Microsoft Defender Application Guardポリシー設定を構成する
注
- Windows 分離アプリ起動ツール API を含むMicrosoft Defender Application Guardは、Microsoft Edge for Businessでは非推奨となり、更新されなくなります。 Microsoft Edge セキュリティ機能の詳細については、「 Microsoft Edge For Business Security」を参照してください。
- Windows 11以降、Windows 分離アプリ起動ツール API を含むバージョン 24H2 Microsoft Defender Application Guardは使用できなくなります。
- Application Guardは非推奨であるため、Edge Manifest V3 への移行はありません。 対応するブラウザー拡張機能と関連する Windows ストア アプリは使用できなくなりました。 企業で MDAG の使用を廃止する準備ができるまで保護されていないブラウザーをブロックする場合は、AppLocker ポリシーまたは Microsoft Edge 管理サービスを使用することをお勧めします。 詳細については、「Microsoft Edge とMicrosoft Defender Application Guard」を参照してください。
Microsoft Defender Application Guard (Application Guard) はグループ ポリシーと連携して、organizationのコンピューター設定を管理するのに役立ちます。 グループ ポリシーを使うと、ポリシー設定を 1 回設定した後、その設定を複数のコンピューターにコピーできます。 たとえば、ドメインにリンクされている グループ ポリシー オブジェクトで複数のセキュリティ設定を設定し、それらの設定をすべてドメイン内のすべてのエンドポイントに適用できます。
Application Guard では、ネットワーク分離設定とアプリケーション固有の設定の両方を使います。
Windows エディションとライセンスに関する要件
次の表に、Edge エンタープライズ モードとエンタープライズ管理のMicrosoft Defender Application Guard (MDAG) をサポートする Windows エディションを示します。
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
なし | はい | なし | はい |
Edge エンタープライズ モードとエンタープライズ管理ライセンスエンタイトルメントのMicrosoft Defender Application Guard (MDAG) は、次のライセンスによって付与されます。
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
なし | はい | はい | はい | ○ |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
スタンドアロン モードでの Microsoft Edge のMicrosoft Defender Application Guard (MDAG) の詳細については、「Microsoft Defender Application Guardの概要」を参照してください。
ネットワーク分離設定
これらの設定は、Computer Configuration\Administrative Templates\Network\Network Isolation
に配置され、organizationのネットワーク境界を定義および管理するのに役立ちます。 Application Guardでは、この情報を使用して、非法人リソースへのアクセス要求をApplication Guard コンテナーに自動的に転送します。
注
Windows 10、KB5014666がインストールされている場合、およびWindows 11の場合、KB5014668がインストールされている場合は、管理モードで Microsoft Edge のApplication Guardを有効にするようにネットワーク分離ポリシーを構成する必要はありません。
注
従業員のデバイスのアプリ設定に対してクラウドまたはプライベート ネットワークの範囲でホストされているエンタープライズ リソース ドメインを構成して、エンタープライズ モードで Application Guard を正常に有効にする必要があります。 プロキシ サーバーは、仕事用ポリシー と個人用ポリシーの両方として分類されたドメイン に記載されているニュートラル リソースである必要があります。
ポリシー名 | サポートされているバージョン | 説明 |
---|---|---|
アプリのプライベート ネットワークの範囲 | Windows Server 2012、Windows 8、または Windows RT 以降 | 社内ネットワークのコンマで区切られた IP アドレス範囲の一覧です。 含まれるエンドポイントまたは指定した IP アドレスの範囲内に含まれているエンドポイントは、Microsoft Edge を使ってレンダリングされ、Application Guard 環境からアクセスできなくなります。 |
クラウドでホストされるエンタープライズ リソース ドメイン | Windows Server 2012、Windows 8、または Windows RT 以降 | ドメイン クラウド リソースのパイプ区切り (| ) リスト。 含まれるエンドポイントは、Microsoft Edge を使ってレンダリングされ、Application Guard 環境からアクセスできなくなります。 この一覧では、 ネットワーク分離設定のワイルドカード テーブルで詳しく説明されているワイルドカードがサポートされています。 |
職場用と個人用に分類されたドメイン | Windows Server 2012、Windows 8、または Windows RT 以降 | 職場用と個人用リソースの両方として使われるドメイン名のコンマ区切りのリスト。 含まれているエンドポイントは Microsoft Edge を使用してレンダリングされ、Application Guardおよび通常の Microsoft Edge 環境からアクセスできます。 この一覧では、 ネットワーク分離設定のワイルドカード テーブルで詳しく説明されているワイルドカードがサポートされています。 |
ネットワーク分離設定のワイルドカード
