管理者向け Application Guard for Office

適用対象:Word、Excel、PowerPoint for Microsoft 365 アプリ、Windows 10 Enterprise、Windows 11 Enterprise

Microsoft Defender Application Guard for Office (Application Guard for Office) は、信頼されていないファイルが信頼できるリソースにアクセスするのを防ぎ、新しい攻撃や新たな攻撃から企業を安全に保ちます。 この記事では、Office 用のApplication Guardでサポートされているデバイスを設定する方法について説明します。

前提条件

ライセンスの要件

ハードウェアの最小要件

  • CPU: 64 ビット、4 コア (物理または仮想)、仮想化拡張機能 (Intel VT-x または AMD-V)、Core i5 同等以上を推奨
  • 物理メモリ: 8 GB RAM
  • ハード ディスク: システム ドライブ上の 10 GB の空き領域 (SSD を推奨)

最小ソフトウェア要件

  • Windows: Windows 10 Enterprise エディション、クライアント ビルド バージョン 2004 (20H1) ビルド 19041 以降。 Windows 11のすべてのバージョンがサポートされています。
  • Office: ビルド 16.0.13530.10000 以降のMicrosoft 365 Apps。 現在のチャネルと月単位のエンタープライズ チャネルのインストールの場合、これはバージョン 2011 と同じです。 Semi-Annual Enterprise Channel と Semi-Annual Enterprise Channel (プレビュー) の場合、最小バージョンは 2108 以降です。 32 ビットバージョンと 64 ビット バージョンの両方がサポートされています。
  • 更新プログラム パッケージ: 累積的な毎月のセキュリティ更新プログラム KB4571756 Windows 10

詳細なシステム要件については、「Microsoft Defender Application Guardのシステム要件」を参照してください。 また、仮想化テクノロジを有効にする方法については、コンピューターの製造元のガイドを参照してください。 Microsoft 365 Apps更新チャネルの詳細については、「Microsoft 365 Appsの更新チャネルの概要」を参照してください。

Application Guard for Office を展開する

Office のApplication Guardを有効にする

  1. Windows 10を実行している場合は、毎月の累積的なセキュリティ更新プログラム KB4571756 Windows 10ダウンロードしてインストールします。 Windows 11を実行している場合は、セキュリティ更新プログラムをダウンロードしてインストールする必要はありません。 残りのプロセス手順に従うだけです。

  2. [Windows 機能] で [Microsoft Defender Application Guard] を選択し、[OK] を選択します。 Application Guard機能を有効にすると、システムの再起動が求められます。 今すぐ再起動するか、手順 3 の後で再起動するか選択できます。

    AG を示す [Windows 機能] ダイアログ ボックス

    この機能は、管理者として次の PowerShell コマンドを実行して有効にすることもできます。

    Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
    
  3. [グループ ポリシー エディター] ウィンドウで、[コンピューターの構成] - [管理用テンプレート] -> [Windows コンポーネント] ->> [Microsoft Defender Application Guard] の順に展開します。 [マネージド モードでMicrosoft Defender Application Guardを有効にする] 設定を有効にします。 [オプション] の値を 2 または 3 に設定します。

    マネージド モードで AG を有効にするオプション

    または、対応する CSP ポリシーを設定できます。

    OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard
    データ型: 整数
    値: 2

  4. システムを再起動します。

完全なデータを送信するように診断フィードバックを設定する&

注:

これは必須ではありませんが、オプションの診断データを構成すると、報告された問題の診断に役立ちます。

この手順により、問題を特定して修正するために必要なデータが Microsoft に確実に到達します。 Windows デバイスで診断を有効にするには、次の手順に従います。

  1. [スタート] メニューから [設定] を開きます。

  2. [Windows の設定] で、[プライバシー] を選択します

  3. [プライバシー] で[ 診断 & フィードバック ] を選択し、[ オプションの診断データ] を選択します。

Windows 診断設定の構成の詳細については、「 組織内での Windows 診断データの構成」を参照してください。

Office のApplication Guardが有効になっていて動作していることを確認する

Office のApplication Guardが有効になっていることを確認する前に、次の手順を実行します。

  1. ポリシーが展開されているデバイスで Word、Excel、または PowerPoint を起動します。

  2. 起動したアプリから、[ ファイル] -> [アカウント] の順に移動します。 [アカウント] ページで、予想されるライセンスが表示されていることを確認します。

