Microsoft Defender Application Guard の拡張機能
注
- Windows Isolated App Launcher API を含むMicrosoft Defender Application Guardは、Microsoft Edge for Businessでは非推奨となり、更新されなくなります。 Edge for Business セキュリティ機能の詳細については、 Microsoft Edge For Business セキュリティに 関するホワイトペーパーをダウンロードしてください。
- Application Guardは非推奨であるため、Edge Manifest V3 への移行はありません。 対応する拡張機能と関連する Windows ストア アプリ は、2024 年 5 月以降は使用できません。 これは、Application Guard拡張機能 - Chrome と Application Guard 拡張機能 - Firefox のブラウザーに影響します。 企業で MDAG の使用を廃止する準備ができるまで保護されていないブラウザーをブロックする場合は、AppLocker ポリシーまたは Microsoft Edge 管理サービスを使用することをお勧めします。 詳細については、「Microsoft Edge とMicrosoft Defender Application Guard」を参照してください。
Microsoft Defender Application Guard拡張機能は、Chrome と Firefox で利用できる Web ブラウザー アドオンです。
Microsoft Defender Application Guardは、web 上の有害な可能性のあるコンテンツからユーザーを保護するために、Windows 10とWindows 11で Hyper-V 分離を提供します。 この拡張機能は、他の Web ブラウザーを実行しているユーザー Application Guard保護するのに役立ちます。
ヒント
Application Guard既定では、Microsoft Edge とインターネット エクスプローラーの両方にネイティブ サポートが提供されます。 これらのブラウザーを保護するために、Application Guardにここで説明する拡張機能は必要ありません。
Microsoft Defender Application Guard拡張機能は、信頼されていない Web サイトを分離されたバージョンの Microsoft Edge にリダイレクトすることで、organization内のデバイスを高度な攻撃から保護します。 信頼されていない Web サイトが悪意があると判明した場合は、Application Guardのセキュリティで保護されたコンテナー内に残り、デバイスを保護したままにします。
前提条件
Microsoft Defender Application Guard拡張機能は、Windows 10 Version 1809 以降の次のエディションで動作します。
- Windows 10 Professional
- Windows 10 Enterprise
- Windows 10 Education
- Windows 11
拡張機能を機能させるには、Application Guard自体が必要です。 独自の 要件セットがあります。 Application Guardインストール ガイドを確認して、まだインストールしていない場合は、その他の手順を確認してください。
拡張機能のインストール
Application Guardは、マネージド モードまたはスタンドアロン モードで実行できます。 2 つのモードのメイン違いは、organizationの境界を定義するようにポリシーが設定されているかどうかです。
マネージド モードでApplication Guardを実行しているエンタープライズ管理者は、まずApplication Guardのネットワーク分離設定を定義する必要があります。そのため、エンタープライズ サイトのセットは既に配置されています。
そこから、拡張機能をインストールする手順は、Application Guardがマネージド モードでもスタンドアロン モードでも同様です。
- ローカル デバイスで、Google Chrome および Mozilla Firefox のApplication Guard拡張機能をダウンロードしてインストールします。
- Microsoft Store からMicrosoft Defender Application Guardコンパニオン アプリをインストールします。 このコンパニオン アプリを使用すると、Application Guardは Microsoft Edge またはインターネット エクスプローラー以外の Web ブラウザーで動作できます。
- デバイスを再起動します。
推奨されるブラウザー グループ ポリシー
Chrome と Firefox の両方に、独自のブラウザー固有のグループ ポリシーがあります。 管理者は、次のポリシー設定を使用することをお勧めします。
Chrome ポリシー
これらのポリシーは、 Software\Policies\Google\Chrome\ファイル名に対応する各ポリシー名を持つファイルパスに沿って見つけることができます。 たとえば、 IncognitoModeAvailability は にあります Software\Policies\Google\Chrome\IncognitoModeAvailability。
| ポリシー名 | 値 | 推奨設定 | 理由 |
|---|---|---|---|
| IncognitoModeAvailability | 0 = 有効1 = 無効2 = ページをシークレット モードでのみ開くよう強制する |
無効 | このポリシーを使用すると、ユーザーはシークレット モードで Chrome を起動できます。 このモードでは、すべての拡張機能が既定でオフになっています。 |
| BrowserGuestModeEnabled | false または 0 = 無効true、 1、または未構成 = 有効 |
無効 | このポリシーを使用すると、ユーザーは ゲストとしてサインインできます。これにより、シークレット モードでセッションが開きます。 このモードでは、すべての拡張機能が既定でオフになっています。 |
| BackgroundModeEnabled | false または 0 = 無効true または 1 = 有効メモ: このポリシーが設定されていない場合、ユーザーはローカル ブラウザー設定を使用してバックグラウンド モードを有効または無効にすることができます。 |
有効 | このポリシーは、Chrome をバックグラウンドで実行し続け、ナビゲーションが常に拡張機能に渡されるようにします。 |
