Microsoft Defender Application Guard の概要

• 適用対象:

  ✅ Windows 11, ✅ Windows 10

注

• Windows Isolated App Launcher API を含むMicrosoft Defender Application Guardは、Microsoft Edge for Businessでは非推奨となり、更新されなくなります。 Edge for Business セキュリティ機能の詳細については、 Microsoft Edge For Business セキュリティに 関するホワイトペーパーをダウンロードしてください。
• Application Guardは非推奨であるため、Edge Manifest V3 への移行はありません。 対応する拡張機能と関連する Windows ストア アプリ は、2024 年 5 月以降は使用できません。 これは、Application Guard拡張機能 - Chrome と Application Guard 拡張機能 - Firefox のブラウザーに影響します。 企業で MDAG の使用を廃止する準備ができるまで保護されていないブラウザーをブロックする場合は、AppLocker ポリシーまたは Microsoft Edge 管理サービスを使用することをお勧めします。 詳細については、「Microsoft Edge とMicrosoft Defender Application Guard」を参照してください。

Microsoft Defender Application Guard (MDAG) は、従業員の生産性を維持するために、新旧の攻撃を防ぐのに役立つように設計されています。 独自のハードウェア分離アプローチを使用して、現在の攻撃方法を廃止することで、攻撃者が使用するプレイブックを破棄することを目標としています。

Application Guard の概要とその仕組み

Microsoft Edge の場合、Application Guardは、企業が定義した信頼されていないサイトを分離し、従業員がインターネットを閲覧している間に会社を保護するのに役立ちます。 エンタープライズ管理者は、信頼済み Web サイト、クラウド リソース、内部ネットワークを定義します。 一覧にないものはすべて非信頼と見なされます。 従業員が Microsoft Edge またはインターネット エクスプローラー経由で信頼されていないサイトにアクセスした場合、Microsoft Edge は分離された Hyper-V 対応コンテナーでサイトを開きます。

Microsoft Office の場合、Application Guardは、信頼されていないWord、PowerPoint、Excel ファイルが信頼できるリソースにアクセスするのを防ぐのに役立ちます。 Application Guardは、分離された Hyper-V 対応コンテナー内の信頼されていないファイルを開きます。 分離された Hyper-V コンテナーは、ホスト オペレーティング システムとは別です。 このコンテナーの分離は、信頼されていないサイトまたはファイルが悪意があると判明した場合、ホスト デバイスが保護され、攻撃者がエンタープライズ データにアクセスできないことを意味します。 たとえば、このアプローチでは分離されたコンテナーが匿名になるため、攻撃者は従業員の企業の資格情報にアクセスできません。

Application Guard を使うのはどの種類のデバイスですか。

Application Guardは、いくつかの種類のデバイスを対象として作成されています。

• エンタープライズ デスクトップ。 これらのデスクトップは、ドメインに参加し、組織で管理されます。 構成管理は、主にMicrosoft Configuration ManagerまたはMicrosoft Intuneによって行われます。 通常、従業員は標準ユーザー特権を持ち、高帯域幅のワイヤード (有線) 企業ネットワークを使います。

• エンタープライズ モバイル ノート PC。 これらのノート PC は、ドメインに参加し、組織で管理されます。 構成管理は、主にMicrosoft Configuration ManagerまたはMicrosoft Intuneによって行われます。 通常、従業員は、標準ユーザー特権を持ち、高帯域幅のワイヤレス企業ネットワークを使います。

• 独自のデバイス (BYOD) モバイル ノート PC を持ち込みます。 これらの個人所有のノート PC はドメインに参加していませんが、Microsoft Intuneなどのツールを使用してorganizationによって管理されます。 通常、従業員はデバイスの管理者で、職場では高帯域幅のワイヤレス企業ネットワークを使い、自宅では同等の個人用ネットワークを使います。

• 個人用デバイス。 これらの個人所有のデスクトップまたはモバイル ノート PC は、ドメインに参加したり、organizationによって管理したりすることはありません。 ユーザーはデバイスの管理者であり、自宅にいる間は高帯域幅のワイヤレスパーソナルネットワークを使用し、外部では同等のパブリックネットワークを使用します。

Windows エディションとライセンスに関する要件

次の表に、Edge スタンドアロン モードのMicrosoft Defender Application Guard (MDAG) をサポートする Windows エディションを示します。

Windows Pro	Windows Enterprise	Windows Pro Education/SE	Windows Education
はい	はい	はい	はい

Edge スタンドアロン モード ライセンスエンタイトルメントのMicrosoft Defender Application Guard (MDAG) は、次のライセンスによって付与されます。

Windows Pro/Pro Education/SE	Windows Enterprise E3	Windows Enterprise E5	Windows Education A3	Windows Education A5
はい	はい	はい	はい	はい

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

Edge エンタープライズ モードのMicrosoft Defender Application Guard (MDAG) の詳細については、「Microsoft Defender Application Guard ポリシー設定を構成する」を参照してください。

関連記事

記事	説明
Microsoft Defender Application Guardのシステム要件	Application Guardをインストールして使用するために必要な前提条件を指定します。
Microsoft Defender Application Guardの準備とインストール	スタンドアロンと企業管理のどちらのモードを使うか決定する方法と、組織内で Application Guard をインストールする方法について説明します。
Microsoft Defender Application Guardのグループ ポリシー設定を構成する	利用可能なグループ ポリシーと MDM 設定に関する情報を提供します。
ビジネスまたはorganizationでMicrosoft Defender Application Guardを使用したシナリオのテスト	organizationでApplication Guardをテストするために使用できる、推奨されるテスト シナリオの一覧を示します。
Web ブラウザーのMicrosoft Defender Application Guard拡張機能	既知の問題やトラブルシューティング ガイドなど、Chrome と Firefox のApplication Guard拡張機能について説明します
Microsoft Office のMicrosoft Defender Application Guard	最小ハードウェア要件、構成、トラブルシューティング ガイドなど、Microsoft Office のApplication Guardについて説明します
よく寄せられる質問: Microsoft Defender Application Guard	Application Guard機能、Windows オペレーティング システムとの統合、および一般的な構成に関してよく寄せられる質問に対する回答を提供します。
ネットワーク境界を使用して、Microsoft Intuneの Windows デバイスに信頼されたサイトを追加する	ネットワーク境界。organizationによって信頼されていないサイトから環境を保護するのに役立つ機能です。