次の方法で共有


Microsoft Defender Application Guard の概要

Microsoft Defender Application Guard (MDAG) は、従業員の生産性を維持するために、新旧の攻撃を防ぐのに役立つように設計されています。 独自のハードウェア分離アプローチを使用して、現在の攻撃方法を廃止することで、攻撃者が使用するプレイブックを破棄することを目標としています。

Application Guard の概要とその仕組み

Microsoft Edge の場合、Application Guardは、企業が定義した信頼されていないサイトを分離し、従業員がインターネットを閲覧している間に会社を保護するのに役立ちます。 エンタープライズ管理者は、信頼済み Web サイト、クラウド リソース、内部ネットワークを定義します。 一覧にないものはすべて非信頼と見なされます。 従業員が Microsoft Edge またはインターネット エクスプローラー経由で信頼されていないサイトにアクセスした場合、Microsoft Edge は分離された Hyper-V 対応コンテナーでサイトを開きます。

Microsoft Office の場合、Application Guardは、信頼されていないWord、PowerPoint、Excel ファイルが信頼できるリソースにアクセスするのを防ぐのに役立ちます。 Application Guardは、分離された Hyper-V 対応コンテナー内の信頼されていないファイルを開きます。 分離された Hyper-V コンテナーは、ホスト オペレーティング システムとは別です。 このコンテナーの分離は、信頼されていないサイトまたはファイルが悪意があると判明した場合、ホスト デバイスが保護され、攻撃者がエンタープライズ データにアクセスできないことを意味します。 たとえば、このアプローチでは分離されたコンテナーが匿名になるため、攻撃者は従業員の企業の資格情報にアクセスできません。

ハードウェア分離図。

Application Guard を使うのはどの種類のデバイスですか。

Application Guardは、いくつかの種類のデバイスを対象として作成されています。

  • エンタープライズ デスクトップ。 これらのデスクトップは、ドメインに参加し、組織で管理されます。 構成管理は、主にMicrosoft Configuration ManagerまたはMicrosoft Intuneによって行われます。 通常、従業員は標準ユーザー特権を持ち、高帯域幅のワイヤード (有線) 企業ネットワークを使います。

  • エンタープライズ モバイル ノート PC。 これらのノート PC は、ドメインに参加し、組織で管理されます。 構成管理は、主にMicrosoft Configuration ManagerまたはMicrosoft Intuneによって行われます。 通常、従業員は、標準ユーザー特権を持ち、高帯域幅のワイヤレス企業ネットワークを使います。

  • 独自のデバイス (BYOD) モバイル ノート PC を持ち込みます。 これらの個人所有のノート PC はドメインに参加していませんが、Microsoft Intuneなどのツールを使用してorganizationによって管理されます。 通常、従業員はデバイスの管理者で、職場では高帯域幅のワイヤレス企業ネットワークを使い、自宅では同等の個人用ネットワークを使います。

  • 個人用デバイス。 これらの個人所有のデスクトップまたはモバイル ノート PC は、ドメインに参加したり、organizationによって管理したりすることはありません。 ユーザーはデバイスの管理者であり、自宅にいる間は高帯域幅のワイヤレスパーソナルネットワークを使用し、外部では同等のパブリックネットワークを使用します。

Windows エディションとライセンスに関する要件

次の表に、Edge スタンドアロン モードのMicrosoft Defender Application Guard (MDAG) をサポートする Windows エディションを示します。

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
はい はい はい はい

Edge スタンドアロン モード ライセンスエンタイトルメントのMicrosoft Defender Application Guard (MDAG) は、次のライセンスによって付与されます。

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
はい はい はい はい はい

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

Microsoft Edge エンタープライズ モードのMicrosoft Defender Application Guard (MDAG) の詳細については、「Microsoft Defender Application Guard ポリシー設定を構成する」を参照してください。

記事 説明
Microsoft Defender Application Guardのシステム要件 Application Guardをインストールして使用するために必要な前提条件を指定します。
Microsoft Defender Application Guardの準備とインストール スタンドアロンと企業管理のどちらのモードを使うか決定する方法と、組織内で Application Guard をインストールする方法について説明します。
Microsoft Defender Application Guardのグループ ポリシー設定を構成する 利用可能なグループ ポリシーと MDM 設定に関する情報を提供します。
ビジネスまたはorganizationでMicrosoft Defender Application Guardを使用したシナリオのテスト organizationでApplication Guardをテストするために使用できる、推奨されるテスト シナリオの一覧を示します。
Microsoft Office のMicrosoft Defender Application Guard 最小ハードウェア要件、構成、トラブルシューティング ガイドなど、Microsoft Office のApplication Guardについて説明します
よく寄せられる質問: Microsoft Defender Application Guard Application Guard機能、Windows オペレーティング システムとの統合、および一般的な構成に関してよく寄せられる質問に対する回答を提供します。
ネットワーク境界を使用して、Microsoft Intuneの Windows デバイスに信頼されたサイトを追加する ネットワーク境界。organizationによって信頼されていないサイトから環境を保護するのに役立つ機能です。