Windows Defender Application Guard ポリシー設定の構成

適用対象:Windows Defender Advanced Threat Protection (Windows Defender ATP)

Windows Defender Application Guard (Application Guard) とグループ ポリシーと連携させて、組織のコンピューターの設定を管理できます。 グループ ポリシーを使うと、ポリシー設定を 1 回設定した後、その設定を複数のコンピューターにコピーできます。 たとえば、ドメインにリンクされた GPO で複数のセキュリティ設定をセットアップして、そのすべての設定をドメイン内のすべてのコンピューターに適用できます。

Application Guard では、ネットワーク分離設定とアプリケーション固有の設定の両方を使います。

ネットワーク分離設定

[コンピューターの構成] > [管理用テンプレート] > [ネットワーク] > [ネットワーク分離] にあるこれらの設定を使うと、会社のネットワーク境界の定義と管理に役立ちます。 Application Guard ではこの情報を使って、企業以外のリソースにアクセスするためのすべての要求を Application Guard コンテナーに自動的に転送します。

注意

従業員のデバイスのアプリ設定に対してクラウドまたはプライベート ネットワークの範囲でホストされているエンタープライズ リソース ドメインを構成して、エンタープライズ モードで Application Guard を正常に有効にする必要があります。

ポリシー名 サポートされているバージョン 説明
アプリのプライベート ネットワークの範囲 Windows Server 2012、Windows 8、または Windows RT 以降 社内ネットワークのコンマで区切られた IP アドレス範囲の一覧です。 含まれるエンドポイントまたは指定した IP アドレスの範囲内に含まれているエンドポイントは、Microsoft Edge を使ってレンダリングされ、Application Guard 環境からアクセスできなくなります。
クラウドでホストされるエンタープライズ リソース ドメイン Windows Server 2012、Windows 8、または Windows RT 以降 パイプ文字で区切られた (\
職場用と個人用に分類されたドメイン Windows Server 2012、Windows 8、または Windows RT 以降 職場用と個人用リソースの両方として使われるドメイン名のコンマ区切りのリスト。 含まれるエンドポイントは、Microsoft Edge の使用はレンダリングされ、Application Guard と通常のエッジ環境からアクセスできなくなります。

アプリケーション固有の設定

[コンピューター構成] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Defender Application Guard] にあるこれらの設定を使って、Application Guard の会社の実装を管理できます。

名前 サポートされているバージョン 説明 オプション
Windows Defender Application Guard のクリップボード設定を構成します Windows 10 Enterprise、1709 以降

Windows 10 Pro、1803 以降
Application Guard でクリップボードの機能を使うかどうかを指定します。 有効。 クリップボードの機能をオンにし、追加で次を実行するかどうかを選ぶことができます。
  • 仮想化のセキュリティが有効な場合、クリップボードの機能を完全に無効にします。
  • Application Guard から Microsoft Edge への特定のコンテンツのコピーを有効にします。
  • Microsoft Edge から Application Guard への特定のコンテンツのコピーを有効にします。

    重要
    コピーされたコンテンツを Microsoft Edge から Application Guard に移動できるようにすると、潜在的なセキュリティ リスクが生じるため、お勧めできません。
無効または未構成。 Application Guard のクリップボード機能を完全に無効にします。
Windows Defender Application Guard の印刷設定を構成します Windows 10 Enterprise、1709 以降

Windows 10 Pro、1803 以降
Application Guard で印刷機能を使うかどうかを決定します。 有効。 印刷機能をオンにし、追加で次を実行するかどうかを選ぶことができます。
  • Application Guard で XPS 形式への印刷を有効にします。
  • Application Guard で PDF 形式への印刷を有効にします。
  • Application Guard でローカルに接続されたプリンターへの印刷を有効にします。
  • Application Guard で以前に接続したネットワーク プリンターからの印刷を有効にします。 従業員は追加のプリンターを検索できません。
無効または未構成。 Application Guard の印刷機能を完全に無効にします。
Block enterprise websites to load non-enterprise content in IE and Edge (エンタープライス Web サイトで IE と Edge での非エンタープライズ コンテンツの読み込みをブロックします) Windows 10 Enterprise、1709 以降 [許可されたアプリ] 一覧に含まれていないアプリでインターネット アクセスを許可するかどうかを指定します。 有効。 Internet Explorer と Microsoft Edge の両方から、Application Guard コンテナーにレンダリングできない非エンタープライズ サイトへのネットワーク トラフィックを回避します。 これにより、CDN によりキャッシュされているアセットと分析サイトへの参照もブロックされる可能性があります。 ページの破損を避けるため、これらを信頼済みエンタープライズ リソースに追加してください。

無効または未構成。 Microsoft Edge で Application Guard にレンダリングできない非エンタープライズ サイトにネットワーク トラフィックをレンダリングできるようにします。
永続化の許可 Windows 10 Enterprise、1709 以降

