Microsoft Defender Application Guard の概要
注
- Windows Isolated App Launcher API を含む Microsoft Defender Application Guard は、Microsoft Edge for Business では非推奨となり、更新されなくなります。 Edge for Business セキュリティ機能の詳細については、 Microsoft Edge For Business セキュリティに 関するホワイトペーパーをダウンロードしてください。
- Application Guard は非推奨であるため、Edge Manifest V3 への移行はありません。 対応するブラウザー拡張機能と関連する Windows ストア アプリは使用できなくなりました。 企業で MDAG の使用を廃止する準備ができるまで保護されていないブラウザーをブロックする場合は、AppLocker ポリシーまたは Microsoft Edge 管理サービスを使用することをお勧めします。 詳細については、「 Microsoft Edge と Microsoft Defender Application Guard」を参照してください。
Microsoft Defender Application Guard (MDAG) は、従業員の生産性を維持するために、新旧の攻撃を防ぐのに役立つように設計されています。 独自のハードウェア分離アプローチを使用して、現在の攻撃方法を廃止することで、攻撃者が使用するプレイブックを破棄することを目標としています。
Application Guard の概要とその仕組み
Microsoft Edge の場合、Application Guard は、企業が定義した信頼されていないサイトを分離し、従業員がインターネットを閲覧している間に会社を保護するのに役立ちます。 エンタープライズ管理者は、信頼済み Web サイト、クラウド リソース、内部ネットワークを定義します。 一覧にないものはすべて非信頼と見なされます。 従業員が Microsoft Edge または Internet Explorer を介して信頼されていないサイトにアクセスした場合、Microsoft Edge は分離された Hyper-V 対応コンテナーでサイトを開きます。
Microsoft Office の場合、Application Guard は信頼されていない Word、PowerPoint、Excel ファイルが信頼できるリソースにアクセスするのを防ぐのに役立ちます。 Application Guard は、分離された Hyper-V 対応コンテナー内の信頼されていないファイルを開きます。 分離された Hyper-V コンテナーは、ホスト オペレーティング システムとは別です。 このコンテナーの分離は、信頼されていないサイトまたはファイルが悪意があると判明した場合、ホスト デバイスが保護され、攻撃者がエンタープライズ データにアクセスできないことを意味します。 たとえば、このアプローチでは分離されたコンテナーが匿名になるため、攻撃者は従業員の企業の資格情報にアクセスできません。
Application Guard を使うのはどの種類のデバイスですか。
Application Guard は、いくつかの種類のデバイスを対象として作成されています。
エンタープライズ デスクトップ。 これらのデスクトップは、ドメインに参加し、組織で管理されます。 構成管理は、主に Microsoft Configuration Manager または Microsoft Intune を使用して行われます。 通常、従業員は標準ユーザー特権を持ち、高帯域幅のワイヤード (有線) 企業ネットワークを使います。
エンタープライズ モバイル ノート PC。 これらのノート PC は、ドメインに参加し、組織で管理されます。 構成管理は、主に Microsoft Configuration Manager または Microsoft Intune を使用して行われます。 通常、従業員は、標準ユーザー特権を持ち、高帯域幅のワイヤレス企業ネットワークを使います。
独自のデバイス (BYOD) モバイル ノート PC を持ち込みます。 これらの個人所有のノート PC はドメインに参加していませんが、Microsoft Intune などのツールを使用して組織によって管理されます。 通常、従業員はデバイスの管理者で、職場では高帯域幅のワイヤレス企業ネットワークを使い、自宅では同等の個人用ネットワークを使います。
個人用デバイス。 これらの個人所有のデスクトップまたはモバイル ノート PC は、組織によってドメイン参加または管理されません。 ユーザーはデバイスの管理者であり、自宅にいる間は高帯域幅のワイヤレスパーソナルネットワークを使用し、外部では同等のパブリックネットワークを使用します。
Windows エディションとライセンスに関する要件
次の表は、Microsoft Defender Application Guard (MDAG) for Edge スタンドアロン モードをサポートする Windows エディションの一覧です。
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| はい | はい | はい | ○ |
Microsoft Defender Application Guard (MDAG) for Edge スタンドアロン モードのライセンスエンタイトルメントは、次のライセンスによって付与されます。
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| ○ | ○ | はい | はい | はい |
Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。
Microsoft Edge エンタープライズ モードの Microsoft Defender Application Guard (MDAG) の詳細については、「Microsoft Defender Application Guard ポリシー設定を構成する」を参照してください。
関連記事
| 記事 | 説明 |
|---|---|
| Microsoft Defender Application Guard のシステム要件 | Application Guard をインストールして使用するために必要な前提条件を指定します。 |
| Microsoft Defender Application Guard を準備してインストールする | スタンドアロンと企業管理のどちらのモードを使うか決定する方法と、組織内で Application Guard をインストールする方法について説明します。 |
| Microsoft Defender Application Guard のグループ ポリシー設定を構成する | 利用可能なグループ ポリシーと MDM 設定に関する情報を提供します。 |
| ビジネスまたは組織で Microsoft Defender Application Guard を使用したシナリオのテスト | 組織内の Application Guard のテストに使用できる、推奨されるテスト シナリオの一覧を示します。 |
| Microsoft Defender Application Guard for Microsoft Office | 最小ハードウェア要件、構成、トラブルシューティング ガイドなど、Microsoft Office 用 Application Guard について説明します |
| よく寄せられる質問: Microsoft Defender Application Guard | Application Guard の機能、Windows オペレーティング システムとの統合、および一般的な構成に関してよく寄せられる質問に対する回答を提供します。 |
| ネットワーク境界を使用して、Microsoft Intune の Windows デバイスに信頼されたサイトを追加する | ネットワーク境界。組織から信頼されていないサイトから環境を保護するのに役立つ機能です。 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示