Application Guard テスト シナリオ
注
- Windows 分離アプリ起動ツール API を含むMicrosoft Defender Application Guardは、Microsoft Edge for Businessでは非推奨となり、更新されなくなります。 Microsoft Edge セキュリティ機能の詳細については、「 Microsoft Edge For Business Security」を参照してください。
- Windows 11以降、Windows 分離アプリ起動ツール API を含むバージョン 24H2 Microsoft Defender Application Guardは使用できなくなります。
- Application Guardは非推奨であるため、Edge Manifest V3 への移行はありません。 対応するブラウザー拡張機能と関連する Windows ストア アプリは使用できなくなりました。 企業で MDAG の使用を廃止する準備ができるまで保護されていないブラウザーをブロックする場合は、AppLocker ポリシーまたは Microsoft Edge 管理サービスを使用することをお勧めします。 詳細については、「Microsoft Edge とMicrosoft Defender Application Guard」を参照してください。
organizationでハードウェア ベースの分離をテストするために使用できるシナリオの一覧が用意されています。
スタンドアロン モードでの Application Guard
従業員が Application Guard をスタンドアロン モードで使う方法を確認できます。
スタンドアロン モードで Application Guard をテストするには
デバイスを再起動し、Microsoft Edge を起動し、メニューから [新しいApplication Guard ウィンドウ] を選択します。
Application Guard で分離された環境がセットアップされるのを待ちます。
注
デバイス再起動後の Application Guard の起動が早すぎると、読み込み時間が長くなる場合があります。 ただし、以後の起動は、ユーザーが気付くレベルの遅延が生じることなく実行されます。
信頼されていないが安全な URL (この例では、msn.com を使用) に移動して、新しい Microsoft Edge ウィンドウを表示し、Application Guard の視覚的合図が表示されるか確認します。
企業管理モードでの Application Guard
企業管理モードで Application Guard をインストール、設定、有効化、構成する方法を説明します。
Application Guard をインストール、設定、有効化する
マネージド モードでApplication Guardを使用するには、Windows 10 Enterpriseエディション、バージョン 1709、Windows 11をインストールする必要があります。これには機能が含まれます。 次に、グループ ポリシーを使って必要な設定をセットアップする必要があります。
デバイスを再起動し、Microsoft Edge を起動します。
グループ ポリシーでネットワーク分離の設定を指定します。
[Windows] アイコンを選択し、「
Group Policy
」と入力し、[グループ ポリシーの編集] を選択します。[管理用テンプレート] > [ネットワーク] > [ネットワーク分離] > [クラウドでホストされるエンタープライズ リソース ドメイン] 設定に移動します。
このシナリオの目的で、[エンタープライズ クラウド リソース] ボックスに「
.microsoft.com
」と入力します。[管理用テンプレート] > [ネットワーク] > [ネットワーク分離] > [職場用と個人用に分類されたドメイン] 設定に移動します。
このシナリオの目的で、[ニュートラル リソース] ボックスに「
bing.com
」と入力します。
[コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Microsoft Defender Application Guard]、[管理モードでMicrosoft Defender Application Guardを有効にする] の設定に移動します。
[ 有効] を選択し、[オプション 1] を選択し、[ OK] を選択します。
注
この設定を有効にすると、このシナリオで前に設定したネットワーク分離の設定を含め、必要なすべての設定が従業員のデバイスで正しく構成されているか確認されます。
Microsoft Edge を起動し、「
https://www.microsoft.com
」と入力します。URL を送信した後、Application Guardは信頼済みとしてマークしたドメインを使用し、Application Guardではなくホスト PC にサイトを直接表示するため、URL が信頼されていることを判断します。
同じ Microsoft Edge ブラウザーで、信頼済みまたは中立的なサイト リストに含まれていない URL を入力します。
URL の送信後、Application Guard ではその URL を非信頼と判断し、要求をハードウェア分離環境にリダイレクトします。
Application Guard をカスタマイズする
Application Guard では構成を指定して、分離ベースのセキュリティと従業員の生産性の適切なバランスを確立できます。
Application Guard では、従業員向けの既定の動作は次のようになります。
ホスト PC と分離されたコンテナー間でコピーと貼り付けを実行しない。
分離されたコンテナーから印刷しない。
分離されたコンテナー間でデータは保持されない。
これらの各設定を変更してグループ ポリシー内で企業と連携するためのオプションがあります。
適用対象:
- Windows 10 Enterpriseまたは Pro エディション、バージョン 1803 以降
- Windows 11 Enterpriseまたは Pro エディション
コピーと貼り付けのオプション
コンピューターの構成\管理用テンプレート\Windows コンポーネント\Microsoft Defender Application Guard\クリップボード設定Microsoft Defender Application Guard構成するに移動します。
[ 有効] を 選択し、[ OK] を選択します。
クリップボードの動作を選択します。
分離されたセッションからホスト PC にコピーして貼り付ける
ホスト PC から分離されたセッションにコピーして貼り付ける
双方向でコピーして貼り付ける
コピーできる内容を選択します。
ホスト PC と分離コンテナーの間でコピーできるのはテキストのみです。
ホスト PC と分離コンテナーの間でコピーできるのはイメージのみです。
ホスト PC と分離コンテナーの間で、テキストとイメージの両方をコピーできます。
[OK] を選択します。
印刷オプション
コンピューターの構成\管理用テンプレート\Windows コンポーネント\Microsoft Defender Application Guard\印刷設定Microsoft Defender Application Guard構成するに移動します。
[ 有効] を 選択し、[ OK] を選択します。
設定で提供される一覧に基づいて、従業員が利用できる印刷の種類に最も該当する番号を選択します。 ローカル、ネットワーク、PDF、XPS 印刷の組み合わせを指定できます。
