Microsoft Defender Application Guard ポリシー設定を構成する
注
- Windows Isolated App Launcher API を含む Microsoft Defender Application Guard は、Microsoft Edge for Business では非推奨となり、更新されなくなります。 Edge for Business セキュリティ機能の詳細については、 Microsoft Edge For Business セキュリティに 関するホワイトペーパーをダウンロードしてください。
- Application Guard は非推奨であるため、Edge Manifest V3 への移行はありません。 対応するブラウザー拡張機能と関連する Windows ストア アプリは使用できなくなりました。 企業で MDAG の使用を廃止する準備ができるまで保護されていないブラウザーをブロックする場合は、AppLocker ポリシーまたは Microsoft Edge 管理サービスを使用することをお勧めします。 詳細については、「 Microsoft Edge と Microsoft Defender Application Guard」を参照してください。
Microsoft Defender Application Guard (Application Guard) はグループ ポリシーと連携して、組織のコンピューター設定を管理するのに役立ちます。 グループ ポリシーを使うと、ポリシー設定を 1 回設定した後、その設定を複数のコンピューターにコピーできます。 たとえば、ドメインにリンクされているグループ ポリシー オブジェクトに複数のセキュリティ設定を設定し、それらの設定をすべてドメイン内のすべてのエンドポイントに適用できます。
Application Guard では、ネットワーク分離設定とアプリケーション固有の設定の両方を使います。
Windows エディションとライセンスに関する要件
次の表は、Microsoft Defender Application Guard (MDAG) for Edge エンタープライズ モードとエンタープライズ管理をサポートする Windows エディションの一覧です。
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
なし | はい | なし | はい |
Microsoft Defender Application Guard (MDAG) for Edge エンタープライズ モードおよびエンタープライズ管理ライセンスエンタイトルメントは、次のライセンスによって付与されます。
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
なし | はい | はい | はい | ○ |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
Microsoft Edge のスタンドアロン モードでの Microsoft Defender Application Guard (MDAG) の詳細については、「 Microsoft Defender Application Guard の概要」を参照してください。
ネットワーク分離設定
これらの設定は、 Computer Configuration\Administrative Templates\Network\Network Isolation
に配置され、組織のネットワーク境界を定義および管理するのに役立ちます。 Application Guard では、この情報を使用して、非コーコレート リソースへのアクセス要求を Application Guard コンテナーに自動的に転送します。
注
Windows 10 の場合、KB5014666がインストールされている場合、および Windows 11 の場合、KB5014668インストールされている場合は、管理モードで Microsoft Edge 用 Application Guard を有効にするようにネットワーク分離ポリシーを構成する必要はありません。
注
従業員のデバイスのアプリ設定に対してクラウドまたはプライベート ネットワークの範囲でホストされているエンタープライズ リソース ドメインを構成して、エンタープライズ モードで Application Guard を正常に有効にする必要があります。 プロキシ サーバーは、仕事用ポリシー と個人用ポリシーの両方として分類されたドメイン に記載されているニュートラル リソースである必要があります。
ポリシー名 | サポートされているバージョン | 説明 |
---|---|---|
アプリのプライベート ネットワークの範囲 | Windows Server 2012、Windows 8、または Windows RT 以降 | 社内ネットワークのコンマで区切られた IP アドレス範囲の一覧です。 含まれるエンドポイントまたは指定した IP アドレスの範囲内に含まれているエンドポイントは、Microsoft Edge を使ってレンダリングされ、Application Guard 環境からアクセスできなくなります。 |
クラウドでホストされるエンタープライズ リソース ドメイン | Windows Server 2012、Windows 8、または Windows RT 以降 | ドメイン クラウド リソースのパイプ区切り (| ) リスト。 含まれるエンドポイントは、Microsoft Edge を使ってレンダリングされ、Application Guard 環境からアクセスできなくなります。 この一覧では、 ネットワーク分離設定のワイルドカード テーブルで詳しく説明されているワイルドカードがサポートされています。 |
職場用と個人用に分類されたドメイン | Windows Server 2012、Windows 8、または Windows RT 以降 | 職場用と個人用リソースの両方として使われるドメイン名のコンマ区切りのリスト。 含まれているエンドポイントは Microsoft Edge を使用してレンダリングされ、Application Guard と通常の Microsoft Edge 環境からアクセスできます。 この一覧では、 ネットワーク分離設定のワイルドカード テーブルで詳しく説明されているワイルドカードがサポートされています。 |
ネットワーク分離設定のワイルドカード
値 | 左側のドットの数 | 意味 |
---|---|---|
contoso.com |
0 |
contoso.com のリテラル値のみを信頼します。 |
www.contoso.com |
0 |
