よく寄せられる質問: Microsoft Defender Application Guard

この記事では、よく寄せられる質問と、Microsoft Defender Application Guard (Application Guard) の回答を示します。 質問は、機能、Windows オペレーティング システムとの統合、および一般的な構成に及びます。

よく寄せられる質問

4 GB RAM を搭載したマシンでApplication Guardを有効にできますか?

最適なパフォーマンスを得るには 8 GB の RAM をお勧めしますが、推奨されるハードウェア構成を満たしていないマシンでApplication Guardを有効にするには、次のレジストリ DWORD 値を使用できます。

HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (既定値は 4 コアです)。

HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (既定値は 8 GB です)。

HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (既定値は 5 GB です)。

ネットワーク構成でプロキシが使用され、"MDAG ブラウザーから外部 URL を解決できません: エラー: err_connection_refused" に実行されています。 操作方法解決しますか?

手動サーバーまたは PAC サーバーは、サイト一覧でニュートラルなホスト名 (IP ではない) である必要があります。 さらに、PAC スクリプトがプロキシを返す場合は、同じ要件を満たす必要があります。

"PAC ファイル" と "PAC ファイルがリダイレクトされるプロキシ サーバー" の FQDN (完全修飾ドメイン名) が、Application Guardで使用されるネットワーク分離ポリシーのニュートラル リソースとして追加されるようにするには、次の手順を実行します。

  • この追加を確認するには、edge://application-guard-internals/#utilities に移動し、[チェック URL 信頼] フィールドに pac/proxy の FQDN を入力し、"ニュートラル" と表示されていることを確認します。
  • FQDN である必要があります。 単純な IP アドレスは機能しません。
  • 必要に応じて、可能であれば、上記をホストしているサーバーに関連付けられている IP アドレスを、Application Guardによって使用されるネットワーク分離ポリシーのエンタープライズ IP 範囲から削除する必要があります。

ネットワーク プロキシを使用するようにMicrosoft Defender Application Guardを構成操作方法 (IP リテラル アドレス)?

Application Guardプロキシには、IP アドレスだけでなく、シンボリック名が必要です。 192.168.1.4:81などのプロキシ設定 IP-Literal、itproxy:81として注釈を付けたり、IP アドレスが192.168.100.10のプロキシのP19216810010などのレコードを使用したりできます。 この注釈は、バージョン 1709 以降Windows 10 Enterpriseエディションに適用されます。 これらの注釈は、グループ ポリシーまたはIntuneの [ネットワーク分離] の下のプロキシ ポリシー用です。

19H1 でサポートされていない入力メソッド エディター (IME) はどれですか?

Windows 10 バージョン 1903 で導入された次の入力メソッド エディター (IME) は、現在、Microsoft Defender Application Guardではサポートされていません。

  • ベトナムテレックスキーボード
  • ベトナム番号キーベースのキーボード
  • ヒンディー語の音声キーボード
  • バングラ語の音声キーボード
  • Marathi ふりがなキーボード
  • テルグ語の音声キーボード
  • タミル語の音声キーボード
  • カンナダ語の音声キーボード
  • マラヤーラム語の音声キーボード
  • グジャラート語の音声キーボード
  • Odia ふりがなキーボード
  • パンジャブ語の音声キーボード

Windows 10 Enterpriseバージョン 1803 の展開でハードウェア アクセラレーション ポリシーを有効にしました。 ユーザーがまだ CPU レンダリングのみを受け取っているのはなぜですか?

この機能は現在試験的なものであり、Microsoft によって提供される追加のレジストリ キーなしでは機能しません。 バージョン 1803 Windows 10 Enterpriseの展開でこの機能を評価する場合は、Microsoft にお問い合わせください。この機能を有効にするためにお客様と協力します。

WDAGUtilityAccount ローカル アカウントとは

WDAGUtilityAccount は、Windows 10 バージョン 1709 (Fall Creators Update) 以降、Application Guardの一部です。 デバイスでApplication Guardが有効になっていない限り、既定では無効のままです。 WDAGUtilityAccount は、ランダム なパスワードを使用して標準ユーザーとしてApplication Guard コンテナーにサインインするために使用されます。 悪意のあるアカウントではありません。 正しく機能するには 、サービスとしてのログオン のアクセス許可が必要です。 このアクセス許可が拒否された場合、次のエラーが表示されることがあります。

エラー: 0x80070569、Ext エラー: 0x00000001。RDP: エラー: 0x00000000、Ext エラー: 0x00000000場所: 0x00000000

操作方法サイトリストのサブドメインを信頼しますか?

