Application Guard for Office (パブリック プレビュー) (管理者向け)Application Guard for Office (public preview) for admins

適用対象: Word、Excel、PowerPoint for Microsoft 365、Windows 10 EnterpriseApplies to: Word, Excel, and PowerPoint for Microsoft 365, Windows 10 Enterprise

重要

一部の情報は、リリース前の製品に関連します。製品が商用リリースされる前に大幅に変更される可能性があります。Some information relates to a prereleased product which may be substantially modified before it's commercially released. Microsoft makes no warranties, express or implied, with respect to the information provided here.Microsoft makes no warranties, express or implied, with respect to the information provided here.

Microsoft Defender Application Guard for Office (Office 用 Application Guard) は、信頼されていないファイルが信頼できるリソースにアクセスし、新たな攻撃から企業を安全に保護するのに役立ちます。Microsoft Defender Application Guard for Office (Application Guard for Office) helps prevent untrusted files from accessing trusted resources, keeping your enterprise safe from new and emerging attacks. この記事では、管理者が Application Guard for Office のプレビュー用にデバイスをセットアップする方法についてOffice。This article walks admins through setting up devices for a preview of Application Guard for Office. システム要件とインストール手順に関する情報を提供し、デバイスで Application Guard Officeを有効にします。It provides information about system requirements and installation steps to enable Application Guard for Office on a device.

前提条件Prerequisites

ハードウェアの最小要件Minimum hardware requirements

  • CPU: 64 ビット、4 コア (物理または仮想)、仮想化拡張機能 (Intel VT-x または AMD-V)、Core i5 と同等以上の推奨CPU: 64-bit, 4 cores (physical or virtual), virtualization extensions (Intel VT-x OR AMD-V), Core i5 equivalent or higher recommended
  • 物理メモリ: 8 GB RAMPhysical memory: 8-GB RAM
  • ハード ディスク: システム ドライブに 10 GB の空き領域 (SSD を推奨)Hard disk: 10 GB of free space on the system drive (SSD recommended)

最小ソフトウェア要件Minimum software requirements

  • Windows 10: Windows 10 Enterprise エディション、クライアント ビルド バージョン 2004 (20H1) ビルド 19041Windows 10: Windows 10 Enterprise edition, Client Build version 2004 (20H1) build 19041
  • Office: Office Beta Channel Build バージョン 2008 16.0.13212 以降Office: Office Beta Channel Build version 2008 16.0.13212 or later
  • 更新プログラム パッケージ: Windows 10 の累積的な月次セキュリティ更新 プログラム KB4571756Update package: Windows 10 cumulative monthly security updates KB4571756

システム要件の詳細については、「Microsoft Defender Application Guard のシステム要件」 を参照してくださいFor detailed system requirements, refer to System requirements for Microsoft Defender Application Guard. Insider Preview ビルドのOffice詳細については、「Insider ビルドの展開の概要 Office参照してくださいTo learn more about Office Insider Preview builds, refer to Getting started on deploying Office Insider builds.

ライセンスの要件Licensing requirements

  • Microsoft 365 E5 または Microsoft 365 E5 セキュリティMicrosoft 365 E5 or Microsoft 365 E5 Security

Application Guard を展開してOfficeDeploy Application Guard for Office

アプリケーションの Application Guard を有効OfficeEnable Application Guard for Office

  1. Windows 10 の累積的な月次セキュリティ更新プログラム KB4571756 をダウンロードしてインストールしますDownload and install Windows 10 cumulative monthly security updates KB4571756.

  2. Windows の 機能で Microsoft Defender Application Guard を選択し 、[OK] を選択しますSelect Microsoft Defender Application Guard under Windows Features and select OK. Application Guard 機能を有効にすると、システムの再起動を求めるメッセージが表示されます。Enabling the Application Guard feature will prompt a system reboot. 今すぐ再起動するか、手順 3. の後で再起動することを選択できます。You can choose to reboot now or after step 3.