Office のApplication Guardが有効になっていることを確認するには、信頼されていないドキュメントを開きます。 たとえば、インターネットからダウンロードしたドキュメントや、組織外のユーザーからの電子メールの添付ファイルを開くことができます。

信頼されていないファイルを最初に開くと、次の例のような Office スプラッシュ画面が表示されます。 Application Guard for Office がアクティブ化され、ファイルが開かれています。 通常、信頼されていないファイルの後続の開き方は高速です。

Office アプリスプラッシュ ページ

ファイルが開いた後、Office Application Guard内でファイルが開かれていることを示す視覚的なインジケーターがいくつかあります。

  • リボンの吹き出し

    小さな App Guard メモを示す Doc ファイル

  • タスク バーにシールドがあるアプリケーション アイコン

    タスク バーのアイコン。

Office のApplication Guardを構成する

Office では、Office 用のApplication Guardを構成するための次のポリシーがサポートされています。 これらのポリシーは、グループ ポリシーまたは Office クラウド ポリシー サービスを使用して構成できます。

注:

これらのポリシーを構成すると、Application Guard for Office で開かれたファイルの一部の機能を無効にすることができます。

ポリシー 説明
Application Guard for Office を使用しない このポリシーを有効にすると、Word、Excel、PowerPoint では、Office 用のApplication Guardではなく、保護されたビュー分離コンテナーが強制的に使用されます。
Office コンテナーの事前作成のApplication Guardを構成する このポリシーは、実行時のパフォーマンスを向上させるために、Office コンテナーのApplication Guardが事前に作成されているかどうかを判断します。 このポリシーを有効にすると、コンテナーの事前作成を続行する日数を指定するか、Office の組み込みのヒューリスティックにコンテナーを事前に作成できます。
Application Guardで開かれた Office ドキュメントからのコピーと貼り付けを構成する このポリシー設定を使用すると、ユーザーが Office のコンテンツをコピーして、Application Guardで開かれたドキュメントと許可されている形式を貼り付けることができるかどうかを制御できます。
Application Guard for Office でハードウェア アクセラレーションを無効にする このポリシーは、Office のApplication Guardがハードウェア アクセラレーションを使用してグラフィックスをレンダリングするかどうかを制御します。 この設定を有効にした場合、Application Guard for Office ではソフトウェア ベース (CPU) レンダリングが使用され、サード パーティ製のグラフィックス ドライバーを読み込んだり、接続されているグラフィックス ハードウェアと対話したりすることはありません。
Application Guard for Office でサポートされていないファイルの種類の保護を無効にする このポリシーは、Office Application Guardがサポートされていないファイルの種類を開くことをブロックするか、保護ビューへのリダイレクトを有効にするかを制御します。
Application Guard for Office で開かれたドキュメントのカメラとマイクへのアクセスをオフにする このポリシーを有効にすると、Office for Office Application Guard内のカメラとマイクへの Office アクセスが削除されます。
Application Guard for Office で開かれたドキュメントからの印刷を制限する このポリシーを有効にすると、Application Guard for Office で開かれたファイルからユーザーが印刷できるプリンターが制限されます。 たとえば、このポリシーを使用して、ユーザーが PDF にのみ印刷されるように制限できます。
ユーザーがファイルの Office 保護のApplication Guardを削除できないようにする このポリシーを有効にすると、(Office アプリケーション エクスペリエンス内で) Office 保護のApplication Guardを無効にしたり、Office 用Application Guard外部でファイルを開いたりするオプションが削除されます。

メモ: ユーザーは、ファイルから mark-of-the-web プロパティを手動で削除するか、ドキュメントを信頼できる場所に移動することで、このポリシーをバイパスできます。

注:

次のポリシーを有効にするには、ユーザーがサインアウトして Windows に再度サインインする必要があります。

  • Application Guardで開かれた Office ドキュメントからのコピーと貼り付けを構成する
  • Application Guard for Office でハードウェア アクセラレーションを無効にする
  • Application Guard for Office で開かれたドキュメントの印刷を制限する
  • Application Guard for Office で開かれたドキュメントへのカメラとマイクのアクセスをオフにする