サブドメインを信頼するには、ドメインの前に 2 つのドット (..) を付ける必要があります。 たとえば、 ..contoso.com は、 mail.contoso.com または news.contoso.com が信頼されていることを確認します。 最初のドットはサブドメイン名 (メールまたはニュース) の文字列を表し、2 番目のドットはドメイン名 (contoso.com) の先頭を認識します。 これら 2 つのドットは、 fakesitecontoso.com などのサイトが信頼されないようにします。

Windows Pro と Windows Enterprise でApplication Guardを使用する場合には違いはありますか?

Windows Pro または Windows Enterprise を使用する場合は、スタンドアロン モードでApplication Guardを使用できます。 ただし、Enterprise を使用する場合は、Enterprise-Managed モードでApplication Guardにアクセスできます。 このモードには、スタンドアロン モードにはない追加機能がいくつかあります。 詳細については、「Microsoft Defender Application Guardのインストールを準備する」を参照してください。

構成する必要があるドメイン リストのサイズ制限はありますか?

はい。クラウドでホストされているエンタープライズ リソース ドメインと、仕事用と個人用の両方として分類されるドメインの両方に、1,6383 バイトの制限があります。

暗号化ドライバーがMicrosoft Defender Application Guardを中断する理由

Microsoft Defender Application Guardは、セットアップ中に書き込む必要があるホストにマウントされた VHD からファイルにアクセスします。 暗号化ドライバーが VHD のマウントまたは書き込みができない場合、Application Guardは機能せず、エラー メッセージ (0x80070013 ERROR_WRITE_PROTECT) が発生します。

グループ ポリシーと CSP のネットワーク分離ポリシーが異なるのはなぜですか?

CSP と GP の間のすべてのネットワーク分離ポリシー間に 1 対 1 のマッピングはありません。 Application Guardをデプロイするための必須のネットワーク分離ポリシーは、CSP と GP によって異なります。

  • Application Guardをデプロイするための必須のネットワーク分離 GP ポリシー: DomainSubnets または CloudResources

  • Application Guardを展開するための必須のネットワーク分離 CSP ポリシー: EnterpriseCloudResources または (EnterpriseIpRange と EnterpriseNetworkDomainNames)

  • EnterpriseNetworkDomainNames の場合、マップされた CSP ポリシーはありません。

Application Guardは、セットアップ中に書き込む必要があるホストにマウントされた VHD からファイルにアクセスします。 暗号化ドライバーが VHD のマウントまたは書き込みができない場合、Application Guardは機能せず、エラー メッセージ (0x80070013 ERROR_WRITE_PROTECT) が発生します。

ハイパースレッディングをオフにした後、Application Guardが機能しなくなったのはなぜですか?

ハイパースレッディングが無効になっている場合 (KB 記事または BIOS 設定を使用して更新プログラムが適用されているため)、最小要件を満たさなくなったApplication Guard可能性があります。

"ERROR_VIRTUAL_DISK_LIMITATION" というエラー メッセージが表示されるのはなぜですか?

NTFS 圧縮ボリュームでApplication Guardが正しく動作しない可能性があります。 この問題が解決しない場合は、ボリュームを圧縮解除してみてください。

PAC ファイルに到達できなかった後に "ERR_NAME_NOT_RESOLVED" というエラー メッセージが表示されるのはなぜですか?

