Microsoft Defender Application Guard の概要

適用対象

  • Windows 10
  • Windows 11

Microsoft Defender Application Guard (Application Guard) は、従業員の生産性を維持するために、新旧の攻撃を防ぐのに役立つように設計されています。 独自のハードウェア分離アプローチを使用して、現在の攻撃方法を廃止することで、攻撃者が使用するプレイブックを破棄することを目標としています。

Application Guard の概要とその仕組み

Microsoft Edge の場合、Application Guardは、企業が定義した信頼されていないサイトを分離し、従業員がインターネットを閲覧している間に会社を保護するのに役立ちます。 エンタープライズ管理者は、信頼済み Web サイト、クラウド リソース、内部ネットワークを定義します。 一覧にないものはすべて非信頼と見なされます。 従業員が Microsoft Edge または Internet Explorer を介して信頼されていないサイトにアクセスした場合、Microsoft Edge は分離された Hyper-V 対応コンテナーでサイトを開きます。

Microsoft Office の場合、Application Guardは、信頼されていない Word、PowerPoint、Excel ファイルが信頼できるリソースにアクセスするのを防ぐのに役立ちます。 Application Guardは、分離された Hyper-V 対応コンテナー内の信頼されていないファイルを開きます。 分離された Hyper-V コンテナーは、ホスト オペレーティング システムとは別です。 このコンテナーの分離は、信頼されていないサイトまたはファイルが悪意があると判明した場合、ホスト デバイスが保護され、攻撃者がエンタープライズ データにアクセスできないことを意味します。 たとえば、このアプローチでは分離されたコンテナーが匿名になるため、攻撃者は従業員の企業の資格情報にアクセスできません。

ハードウェア分離図。

Application Guard を使うのはどの種類のデバイスですか。

Application Guardは、いくつかの種類のデバイスを対象として作成されています。

  • エンタープライズ デスクトップ。 これらのデスクトップは、ドメインに参加し、組織で管理されます。 構成管理は、主に Microsoft Configuration ManagerまたはMicrosoft Intuneを通じて行われます。 通常、従業員は標準ユーザー特権を持ち、高帯域幅のワイヤード (有線) 企業ネットワークを使います。

  • エンタープライズ モバイル ノート PC。 これらのノート PC は、ドメインに参加し、組織で管理されます。 構成管理は、主に Microsoft Configuration ManagerまたはMicrosoft Intuneを通じて行われます。 通常、従業員は、標準ユーザー特権を持ち、高帯域幅のワイヤレス企業ネットワークを使います。

  • 独自のデバイス (BYOD) モバイル ノート PC を持ち込みます。 これらの個人所有のノート PC はドメインに参加していませんが、Microsoft Intuneなどのツールを使用して組織によって管理されます。 通常、従業員はデバイスの管理者で、職場では高帯域幅のワイヤレス企業ネットワークを使い、自宅では同等の個人用ネットワークを使います。

  • 個人用デバイス。 これらの個人所有のデスクトップまたはモバイル ノート PC は、組織によってドメイン参加または管理されません。 ユーザーはデバイスの管理者であり、自宅にいる間は高帯域幅のワイヤレスパーソナルネットワークを使用し、外部では同等のパブリックネットワークを使用します。

関連記事

記事 説明
Microsoft Defender Application Guardのシステム要件 Application Guardをインストールして使用するために必要な前提条件を指定します。
Microsoft Defender Application Guardの準備とインストール スタンドアロンと企業管理のどちらのモードを使うか決定する方法と、組織内で Application Guard をインストールする方法について説明します。
Microsoft Defender Application Guardのグループ ポリシー設定を構成する 利用可能なグループ ポリシーと MDM 設定に関する情報を提供します。
ビジネスまたは組織内のMicrosoft Defender Application Guardを使用したシナリオのテスト 組織内のApplication Guardのテストに使用できる、推奨されるテスト シナリオの一覧を示します。
Web ブラウザーのMicrosoft Defender Application Guard拡張機能 既知の問題やトラブルシューティング ガイドなど、Chrome と Firefox のApplication Guard拡張機能について説明します
Microsoft Office のMicrosoft Defender Application Guard 最小ハードウェア要件、構成、トラブルシューティング ガイドなど、Microsoft Office のApplication Guardについて説明します
よく寄せられる質問: Microsoft Defender Application Guard Application Guard機能、Windows オペレーティング システムとの統合、および一般的な構成に関してよく寄せられる質問に対する回答を提供します。
ネットワーク境界を使用して、Microsoft Intuneの Windows デバイスに信頼されたサイトを追加する ネットワーク境界。組織から信頼されていないサイトから環境を保護するのに役立つ機能です。