値 | 左側のドットの数 | 意味 |
---|---|---|
contoso.com |
0 |
contoso.com のリテラル値のみを信頼します。 |
www.contoso.com |
0 |
www.contoso.com のリテラル値のみを信頼します。 |
.contoso.com |
1 | テキスト contoso.com で終わるドメインを信頼します。 照合サイトには、 spearphishingcontoso.com 、 contoso.com 、 www.contoso.com が含まれます。 |
..contoso.com |
2 | ドットの左側にあるドメイン階層のすべてのレベルを信頼します。 照合サイトには、 shop.contoso.com 、 us.shop.contoso.com 、 www.us.shop.contoso.com が含まれますが、 contoso.com 自体は含まれません。 |
アプリケーション固有の設定
Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard
にあるこれらの設定は、Application Guardのorganizationの実装を管理するのに役立ちます。
名前 | サポートされているバージョン | 説明 | オプション |
---|---|---|---|
クリップボード設定Microsoft Defender Application Guard構成する | Windows 10 Enterprise、1709 以上 Windows 10 Education、1809 以上 Windows 11 Enterpriseと教育 |
Application Guard でクリップボードの機能を使うかどうかを指定します。 | 有効。 これは、マネージド モードでのみ有効です。 クリップボード機能をオンにし、さらに次の操作を行うかどうかを選択できます。 - 仮想化セキュリティが有効になっている場合は、クリップボード機能を完全に無効にします。 - Application Guardから Microsoft Edge への特定のコンテンツのコピーを有効にします。 - Microsoft Edge からApplication Guardへの特定のコンテンツのコピーを有効にします。 大事な:コピーしたコンテンツを Microsoft Edge からApplication Guardに移行できるようにすることは、潜在的なセキュリティ リスクを引き起こす可能性があるため、推奨されません。 無効または未構成。 Application Guardのクリップボード機能を完全にオフにします。 |
印刷設定Microsoft Defender Application Guard構成する | Windows 10 Enterprise、1709 以上 Windows 10 Education、1809 以上 Windows 11 Enterpriseと教育 |
Application Guard で印刷機能を使うかどうかを決定します。 | 有効。 これは、マネージド モードでのみ有効です。 印刷機能をオンにし、さらに次の操作を行うかどうかを選択できます。 - Application Guardを有効にして XPS 形式で印刷します。 - Application Guardを有効にして PDF 形式で印刷します。 - Application Guardを有効にして、ローカルに接続されたプリンターに印刷します。 - Application Guardを有効にして、以前に接続したネットワーク プリンターから印刷できるようにします。 従業員は他のプリンターを検索できません。 無効または未構成。 Application Guard の印刷機能を完全に無効にします。 |
永続化の許可 | Windows 10 Enterprise、1709 以上 Windows 10 Education、1809 以上 Windows 11 Enterpriseと教育 |
Microsoft Defender Application Guardの異なるセッション間でデータが保持されるかどうかを判断します。 | 有効。 これは、マネージド モードでのみ有効です。 Application Guard では、ユーザーがダウンロードしたファイルとその他の項目 (Cookie、お気に入りなど) を保存して今後の Application Guard セッションで使えるようにします。 無効または未構成。 Application Guard 内のすべてのユーザー データはセッション間でリセットされます。 注: 後で従業員のデータ永続化のサポートを停止する場合は、Windows が提供するユーティリティを使用してコンテナーをリセットし、個人データを破棄できます。
コンテナーをリセットするには: |
マネージド モードでMicrosoft Defender Application Guardを有効にする | Windows 10 Enterprise、1709 以上 Windows 10 Education、1809 以上 Windows 11 Enterpriseと教育 |
Microsoft Edge と Microsoft Office のApplication Guardを有効にするかどうかを決定します。 | 有効。 Microsoft Edge または Microsoft Office のApplication Guardをオンにし、ネットワーク分離設定を考慮して、Application Guard コンテナー内の信頼されていないコンテンツをレンダリングします。 Application Guardは、必要な前提条件とネットワーク分離設定がデバイスに既に設定されていない限り、実際にはオンになりません。 使用可能なオプション: - Microsoft Edge に対してのみMicrosoft Defender Application Guardを有効にする - Microsoft Office に対してのみMicrosoft Defender Application Guardを有効にする - Microsoft Edge と Microsoft Office の両方でMicrosoft Defender Application Guardを有効にする 無効。 Application Guardをオフにして、すべてのアプリを Microsoft Edge と Microsoft Office で実行できるようにします。 手記:Windows 10、KB5014666がインストールされている場合、およびWindows 11の場合、KB5014668がインストールされている場合は、Microsoft Edge のApplication Guardを有効にするようにネットワーク分離ポリシーを構成する必要がなくなりました。 |
