Microsoft Defender Application Guard の概要Microsoft Defender Application Guard overview

適用対象: Endpoint 向け Microsoft DefenderApplies to: Microsoft Defender for Endpoint

Microsoft Defender Application Guard (Application Guard) は、従業員の生産性を維持するために、新旧の攻撃を防止するために設計されています。Microsoft Defender Application Guard (Application Guard) is designed to help prevent old and newly emerging attacks to help keep employees productive. 独自のハードウェア分離アプローチを使用して、攻撃者が現在の攻撃方法を使用しなくなったプレイブックを破棄します。Using our unique hardware isolation approach, our goal is to destroy the playbook that attackers use by making current attack methods obsolete.

Application Guard の概要とその仕組みWhat is Application Guard and how does it work?

Microsoft Edge の場合、Application Guard は企業定義の信頼されていないサイトを分離し、従業員がインターネットを閲覧している間に会社を保護します。For Microsoft Edge, Application Guard helps to isolate enterprise-defined untrusted sites, protecting your company while your employees browse the Internet. エンタープライズ管理者は、信頼済み Web サイト、クラウド リソース、内部ネットワークを定義します。As an enterprise administrator, you define what is among trusted web sites, cloud resources, and internal networks. 一覧にないものはすべて非信頼と見なされます。Everything not on your list is considered untrusted. 従業員が Microsoft Edge または Internet Explorer を介して信頼されていないサイトにアクセスした場合、Microsoft Edge は分離された Hyper-V 対応コンテナーでサイトを開きます。If an employee goes to an untrusted site through either Microsoft Edge or Internet Explorer, Microsoft Edge opens the site in an isolated Hyper-V-enabled container.

たとえばMicrosoft Office、Application Guard は信頼されていない Word、PowerPoint、Excel ファイルが信頼できるリソースにアクセスできないのを防ぐのに役立ちます。For Microsoft Office, Application Guard helps prevents untrusted Word, PowerPoint and Excel files from accessing trusted resources. Application Guard は、分離された Hyper-V 対応コンテナーで信頼されていないファイルを開きます。Application Guard opens untrusted files in an isolated Hyper-V-enabled container. 分離された Hyper-V コンテナーは、ホスト オペレーティング システムとは別です。The isolated Hyper-V container is separate from the host operating system. このコンテナーの分離は、信頼されていないサイトまたはファイルが悪意のあると判明した場合、ホスト デバイスが保護され、攻撃者がエンタープライズ データにアクセスできないという意味です。This container isolation means that if the untrusted site or file turns out to be malicious, the host device is protected, and the attacker can't get to your enterprise data. たとえば、このアプローチでは分離されたコンテナーが匿名になるため、攻撃者は従業員の企業の資格情報にアクセスできません。For example, this approach makes the isolated container anonymous, so an attacker can't get to your employee's enterprise credentials.

ハードウェア分離の図

Application Guard を使うのはどの種類のデバイスですか。What types of devices should use Application Guard?

Application Guard は、次の複数の種類のデバイスを対象として作成されています。Application Guard has been created to target several types of devices:

  • エンタープライズ デスクトップEnterprise desktops. これらのデスクトップは、ドメインに参加し、組織で管理されます。These desktops are domain-joined and managed by your organization. 構成管理は、主に Microsoft Endpoint Manager または Microsoft Intune を介して行われます。Configuration management is primarily done through Microsoft Endpoint Manager or Microsoft Intune. 通常、従業員は標準ユーザー特権を持ち、高帯域幅のワイヤード (有線) 企業ネットワークを使います。Employees typically have Standard User privileges and use a high-bandwidth, wired, corporate network.

  • エンタープライズ モバイル ノート PCEnterprise mobile laptops. これらのノート PC は、ドメインに参加し、組織で管理されます。These laptops are domain-joined and managed by your organization. 構成管理は、主に Microsoft Endpoint Manager または Microsoft Intune を介して行われます。Configuration management is primarily done through Microsoft Endpoint Manager or Microsoft Intune. 通常、従業員は、標準ユーザー特権を持ち、高帯域幅のワイヤレス企業ネットワークを使います。Employees typically have Standard User privileges and use a high-bandwidth, wireless, corporate network.