    AG を示す [Windows の機能] ダイアログ ボックス

    この機能は、管理者として次の PowerShell コマンドを実行して有効にすることもできます。The feature can also be enabled by running the following PowerShell command as administrator:

    Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
    
  3. コンピューターの構成管理用テンプレート Windows コンポーネント Microsoft Defender Application Guard にある管理モードグループ ポリシーで Microsoft Defender Application Guard \ \ \ を探しますLook for the Microsoft Defender Application Guard in Managed Mode group policy located at Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard. [オプション] の値を 2 または 3 に設定し 、[OK] または [適用] を選択して、このポリシーを有効 にしますTurn this policy on by setting the value under Options as 2 or 3 then selecting OK or Apply.

    管理モードで AG を有効にする

    または、対応する CSP ポリシーを設定できます。Alternatively, you can set the corresponding CSP policy:

    OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuardOMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard
    データ型: 整数Data type: Integer
    値: 2Value: 2

  4. システムを再起動します。Reboot the system.

完全なデータ&送信する診断データのフィードバックを設定するSet Diagnostics & feedback to send full data

この手順により、問題の特定と修正に必要なデータが Microsoft に到達することを保証します。This step ensures that the data necessary to identify and fix problems is reaching Microsoft. Windows デバイスで診断を有効にするには、次の手順を実行します。Follow these steps to enable diagnostics on your Windows device:

  1. スタート メニューから [ 設定] を開きます。Open Settings from the Start menu.

    [スタート] メニュー

  2. [Windows の設定] で、[ プライバシー] を 選択しますOn Windows Settings, select Privacy.

    [Windows の設定] メニュー

  3. [プライバシー] で、フィードバック に対して [&] を選択し 、[オプションの診断 データ] を選択しますUnder Privacy, select Diagnostics & feedback and select Optional diagnostic data.

    [診断とフィードバック] メニュー

Windows 診断設定の構成の詳細については、「組織内での Windows 診断データの 構成」を参照してくださいFor more on configuring Windows diagnostic settings, refer to Configuring Windows diagnostic data in your organization.

アプリケーションの Application Guard が有効Office機能を確認するConfirm that Application Guard for Office is enabled and working

Application Guard for Office が有効になっているか確認する前に、ポリシーが展開されているデバイスで Word、Excel、または PowerPoint を起動します。Before confirming that the Application Guard for Office is enabled, launch Word, Excel, or PowerPoint on a device where the policies have been deployed. アクティブ化Office確認します。Make sure Office is activated. 作業 ID を使用して、最初に製品のライセンス認証Office必要な場合があります。You may need to use your work identity to activate the Office product first.

Application Guard for Officeが有効にされたのを確認するには、Word、Excel、または PowerPoint を起動し、信頼されていないドキュメントを開きます。To confirm that Application Guard for Office is now enabled, launch Word, Excel, or PowerPoint and open an untrusted document. たとえば、インターネットからダウンロードしたドキュメントや、組織外のユーザーからの電子メールの添付ファイルを開きます。For example, you can open a document downloaded from the internet or an email attachment from someone outside your organization.

信頼されていないファイルを最初に起動すると、次のようなOfficeスプラッシュ画面が表示される場合があります。On the first launch of an untrusted file, you may see an Office splash screen like the one below. Application Guard for Officeがアクティブ化され、ファイルが開いている間、しばらくの間表示される場合があります。It might show for some time while Application Guard for Office is being activated and the file is being opened. それ以降の信頼されていないファイルの起動は、より高速である必要があります。Subsequent launches of untrusted files should be faster.

Officeスプラッシュ画面

ファイルを開いた後、ファイルが Application Guard 内でファイルを開いたという視覚的なインジケーターが表示Office。Upon being opened, the file should display a few visual indicators that the file was opened inside Application Guard for Office:

  • リボン内の吹き出しA callout in the ribbon

    小さな App Guard のメモを示すドキュメント ファイル

  • タスク バーに盾が表示されたアプリケーション アイコンThe application icon with a shield in the taskbar

    タスク バーのアイコン

アプリケーション用に Application Guard をOfficeConfigure Application Guard for Office

Office次のポリシーをサポートし、アプリケーションの Application Guard の機能を構成Office。Office supports the following policies to enable you to configure the capabilities of Application Guard for Office. これらのポリシーは、グループ ポリシーまたはクラウド ポリシー サービスOffice構成できます。These policies can be configured through Group policies or through the Office cloud policy service.