オペレーティング システムをホストするためのファイルのダウンロードを許可する | Windows 10 Enterpriseまたは Pro、1803 以上 Windows 10 Education、1809 以上 Windows 11 Enterpriseまたは Pro または Education |
ダウンロードしたファイルを、Microsoft Defender Application Guard コンテナーからホスト オペレーティング システムに保存するかどうかを決定します。 | 有効。 ユーザーは、Microsoft Defender Application Guard コンテナーからホスト オペレーティング システムにダウンロードしたファイルを保存できます。 このアクションにより、ホストとコンテナーの間に共有が作成され、ホストからApplication Guard コンテナーへのアップロードも可能になります。 無効または未構成。 ユーザーは、ダウンロードしたファイルをApplication Guardからホスト オペレーティング システムに保存できません。 |
Microsoft Defender Application Guardのハードウェア高速化レンダリングを許可する | Windows 10 Enterprise、1709 以上 Windows 10 Education、1809 以上 Windows 11 Enterpriseと教育 |
ハードウェアアクセラレーションとソフトウェアアクセラレーションのどちらを使用Microsoft Defender Application Guardグラフィックスをレンダリングするかを決定します。 | 有効。 これは、マネージド モードでのみ有効です。 Microsoft Defender Application Guardは Hyper-V を使用して、サポートされている高セキュリティ レンダリング グラフィックス ハードウェア (GPU) にアクセスします。 これらの GPU は、特にビデオ再生やその他のグラフィックスを集中的に使用するユース ケースで、Microsoft Defender Application Guardを使用しながらレンダリングパフォーマンスとバッテリ寿命を向上させます。 この設定がセキュリティの高いレンダリング グラフィックス ハードウェアを接続せずに有効になっている場合、Microsoft Defender Application Guardは自動的にソフトウェア ベース (CPU) レンダリングに戻ります。
大事な: 侵害される可能性のあるグラフィックス デバイスまたはドライバーでこの設定を有効にすると、ホスト デバイスにリスクが発生する可能性があります。 無効または未構成。 Microsoft Defender Application Guardは、ソフトウェア ベース (CPU) レンダリングを使用し、サード パーティ製のグラフィックス ドライバーを読み込んだり、接続されているグラフィックス ハードウェアと対話したりすることはありません。 |
Microsoft Defender Application Guardでカメラとマイクへのアクセスを許可する | Windows 10 Enterprise、1709 以上 Windows 10 Education、1809 以上 Windows 11 Enterpriseと教育 |
Microsoft Defender Application Guard内でカメラとマイクへのアクセスを許可するかどうかを指定します。 | 有効。 これは、マネージド モードでのみ有効です。 Microsoft Defender Application Guard内のアプリケーションは、ユーザーのデバイス上のカメラとマイクにアクセスできます。
大事な: 侵害される可能性のあるコンテナーでこのポリシーを有効にすると、カメラとマイクのアクセス許可をバイパスし、ユーザーの知らないうちにカメラとマイクにアクセスする可能性があります。 無効または未構成。 Microsoft Defender Application Guard内のアプリケーションは、ユーザーのデバイス上のカメラとマイクにアクセスできません。 |
ユーザー Microsoft Defender Application Guardデバイスからのルート証明機関の使用を許可する | Windows 10 Enterpriseまたは Pro、1809 以上 Windows 10 Education、1809 以上 Windows 11 Enterpriseまたは Pro |
ルート証明書をMicrosoft Defender Application Guardと共有するかどうかを決定します。 | 有効。 指定した拇印に一致する証明書がコンテナーに転送されます。 複数の証明書を区切るには、コンマを使用します。 無効または未構成。 証明書はMicrosoft Defender Application Guardと共有されません。 |
Microsoft Defender Application Guardで監査イベントを許可する | Windows 10 Enterprise、1709 以上 Windows 10 Education、1809 以上 Windows 11 Enterpriseと教育 |
このポリシー設定を使用すると、監査イベントをMicrosoft Defender Application Guardから収集できるかどうかを決定できます。 | 有効。 これは、マネージド モードでのみ有効です。 Application Guardは、デバイスから監査ポリシーを継承し、Application Guard コンテナーからホストにシステム イベントをログに記録します。 無効または未構成。 イベント ログは、Application Guard コンテナーから収集されません。 |
Application Guard サポート ダイアログの設定
これらの設定は、 Administrative Templates\Windows Components\Windows Security\Enterprise Customization
にあります。 エラーが発生した場合は、ダイアログ ボックスが表示されます。 既定では、このダイアログ ボックスにはエラー情報と、フィードバック ハブを介して Microsoft に報告するためのボタンのみが含まれています。 ただし、ダイアログ ボックスに追加情報を提供することもできます。