Microsoft Defender Application Guardポリシー設定を構成する
適用対象:
- Windows 10
- Windows 11
Microsoft Defender Application Guard (Application Guard) は、組織のコンピューター設定の管理に役立つグループ ポリシーと連携します。 グループ ポリシーを使うと、ポリシー設定を 1 回設定した後、その設定を複数のコンピューターにコピーできます。 たとえば、ドメインにリンクされている グループ ポリシー オブジェクトで複数のセキュリティ設定を設定し、それらの設定をすべてドメイン内のすべてのエンドポイントに適用できます。
Application Guard では、ネットワーク分離設定とアプリケーション固有の設定の両方を使います。
ネットワーク分離設定
にあるこれらの設定は、 Computer Configuration\Administrative Templates\Network\Network Isolation組織のネットワーク境界を定義および管理するのに役立ちます。 Application Guard ではこの情報を使って、企業以外のリソースにアクセスするためのすべての要求を Application Guard コンテナーに自動的に転送します。
注
Windows 10の場合、KB5014666 がインストールされていて、Windows 11の場合、KB5014668 がインストールされている場合は、マネージド モードで Microsoft Edge のApplication Guardを有効にするようにネットワーク分離ポリシーを構成する必要はありません。
注
従業員のデバイスのアプリ設定に対してクラウドまたはプライベート ネットワークの範囲でホストされているエンタープライズ リソース ドメインを構成して、エンタープライズ モードで Application Guard を正常に有効にする必要があります。 プロキシ サーバーは、仕事用ポリシー と個人用ポリシーの両方として分類されたドメイン に記載されているニュートラル リソースである必要があります。
| ポリシー名 | サポートされているバージョン | 説明 |
|---|---|---|
| アプリのプライベート ネットワークの範囲 | Windows Server 2012、Windows 8、または Windows RT 以降 | 社内ネットワークのコンマで区切られた IP アドレス範囲の一覧です。 含まれるエンドポイントまたは指定した IP アドレスの範囲内に含まれているエンドポイントは、Microsoft Edge を使ってレンダリングされ、Application Guard 環境からアクセスできなくなります。 |
| クラウドでホストされるエンタープライズ リソース ドメイン | Windows Server 2012、Windows 8、または Windows RT 以降 | ドメイン クラウド リソースのパイプ区切り (|) リスト。 含まれるエンドポイントは、Microsoft Edge を使ってレンダリングされ、Application Guard 環境からアクセスできなくなります。 この一覧では、 ネットワーク分離設定のワイルドカード テーブルで詳しく説明されているワイルドカードがサポートされています。 |
| 職場用と個人用に分類されたドメイン | Windows Server 2012、Windows 8、または Windows RT 以降 | 職場用と個人用リソースの両方として使われるドメイン名のコンマ区切りのリスト。 含まれているエンドポイントは、Microsoft Edge を使用してレンダリングされ、Application Guardおよび通常の Edge 環境からアクセスできます。 この一覧では、 ネットワーク分離設定のワイルドカード テーブルで詳しく説明されているワイルドカードがサポートされています。 |
ネットワーク分離設定のワイルドカード
| 値 | 左側のドットの数 | 意味 |
|---|---|---|
contoso.com |
0 | のリテラル値 contoso.comのみを信頼します。 |
www.contoso.com |
0 | のリテラル値 www.contoso.comのみを信頼します。 |
.contoso.com |
1 | テキスト contoso.comで終わるドメインを信頼します。 一致するサイトには、、contoso.com、および がwww.contoso.com含まれますspearphishingcontoso.com。 |
..contoso.com |
2 | ドットの左側にあるドメイン階層のすべてのレベルを信頼します。 一致するサイトには、、、、www.us.shop.contoso.comが含まれますshop.contoso.comが、それ自体は含まれませんcontoso.com。 us.shop.contoso.com |
アプリケーション固有の設定
にあるこれらの設定は、Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard組織のApplication Guardの実装を管理するのに役立ちます。
| Name | サポートされているバージョン | 説明 | オプション |
|---|---|---|---|
| クリップボード設定Microsoft Defender Application Guard構成する | Windows 10 Enterprise、1709 以上 Windows 11 Enterprise |