Windows 10 Pro、1803 以降
Windows Defender Application Guard 内の異なるセッション間でデータを維持するかどうかを指定します。 有効。 Application Guard では、ユーザーがダウンロードしたファイルとその他の項目 (Cookie、お気に入りなど) を保存して今後の Application Guard セッションで使えるようにします。

無効または未構成。 Application Guard 内のすべてのユーザー データはセッション間でリセットされます。


従業員のデータの永続性のサポートを後から停止する場合は、Windows に搭載されているユーティリティを使ってコンテナーをリセットし、個人データを破棄できます。
コンテナーをリセットするには:
  1. コマンド ライン プログラムを開いて、Windows/System32 に移動します。
  2. wdagtool.exe cleanup」と入力します。
    コンテナー環境がリセットされ、従業員が生成したデータのみ維持されます。
  3. wdagtool.exe cleanup RESET_PERSISTENCE_LAYER」と入力します。
    従業員が生成した全データを破棄するなど、コンテナーの環境がリセットされます。
エンタープライズ モードで Windows Defender Application Guard を有効にする Windows 10 Enterprise、1709 以降 Microsoft Edge で Application Guard を有効にするかどうかを指定します。 有効。 Microsoft Edge で Application Guard をオンにし、ネットワーク分離設定に従い、Application Guard コンテナーで非エンタープライズ ドメインをレンダリングします。 必要な前提条件とネットワーク分離設定がデバイスに既に設定されていない限り、Application Guard は実際に有効にならないことに注意してください。

無効。 Application Guard をオフにし、すべてのアプリを Microsoft Edge で実行できるようにします。
ホスト オペレーティング システムをダウンロードするファイルを許可します。 Windows 10 Enterprise、1803 以降 Windows Defender Application Guard コンテナーからホスト オペレーティング システムにダウンロードしたファイルを保存するかどうかを決定します。 有効。 Windows Defender Application Guard コンテナーからホスト オペレーティング システムにダウンロードしたファイルを保存することができます。

無効または未構成。 ユーザーはできません。 ダウンロードしたファイルを保存する Application Guard からホスト オペレーティング システムにします。
Windows Defender Application Guard のハードウェア アクセラレーションのレンダリングを許可します。 Windows 10 Enterprise、1803 以降

Windows 10 Pro、1803 以降
Windows Defender Application Guard がハードウェアまたはソフトウェアのアクセラレータを使用するグラフィックスをレンダリングするかどうかを決定します。 有効。 Windows Defender Application Guard では、HYPER-V を使用して、サポートされている、高度なセキュリティのレンダリングのグラフィックス ハードウェア (Gpu) にアクセスします。 これらの Gpu では、特にビデオの再生とその他のグラフィックス重視のユース ケースの場合、Windows Defender Application Guard を使用中にレンダリングのパフォーマンスとバッテリーの寿命が向上します。 この設定は有効な場合、高度なセキュリティのレンダリングのグラフィックス ハードウェアを接続することがなく、Windows Defender Application Guard は自動的にソフトウェア ベース (CPU) のレンダリングに戻ります。

    重要
    ある可能性のある侵害されたグラフィックス デバイスまたはドライバーでは、この設定を有効にする可能性がありますが危険にホスト デバイスに注意してください。

無効または未構成。 Windows Defender Application Guard (CPU) のソフトウェア ベースのレンダリングを使用しが、サード パーティ製のグラフィックス ドライバーを読み込むまたは、接続されているグラフィックス ハードウェアを操作します。
Windows Defender Application Guard でカメラとマイクのアクセスを許可します。 Windows 10 Enterprise、1809 以降

Windows 10 Pro、1809 以降
Windows Defender Application Guard 内のカメラとマイクのアクセスを許可するかどうかを決定します。 有効。 Windows Defender Application Guard 内のアプリケーションでは、カメラと、ユーザーのデバイスでマイクにアクセスできます。

重要
侵害された可能性があるコンテナーには、このポリシーを有効にすることがカメラとマイクのアクセス許可をバイパスとなるカメラとユーザーの知らないマイクにアクセスします。

無効または未構成。 Windows Defender Application Guard 内のアプリケーションでは、カメラと、ユーザーのデバイスでマイクにアクセスすることはできません。
ユーザーのデバイスからルート証明機関を使用する Windows Defender Application Guard を許可します。 Windows 10 Enterprise、1809 以降

Windows 10 Pro、1809 以降
Windows Defender Application Guard でルート証明書を共有するかどうかを決定します。 有効。 指定された拇印に一致する証明書は、コンテナーに転送されます。 コンマを使用して、複数の証明書を区切ります。

無効または未構成。 Windows Defender Application Guard では、証明書は共有されません。
Windows Defender Application Guard で開くファイルを信頼するユーザーを許可します。 Windows 10 Enterprise、1809 以降 ユーザーが手動でそれらを開く、ホスト上の信頼されていないファイルを信頼できるかどうかを決定します。 有効。 ユーザーは、手動でファイルを信頼するか、ウイルス対策の確認の後にファイルを信頼します。

無効または未構成。 ユーザーは、手動でファイルとファイルは、Windows Defender Application Guard で開くには引き続きを信頼することはできません。