| ExtensionSettings | このポリシーは、Chrome 用に他の複数の管理設定を構成するディクショナリを受け入れます。 完全なスキーマについては 、Google Cloud のドキュメントを参照してください 。 | のエントリを含める force_installed |
このポリシーにより、ユーザーは拡張機能を手動で削除できなくなります。 |
Firefox ポリシー
これらのポリシーは、 Software\Policies\Mozilla\Firefox\ファイル名に対応する各ポリシー名を持つファイルパスに沿って見つけることができます。 Foe の例 DisableSafeMode は にあります Software\Policies\Mozilla\Firefox\DisableSafeMode。
| ポリシー名 | 値 | 推奨設定 | 理由 |
|---|---|---|---|
| DisableSafeMode | false または 0 = セーフ モードが有効になっているtrue または 1 = セーフ モードが無効になっている |
ポリシーが有効になっており、セーフ モードの実行は許可されていません。 | セーフ モードを使用すると、ユーザーはApplication Guardを回避できます |
| BlockAboutConfig | false または 0 = へのユーザー アクセス about:config が許可されているtrue または 1 = へのユーザー アクセス about:config が許可されていません |
ポリシーが有効になっており、 への about:config アクセスは許可されていません。 |
About:config は Firefox 内の特別なページであり、セキュリティを侵害する可能性のある多くの設定を制御できます |
| 拡張機能 - ロック | この設定では、拡張機能の UUID の一覧を受け入れます。 これらの拡張機能は、ページ内about:configで検索extensions.webextensions.uuidsすることで見つけることができます) |
Software\Policies\Mozilla\Firefox\Extensions\Locked\1 = "ApplicationGuardRel@microsoft.com" |
この設定を使用すると、ユーザーが拡張機能を無効にしたりアンインストールしたりできないように、拡張機能をロックできます。 |
トラブルシューティング ガイド
| エラー メッセージ | 原因 | アクション |
|---|---|---|
| 未確定状態のApplication Guard | 拡張機能は、最後の情報要求中にコンパニオン アプリと通信できませんでした。 | 1. コンパニオン アプリ をインストールし、再起動 2. コンパニオン アプリが既にインストールされている場合は、再起動して、エラー 3 が解決されるかどうかを確認します。 再起動後もエラーが表示される場合は、コンパニオン アプリ 4 をアンインストールして再インストールします。 影響を受けるブラウザーについて、Microsoft ストアとそれぞれの Web ストアの両方で更新プログラムを確認する |
| ExceptionThrown | 予期しない例外がスローされました。 | 1. バグ 2 を報告します。 操作を再試行する |
| Application Guardが有効になっているかどうかを判断できませんでした | 拡張機能はコンパニオン アプリと通信できましたが、アプリで情報要求が失敗しました。 | 1. ブラウザー を再起動します 2. 影響を受けるブラウザーについて、Microsoft ストアとそれぞれの Web ストアの両方で更新プログラムを確認する |
| WDAG での起動がコンパニオン通信エラーで失敗しました | 拡張機能はコンパニオン アプリと話すことができませんでしたが、セッションの開始時にできました。 このエラーは、Chrome の実行中にコンパニオン アプリがアンインストールされたことが原因で発生する可能性があります。 | 1. コンパニオン アプリがインストール されていることを確認します 2. コンパニオン アプリがインストールされている場合は、再起動して、エラー 3 が解決されるかどうかを確認します。 再起動後もエラーが表示される場合は、コンパニオン アプリ 4 をアンインストールして再インストールします。 影響を受けるブラウザーについて、Microsoft ストアとそれぞれの Web ストアの両方で更新プログラムを確認する |
| メイン ページナビゲーションで予期しないエラーが発生しました | メイン ページナビゲーション中に予期しない例外がスローされました。 | 1. バグ 2 を報告します。 操作を再試行する |
| コンパニオン通信エラーでプロセス信頼応答が失敗しました | 拡張機能はコンパニオン アプリと話すことができませんでしたが、セッションの開始時にできました。 このエラーは、Chrome の実行中にコンパニオン アプリがアンインストールされたことが原因で発生する可能性があります。 | 1. コンパニオン アプリがインストールされていることを確認します。 2. コンパニオン アプリがインストールされている場合は、再起動して、エラー 3 が解決されるかどうかを確認します。 再起動後もエラーが表示される場合は、コンパニオン アプリ 4 をアンインストールして再インストールします。 影響を受けるブラウザーについて、Microsoft ストアとそれぞれの Web ストアの両方で更新プログラムを確認する |
| プロトコルの同期が取れなくなっている | 拡張機能とネイティブ アプリは相互に通信できません。 このエラーは、一方が他方のプロトコルをサポートせずに更新されたことが原因である可能性があります。 | Microsoft ストアと Web ストアの両方で、影響を受けるブラウザーの更新プログラムを確認します |
| セキュリティパッチレベルが一致しない | Microsoft は、拡張機能またはコンパニオン アプリにセキュリティの問題があると判断し、必須の更新プログラムを発行しました。 | Microsoft ストアと Web ストアの両方で、影響を受けるブラウザーの更新プログラムを確認します |
| 信頼された状態の処理中の予期しない応答 | 拡張機能はコンパニオン アプリと通信できましたが、API が失敗し、エラー応答コードが拡張機能に送信されました。 | 1. バグ 2 を報告します。 Microsoft Edge が動作 しているかどうかを確認します 3. 操作を再試行する |
関連記事
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示