Application Guard でクリップボードの機能を使うかどうかを指定します。 | 有効。 これは、マネージド モードでのみ有効です。 クリップボード機能をオンにし、さらに次の操作を行うかどうかを選択できます。 - 仮想化セキュリティが有効になっている場合は、クリップボード機能を完全に無効にします。 - Application Guardから Microsoft Edge への特定のコンテンツのコピーを有効にします。 - Microsoft Edge からApplication Guardへの特定のコンテンツのコピーを有効にします。 大事な:コピーしたコンテンツを Microsoft Edge から Application Guard に移行すると、潜在的なセキュリティ リスクが発生する可能性があり、推奨されません。 無効または未構成。 Application Guardのクリップボード機能を完全にオフにします。 |
| 印刷設定Microsoft Defender Application Guard構成する | Windows 10 Enterprise、1709 以上 Windows 11 Enterprise |
Application Guard で印刷機能を使うかどうかを決定します。 | 有効。 これは、マネージド モードでのみ有効です。 印刷機能をオンにし、さらに次の操作を行うかどうかを選択できます。 - Application Guardを有効にして XPS 形式で印刷します。 - Application Guardを有効にして PDF 形式で印刷します。 - Application Guardを有効にして、ローカルに接続されたプリンターに印刷します。 - Application Guardを有効にして、以前に接続したネットワーク プリンターから印刷できるようにします。 従業員は他のプリンターを検索できません。 無効または未構成。 Application Guard の印刷機能を完全に無効にします。 |
| 永続化の許可 | Windows 10 Enterprise、1709 以上 Windows 11 Enterprise |
Microsoft Defender Application Guardの異なるセッション間でデータが保持されるかどうかを判断します。 | 有効。 これは、マネージド モードでのみ有効です。 Application Guard では、ユーザーがダウンロードしたファイルとその他の項目 (Cookie、お気に入りなど) を保存して今後の Application Guard セッションで使えるようにします。 無効または未構成。 Application Guard 内のすべてのユーザー データはセッション間でリセットされます。 注: 後で従業員のデータ永続化のサポートを停止する場合は、Windows が提供するユーティリティを使用してコンテナーをリセットし、個人データを破棄できます。 コンテナーをリセットするには: |
| マネージド モードでMicrosoft Defender Application Guardを有効にする | Windows 10 Enterprise、1809 以上 Windows 11 Enterprise |
Microsoft Edge と Microsoft Office のApplication Guardを有効にするかどうかを指定します。 | 有効。 Microsoft Edge または Microsoft Office のApplication Guardをオンにし、ネットワーク分離設定を考慮して、Application Guard コンテナー内の信頼されていないコンテンツをレンダリングします。 Application Guardは、必要な前提条件とネットワーク分離設定がデバイスに既に設定されていない限り、実際にはオンになりません。 使用可能なオプション: - Microsoft Edge に対してのみMicrosoft Defender Application Guardを有効にする - Microsoft Office に対してのみMicrosoft Defender Application Guardを有効にする - Microsoft Edge と Microsoft Office の両方でMicrosoft Defender Application Guardを有効にする 無効。 Application Guardをオフにして、すべてのアプリを Microsoft Edge と office Microsoftで実行できるようにします。 メモ:Windows 10の場合、KB5014666 がインストールされていて、Windows 11の場合、KB5014668 がインストールされている場合は、Edge のApplication Guardを有効にするようにネットワーク分離ポリシーを構成する必要がなくなりました。 |
| オペレーティング システムをホストするためのファイルのダウンロードを許可する | Windows 10 Enterpriseまたは Pro、1803 以上 Windows 11 Enterpriseまたは Pro |
