Defender Application Guard

Microsoft Defender Application Guard (Application Guard) 設定は、ユーザーがインターネットのブラウズ中にアクセスする可能性があるエンタープライズ定義の信頼できないサイトを別個のブラウズ環境に分離することにより、組織を悪意のある攻撃から保護します。

Application Guard とは何ですか?

Application Guard は、ハードウェア・ベースのエンドポイント防御であり、 Microsoft Edgeに組み込まれているセキュリティー・ツールです。 Application Guard は、悪意のあるアクティビティーがデスクトップに到達しないように、エンタープライズ定義の信頼できないサイトを仮想マシン (VM) 内のデスクトップ (ホスト) から隔離します。この機能は、Windows 10 バージョン 1709 以降でサポートされます。 Application Guard について詳しくは、「 https://docs.microsoft.com/en-us/windows/security/threat-protection/microsoft-defender-application-guard/md-app-guard-overview」を参照してください。

Application Guard の動作方法

ユーザーがブラウザーを介して信頼できないサイトにアクセスすると、ブラウザーは、ホスト・マシンとは別の分離された Hyper-V 対応コンテナーでそのサイトを開きます。コンテナー内で隔離された信頼できないサイトが悪意のあるサイトである場合、ホスト・マシンは保護され、攻撃者はエンタープライズ・データにアクセスできません。

Application Guard 対応ブラウザー

この機能は、 Microsoft Edge ブラウザーでサポートされます。ご使用のブラウザーが Application Guard モードの場合、ブラウザー・ツールバーに次のアイコンが表示されます。

Application Guard を実行するためのハードウェア要件

ご使用の環境で Application Guard を実行するには、以下のハードウェア要件を満たす必要があります。

ハードウェア	要件
64 ビット CPU	ハイパーバイザーおよび仮想化ベースのセキュリティー (VBS) を使用するには、最小で 4 コア (論理プロセッサー) が必要です。 Hyper-V について詳しくは、「 https://docs.microsoft.com/en-us/virtualization/hyper-v-on-windows/about/」を参照してください。
CPU 仮想化の機能拡張	拡張されたページ・テーブル (第 2 レベルのアドレス変換 (SLAT)) および以下のいずれか。 VT-x（インテル）または AMD- V
ハードウェア・メモリー	最小 8 GB
ハード・ディスク	5 GB のフリー・スペース、ソリッド・ステート・ディスク (SSD) を推奨
入出力メモリー管理ユニット (IOMMU) サポート	必須ではないが推奨