注意

これらのポリシーは間もなく使用可能になります。These policies will become available soon. また、これらのポリシーを構成すると、アプリケーション の Application Guard で開いたファイルの一部の機能Office。Also, configuring these policies can disable some functionalities for files opened in Application Guard for Office.

ポリシーPolicy 説明Description
アプリケーションの Application Guard を無効OfficeDisable Application Guard for Office このポリシーを有効にすると、Word、Excel、および PowerPoint は、Application Guard for Office の代わりに保護ビュー分離コンテナーを使用する必要があります。Enabling this policy will force Word, Excel, and PowerPoint to use the Protected View isolation container instead of Application Guard for Office. このポリシーを使用すると、Edge で Application Guard を有効Office問題がある場合に、アプリケーション の Application Guard を一時的に無効にできます。This policy can be used to temporarily disable Application Guard for Office when there are issues in leaving it enabled for Edge.
Application Guard で開いたドキュメントのコピー/貼り付けを無効にするDisable copy/paste for documents opened in Application Guard このポリシーを有効にすると、Application Guard for Office で開いたドキュメントから、外部で開いたドキュメントにコンテンツをコピーして貼り付けできません。Enabling this policy will prevent a user from copying and pasting content from a document opened in Application Guard for Office to a document opened outside it.
ユーザーがファイルに対する Application Guard 保護を削除するPrevent users from removing Application Guard protection on files このポリシーを有効にすると、(Office アプリケーション エクスペリエンス内で) Application Guard 保護を無効にするか、Application Guard の外部でファイルを開くオプションが削除されます。Enabling this policy will remove the option (within the Office application experience) to disable Application Guard protection or open a file outside Application Guard.

注: このポリシーは、ファイルから手動で削除するか、ドキュメントを信頼できる場所に移動することでバイパスできます。Note: Users can still bypass this policy by manually removing the mark-of-the-web property from the file or by moving a document to a Trusted location.

Application Guard で開いたドキュメントからの印刷を制限するRestrict printing from documents opened in Application Guard このポリシーを有効にすると、ユーザーが Application Guard で開いたファイルから印刷できるプリンターがOffice。Enabling this policy will limit printers a user can print to from a file opened in Application Guard for Office. たとえば、このポリシーを使用して、ユーザーが PDF にのみ印刷できるよう制限できます。For example, you can use this policy to restrict users to only print to PDF.
Application Guard で開いたドキュメントのカメラとマイクへのアクセスをオフにするTurn off camera and microphone access for documents opened in Application Guard このポリシーを有効にすると、Officeの Application Guard 内のカメラとマイクへのアクセスがOffice。Enabling this policy will remove Office access to Camera and Microphone inside Application Guard for Office.

注意

次のポリシーを有効にするには、ユーザーがログオフして Windows に再ログインする必要があります。The following policies will require the user to log off and re-login to Windows to take effect:

  • Application Guard で開いたドキュメントのコピー/貼り付けを無効にするDisable copy/paste for documents opened in Application Guard
  • Application Guard で開いたドキュメントの印刷を制限するRestrict printing for documents opened in Application Guard
  • Application Guard で開いたドキュメントへのカメラとマイクのアクセスをオフにするTurn off camera and mic access to documents opened in Application Guard

フィードバックの送信Submit feedback

フィードバック Hub 経由でフィードバックを送信するSubmit feedback via Feedback Hub

Application Guard for Office を起動するときに問題が発生した場合は、フィードバック Hub からフィードバックを送信してください。If you encounter any issues when launching Application Guard for Office, you are encouraged to submit your feedback via Feedback Hub:

  1. フィードバック Hub アプリを開き 、サインインします。Open the Feedback Hub app and sign in.