ダウンロードしたファイルを、Microsoft Defender Application Guard コンテナーからホスト オペレーティング システムに保存するかどうかを決定します。 | 有効。 ユーザーは、Microsoft Defender Application Guard コンテナーからホスト オペレーティング システムにダウンロードしたファイルを保存できます。 このアクションにより、ホストとコンテナーの間に共有が作成され、ホストからApplication Guard コンテナーへのアップロードも可能になります。 無効または未構成。 ユーザーは、ダウンロードしたファイルをApplication Guardからホスト オペレーティング システムに保存できません。 |
| Microsoft Defender Application Guardのハードウェア高速化レンダリングを許可する | Windows 10 Enterprise、1803 以上 Windows 11 Enterprise |
ハードウェアアクセラレーションとソフトウェアアクセラレーションのどちらを使用Microsoft Defender Application Guardグラフィックスをレンダリングするかを決定します。 | 有効。 これは、マネージド モードでのみ有効です。 Microsoft Defender Application Guardは Hyper-V を使用して、サポートされている高セキュリティ レンダリング グラフィックス ハードウェア (GPU) にアクセスします。 これらの GPU は、特にビデオ再生やその他のグラフィックスを集中的に使用するユース ケースで、Microsoft Defender Application Guardを使用しながらレンダリングパフォーマンスとバッテリ寿命を向上させます。 この設定がセキュリティの高いレンダリング グラフィックス ハードウェアを接続せずに有効になっている場合、Microsoft Defender Application Guardは自動的にソフトウェア ベース (CPU) レンダリングに戻ります。 大事な: 侵害される可能性のあるグラフィックス デバイスまたはドライバーでこの設定を有効にすると、ホスト デバイスにリスクが発生する可能性があります。 無効または未構成。 Microsoft Defender Application Guardは、ソフトウェア ベース (CPU) レンダリングを使用し、サード パーティ製のグラフィックス ドライバーを読み込んだり、接続されているグラフィックス ハードウェアと対話したりすることはありません。 |
| Microsoft Defender Application Guardでカメラとマイクへのアクセスを許可する | Windows 10 Enterprise、1809 以上 Windows 11 Enterprise |
Microsoft Defender Application Guard内でカメラとマイクへのアクセスを許可するかどうかを指定します。 | 有効。 これは、マネージド モードでのみ有効です。 Microsoft Defender Application Guard内のアプリケーションは、ユーザーのデバイス上のカメラとマイクにアクセスできます。 大事な: 侵害される可能性のあるコンテナーでこのポリシーを有効にすると、カメラとマイクのアクセス許可をバイパスし、ユーザーの知らないうちにカメラとマイクにアクセスする可能性があります。 無効または未構成。 Microsoft Defender Application Guard内のアプリケーションは、ユーザーのデバイス上のカメラとマイクにアクセスできません。 |
| ユーザー Microsoft Defender Application Guardデバイスからのルート証明機関の使用を許可する | Windows 10 Enterpriseまたは Pro、1809 以上 Windows 11 Enterpriseまたは Pro |
ルート証明書をMicrosoft Defender Application Guardと共有するかどうかを決定します。 | 有効。 指定した拇印に一致する証明書がコンテナーに転送されます。 複数の証明書を区切るには、コンマを使用します。 無効または未構成。 証明書はMicrosoft Defender Application Guardと共有されません。 |
| Microsoft Defender Application Guardで監査イベントを許可する | Windows 10 Enterprise、1809 以上 Windows 11 Enterprise |
このポリシー設定を使用すると、監査イベントをMicrosoft Defender Application Guardから収集できるかどうかを決定できます。 | 有効。 これは、マネージド モードでのみ有効です。 Application Guardは、デバイスから監査ポリシーを継承し、Application Guard コンテナーからホストにシステム イベントをログに記録します。 無効または未構成。 イベント ログは、Application Guard コンテナーから収集されません。 |
Application Guard サポート ダイアログの設定
これらの設定は にあります Administrative Templates\Windows Components\Windows Security\Enterprise Customization。 エラーが発生した場合は、ダイアログ ボックスが表示されます。 既定では、このダイアログ ボックスにはエラー情報と、フィードバック ハブ経由でMicrosoftに報告するためのボタンのみが含まれています。 ただし、ダイアログ ボックスに追加情報を提供することもできます。