Application Guard 設定の構成

次の表は、Windows デバイスで設定できる Application Guard の設定について説明したものです。

ポリシー設定	説明	サポートされるデバイス
Defender Application Guard の構成	この設定を有効にすると、悪意のある/信頼できないサイトを別個のブラウズ環境に分離することで、ユーザーがそれらのサイトにアクセスしないように保護するための設定を構成できます。これにより、悪意のある攻撃がホスト・マシンに広がることを防止できます。	Windows Professional、教育、エンタープライズ
Defender Application Guard の設定
クリップボードの設定	ユーザーがホスト・マシンから Application Guard セッションにコピーできるコンテンツのタイプを指定します。ユーザーが Application Guard コンテナーを使用しているときのクリップボードの動作を指定するには、「クリップボードの動作 (Clipboard behavior)」の設定を有効にします。ユーザーが許可されていないコンテンツをコピーしようとすると、メッセージがユーザーに表示されます。設定には、以下のものがあります。テキストとイメージのコピーを許可テキストのコピーを許可イメージのコピーを許可	Windows Professional、教育、エンタープライズ
クリップボードの動作	ユーザーが Application Guard コンテナーを使用しているときのクリップボードの動作を指定します。ユーザーが許可されていないコンテンツをコピーしようとすると、メッセージがユーザーに表示されます。設定には、以下のものがあります。ブロック・コピーと貼り付けホストへの分離されたセッションを許可: ユーザーは、特定のコンテンツを Application Guard から Microsoft Edgeにコピーできます。分離されたセッションへのホストの許可: ユーザーは、特定のコンテンツを Microsoft Edge から Application Guard にコピーできます。注: このアクションにより、Application Guard コンテナーで潜在的なセキュリティー・リスクが発生する可能性があります。両方向を許可: ユーザーは、特定のコンテンツを Application Guard から Microsoft Edge に、および Microsoft Edge から Application Guard にコピーできます。注: このアクションにより、Application Guard コンテナーで潜在的なセキュリティー・リスクが発生する可能性があります。	Windows Professional、教育、エンタープライズ
印刷設定	ユーザーが Application Guard コンテナーを使用しているときの印刷機能の動作を指定します。設定には、以下のものがあります。ブロック印刷 XPS 印刷を許可 (Allow XPS printing): Application Guard が XPS (XML Paper Specification) ファイル形式で印刷できるようにします。 PDF 印刷を許可 (Allow PDF printing): Application Guard が PDF ファイル形式で印刷できるようにします。 PDF 印刷および XPS 印刷を許可ローカル印刷を許可 (Allow local printing): Application Guard がローカル接続プリンターで印刷できるようにします。ローカル印刷および PDF 印刷を許可 (Allow local and PDF printing) ローカル印刷、PDF 印刷、および XPS 印刷を許可ネットワーク印刷を許可 (Allow network printing): Application Guard が事前に接続されたネットワーク・プリンターで印刷できるようにします。ユーザーは追加のプリンターを検索できません。ネットワーク印刷および XPS 印刷を許可ネットワーク印刷および PDF 印刷を許可ネットワークローカル印刷、PDF 印刷、および XPS 印刷を許可 (Allow network, PDF, and XPS printing) ネットワーク印刷およびローカル印刷を許可	Windows Professional、教育、エンタープライズ
コンテナー内でカメラおよびマイクへのアクセスを許可	この設定を有効にすると、Application Guard コンテナー内のアプリは、デバイスのカメラとマイクにアクセスできます (ユーザーのデバイスでもこれらの設定が有効になっている場合)。	Windows Professional、教育、エンタープライズ
ユーザー・データの永続性を許可	この設定を有効にすると、Application Guard コンテナー内の異なるセッション間でデータを保持できます。 Application Guard は、ユーザーがダウンロードしたファイルおよびその他の項目 (Cookie、お気に入り) をブラウザー・ツールバーに保存し、以降の Application Guard セッションで使用できるようにします。 Application Guard セッションのセキュリティーを確保し、ホスト・マシンから分離するために、Application Guard セッションに保管されているお気に入りはホスト・マシンにコピーされません。 Application Guard コンテナーからダウンロードされたファイルは、 C:\Users\wdagutilityaccount\Downloadsにダウンロードされます。ファイル内に悪意のあるスクリプトが隠されている場合でも、そのスクリプトがホスト・マシン上のエンタープライズ・データにアクセスすることはできません。 Application Guard コンテナーのリセットデータ永続性を不許可または無効にした場合、デバイスを再始動したり、分離されたコンテナーでのログイン/ログアウトを行ったりすると、生成済みのすべてのデータ (セッション Cookie やお気に入りを含む) を破棄するリサイクル・イベントがトリガーされ、Application Guard からデータが削除されます。データ永続性を有効にした場合、コンテナー・リサイクル・イベント全体でユーザーが生成したすべての成果物が保持されます。ただし、これらの成果物は分離されたコンテナー内にのみ存在し、ホスト・マシンとは共有されません。このデータは、Windowsの再起動やビルド間のアップグレード後も持続する。ユーザーに対するデータ永続性のサポートを停止する場合は、Windows が提供する以下のユーティリティーを使用して、コンテナーをリセットし、個人データを破棄します。コンテナーをリセットするには、以下のようにします。コマンドライン・プログラムを開き、 Windows/System32 にアクセスする。 `wdagtool.exe cleanup` と入力します。コンテナー環境がリセットされ、ユーザーが生成したデータのみが保持されます。 `wdagtool.exe cleanup RESET_PERSISTENCE_LAYER` と入力します。コンテナー環境がリセットされ、ユーザーが生成したすべてのデータが破棄されます。	Windows Professional、教育、エンタープライズ
仮想 GPU によるグラフィック処理を許可	この設定を有効にすると、Application Guard は仮想グラフィックス処理装置 (GPU) を使用してグラフィックスを処理できます。この設定は、Windows 10 バージョン 1803 以降でサポートされます。 Application Guard は Hyper-V を使用して、サポートされる高セキュリティーのレンダリング・グラフィックス・ハードウェア (GPU) にアクセスします。 Application Guard を使用すると、ビデオ再生やその他のグラフィックスを多用するユース・ケースにおける GPU のレンダリング・パフォーマンスとバッテリー寿命を向上させることができます。高セキュリティーのレンダリング・グラフィックス・ハードウェアに接続せずにこの設定を有効にした場合、Application Guard は自動的にソフトウェア・ベース (CPU) レンダリングに戻ります。注: グラフィック・デバイスまたはドライバーが危険にさらされている場合、この設定を有効にすると、ホスト・デバイスにリスクが生じる可能性があります。	Windows Professional、教育、エンタープライズ
ダウンロードしたファイルをホスト OS に保存	この設定を有効にすると、ユーザーは、Application Guard コンテナーからホスト・マシンにファイルをダウンロードできます。この設定は、Windows 10 バージョン 1803 以降でサポートされます。	Windows Professional、教育、エンタープライズ
非エンタープライズ・コンテンツをブロック	この設定を有効にすると、サイトが Microsoft Edge および Internet Explorer で非エンタープライズ・コンテンツ (信頼できないサイトのコンテンツ) をロードできなくなります。この設定は、Microsoft Defender Application GuardがEnterpriseモードで動作するWindows EnterpriseまたはWindows Education上の Microsoft Edge。	Windows 教育、エンタープライズ
証明書のサムプリント	特定のデバイス・レベルのルート証明書を Application Guard コンテナーと共有します。指定された証明書に一致するサムプリントを持つ証明書がコンテナーに転送されます。複数の証明書を指定する場合は、転送する証明書ごとにコンマを使用してサムプリントを区切ります。例: `b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924` この設定は以下のバージョンをサポートします。 Windows 10 バージョン 1803 以降 Microsoft Edge Windows EnterpriseまたはWindows Educationで、Microsoft Defender Application GuardをEnterpriseモードで使用する場合	Windows 教育、エンタープライズ