www.contoso.com のリテラル値のみを信頼します。 |
.contoso.com |
1 | テキスト contoso.com で終わるドメインを信頼します。 照合サイトには、 spearphishingcontoso.com 、 contoso.com 、 www.contoso.com が含まれます。 |
..contoso.com |
2 | ドットの左側にあるドメイン階層のすべてのレベルを信頼します。 照合サイトには、 shop.contoso.com 、 us.shop.contoso.com 、 www.us.shop.contoso.com が含まれますが、 contoso.com 自体は含まれません。 |
アプリケーション固有の設定
これらの設定は、 Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard
に配置され、組織の Application Guard の実装を管理するのに役立ちます。
名前 | サポートされているバージョン | 説明 | オプション |
---|---|---|---|
Microsoft Defender Application Guard クリップボードの設定を構成する | Windows 10 Enterprise、1709 以降 Windows 10 Education、1809 以降 Windows 11 Enterprise and Education |
Application Guard でクリップボードの機能を使うかどうかを指定します。 | 有効。 これは、マネージド モードでのみ有効です。 クリップボード機能をオンにし、さらに次の操作を行うかどうかを選択できます。 - 仮想化セキュリティが有効になっている場合は、クリップボード機能を完全に無効にします。 - Application Guard から Microsoft Edge への特定のコンテンツのコピーを有効にします。 - Microsoft Edge から Application Guard への特定のコンテンツのコピーを有効にします。 大事な: コピーしたコンテンツを Microsoft Edge から Application Guard に移行できるようにすることは、潜在的なセキュリティ リスクを引き起こす可能性があるため、推奨されません。 無効または未構成。 Application Guard のクリップボード機能を完全にオフにします。 |
Microsoft Defender Application Guard の印刷設定を構成する | Windows 10 Enterprise、1709 以降 Windows 10 Education、1809 以降 Windows 11 Enterprise and Education |
Application Guard で印刷機能を使うかどうかを決定します。 | 有効。 これは、マネージド モードでのみ有効です。 印刷機能をオンにし、さらに次の操作を行うかどうかを選択できます。 - Application Guard を有効にして XPS 形式で印刷します。 - Application Guard を有効にして PDF 形式で印刷します。 - Application Guard を有効にして、ローカルに接続されているプリンターに印刷します。 - 以前に接続したネットワーク プリンターから Application Guard を印刷できるようにします。 従業員は他のプリンターを検索できません。 無効または未構成。 Application Guard の印刷機能を完全に無効にします。 |
永続化の許可 | Windows 10 Enterprise、1709 以降 Windows 10 Education、1809 以降 Windows 11 Enterprise and Education |
Microsoft Defender Application Guard の異なるセッション間でデータが保持されるかどうかを判断します。 | 有効。 これは、マネージド モードでのみ有効です。 Application Guard では、ユーザーがダウンロードしたファイルとその他の項目 (Cookie、お気に入りなど) を保存して今後の Application Guard セッションで使えるようにします。 無効または未構成。 Application Guard 内のすべてのユーザー データはセッション間でリセットされます。 注: 後で従業員のデータ永続化のサポートを停止する場合は、Windows が提供するユーティリティを使用してコンテナーをリセットし、個人データを破棄できます。
コンテナーをリセットするには: |
マネージド モードで Microsoft Defender Application Guard を有効にする | Windows 10 Enterprise、1709 以降 Windows 10 Education、1809 以降 Windows 11 Enterprise and Education |
Application Guard for Microsoft Edge と Microsoft Office を有効にするかどうかを決定します。 | 有効。 Application Guard for Microsoft Edge または Microsoft Office を有効にし、ネットワーク分離設定を考慮して、Application Guard コンテナーに信頼されていないコンテンツをレンダリングします。 Application Guard は、必要な前提条件とネットワーク分離設定がデバイスに既に設定されていない限り、実際にはオンになりません。 使用可能なオプション: - Microsoft Edge に対してのみ Microsoft Defender Application Guard を有効にする - Microsoft Office に対してのみ Microsoft Defender Application Guard を有効にする - Microsoft Edge と Microsoft Office の両方で Microsoft Defender Application Guard を有効にする 無効。 Application Guard をオフにして、すべてのアプリを Microsoft Edge と Microsoft Office で実行できるようにします。 手記: Windows 10 の場合は、KB5014666がインストールされている場合、および Windows 11 の場合、KB5014668インストールされている場合は、Application Guard for Microsoft Edge を有効にするためにネットワーク分離ポリシーを構成する必要がなくなりました。 |
