Microsoft Defender Application Guard の概要Microsoft Defender Application Guard overview

適用対象: Microsoft Defender Advanced Threat Protection (microsoft defender ATP)Applies to: Microsoft Defender Advanced Threat Protection (Microsoft Defender ATP)

Microsoft Defender Application Guard (Application Guard) は、従業員の生産性を維持するために、古いおよび新しく新しい攻撃を防ぐために設計されています。Microsoft Defender Application Guard (Application Guard) is designed to help prevent old and newly emerging attacks to help keep employees productive. 独自のハードウェア分離アプローチを使用することで、現在の攻撃方法を廃止することで攻撃者が使用するプレイブックを破棄することができます。Using our unique hardware isolation approach, our goal is to destroy the playbook that attackers use by making current attack methods obsolete.

Application Guard の概要とその仕組みWhat is Application Guard and how does it work?

Windows 10 と Microsoft Edge 向けに設計されている Application Guard を使って、企業が定義した非信頼サイトを分離し、従業員がインターネットを閲覧している間に企業を保護できます。Designed for Windows 10 and Microsoft Edge, Application Guard helps to isolate enterprise-defined untrusted sites, protecting your company while your employees browse the Internet. エンタープライズ管理者は、信頼済み Web サイト、クラウド リソース、内部ネットワークを定義します。As an enterprise administrator, you define what is among trusted web sites, cloud resources, and internal networks. 一覧にないものはすべて非信頼と見なされます。Everything not on your list is considered untrusted.

従業員が、Microsoft Edge または Internet Explorer のいずれかから非信頼サイトを表示すると、Microsoft Edge では分離された Hyper-V 対応コンテナーに含まれるサイトが開きます。このコンテナーはホストのオペレーティング システムとは異なります。If an employee goes to an untrusted site through either Microsoft Edge or Internet Explorer, Microsoft Edge opens the site in an isolated Hyper-V-enabled container, which is separate from the host operating system. このコンテナーの分離は、非信頼サイトが悪意のあるサイトであることが判明した場合、ホスト PC が保護され、攻撃者は企業データにアクセスできなくなることを意味します。This container isolation means that if the untrusted site turns out to be malicious, the host PC is protected, and the attacker can't get to your enterprise data. たとえば、このアプローチでは分離されたコンテナーが匿名になるため、攻撃者は従業員の企業の資格情報にアクセスできません。For example, this approach makes the isolated container anonymous, so an attacker can't get to your employee's enterprise credentials.

ハードウェア分離の図

Application Guard を使うのはどの種類のデバイスですか。What types of devices should use Application Guard?

Application Guard は、いくつかの種類のシステムを対象とするように作成されています。Application Guard has been created to target several types of systems:

  • エンタープライズ デスクトップ。Enterprise desktops. これらのデスクトップは、ドメインに参加し、組織で管理されます。These desktops are domain-joined and managed by your organization. 構成管理は、主に Microsoft Endpoint Configuration Manager または Microsoft Intune を通じて行われます。Configuration management is primarily done through Microsoft Endpoint Configuration Manager or Microsoft Intune. 通常、従業員は標準ユーザー特権を持ち、高帯域幅のワイヤード (有線) 企業ネットワークを使います。Employees typically have Standard User privileges and use a high-bandwidth, wired, corporate network.

  • エンタープライズ モバイル ノート PC。Enterprise mobile laptops. これらのノート PC は、ドメインに参加し、組織で管理されます。These laptops are domain-joined and managed by your organization. 構成管理は、主に Microsoft Endpoint Configuration Manager または Microsoft Intune を通じて行われます。Configuration management is primarily done through Microsoft Endpoint Configuration Manager or Microsoft Intune. 通常、従業員は、標準ユーザー特権を持ち、高帯域幅のワイヤレス企業ネットワークを使います。Employees typically have Standard User privileges and use a high-bandwidth, wireless, corporate network.

  • BYOD (Bring Your Own Device) モバイル ノート PC。Bring your own device (BYOD) mobile laptops. これらの個人所有のラップトップは、ドメインに参加しているわけではありませんが、Microsoft Intune などのツールを使用して組織によって管理されます。These personally-owned laptops are not domain-joined, but are managed by your organization through tools, such as Microsoft Intune. 通常、従業員はデバイスの管理者で、職場では高帯域幅のワイヤレス企業ネットワークを使い、自宅では同等の個人用ネットワークを使います。The employee is typically an admin on the device and uses a high-bandwidth wireless corporate network while at work and a comparable personal network while at home.

  • 個人用デバイス。Personal devices. これらの個人所有のデスクトップまたはモバイルノート pc は、ドメインに参加していないか、組織によって管理されていません。These personally-owned desktops or mobile laptops are not domain-joined or managed by an organization. ユーザーはデバイスの管理者であり、自宅または比較可能な外部のパブリックネットワークで、高帯域幅のワイヤレスパーソナルネットワークを使用しています。The user is an admin on the device and uses a high-bandwidth wireless personal network while at home or a comparable public network while outside.

関連記事Related articles

記事Article 説明Description
Microsoft Defender Application Guard のシステム要件System requirements for Microsoft Defender Application Guard Application Guard をインストールして使用するために必要な前提条件を指定します。Specifies the prerequisites necessary to install and use Application Guard.
Microsoft Defender Application Guard の準備とインストールPrepare and install Microsoft Defender Application Guard スタンドアロンと企業管理のどちらのモードを使うか決定する方法と、組織内で Application Guard をインストールする方法について説明します。Provides instructions about determining which mode to use, either Standalone or Enterprise-managed, and how to install Application Guard in your organization.
Microsoft Defender Application Guard のグループポリシー設定を構成するConfigure the Group Policy settings for Microsoft Defender Application Guard 利用可能なグループ ポリシーと MDM 設定に関する情報を提供します。Provides info about the available Group Policy and MDM settings.
会社または組織で Microsoft Defender Application Guard を使用してシナリオをテストするTesting scenarios using Microsoft Defender Application Guard in your business or organization 組織の Application Guard をテストするために使用できる、推奨されるテストシナリオの一覧を示します。Provides a list of suggested testing scenarios that you can use to test Application Guard in your organization.
よく寄せられる質問-Microsoft Defender Application GuardFrequently asked questions - Microsoft Defender Application Guard アプリケーションガード機能、Windows オペレーティングシステムとの統合、一般的な構成についてよく寄せられる質問に対する回答を提供します。Provides answers to frequently asked questions about Application Guard features, integration with the Windows operating system, and general configuration.