  2. Application Guard の起動中にエラー ダイアログが表示された場合は、エラー ダイアログで [Microsoft に報告] を選択して、新しいフィードバックの送信を開始します。If you get an error dialog while launching Application Guard, select Report to Microsoft in the error dialog to start a new feedback submission. それ以外の場合は、Application Guard の適切なカテゴリを選択するために移動し、+[新しいフィードバックの追加] を右 https://aka.ms/mdagoffice-fb に選択します。 Otherwise, navigate to https://aka.ms/mdagoffice-fb to select the correct category for Application Guard, then select + Add new feedback near the top right.

  3. まだ入力 されていない場合は、[ フィードバックの要約] ボックスに入力します。Fill in the Summarize your feedback box if it isn't already filled in for you.

  4. 発生した 問題と 実行した手順の詳細な説明を [詳細に説明] ボックスに入力し、[次へ] を選択 しますFill in the Explain in more detail box with a detailed description of the issue you experienced and what steps you took, then select Next.

  5. 問題の横にあるバブルを選択します。Select the bubble next to Problem. 選択したカテゴリがセキュリティとプライバシーに関する Microsoft Defender Application Guard Officeし、[ > 次へ] を選択 しますMake sure the category selected is Security and Privacy > Microsoft Defender Application Guard – Office, then select Next.

  6. [新 しいフィードバック] を選択し、[次へ] を選択しますSelect New feedback, then Next.

  7. 問題に関するトレースを収集します。Collect traces about the issue:

    1. [問題 の再作成] タイルを展開 します。Expand the Recreate my problem tile.

    2. Application Guard の実行中に問題が発生した場合は、Application Guard インスタンスを開きます。If the issue you're experiencing occurs while Application Guard is running, open an Application Guard instance. これにより、Application Guard コンテナー内から追加のトレースを収集できます。Doing this allows additional traces to be collected from within the Application Guard container.

    3. [Start recording] ( レコーディングの開始) を選び、タイルの回転が止まるのを待ち、[記録を停止] と 言いますSelect Start recording and wait for the tile to stop spinning and say Stop recording.

    4. Application Guard の問題を完全に再現します。Fully reproduce the issue with Application Guard. これには、Application Guard インスタンスを起動しようとして失敗するまで待機したり、実行中の Application Guard インスタンスで問題を再現したりすることがあります。This might include attempting to launch an Application Guard instance and waiting until it fails, or reproducing an issue in a running Application Guard instance.

    5. [記録の 停止] タイルを選択 します。Select the Stop recording tile.

    6. 実行中の Application Guard インスタンスは、申請の数分後まで開いた状態にしておき、コンテナー診断も収集できます。Keep any running Application Guard instance/s open, even until a few minutes after submission, so that container diagnostics can also be collected.

  8. 問題に関連するスクリーンショットやファイルを添付します。Attach any relevant screenshots or files related to the problem.

  9. [送信] を選択します。Select Submit.

カスタマー ボイスを使用してOfficeを送信するSubmit feedback via Office Customer Voice

また、Application Guard でドキュメントを開Office問題が発生した場合は、Officeからフィードバックを送信できます。You may also submit feedback from within Office if the issue happens when Office documents are opened in Application Guard. フィードバックの提出 についてはOffice Insider ハンド ブックを参照してください。Refer to the Office Insider Handbook for submitting feedback.

Microsoft Defender for Endpoint および Microsoft Defender for Office 365 との統合Integration with Microsoft Defender for Endpoint and Microsoft Defender for Office 365

Application Guard for Office Microsoft Defender for Endpoint と統合され、分離された環境で発生する悪意のあるアクティビティの監視と警告を提供します。Application Guard for Office is integrated with Microsoft Defender for Endpoint to provide monitoring and alerting on malicious activity happening in the isolated environment.

