ヒント
SmartScreen の警告を回避する最も簡単な方法は、Microsoft Storeを介して発行することです。 ストア分散アプリはMicrosoft証明書によって署名され、SmartScreen のダウンロード警告の対象になることはありません。 この記事の残りの部分は、ストアの外部に配布されるアプリに適用されます。
SmartScreen の評判のしくみ
SmartScreen は、ユーザーがファイルをダウンロードして実行するときに、次の 2 つのシグナルを評価します。
- Publisher reputation — ファイルは署名されていますか? 署名証明書は既知の信頼された発行元ですか?
- ファイル ハッシュの評判 — この特定のファイルは、悪意のある動作を示さずにユーザーによってダウンロードされていますか?
ファイルのハッシュまたはその発行元の証明書に対して否定的または不明な評判が発生すると、警告が表示される可能性があります。 署名された場合でも、ハッシュ証明書または発行元証明書が肯定的な評判の十分な証拠を蓄積するまで、新しく作成されたバイナリに SmartScreen 警告が表示される可能性があります。
ファイルが署名されていない場合、SmartScreen の評判は各新しいバージョンごとにゼロから構築されなければなりません。 両方が同じパブリッシャー ID を使用して署名されていない限り、評判は以前のバージョンから転送できません。
証明書オプションとその SmartScreen への影響
中断の可能性を減らすには、すべてのファイルに有効な証明書で署名する必要があります。
| 証明書タイプ | SmartScreen の初回ダウンロード動作 |
|---|---|
| Microsoft Store | ✅ 警告なし — Microsoftの証明書の対象 |
| 有効な証明書 (OV/EV) | ⚠️ 警告 — 評判が蓄積されるまで認識されないというフラグが設定されたアプリ。検証済みの発行元名が表示される |
| 署名なし | ⚠️ 警告 — 「Windows が PC を保護しました」; ユーザーは、アプリを実行するには [実行] を選択する必要があります。 エンタープライズ ポリシーは、継続を完全に防ぐことができます。 |
| 自己署名証明書 | ⚠️ 警告 — 署名がない場合と同じ動作 |
注
EV 証明書が SmartScreen をバイパスしなくなりました。 何年も前に、拡張検証 (EV) コード署名証明書を使用してファイルに署名すると、既定では SmartScreen の評判が良くなりますが、この動作は存在しなくなりました。 EV 証明書は企業の調達に重要な場合がありますが、SmartScreen の動作には影響しません。 SmartScreen の警告を回避するためだけに EV にプレミアムを支払うことは、もはや正当化されません。
Microsoft Store (推奨)
Microsoft Storeを通じて公開されたアプリは、Microsoftによって再署名され、完全な評判を持ちます。 ストアにインストールされたアプリに対して SmartScreen の警告が表示されることはありません。
アーティファクトの署名 (旧: 信頼された署名)
Artifact 署名 (旧信頼署名) は、Microsoftがストア以外での配布に推奨するコード署名サービスです。
- コスト: 約 $10/月
- ハードウェア トークンは必要ありません — CI/CD パイプライン (GitHub Actions、Azure DevOps) と直接統合されます
- アイデンティティ確認が必要 — Microsoft は証明書を発行する前に ID を検証します
- SmartScreen の動作 - ダウンロードのボリュームと動作に基づいて、時間の経過と同時に評判が蓄積されます
新しいアプリを発行する場合の想定される内容
- 最初のダウンロード: アプリが認識されないことを示す SmartScreen プロンプトが表示される場合があります。 署名されたアプリの場合は、発行元名が表示されます。 ユーザーは、ソースを確認した後にのみ続行する必要があります。
- ダウンロードが蓄積された場合: SmartScreen の評判は自動的に構築されます。 ファイル ハッシュに十分なダウンロード履歴が含まれると、プロンプトが表示されなくなります。 正確なしきい値はありませんが、幅広いユーザーから数週間、何百ものクリーン インストールが必要な場合があります。
- 新しいバージョン: 信頼された証明書を使用してファイルに署名すると、証明書の評判を構築でき、同じ信頼された証明書によって署名された新しいファイルに対する警告が回避される可能性があります。 署名されていないファイルは、更新ごとに評判を新たに構築する必要があります。
コンシューマー エンドポイントの SmartScreen 評判レビュー用のファイルを手動で送信する必要 (またはメカニズム) はありません。 評判は、ダウンロード ボリュームを通じて有機的に構築されます。
注
エンタープライズ環境では、ポリシー構成に応じて SmartScreen の動作が異なる場合があります。たとえば、SmartScreen 警告をバイパスする機能が無効になっている可能性があります。 企業は、SmartScreen レビューの対象ではない信頼されたイントラネットの場所からファイルを配布する場合があります。 エンタープライズ IT 管理者は、必要に応じて、Microsoft Security Intelligence ポータルを使用して、レビュー用のファイルを送信できます。 これにより、内部デプロイまたはマネージド デプロイに対する信頼を高めることができます。
SmartScreen の警告を最小限に抑える
- 可能な場合はMicrosoft Storeに発行します。これは、警告を完全に回避するための最も信頼性の高い方法です
- すべてのリリースに署名 する — 署名されていないファイルは、署名証明書から肯定的な評判を継承できません
- 署名済みファイルを変更しない - 署名後にファイルを変更しないようにすると、クライアントの構成によっては 署名が中断 される可能性があります
- 望ましくない可能性のあるアプリケーションに署名しない - 悪意のある、または望ましくない可能性のあるアプリケーション の動作を示すファイルへの署名を避けるか、証明書が 否定的な 評判を得る可能性があります
- 一貫性のある署名 ID を使用 する - 署名証明書を変更すると、発行元の信頼シグナルに影響します
- 早期導入者と通信 する — 新しいアプリの場合は、ベータ版ユーザーに最初のダウンロード時に SmartScreen プロンプトが表示される可能性があることを知らせ、発行元を確認し、ダウンロード ソースを信頼していることを確認した後にのみ続行する必要があることを通知します
ヒント
Windows 11デバイスでは、Smart App Control 機能が SmartScreen アプリケーションの評判よりも優先される場合があります。 Smart App Control は、ファイルに肯定的な評判がない限り、署名されていないファイルの実行をブロックします。 スマート アプリコントロール署名チェックは、インターネットからダウンロードしたファイルだけでなく、すべての実行可能ファイルに適用されます。
関連するコンテンツ
GitHub で Microsoft と共同作業する
このコンテンツのソースは GitHub にあります。そこで、issue や pull request を作成および確認することもできます。 詳細については、共同作成者ガイドを参照してください。
Windows developer