Microsoft Defender Application Guard ポリシーを作成して展開する

Configuration Manager (現在のブランチ) に適用

Configuration Manager エンドポイント保護を使用して、Microsoft Defender Application Guard (Application Guard) ポリシーを作成してデプロイできます。 これらのポリシーは、オペレーティング システムの他の部分からアクセスできない安全な分離コンテナーで信頼されていない Web サイトを開くことで、ユーザーを保護するのに役立ちます。

前提条件

Microsoft Defender Application Guard ポリシーを作成して展開するには、Windows 10 1709 以降を使用する必要があります。 ポリシーを展開するWindows 10以降のデバイスは、ネットワーク分離ポリシーを使用して構成する必要があります。 詳細については、Microsoft Defender Application Guardの概要に関するページを参照してください。

ポリシーを作成し、使用可能な設定を参照する

1. Configuration Manager コンソールで、[資産とコンプライアンス] を選択します。

2. [資産とコンプライアンス] ワークスペースで、[概要>エンドポイント保護>Microsoft Defender Application Guard] を選択します。

3. [ホーム] タブの [作成] グループで、[Microsoft Defender Application Guard ポリシーの作成] をクリックします。

4. この記事を参照として使用すると、使用可能な設定を参照して構成できます。 Configuration Managerでは、特定のポリシー設定を設定できます。

   • アプリケーションの動作
   • ホスト操作の設定

5. [ ネットワーク定義] ページで、企業 ID を指定し、会社のネットワーク境界を定義します。

   注:

   Windows 10以降の PC では、クライアントに 1 つのネットワーク分離リストのみが格納されます。 2 種類のネットワーク分離リストを作成し、クライアントに展開できます。

   • Windows Information Protectionからの 1 つ
   • Microsoft Defender Application Guardの 1 つ

   両方のポリシーを展開する場合は、これらのネットワーク分離リストが一致している必要があります。 同じクライアントと一致しないリストをデプロイすると、デプロイは失敗します。 詳細については、Windows Information Protectionのドキュメントを参照してください。

6. 完了したら、ウィザードを完了し、1709 以降のデバイスWindows 10 1 つ以上にポリシーを展開します。

アプリケーションの動作

ホスト デバイスとApplication Guard コンテナー間の相互作用を構成します。 バージョン 1802 Configuration Manager以前は、アプリケーションの動作とホストの相互作用の両方が [設定] タブの下にありました。

• クリップボード - Configuration Manager 1802 より前の設定の下
  • 許可されるコンテンツ タイプ
    • テキスト
    • 画像
• 印刷：
  • XPS への印刷を有効にする
  • PDF への印刷を有効にする
  • ローカル プリンターへの印刷を有効にする
  • ネットワーク プリンターへの印刷を有効にする
• グラフィックス: (Configuration Manager バージョン 1802 以降)
  • 仮想グラフィックス プロセッサへのアクセス
• ファイル: (バージョン 1802 以降Configuration Manager)
  • ダウンロードしたファイルをホストに保存する
• ポリシー: (Configuration Manager バージョン 2207 以降)
  • カメラとマイクを有効または無効にする
  • 拇印と分離コンテナーに一致する証明書

ホスト操作の設定

Application Guard セッション内でアプリケーションの動作を構成します。 バージョン 1802 Configuration Manager以前は、アプリケーションの動作とホストの相互作用の両方が [設定] タブの下にありました。

• 他：
  • ユーザー生成のブラウザー データを保持する
  • 分離されたアプリケーション ガード セッションのセキュリティ イベントを監査する

Application Guard設定を編集するには、[資産とコンプライアンス] ワークスペースで [Endpoint Protection] を展開し、[Microsoft Defender Application Guard] ノードをクリックします。 編集するポリシーを右クリックし、[プロパティ] を選択 します。

既知の問題

バージョン 2203 以前に適用されます

Windows 10バージョン 2004 を実行しているデバイスでは、Microsoft Defender Application Guardファイル信頼基準のコンプライアンス レポートでエラーが表示されます。 この問題は、Windows 10 バージョン 2004 の WMI クラスMDM_WindowsDefenderApplicationGuard_Settings01から一部のサブクラスが削除されたために発生します。 その他のすべてのMicrosoft Defender Application Guard設定は引き続き適用され、ファイル信頼条件のみが失敗します。 現時点では、このエラーをバイパスする回避策はありません。

バージョン 2207 以降に適用されます

ポリシーを有効にしても、Microsoft Defender Application Guard機能は既定ではインストールされません。 ConfigMgr を使用して、該当するすべてのマシンに PowerShell スクリプトをデプロイします。

機能を有効にするには、次のコマンドを使用します。 Enable-WindowsOptionalFeature -online -FeatureName "Windows-Defender-ApplicationGuard"

次の手順

Microsoft Defender Application Guardの詳細については、次を参照してください。

• Microsoft Defender Application Guardの概要。
• Microsoft Defender Application Guard FAQ。