Microsoft Defender for Endpoint は、エンタープライズ ネットワークが高度な脅威を防止、検出、調査、および対応するために設計されたセキュリティ プラットフォームです。Microsoft Defender for Endpoint is a security platform designed to help enterprise networks prevent, detect, investigate, and respond to advanced threats. このプラットフォームについて詳しくは 、Microsoft Defender for Endpoint のページをご覧 ください。For more details about this platform, visit the Microsoft Defender for Endpoint page. このプラットフォームへのデバイスのオンボードについて詳しくは、デバイスを Microsoft Defender for Endpoint サービス にオンボードする方法をご覧くださいLearn more about onboarding devices to this platform at Onboard devices to the Microsoft Defender for Endpoint service.

また、Office 365 用に Microsoft Defender をエンドポイント用の Defender と組み合Office構成できます。You can also configure Microsoft Defender for Office 365 to work with Defender for Endpoint. 「Microsoft Defender for Endpoint と Office 365 の Defender の統合」をご覧くださいRefer to Integrate Defender for Office 365 with Microsoft Defender for Endpoint.

制限事項と考慮事項Limitations and considerations

  • Office 用 Application Guard は、信頼できる企業リソース、イントラネット、ユーザーの ID、およびコンピューターに存在する任意のファイルへの信頼されていないドキュメントのアクセスを分離する制限付きモードです。Application Guard for Office is a restricted mode that isolates untrusted documents from accessing trusted corporate resources, intranet, the user's identity, and arbitrary files present on the computer. その結果、たとえばディスク上のローカル ファイルから画像を挿入するなどのアクセスに依存する機能にユーザーがアクセスしようとすると、エラーが発生し、次のようなプロンプトが表示されます。As a result, if a user tries to access a feature that has a dependency on such access, for example, inserting a picture from a local file on disk, it will fail and produce a prompt like the one below. 信頼されていないドキュメントが信頼できるリソースにアクセスするには、ユーザーがドキュメントから Application Guard 保護を削除する必要があります。To enable an untrusted document to access trusted resources, users must remove Application Guard protection from the document.

    [安全に保つために、この機能は使用できません] というダイアログ ボックス

    注意

    ファイルとそのソース、またはファイルの送信元を信頼している場合にのみ、保護を削除する必要があります。Advise users to only remove protection if they trust the file and its source or where it came from.

  • Application Guard では、マクロやコントロールActiveXドキュメント内のアクティブなコンテンツが無効Office。Active content in documents like macros and ActiveX controls are disabled in Application Guard for Office. アクティブなコンテンツを有効にするには、Application Guard 保護を削除する必要があります。Users need to remove Application Guard protection to enable active content.

  • ネットワーク共有から開いた信頼できないファイルや、別の組織の OneDrive、OneDrive for Business、または SharePoint Online から共有されたファイルは、Application Guard で読み取り専用として開きます。Untrusted files opened from network shares or files shared from OneDrive, OneDrive for Business, or SharePoint Online from a different organization open as read-only in Application Guard. ユーザーは、そのようなファイルのローカル コピーを保存してコンテナー内で作業を続行したり、元のファイルを直接操作する保護を削除することができます。Users can save a local copy of such files to continue working in the container or remove protection to directly work with the original file.

  • Information Rights Management (IRM) によって保護されているファイルは、引き続き保護ビューで開きます。Files that are protected by Information Rights Management (IRM) continue to open in Protected View.

  • Application Guard for Office アプリケーションをOfficeしたカスタマイズは、ユーザーがログオフしてデバイスにログインまたは再起動した後も保持されません。Any customizations to Office applications in Application Guard for Office will not persist after a user logs off and logs back in or reboots the device.

  • UIA フレームワークを使うアクセシビリティ ツールだけが、アプリ用 Application Guard で開いたファイルにアクセシビリティ対応のエクスペリエンスOffice。Only Accessibility tools that use the UIA framework can provide an accessible experience for files opened in Application Guard for Office.

  • インストール後に Application Guard を初めて起動するには、ネットワーク接続が必要です。Network connectivity is required for the first launch of Application Guard after installation. これは、Application Guard がライセンスを検証するために必要です。This is required for Application Guard to validate the license.

