Microsoft Defender Application Guard をインストールする準備をする
適用対象:
- Windows 10
- Windows 11
システム要件を確認する。
Microsoft Defender Application Guard のハードウェアとソフトウェアのインストール要件については、「Microsoft Defender Application Guard のシステム要件」に関するページを参照してください。
注
Microsoft Defender Application Guard は、VM と VDI 環境ではサポートされていません。 非運用マシン上でテストや自動化を行う場合は、ホスト上で Hyper-V によって入れ子になった仮想化を有効にして、VM 上の WDAG を有効にすることができます。
Microsoft Defender Application Guard の準備
Microsoft Defender Application Guard をインストールして使用する前に、エンタープライズでどの方法で使用するかを決定する必要があります。 Application Guard は、スタンドアロン モードか企業管理モードのいずれかで使うことができます。
スタンドアロン モード
適用対象
- Windows 10 Enterprise エディション、バージョン 1709 以降
- Windows 10 Pro エディション、バージョン1803
- Windows 11
従業員は、管理者または管理ポリシー構成なしでハードウェア分離の閲覧セッションを使うことができます。 このモードでは、Application Guard をインストールする必要があります。その後、従業員は非信頼サイトを閲覧中に Application Guard で Microsoft Edge を手動で起動する必要があります。 この機能の例については、「スタンドアロン モードでの Application Guard」テスト シナリオをご覧ください。
企業管理モード
適用対象
- Windows 10 Enterprise エディション、バージョン 1709 以降
- Windows 11
お客様とお客様のセキュリティ部門は、信頼されたドメインを明示的に追加して、従業員のデバイスのニーズを満たすよう Application Guard エクスペリエンスをカスタマイズして適用し、会社の境界を定義できます。 企業管理モードでは、コンテナーへの非エンタープライズ ドメインの追加に関するブラウザー要求も自動的にリダイレクトします。
次の図は、ホスト PC と分離されたコンテナー間のフローを示しています。
Application Guard をインストールする
Application Guard 機能は既定では無効です。 ただし、コントロール パネル、PowerShell、またはモバイル デバイス管理 (MDM) ソリューションを使って従業員のデバイスにすばやくインストールできます。
コントロール パネルを使ってインストールするには
コントロール パネルを開き、[プログラム] をクリックし、[Windows 機能のオンとオフを切り替える] を選択します。
[Microsoft Defender Application Guard] の横にあるチェック ボックスをオンにし、[OK] を選択します。
Application Guard と基盤となる依存関係がすべてインストールされます。
PowerShell を使ってインストールするには
注
この手順を行う前に、デバイスがすべてのシステム要件を満たしていることを確認します。 PowerShell は、システム要件をチェックせずに機能をインストールします。 デバイスがシステム要件を満たしていない場合、Application Guard は機能しない可能性があります。 この手順は、企業管理シナリオにのみ推奨されています。
Windows 10またはタスク バーの [検索] または [Cortana] アイコンWindows 11選択し、「PowerShell」と入力します。
Windows PowerShellを右クリックし、[管理者として実行] を選択します。
Windows PowerShell は管理者資格情報で開きます。
次のコマンドを入力します。
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
デバイスを再起動します。
Application Guard と基盤となる依存関係がすべてインストールされます。
Intune を使ってインストールするには
重要
組織のデバイスが要件を満たしており、Intune に登録されていることを確認します。
Microsoft エンドポイント マネージャー管理センターで、[デバイス>構成プロファイル] + [プロファイル>の作成] を選択し、次の操作を行います。
[Platform (プラットフォーム)] リストで、[Windows 10 and later (Windows 10 以降)] を選択します。
[プロファイルの種類] で、[テンプレート] を選択し、[エンドポイント保護] を選択します。
[Create (作成)] を選択します。
プロファイルの次の設定を指定します。
[Name (名前)] と [Description (説明)]
[Select a category to configure settings (設定を構成するカテゴリの選択)] セクションで、[Microsoft Defender Application Guard] を選択します。
[Application Guard] リストで、[Enabled for Edge (Edge に対して有効)] を選択します。
[Clipboard behavior (クリップボードの動作)]、 [External content (外部コンテンツ)]、その他の設定を、目的に合わせて設定します。
[OK] を選択し、[OK] をもう一度選択します。
設定を確認し、[Create (作成)] を選択します。
[Assignments (割り当て)] を選択し、以下の操作を行います。
[Include (含める)] タブの [Assign to (割り当て先)] リストで、オプションを選択します。
このエンドポイント保護プロファイルから除外するデバイスとユーザーは、[Exclude (除外)] タブで指定します。
[保存] を選びます。
プロファイルが作成されると、ポリシーを適用する必要があるすべてのデバイスで、Microsoft Defender Application Guard が有効になります。 保護を有効にするには、ユーザーはデバイスを再起動する必要がある場合があります。