編集

次の方法で共有


よく寄せられる質問: Microsoft Defender Application Guard

この記事では、Microsoft Defender Application Guard (Application Guard) の回答についてよく寄せられる質問の一覧を示します。 質問は、機能、Windows オペレーティング システムとの統合、および一般的な構成に及びます。

よく寄せられる質問

4 GB RAM を搭載したマシンで Application Guard を有効にすることはできますか?

最適なパフォーマンスを得るには 8 GB の RAM をお勧めしますが、推奨されるハードウェア構成を満たしていないマシンで Application Guard を有効にするには、次のレジストリ DWORD 値を使用できます。

HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount (既定値は 4 コアです)。

HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB (既定値は 8 GB です)。

HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB (既定値は 5 GB です)。

ネットワーク構成でプロキシが使用され、"MDAG ブラウザーから外部 URL を解決できません: エラー: err_connection_refused" に実行されています。 これを解決するにはどうすればよいですか?

手動サーバーまたは PAC サーバーは、サイト一覧でニュートラルなホスト名 (IP ではない) である必要があります。 さらに、PAC スクリプトがプロキシを返す場合は、同じ要件を満たす必要があります。

"PAC ファイル" と "PAC ファイルがリダイレクトされるプロキシ サーバー" の FQDN (完全修飾ドメイン名) が、Application Guard で使用されるネットワーク分離ポリシーのニュートラル リソースとして追加されるようにするには、次の手順を実行します。

  • この追加を確認するには、edge://application-guard-internals/#utilities に移動し、[URL 信頼の確認] フィールドに pac/proxy の FQDN を入力し、"Neutral" と表示されていることを確認します。
  • FQDN である必要があります。 単純な IP アドレスは機能しません。
  • 必要に応じて、上記をホストしているサーバーに関連付けられている IP アドレスを、Application Guard によって使用されるネットワーク分離ポリシーの Enterprise IP 範囲から削除する必要があります。

ネットワーク プロキシ (IP リテラル アドレス) を使用するように Microsoft Defender Application Guard を構成するにはどうすればよいですか?

Application Guard では、プロキシに IP アドレスだけでなく、シンボリック名が必要です。 192.168.1.4:81などのプロキシ設定 IP-Literal、itproxy:81として注釈を付けたり、IP アドレスが192.168.100.10のプロキシのP19216810010などのレコードを使用したりできます。 この注釈は、Windows 10 Enterprise エディションバージョン 1709 以降に適用されます。 これらの注釈は、グループ ポリシーまたは Intune の [ネットワーク分離] の下にあるプロキシ ポリシー用です。

19H1 でサポートされていない入力メソッド エディター (IME) はどれですか?

Windows 10 バージョン 1903 で導入された次の入力メソッド エディター (IME) は、現在、Microsoft Defender Application Guard ではサポートされていません。

  • ベトナムテレックスキーボード
  • ベトナム番号キーベースのキーボード
  • ヒンディー語の音声キーボード
  • バングラ語の音声キーボード
  • Marathi ふりがなキーボード
  • テルグ語の音声キーボード
  • タミル語の音声キーボード
  • カンナダ語の音声キーボード
  • マラヤーラム語の音声キーボード
  • グジャラート語の音声キーボード
  • Odia ふりがなキーボード
  • パンジャブ語の音声キーボード

Windows 10 Enterprise バージョン 1803 の展開でハードウェア アクセラレータ ポリシーを有効にしました。 ユーザーがまだ CPU レンダリングのみを受け取っているのはなぜですか?

この機能は現在試験的なものであり、Microsoft によって提供される追加のレジストリ キーなしでは機能しません。 Windows 10 Enterprise バージョン 1803 の展開でこの機能を評価する場合は、Microsoft にお問い合わせください。

WDAGUtilityAccount ローカル アカウントとは

WDAGUtilityAccount は、Windows 10 バージョン 1709 (Fall Creators Update) 以降の Application Guard の一部です。 デバイスで Application Guard が有効になっていない限り、既定では無効のままです。 WDAGUtilityAccount は、ランダムなパスワードを使用して標準ユーザーとして Application Guard コンテナーにサインインするために使用されます。 悪意のあるアカウントではありません。 正しく機能するには 、サービスとしてのログオン のアクセス許可が必要です。 このアクセス許可が拒否された場合、次のエラーが表示されることがあります。

エラー: 0x80070569、Ext エラー: 0x00000001。RDP: エラー: 0x00000000、Ext エラー: 0x00000000場所: 0x00000000

サイトリストのサブドメインを信頼するにはどうすればよいですか?

