Application Guard テスト シナリオ

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

organizationでハードウェア ベースの分離をテストするために使用できるシナリオの一覧が用意されています。

スタンドアロン モードでの Application Guard

従業員が Application Guard をスタンドアロン モードで使う方法を確認できます。

スタンドアロン モードで Application Guard をテストするには

  1. Application Guardをインストールします

  2. デバイスを再起動し、Microsoft Edge を起動し、メニューから [新しいApplication Guard ウィンドウ] を選択します。

    新しいApplication Guard ウィンドウ設定オプション。

  3. Application Guard で分離された環境がセットアップされるのを待ちます。

    デバイス再起動後の Application Guard の起動が早すぎると、読み込み時間が長くなる場合があります。 ただし、以後の起動は、ユーザーが気付くレベルの遅延が生じることなく実行されます。

  4. 信頼されていないが安全な URL (この例では、msn.com を使用) に移動して、新しい Microsoft Edge ウィンドウを表示し、Application Guard の視覚的合図が表示されるか確認します。

    Application Guardで実行されている信頼されていない Web サイト。

企業管理モードでの Application Guard

企業管理モードで Application Guard をインストール、設定、有効化、構成する方法を説明します。

Application Guard をインストール、設定、有効化する

マネージド モードでApplication Guardを使用するには、その機能Windows 10 Enterprise含まれるエディション、バージョン 1709、およびWindows 11をインストールする必要があります。 次に、グループ ポリシーを使って必要な設定をセットアップする必要があります。

  1. Application Guardをインストールします

  2. デバイスを再起動し、Microsoft Edge を起動します。

  3. グループ ポリシーでネットワーク分離の設定を指定します。

    a. Windows アイコンを選択し、「」と入力Group Policyし、[グループ ポリシーの編集] を選択します。

    b. [管理用テンプレート] > [ネットワーク] > [ネットワーク分離] > [クラウドでホストされるエンタープライズ リソース ドメイン] 設定に移動します。

    c. このシナリオの目的で、[エンタープライズ クラウド リソース] ボックスに「」と入力.microsoft.comします。

    [エンタープライズ クラウド リソース] 設定を使用してエディターをグループ ポリシーします。

    d. [管理用テンプレート] > [ネットワーク] > [ネットワーク分離] > [職場用と個人用に分類されたドメイン] 設定に移動します。

    e. このシナリオの目的で、[ニュートラル リソース] ボックスに「」と入力bing.comします。

    [ニュートラル リソース] 設定を使用してエディターをグループ ポリシーします。

  4. [コンピューターの構成]、[管理用テンプレート]、[Windows コンポーネント]、[Microsoft Defender Application Guard]、[管理モードでMicrosoft Defender Application Guardを有効にする] の設定に移動します。

  5. [ 有効] を選択し、[オプション 1] を選択し、[ OK] を選択します

    [オン/オフ] 設定でエディターをグループ ポリシーします。

    この設定を有効にすると、このシナリオで前に設定したネットワーク分離の設定を含め、必要なすべての設定が従業員のデバイスで正しく構成されているか確認されます。

  6. Microsoft Edge を起動し、「」と入力します https://www.microsoft.com

    URL を送信した後、Application Guardは信頼済みとしてマークしたドメインを使用し、Application Guardではなくホスト PC にサイトを直接表示するため、URL が信頼されていることを判断します。

    Microsoft Edge で実行されている信頼された Web サイト。

  7. 同じ Microsoft Edge ブラウザーで、信頼済みまたは中立的なサイト リストに含まれていない URL を入力します。

    URL の送信後、Application Guard ではその URL を非信頼と判断し、要求をハードウェア分離環境にリダイレクトします。

    Application Guardで実行されている信頼されていない Web サイト。

Application Guard をカスタマイズする

Application Guard では構成を指定して、分離ベースのセキュリティと従業員の生産性の適切なバランスを確立できます。

Application Guard では、従業員向けの既定の動作は次のようになります。

  • ホスト PC と分離されたコンテナー間でコピーと貼り付けを実行しない。

  • 分離されたコンテナーから印刷しない。

  • 分離されたコンテナー間でデータは保持されない。

これらの各設定を変更してグループ ポリシー内で企業と連携するためのオプションがあります。

適用対象:

  • Windows 10 Enterpriseまたは Pro エディション、バージョン 1803 以降
  • Windows 11 Enterpriseまたは Pro エディション

コピーと貼り付けのオプション

  1. コンピューターの構成\管理用テンプレート\Windows コンポーネント\Microsoft Defender Application Guard\クリップボード設定Microsoft Defender Application Guard構成するに移動します。

  2. [ 有効] を 選択し、[ OK] を選択します

    エディターのクリップボード オプショングループ ポリシー。

  3. クリップボードの動作を選択します。

    • 分離されたセッションからホスト PC にコピーして貼り付ける

    • ホスト PC から分離されたセッションにコピーして貼り付ける

    • 双方向でコピーして貼り付ける

  4. コピーできる内容を選択します。

    • ホスト PC と分離コンテナーの間でコピーできるのはテキストのみです。

    • ホスト PC と分離コンテナーの間でコピーできるのはイメージのみです。

    • ホスト PC と分離コンテナーの間で、テキストとイメージの両方をコピーできます。

  5. [OK] を選択します。

  1. コンピューターの構成\管理用テンプレート\Windows コンポーネント\Microsoft Defender Application Guard\印刷設定Microsoft Defender Application Guard構成するに移動します。

  2. [ 有効] を 選択し、[ OK] を選択します

    グループ ポリシー エディターの印刷オプション。

  3. 設定で提供される一覧に基づいて、従業員が利用できる印刷の種類に最も該当する番号を選択します。 ローカル、ネットワーク、PDF、XPS 印刷の組み合わせを指定できます。

  4. [OK] を選択します。

データ永続化オプション

  1. コンピューターの構成\管理用テンプレート\Windows コンポーネント\Microsoft Defender Application Guard\Microsoft Defender Application Guardのデータ永続化を許可する設定に移動します。

  2. [ 有効] を 選択し、[ OK] を選択します

    グループ ポリシー エディターのデータ永続化オプション。

  3. Microsoft Edge を開き、信頼されていないが安全な URL を閲覧します。

    Web サイトは分離されたセッションで開きます。

  4. サイトを [お気に入り] の一覧に追加し、分離されたセッションを閉じます。

  5. デバイスにサインアウトしてもう一度サインインし、Application Guardで Microsoft Edge をもう一度開きます。

    以前に追加されたサイトが [お気に入り] 一覧にも表示されます。

    バージョン 22H2 Windows 11以降、データの永続化は既定で無効になっています。 データの永続化を許可または無効にしない場合は、デバイスを再起動するか、分離コンテナーにサインインしてサインアウトすると、リサイクル イベントがトリガーされます。 この操作により、セッション Cookie や Favorites などの生成されたすべてのデータが破棄され、Application Guardからデータが削除されます。 データの保持を有効にすると、従業員が生成したすべてのアーティファクトが、コンテナー リサイクル イベント間で保持されます。 ただし、これらの成果物は分離コンテナーにのみ存在し、ホスト PC と共有されません。 このデータは、再起動後も、Windows 10とWindows 11のビルドからビルドへのアップグレードを通じても保持されます。

    データ保持を有効にした後に、従業員に対してそのサポートを停止する場合は、Windows に搭載されているユーティリティを使ってコンテナーをリセットし、個人データを破棄できます。

    コンテナーをリセットするには、次の手順に従います。
    1. コマンド ライン プログラムを開き、Windows/System32 に移動します。
    2. と入力します wdagtool.exe cleanup。 コンテナー環境がリセットされ、従業員が生成したデータのみ維持されます。
    3. と入力します wdagtool.exe cleanup RESET_PERSISTENCE_LAYER。 従業員が生成した全データを破棄するなど、コンテナーの環境がリセットされます。

    Microsoft Edge バージョン 90 以降では サポートされ RESET_PERSISTENCE_LAYERなくなりました。

適用対象:

  • Windows 10 Enterpriseまたは Pro エディション、バージョン 1803
  • Windows 11 Enterpriseまたは Pro エディション、バージョン 21H2。 Windows 11 バージョン 22H2 以降では、データの永続化は既定で無効になっています。

ダウンロード オプション

  1. [コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\Microsoft Defender Application Guard\[ファイルのダウンロードとホスト オペレーティング システムへの保存を許可する] 設定Microsoft Defender Application Guard移動します。

  2. [ 有効] を 選択し、[ OK] を選択します

    グループ ポリシー エディターのダウンロード オプション。

  3. デバイスにサインアウトしてもう一度サインインし、Application Guardで Microsoft Edge をもう一度開きます。

  4. Microsoft Defender Application Guardからファイルをダウンロードします。

  5. [この PC >> ダウンロード信頼されていないファイル] にファイルがダウンロードされていることを確認します。

ハードウェアアクセラレーションオプション

  1. [コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\Microsoft Defender Application Guard\[Microsoft Defender Application Guardのハードウェア高速化レンダリングを許可する] 設定に移動します。

  2. [ 有効] を 選択し、[ OK] を選択します

    グループ ポリシー エディターのハードウェア アクセラレータ オプション。

  3. この機能を有効にしたら、Microsoft Edge を開き、信頼されていないが安全な URL とビデオ、3D、またはその他のグラフィックスを集中的に使用するコンテンツを参照します。 分離されたセッションで Web サイトが開きます。

  4. 視覚的なエクスペリエンスとバッテリーのパフォーマンスを評価します。

カメラとマイクのオプション

  1. [コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\[Microsoft Defender Application Guard]\[Microsoft Defender Application Guardの設定でカメラとマイクへのアクセスを許可する]に移動します。

  2. [ 有効] を 選択し、[ OK] を選択します

    グループ ポリシーエディターのカメラとマイクのオプション。

  3. デバイスにサインアウトしてもう一度サインインし、Application Guardで Microsoft Edge をもう一度開きます。

  4. Edge でビデオまたはオーディオ機能を使用してアプリケーションを開きます。

  5. カメラとマイクが期待どおりに動作することを確認します。

ルート証明書共有オプション

  1. コンピューターの構成\管理用テンプレート\Windows コンポーネント\Microsoft Defender Application Guard\Microsoft Defender Application Guardユーザーのデバイス設定からルート証明機関を使用できるようにするに移動します。

  2. [ 有効] を選択し、共有する各証明書の拇印をコンマで区切ってコピーし、[ OK] を選択します

    グループ ポリシー エディターのルート証明書オプション。

  3. デバイスにサインアウトしてもう一度サインインし、Application Guardで Microsoft Edge をもう一度開きます。

サード パーティ製 Web ブラウザーのApplication Guard拡張機能

Chrome および Firefox で使用できるApplication Guard拡張機能を使用すると、Microsoft Edge やインターネット エクスプローラー以外の Web ブラウザーを実行している場合でも、ユーザーを保護Application Guard。

ユーザーが拡張機能とそのコンパニオン アプリをエンタープライズ デバイスにインストールしたら、次のシナリオを実行できます。

  1. 拡張機能がインストールされているブラウザーを Firefox または Chrome で開きます。

  2. 組織の Web サイトに移動します。 つまり、organizationによって管理される内部 Web サイトです。 サイトが完全に読み込まれる前に、この評価ページがすぐに表示されることがあります。 ページの読み込み中に表示される評価ページ。ユーザーが待機する必要があることを説明します。

  3. www.bing.com など、エンタープライズ以外の外部 Web サイトに移動します。 サイトは、Microsoft Defender Application Guard Edge にリダイレクトする必要があります。 Application Guard コンテナーにリダイレクトされている非エンタープライズ Web サイト -- 表示されるテキストは、ページが Microsoft Edge のApplication Guardで開かれていることを説明します。

  4. Microsoft Defender Application Guard アイコンを選択して新しいApplication Guard ウィンドウを開き、[新しいApplication Guard ウィンドウ][新しいApplication Guard ウィンドウ] オプションが赤で強調表示されています