オペレーティング システムをホストするためのファイルのダウンロードを許可する | Windows 10 Enterprise または Pro、1803 以降 Windows 10 Education、1809 以降 Windows 11 Enterprise または Pro または Education |
ダウンロードしたファイルを Microsoft Defender Application Guard コンテナーからホスト オペレーティング システムに保存するかどうかを決定します。 | 有効。 ユーザーが Microsoft Defender Application Guard コンテナーからホスト オペレーティング システムにダウンロードしたファイルを保存できるようにします。 このアクションにより、ホストとコンテナーの間に共有が作成され、ホストから Application Guard コンテナーへのアップロードも可能になります。 無効または未構成。 ダウンロードしたファイルを Application Guard からホスト オペレーティング システムに保存することはできません。 |
Microsoft Defender Application Guard のハードウェア高速化レンダリングを許可する | Windows 10 Enterprise、1709 以降 Windows 10 Education、1809 以降 Windows 11 Enterprise and Education |
Microsoft Defender Application Guard がハードウェアアクセラレーションまたはソフトウェアアクセラレーションを使用してグラフィックスをレンダリングするかどうかを決定します。 | 有効。 これは、マネージド モードでのみ有効です。 Microsoft Defender Application Guard は Hyper-V を使用して、サポートされているセキュリティの高いレンダリング グラフィックス ハードウェア (GPU) にアクセスします。 これらの GPU は、特にビデオ再生やその他のグラフィックスを集中的に使用するユース ケースで、Microsoft Defender Application Guard を使用している間のレンダリング パフォーマンスとバッテリ寿命を向上させます。 セキュリティの高いレンダリング グラフィックス ハードウェアを接続せずにこの設定を有効にすると、Microsoft Defender Application Guard はソフトウェア ベース (CPU) レンダリングに自動的に戻ります。
大事な: 侵害される可能性のあるグラフィックス デバイスまたはドライバーでこの設定を有効にすると、ホスト デバイスにリスクが発生する可能性があります。 無効または未構成。 Microsoft Defender Application Guard はソフトウェア ベース (CPU) レンダリングを使用し、サード パーティ製のグラフィックス ドライバーを読み込んだり、接続されているグラフィックス ハードウェアと対話したりすることはありません。 |
Microsoft Defender Application Guard でカメラとマイクへのアクセスを許可する | Windows 10 Enterprise、1709 以降 Windows 10 Education、1809 以降 Windows 11 Enterprise and Education |
Microsoft Defender Application Guard 内でカメラとマイクへのアクセスを許可するかどうかを指定します。 | 有効。 これは、マネージド モードでのみ有効です。 Microsoft Defender Application Guard 内のアプリケーションは、ユーザーのデバイス上のカメラとマイクにアクセスできます。
大事な: 侵害される可能性のあるコンテナーでこのポリシーを有効にすると、カメラとマイクのアクセス許可をバイパスし、ユーザーの知らないうちにカメラとマイクにアクセスする可能性があります。 無効または未構成。 Microsoft Defender Application Guard 内のアプリケーションは、ユーザーのデバイス上のカメラとマイクにアクセスできません。 |
ユーザーのデバイスからのルート証明機関の使用を Microsoft Defender Application Guard に許可する | Windows 10 Enterprise または Pro、1809 以上 Windows 10 Education、1809 以降 Windows 11 Enterprise または Pro |
ルート証明書を Microsoft Defender Application Guard と共有するかどうかを決定します。 | 有効。 指定した拇印に一致する証明書がコンテナーに転送されます。 複数の証明書を区切るには、コンマを使用します。 無効または未構成。 証明書は Microsoft Defender Application Guard と共有されません。 |
Microsoft Defender Application Guard で監査イベントを許可する | Windows 10 Enterprise、1709 以降 Windows 10 Education、1809 以降 Windows 11 Enterprise and Education |
このポリシー設定を使用すると、監査イベントを Microsoft Defender Application Guard から収集できるかどうかを決定できます。 | 有効。 これは、マネージド モードでのみ有効です。 Application Guard は、デバイスから監査ポリシーを継承し、Application Guard コンテナーからホストにシステム イベントをログに記録します。 無効または未構成。 イベント ログは Application Guard コンテナーから収集されません。 |
Application Guard のサポート ダイアログ設定
これらの設定は、 Administrative Templates\Windows Components\Windows Security\Enterprise Customization
にあります。 エラーが発生した場合は、ダイアログ ボックスが表示されます。 既定では、このダイアログ ボックスにはエラー情報と、フィードバック ハブを介して Microsoft に報告するためのボタンのみが含まれています。 ただし、ダイアログ ボックスに追加情報を提供することもできます。