サブドメインを信頼するには、ドメインの前に 2 つのドット (..) を付ける必要があります。 たとえば、 ..contoso.com は、 mail.contoso.com または news.contoso.com が信頼されていることを確認します。 最初のドットはサブドメイン名 (メールまたはニュース) の文字列を表し、2 番目のドットはドメイン名 (contoso.com) の先頭を認識します。 これら 2 つのドットは、 fakesitecontoso.com などのサイトが信頼されないようにします。

Windows Pro と Windows Enterprise での Application Guard の使用には違いがありますか?

Windows Pro または Windows Enterprise を使用する場合は、スタンドアロン モードで Application Guard を使用できます。 ただし、Enterprise を使用する場合は、Enterprise-Managed モードで Application Guard にアクセスできます。 このモードには、スタンドアロン モードにはない追加機能がいくつかあります。 詳細については、「 Microsoft Defender Application Guard をインストールするための準備」を参照してください。

構成する必要があるドメイン リストのサイズ制限はありますか?

はい。クラウドでホストされているエンタープライズ リソース ドメインと、仕事用と個人用の両方として分類されるドメインの両方に、1,6383 バイトの制限があります。

暗号化ドライバーが Microsoft Defender Application Guard を壊す理由

Microsoft Defender Application Guard は、セットアップ中に書き込む必要があるホストにマウントされた VHD からファイルにアクセスします。 暗号化ドライバーが VHD のマウントまたは書き込みが妨げる場合、Application Guard は機能せず、エラー メッセージ (0x80070013 ERROR_WRITE_PROTECT) が表示されます。

グループ ポリシーと CSP のネットワーク分離ポリシーが異なるのはなぜですか?

CSP と GP の間のすべてのネットワーク分離ポリシー間に 1 対 1 のマッピングはありません。 Application Guard を展開するための必須のネットワーク分離ポリシーは、CSP と GP によって異なります。

  • Application Guard を展開するための必須のネットワーク分離 GP ポリシー: DomainSubnets または CloudResources

  • Application Guard を展開するための必須のネットワーク分離 CSP ポリシー: EnterpriseCloudResources または (EnterpriseIpRange と EnterpriseNetworkDomainNames)

  • EnterpriseNetworkDomainNames の場合、マップされた CSP ポリシーはありません。

Application Guard は、セットアップ中に書き込む必要があるホストにマウントされた VHD からファイルにアクセスします。 暗号化ドライバーが VHD のマウントまたは書き込みが妨げる場合、Application Guard は機能せず、エラー メッセージ (0x80070013 ERROR_WRITE_PROTECT) が表示されます。

ハイパースレッディングをオフにした後、Application Guard が機能しなくなったのはなぜですか?

ハイパースレッディングが無効になっている場合 (KB 記事または BIOS 設定を通じて更新プログラムが適用されているため)、Application Guard が最小要件を満たさなくなった可能性があります。

"ERROR_VIRTUAL_DISK_LIMITATION" というエラー メッセージが表示されるのはなぜですか?

Application Guard が NTFS 圧縮ボリュームで正しく動作しない可能性があります。 この問題が解決しない場合は、ボリュームを圧縮解除してみてください。

PAC ファイルに到達できなかった後に "ERR_NAME_NOT_RESOLVED" というエラー メッセージが表示されるのはなぜですか?

この問題は既知の問題です。 この問題を軽減するには、2 つのファイアウォール規則を作成する必要があります。 グループ ポリシーを使用したファイアウォール規則の作成の詳細については、「グループ ポリシーを使用して Windows ファイアウォール規則を構成する」を参照してください。

最初の規則 (DHCP サーバー)

  • プログラム パス: %SystemRoot%\System32\svchost.exe

  • ローカル サービス: Sid: S-1-5-80-2009329905-444645132-2728249442-922493431-93864177 (Internet Connection Service (SharedAccess))

  • プロトコル UDP

  • ポート 67

2 番目の規則 (DHCP クライアント)

この規則は最初の規則と同じですが、スコープはローカル ポート 68 です。 Microsoft Defender Firewall ユーザー インターフェイスで、次の手順を実行します。