フィードバックの送信

フィードバック Hub 経由でフィードバックを送信する

Office Application Guardを起動するときに問題が発生した場合は、フィードバック Hub からフィードバックを送信することをお勧めします。

  1. フィードバック ハブ アプリを開き、サインインします。

  2. Application Guardの起動時にエラー ダイアログが表示された場合は、エラー ダイアログで [Microsoft に報告] を選択して、新しいフィードバックの送信を開始します。 それ以外の場合は、 にhttps://aka.ms/mdagoffice-fb移動してApplication Guardの正しいカテゴリを選択し、右上の [+ 新しいフィードバックの追加] を選択します。

  3. [ フィードバックの要約 ] ボックスに概要を入力します。

  4. 問題の詳細な説明とデバッグに完了した手順を [ 詳細に説明 する] ボックスに入力し、[ 次へ] を選択します。

  5. [問題] の横にあるバブルを選択 します。 選択したカテゴリが [セキュリティとプライバシー > のMicrosoft Defender Application Guard – Office] であることを確認し、[次へ] を選択します。

  6. [ 新しいフィードバック] を選択し、[ 次へ] を選択します。

  7. 問題に関するトレースを収集します。

    1. [ 問題の再作成 ] タイルを展開します。

    2. Application Guard実行中に発生している問題が発生した場合は、Application Guard インスタンスを開きます。 インスタンスを開くと、Application Guard コンテナー内から追加のトレースを収集できます。

    3. [ 記録の開始] を選択し、タイルの回転が停止するのを待ち、[ 記録の停止] と言います。

    4. Application Guardに関する問題を完全に再現します。 再現には、Application Guard インスタンスを起動しようとして失敗するまで待機したり、実行中のApplication Guard インスタンスで問題を再現したりする場合があります。

    5. [ 記録の停止] タイルを選択します。

    6. 実行中のApplication Guardインスタンスは、送信後数分でも開いたままにして、コンテナー診断も収集できるようにします。

  8. 問題に関連する関連するスクリーンショットまたはファイルを添付します。

  9. [送信] を選択します。

One Customer Voice を使用してフィードバックを送信する

ファイルがApplication Guardで開かれたときに問題が発生した場合は、Word、Excel、PowerPoint 内からフィードバックを送信することもできます。 詳細なガイダンスについては、「 フィードバックを提供 する」を参照してください。

Microsoft Defender for EndpointとMicrosoft Defender for Office 365との統合

Application Guard for Office は、分離された環境で発生する悪意のあるアクティビティに対する監視とアラートを提供するために、Microsoft Defender for Endpointと統合されています。

Microsoft E365 E5 の安全なドキュメントは、Microsoft Defender for Endpointを使用して、Application Guard for Office で開かれたドキュメントをスキャンする機能です。 追加の保護レイヤーの場合、スキャンの結果が決定されるまで、ユーザーは Office のApplication Guardを残すことはできません。

制限事項と考慮事項

  • Application Guard for Office は、信頼されていないドキュメントを分離して、信頼された企業リソース、イントラネット、ユーザーの ID、コンピューター上の任意のファイルにアクセスできないように保護モードです。 その結果、ユーザーがそのようなアクセスに依存する機能 (ディスク上のローカル ファイルから画像を挿入するなど) にアクセスしようとすると、アクセスは失敗し、次の例のようなプロンプトが表示されます。 信頼されていないドキュメントが信頼されたリソースにアクセスできるようにするには、ユーザーはドキュメントからApplication Guard保護を削除する必要があります。

    安全メッセージと機能の状態を示すダイアログ ボックス

    注:

    ユーザーは、ファイルとファイルのソースを信頼する場合にのみ保護を削除することをお勧めします。

  • マクロや ActiveX コントロールなどのアクティブなコンテンツは、Application Guard for Office で無効になっています。 アクティブなコンテンツを有効にするには、Application Guard保護を削除する必要があります。