[OK] を選択します。
データ永続化オプション
コンピューターの構成\管理用テンプレート\Windows コンポーネント\Microsoft Defender Application Guard\Microsoft Defender Application Guardのデータ永続化を許可する設定に移動します。
[ 有効] を 選択し、[ OK] を選択します。
Microsoft Edge を開き、信頼されていないが安全な URL を閲覧します。
Web サイトは分離されたセッションで開きます。
サイトを [お気に入り] の一覧に追加し、分離されたセッションを閉じます。
デバイスにサインアウトしてもう一度サインインし、Application Guardで Microsoft Edge をもう一度開きます。
以前に追加されたサイトが [お気に入り] 一覧にも表示されます。
注
バージョン 22H2 Windows 11以降、データの永続化は既定で無効になっています。 データの永続化を許可または無効にしない場合は、デバイスを再起動するか、分離コンテナーにサインインしてサインアウトすると、リサイクル イベントがトリガーされます。 この操作により、セッション Cookie や Favorites などの生成されたすべてのデータが破棄され、Application Guardからデータが削除されます。 データの保持を有効にすると、従業員が生成したすべてのアーティファクトが、コンテナー リサイクル イベント間で保持されます。 ただし、これらの成果物は分離コンテナーにのみ存在し、ホスト PC と共有されません。 このデータは、再起動後も、Windows 10とWindows 11のビルドからビルドへのアップグレードを通じても保持されます。
データ保持を有効にした後に、従業員に対してそのサポートを停止する場合は、Windows に搭載されているユーティリティを使ってコンテナーをリセットし、個人データを破棄できます。
コンテナーをリセットするには、次の手順に従います。
1. コマンド ライン プログラムを開き、Windows/System32 に移動します。
2. 「wdagtool.exe cleanup
」と入力します。 コンテナー環境がリセットされ、従業員が生成したデータのみ維持されます。
3. 「wdagtool.exe cleanup RESET_PERSISTENCE_LAYER
」と入力します。 従業員が生成した全データを破棄するなど、コンテナーの環境がリセットされます。Microsoft Edge バージョン 90 以降では、
RESET_PERSISTENCE_LAYER
はサポートされなくなりました。
適用対象:
- Windows 10 Enterpriseまたは Pro エディション、バージョン 1803
- Windows 11 Enterpriseまたは Pro エディション、バージョン 21H2。 Windows 11 バージョン 22H2 以降では、データの永続化は既定で無効になっています。
ダウンロード オプション
[コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\Microsoft Defender Application Guard\[ファイルのダウンロードとホスト オペレーティング システムへの保存を許可する] 設定Microsoft Defender Application Guard移動します。
[ 有効] を 選択し、[ OK] を選択します。
デバイスにサインアウトしてもう一度サインインし、Application Guardで Microsoft Edge をもう一度開きます。
Microsoft Defender Application Guardからファイルをダウンロードします。
[この PC > ダウンロード > 信頼されていないファイルにファイルがダウンロードされていることを確認します。
ハードウェアアクセラレーションオプション
[コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\Microsoft Defender Application Guard\[Microsoft Defender Application Guardのハードウェア高速化レンダリングを許可する] 設定に移動します。
[ 有効] を 選択し、[ OK] を選択します。
この機能を有効にしたら、Microsoft Edge を開き、信頼されていないが安全な URL とビデオ、3D、またはその他のグラフィックスを集中的に使用するコンテンツを参照します。 分離されたセッションで Web サイトが開きます。
視覚的なエクスペリエンスとバッテリーのパフォーマンスを評価します。
カメラとマイクのオプション
[コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\[Microsoft Defender Application Guard]\[Microsoft Defender Application Guardの設定でカメラとマイクへのアクセスを許可する]に移動します。
[ 有効] を 選択し、[ OK] を選択します。
デバイスにサインアウトしてもう一度サインインし、Application Guardで Microsoft Edge をもう一度開きます。
Microsoft Edge でビデオまたはオーディオ機能を使用してアプリケーションを開きます。
カメラとマイクが期待どおりに動作することを確認します。
ルート証明書共有オプション
コンピューターの構成\管理用テンプレート\Windows コンポーネント\Microsoft Defender Application Guard\Microsoft Defender Application Guardユーザーのデバイス設定からルート証明機関を使用できるようにするに移動します。
[ 有効] を選択し、共有する各証明書の拇印をコンマで区切ってコピーし、[ OK] を選択します。
デバイスにサインアウトしてもう一度サインインし、Application Guardで Microsoft Edge をもう一度開きます。
サード パーティ製 Web ブラウザーのApplication Guard拡張機能
Chrome および Firefox で使用できるApplication Guard拡張機能を使用すると、Microsoft Edge またはインターネット エクスプローラー以外の Web ブラウザーを実行している場合でも、ユーザーを保護Application Guard。
ユーザーが拡張機能とそのコンパニオン アプリをエンタープライズ デバイスにインストールしたら、次のシナリオを実行できます。
拡張機能がインストールされているブラウザーを Firefox または Chrome で開きます。
組織の Web サイトに移動します。 つまり、organizationによって管理される内部 Web サイトです。 サイトが完全に読み込まれる前に、この評価ページがすぐに表示されることがあります。
www.bing.com など、エンタープライズ以外の外部 Web サイトに移動します。 サイトは、Microsoft Defender Application Guard Edge にリダイレクトする必要があります。
新しいApplication Guard ウィンドウを開くには、[Microsoft Defender Application Guard] アイコン、[新しいApplication Guard ウィンドウ] の順に選択します。