  1. 受信規則を右クリックし、新しいルールを作成します。

  2. カスタム ルールを選択します

  3. 次のプログラム パスを指定します: %SystemRoot%\System32\svchost.exe

  4. 次の設定を指定します。

    • プロトコルの種類: UDP
    • 特定のポート: 67
    • リモート ポート: 任意
  5. 任意の IP アドレスを指定します。

  6. 接続を許可します。

  7. すべてのプロファイルを使用するように指定します。

  8. 新しいルールがユーザー インターフェイスに表示されます。 ルール>プロパティを右クリックします

  9. [ プログラムとサービス ] タブの [ サービス ] セクションで、[ 設定] を選択します。

  10. [ このサービスに適用] を 選択し、[ インターネット接続共有 (ICS) 共有アクセス] を選択します。

Application Guard を壊さずにインターネット接続サービス (ICS) の一部を無効にするにはどうすればよいですか?

Windows では ICS が既定で有効になっており、Application Guard が正しく機能するためには ICS を有効にする必要があります。 ICS を無効にすることはお勧めしません。ただし、一部で ICS を無効にするには、グループ ポリシーを使用し、レジストリ キーを編集します。

  1. [グループ ポリシー] 設定で、[ DNS ドメイン ネットワークでのインターネット接続共有の使用を禁止する] を [無効] に設定します。

  2. ICS 読み込みからの IpNat.sys を次のように無効にします。
    System\CurrentControlSet\Services\SharedAccess\Parameters\DisableIpNat = 1

  3. 次のように ICS (SharedAccess) を有効にするように構成します。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Start = 3

  4. (この手順は省略可能です)次のように IPNAT を無効にします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPNat\Start = 4

  5. デバイスを再起動します。

デバイス制御ポリシーが有効になっているときにコンテナーが完全に読み込まれないのはなぜですか?

AppGuard が正しく動作するように、グループ ポリシー オブジェクトで許可されている項目を "許可" として構成する必要があります。

ポリシー: 次のいずれかのデバイス ID に一致するデバイスのインストールを許可します。

  • SCSI\DiskMsft____Virtual_Disk____
  • {8e7bd593-6e6c-4c52-86a6-77175494dd8e}\msvhdhba
  • VMS_VSF
  • root\Vpcivsp
  • root\VMBus
  • vms_mp
  • VMS_VSP
  • ROOT\VKRNLINTVSP
  • ROOT\VID
  • root\storvsp
  • vms_vsmp
  • VMS_PP

ポリシー: これらのデバイス セットアップ クラスに一致するドライバーを使用してデバイスのインストールを許可する

  • {71a27cdd-812a-11d0-bec7-08002be2092f}

TCP 断片化の問題が発生しており、VPN 接続を有効にできません。 この問題を解決するにはどうすればよいですか?

WinNAT は、既定のスイッチまたは Docker NAT ネットワークを使用する場合、MTU より大きいパケットを含む ICMP/UDP メッセージを削除します。 このソリューションのサポートは、 KB4571744に追加されました。 この問題を解決するには、更新プログラムをインストールし、次の手順に従って修正を有効にします。

  1. このレジストリ設定で FragmentAware DWORD が 1 に設定されていることを確認します: \Registry\Machine\SYSTEM\CurrentControlSet\Services\Winnat

  2. デバイスを再起動します。

グループ ポリシーの Microsoft Defender Application Guard_ オプションで開いているファイルを信頼する_Allowユーザーは何を行いますか?

このポリシーは、バージョン 2004 より前の Windows 10 に存在していました。 Microsoft Edge または Office には何も適用されないため、新しいバージョンの Windows から削除されました。

Microsoft Defender Application Guard のサポート チケットを開くにはどうすればよいですか?

  • 「新しいサポート リクエストを作成する」をご覧ください
  • [製品ファミリ] で [Windows] を選択します。 ヘルプが必要な製品と製品バージョンを選択します。 問題を最もよく説明するカテゴリについては、[ Windows セキュリティ テクノロジ] を選択します。 最後のオプションで、[ Windows Defender Application Guard] を選択します。

信頼されていないサイトに移動するときにホストの [Microsoft Edge] タブが自動的に閉じる動作を有効または無効にする方法はありますか?

はい、できます。 この Microsoft Edge フラグを使用して、この動作を有効または無効にします。 --disable-features="msWdagAutoCloseNavigatedTabs"