その 2 で終わろうと思っていたのですが、デバイスガードのカタログの署名をビジネス向け Windows ストアから発行できる仕組みが整っていたのでこちらもまとめておきたいと思います。
ビジネス向け Windows ストア から、組織アカウントでログオンすることでアクセスが可能となります。
Office 365 や Azure を使っているのであれば、アカウントはあるかと。
ビジネス向け Windows ストアの情報については、ビジネス向け Windows ストア に書かれていますので、こちらを確認すると良いかと。
デバイスガードの署名については、Device Guard の署名 で公開されています。
今までの作業であまり意識していなかったのですが、cat だけでなく、bin にも署名ができるのですね。
ビジネス向け Windows ストアでは、以下のように「設定」に「Device Guard の署名」があります。 
この画面では、以下のようにファイルをアップロードすることで、アップロードしたファイルに対して署名をすることができます。
ファイルをアップロードし、署名を行うとアップロードしたファイルに署名が行われます。
署名した証明書のルート署名についても、この画面からダウンロードできますので、ルート署名をデバイスガードを設定する環境に配置して、カタログを配布することで、有効なカタログの配置が可能となります。
デバイスガードのカタログに付与されている証明書については、約 1 年間、ルート証明書については約 30 年間程度の有効期限となっているようです。
一年ごとのカタログの入れ替えと、カタログの証明書の入れ替えの運用については検討する必要があるようですね。