  • ドキュメントの情報セクションでは、 最終 変更者プロパティにユーザーとして WDAGUtilityAccount が表示される場合があります。In the document's info section, the Last Modified By property may display WDAGUtilityAccount as the user. デスクトップ ユーザーの ID が Application Guard コンテナー内で共有されていない場合、これは Application Guard で構成された匿名ユーザーです。This is the anonymous user configured in Application Guard given that the desktop user's identity is not shared inside the Application Guard container.

Application Guard のパフォーマンスの最適化Performance optimizations for Application Guard

このセクションでは、Application Guard で使用されるパフォーマンスの最適化の概要をOffice。This section provides an overview of the performance optimizations used in Application Guard for Office. この情報は、Application Guard が有効な場合に、管理者が Office またはシステム全体のパフォーマンスに関連するユーザーからのレポートを診断するのに役立ちます。This information can help administrators diagnose reports from users related to the performance of Office or the overall system when Application Guard is enabled.

Application Guard は、仮想化されたコンテナーを使用して、信頼されていないドキュメントをシステムから分離します。Application Guard uses a virtualized container to isolate untrusted documents away from the system. コンテナーを作成し、application Guard コンテナーを設定して Office ドキュメントを開くプロセスでは、パフォーマンスのオーバーヘッドが発生し、ユーザーが信頼されていないドキュメントを開く際のユーザー エクスペリエンスに悪影響を及ぼす可能性があります。The process of creating a container and setting up the Application Guard container to open Office documents has a performance overhead that might negatively impact user experience when users open an untrusted document.

ユーザーに期待されるファイルを開くエクスペリエンスを提供するために、Application Guard はロジックを使用して、システムで次のヒューリスティックが満たされた場合にコンテナーを事前に作成します。ユーザーが過去 28 日間に保護ビューまたは Application Guard でファイルを開いている。To provide users with the expected file opening experience, Application Guard uses logic to pre-create a container when the following heuristic is met on a system: A user has opened a file in either Protected View or Application Guard in the past 28 days.

このヒューリスティックが満たされたOffice、ユーザーが Windows にログインした後に、ユーザーの Application Guard コンテナーが事前に作成されます。When this heuristic is met, Office will pre-create an Application Guard container for the user after they log in to Windows. この作成前操作が進行中の場合、システムのパフォーマンスが低下する可能性があります。When this pre-create operation is in progress, the system may experience slow performance. これは、操作が完了するとすぐに解決されます。This will resolve as soon as the operation completes.

注意

コンテナーの事前作成に使用されるヒューリスティックに必要なヒントは、ユーザーがコンテナーを使用するOfficeアプリケーションによって生成されます。The hints needed for the heuristic used to pre-create the container are generated by Office applications as a user uses them. Application Guard が有効になっている新しいシステムに Office をインストールした場合、Office は、ユーザーがシステム上で信頼されていないドキュメントを初めて開くまでコンテナーを事前に作成しません。If a user installs Office on a new system where Application Guard is enabled, Office will not pre-create the container until after the first time a user opens an untrusted document on the system. ユーザーは、この最初のファイルが Application Guard で開くのに時間がかかるのを確認します。The user will observe that this first file takes longer to open in Application Guard.

プレビューでの既知の問題Known issues in preview

  • Web リンク (または) をクリック http https しても、ブラウザーは開かれません。Clicking on web links (http or https) does not open the browser.
  • .NET 更新プログラムを実行すると、Application Guard でファイルが開かれません。.NET updates cause files to fail to open in Application Guard. 回避策として、この問題が発生した場合、ユーザーはデバイスを再起動できます。As a workaround, users can reboot their device when this issue is encountered. Application Guard または Windows サンドボックスを開こうとすると、エラー メッセージを受信するWindows Defender 詳細を確認してくださいLearn more about the issue at Receiving an error message when attempting to open Windows Defender Application Guard or Windows Sandbox.