  • ネットワーク共有からの信頼されていないファイル、または OneDrive、OneDrive for Business、または SharePoint Online から共有されたファイルは、Application Guardで読み取り専用として開きます。 ユーザーは、このようなファイルのローカル コピーを保存してコンテナーで作業を続けたり、保護を削除して元のファイルを直接操作したりできます。

  • Information Rights Management (IRM) によって保護されているファイルは、既定でブロックされます。 ユーザーが保護ビューでこのようなファイルを開く場合、管理者は、組織のサポートされていないファイルの種類のポリシー設定を構成する必要があります。

  • Application Guard for Office の Office アプリケーションに対するカスタマイズは、ユーザーがサインアウトして再度サインインした後、またはデバイスの再起動後も保持されません。

  • UIA フレームワークを使用するアクセシビリティ ツールのみが、Application Guard for Office で開かれたファイルにアクセシビリティ対応のエクスペリエンスを提供できます。

  • インストール後のApplication Guardの最初の起動には、ネットワーク接続が必要です。

  • ドキュメントの情報セクションで、[ 最終変更者 ] プロパティに WDAGUtilityAccount がユーザーとして表示される場合があります。 WDAGUtilityAccount は、Application Guardによって使用される匿名アカウントです。 デスクトップ ユーザーの ID は、Application Guard コンテナー内では使用できません。

Application Guard for Office のパフォーマンスの最適化

Application Guardは、仮想マシンと同様に仮想化されたコンテナーを使用して、信頼されていないドキュメントをシステムから分離します。 コンテナーを作成し、Application Guard コンテナーをセットアップして Office ドキュメントを開くプロセスには、ユーザーが信頼されていないドキュメントを開くときにユーザー エクスペリエンスに悪影響を与える可能性があるパフォーマンス オーバーヘッドがあります。

ユーザーに予想されるファイルの開き方を提供するために、Application Guardはロジックを使用して、システムで次のヒューリスティックが満たされたときにコンテナーを事前に作成します。ユーザーは、保護ビューまたはApplication Guardで過去 28 日間にファイルを開きました。

このヒューリスティックが満たされると、Office はユーザーが Windows にサインインした後、ユーザーのApplication Guard コンテナーを事前に作成します。 この事前作成操作が進行中ですが、システムのパフォーマンスが低下する可能性がありますが、操作が完了するとすぐに効果が解決されます。

注:

ヒューリスティックがコンテナーを事前に作成するために必要なヒントは、ユーザーがコンテナーを使用する際に Office アプリケーションによって生成されます。 ユーザーがApplication Guardが有効になっている新しいシステムに Office をインストールした場合、ユーザーが初めてシステムで信頼されていないドキュメントを開くまで、Office はコンテナーを事前に作成しません。 ユーザーは、この最初のファイルがApplication Guardで開くのに時間がかかることを確認します。

既知の問題

  • サポートされていないファイルの種類の保護ポリシーの既定の設定は、暗号化されているか、Information Rights Management (IRM) が設定されている信頼されていないサポートされていないファイルの種類を開くのをブロックすることです。 これには、Microsoft Purview 情報保護の秘密度ラベルを使用して暗号化されたファイルが含まれます。
  • 現時点では、HTML ファイルはサポートされていません。
  • 現在、Application Guard for Office は NTFS 圧縮ボリュームでは機能しません。 "ERROR_VIRTUAL_DISK_LIMITATION" というエラーが表示される場合は、ボリュームを圧縮解除してみてください。
  • ハイパーバイザーが有効になっていない可能性があることを示すエラーが表示される場合は、次の点を確認してください。
    • BIOS で仮想化が有効になっている
    • Hyper-V がオンになっている
    • ホスト ネットワーク サービスが実行されている
  • .NET に更新すると、Application Guardでファイルが開かなくなります。 これは、マシンを再起動することで解決できます。
  • Application Guardでは、"サービスとしてのログオン" アクセス許可を "Virtual Machines" に付与する必要があり、"wdagutilityaccount" を "サービスとしてのログオンを拒否する" セキュリティ ポリシー設定に追加することはできません。 
  • 詳細については、「よく寄せられる質問 - Microsoft Defender Application Guard」を参照してください。