  • 独自のデバイス (BYOD) モバイル ラップトップを持参しますBring your own device (BYOD) mobile laptops. これらの個人所有のラップトップはドメインに参加しているのではなく、Microsoft Intune などのツールを使用して組織によって管理されます。These personally-owned laptops are not domain-joined, but are managed by your organization through tools, such as Microsoft Intune. 通常、従業員はデバイスの管理者で、職場では高帯域幅のワイヤレス企業ネットワークを使い、自宅では同等の個人用ネットワークを使います。The employee is typically an admin on the device and uses a high-bandwidth wireless corporate network while at work and a comparable personal network while at home.

  • 個人用デバイスPersonal devices. これらの個人所有のデスクトップまたはモバイル ラップトップは、組織によってドメインに参加または管理されません。These personally-owned desktops or mobile laptops are not domain-joined or managed by an organization. ユーザーはデバイスの管理者であり、自宅で高帯域幅のワイヤレスパーソナル ネットワークを使用するか、外部のパブリック ネットワークと同等のパブリック ネットワークを使用します。The user is an admin on the device and uses a high-bandwidth wireless personal network while at home or a comparable public network while outside.

記事Article 説明Description
Microsoft Defender Application Guard のシステム要件System requirements for Microsoft Defender Application Guard Application Guard のインストールと使用に必要な前提条件を指定します。Specifies the prerequisites necessary to install and use Application Guard.
Microsoft Defender Application Guard の準備とインストールPrepare and install Microsoft Defender Application Guard スタンドアロンと企業管理のどちらのモードを使うか決定する方法と、組織内で Application Guard をインストールする方法について説明します。Provides instructions about determining which mode to use, either Standalone or Enterprise-managed, and how to install Application Guard in your organization.
Microsoft Defender Application Guard のグループ ポリシー設定を構成するConfigure the Group Policy settings for Microsoft Defender Application Guard 利用可能なグループ ポリシーと MDM 設定に関する情報を提供します。Provides info about the available Group Policy and MDM settings.
ビジネスまたは組織で Microsoft Defender Application Guard を使用してシナリオをテストするTesting scenarios using Microsoft Defender Application Guard in your business or organization 組織内の Application Guard のテストに使用できる推奨されるテスト シナリオの一覧を示します。Provides a list of suggested testing scenarios that you can use to test Application Guard in your organization.
Web ブラウザー用 Microsoft Defender Application Guard 拡張機能Microsoft Defender Application Guard Extension for web browsers 既知の問題、トラブルシューティング ガイドなど、Chrome と Firefox の Application Guard 拡張機能について説明します。Describes the Application Guard extension for Chrome and Firefox, including known issues, and a troubleshooting guide
Microsoft Defender Application Guard for Microsoft OfficeMicrosoft Defender Application Guard for Microsoft Office 最小ハードウェア要件、構成Microsoft Officeトラブルシューティング ガイドなど、アプリケーションの Application Guard について説明します。Describes Application Guard for Microsoft Office, including minimum hardware requirements, configuration, and a troubleshooting guide
よく寄せられる質問: Microsoft Defender Application GuardFrequently asked questions - Microsoft Defender Application Guard Application Guard の機能、Windows オペレーティング システムとの統合、および一般的な構成に関してよく寄せられる質問に対する回答を提供します。Provides answers to frequently asked questions about Application Guard features, integration with the Windows operating system, and general configuration.
ネットワーク境界を使用して Microsoft Intune の Windows デバイスに信頼できるサイトを追加するUse a network boundary to add trusted sites on Windows devices in Microsoft Intune ネットワーク境界、組織によって信頼されていないサイトから環境を保護するのに役立つ機能。Network boundary, a feature that helps you protect your environment from sites that aren't trusted by your organization.