この問題は既知の問題です。 この問題を軽減するには、2 つのファイアウォール規則を作成する必要があります。 グループ ポリシーを使用してファイアウォール規則を作成する方法については、「グループ ポリシーを使用して Windows ファイアウォール規則を構成する」を参照してください。

最初の規則 (DHCP サーバー)

  • プログラム パス: %SystemRoot%\System32\svchost.exe

  • ローカル サービス: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))

  • プロトコル UDP

  • ポート 67

2 番目の規則 (DHCP クライアント)

この規則は最初の規則と同じですが、スコープはローカル ポート 68 です。 Microsoft Defender ファイアウォール のユーザー インターフェイスで、次の手順を実行します。

  1. 受信規則を右クリックし、新しいルールを作成します。

  2. カスタム ルールを選択します

  3. 次のプログラム パスを指定します: %SystemRoot%\System32\svchost.exe

  4. 次の設定を指定します。

    • プロトコルの種類: UDP
    • 特定のポート: 67
    • リモート ポート: 任意
  5. 任意の IP アドレスを指定します。

  6. 接続を許可します。

  7. すべてのプロファイルを使用するように指定します。

  8. 新しいルールがユーザー インターフェイスに表示されます。 ルール>プロパティを右クリックします

  9. [ プログラムとサービス ] タブの [ サービス ] セクションで、[ 設定] を選択します。

  10. [ このサービスに適用] を 選択し、[ インターネット接続共有 (ICS) 共有アクセス] を選択します。

インターネット接続サービス (ICS) の一部を、Application Guardを中断せずに無効にするにはどうすればよいですか?

Windows では ICS が既定で有効になっており、Application Guardが正常に機能するためには ICS を有効にする必要があります。 ICS を無効にすることはお勧めしません。ただし、グループ ポリシーを使用してレジストリ キーを編集することで、ICS を部分的に無効にすることができます。

  1. [グループ ポリシー] 設定で、[DNS ドメイン ネットワークでのインターネット接続共有の使用を禁止する] を [無効] に設定します。

  2. ICS 読み込みからの IpNat.sys を次のように無効にします。
    System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1

  3. 次のように ICS (SharedAccess) を有効にするように構成します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3

  4. (この手順は省略可能です)次のように IPNAT を無効にします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4

  5. デバイスを再起動します。

デバイス制御ポリシーが有効になっているときにコンテナーが完全に読み込まれないのはなぜですか?

AppGuard が正しく動作するように、グループ ポリシー オブジェクトで許可されている項目を "許可" として構成する必要があります。

ポリシー: 次のいずれかのデバイス ID に一致するデバイスのインストールを許可します。

  • SCSI\DiskMsft____Virtual_Disk____
  • {8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
  • VMS_VSF
  • root\Vpcivsp
  • root\VMBus
  • vms_mp
  • VMS_VSP
  • ROOT\VKRNLINTVSP
  • ROOT\VID
  • root\storvsp
  • vms_vsmp
  • VMS_PP

ポリシー: これらのデバイス セットアップ クラスに一致するドライバーを使用してデバイスのインストールを許可する

  • {71a27cdd-812a-11d0-bec7-08002be2092f}

TCP 断片化の問題が発生しており、VPN 接続を有効にできません。 この問題操作方法解決しますか?

WinNAT は、既定のスイッチまたは Docker NAT ネットワークを使用する場合、MTU より大きいパケットを含む ICMP/UDP メッセージを削除します。 このソリューションのサポートは、 KB4571744に追加されました。 この問題を解決するには、更新プログラムをインストールし、次の手順に従って修正を有効にします。

  1. このレジストリ設定で FragmentAware DWORD が 1 に設定されていることを確認します: \Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat

  2. デバイスを再起動します。

グループ ポリシーの [アプリケーション Guard_] オプションで開いているファイルを信頼Microsoft Defender_Allowユーザーは何を行いますか?

このポリシーは、バージョン 2004 より前のWindows 10に存在していました。 Microsoft Edge または Office には何も適用されないため、新しいバージョンの Windows から削除されました。

Microsoft Defender Application Guardのサポート チケットを開操作方法?

  • 「新しいサポート リクエストを作成する」をご覧ください
  • [製品ファミリ] で [Windows] を選択します。 ヘルプが必要な製品と製品バージョンを選択します。 問題を最もよく説明するカテゴリについては、[テクノロジ] を選択Windows セキュリティ。 最後のオプションで、[Windows Defender Application Guard] を選択します。

信頼されていないサイトに移動するときにホストの [Microsoft Edge] タブが自動的に閉じる動作を有効または無効にする方法はありますか?

はい、できます。 この Microsoft Edge フラグを使用して、この動作を有効または無効にします。 --disable-features="msWdagAutoCloseNavigatedTabs"