Windows Defender Application Guard ポリシー設定の構成

適用対象:Microsoft Defender Advanced Threat Protection (Microsoft DEFENDER ATP)

Windows Defender Application Guard (Application Guard) とグループ ポリシーと連携させて、組織のコンピューターの設定を管理できます。 グループ ポリシーを使うと、ポリシー設定を 1 回設定した後、その設定を複数のコンピューターにコピーできます。 たとえば、ドメインにリンクされた GPO で複数のセキュリティ設定をセットアップして、そのすべての設定をドメイン内のすべてのコンピューターに適用できます。

Application Guard では、ネットワーク分離設定とアプリケーション固有の設定の両方を使います。

ネットワーク分離設定

[コンピューターの構成] > [管理用テンプレート] > [ネットワーク] > [ネットワーク分離] にあるこれらの設定を使うと、会社のネットワーク境界の定義と管理に役立ちます。 Application Guard ではこの情報を使って、企業以外のリソースにアクセスするためのすべての要求を Application Guard コンテナーに自動的に転送します。

注意

従業員のデバイスのアプリ設定に対してクラウドまたはプライベート ネットワークの範囲でホストされているエンタープライズ リソース ドメインを構成して、エンタープライズ モードで Application Guard を正常に有効にする必要があります。

ポリシー名 サポートされているバージョン 説明
アプリのプライベート ネットワークの範囲 Windows Server 2012、Windows 8、または Windows RT 以降 社内ネットワークのコンマで区切られた IP アドレス範囲の一覧です。 含まれるエンドポイントまたは指定した IP アドレスの範囲内に含まれているエンドポイントは、Microsoft Edge を使ってレンダリングされ、Application Guard 環境からアクセスできなくなります。
クラウドでホストされるエンタープライズ リソース ドメイン Windows Server 2012、Windows 8、または Windows RT 以降 ドメインクラウドリソースのパイプ区切り (\
職場用と個人用に分類されたドメイン Windows Server 2012、Windows 8、または Windows RT 以降 職場用と個人用リソースの両方として使われるドメイン名のコンマ区切りのリスト。 含まれているエンドポイントは、Microsoft Edge を使ってレンダリングされ、アプリケーションガードと通常の Edge 環境からアクセスできます。

アプリケーション固有の設定

[コンピューター構成] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Defender Application Guard] にあるこれらの設定を使って、Application Guard の会社の実装を管理できます。

名前 サポートされているバージョン 説明 オプション
Windows Defender Application Guard のクリップボード設定を構成します Windows 10 Enterprise、1709、またはそれ以降

Windows 10 Pro、1803、またはそれ以降
Application Guard でクリップボードの機能を使うかどうかを指定します。 有効。 クリップボードの機能をオンにし、追加で次を実行するかどうかを選ぶことができます。
  • 仮想化のセキュリティが有効な場合、クリップボードの機能を完全に無効にします。
  • Application Guard から Microsoft Edge への特定のコンテンツのコピーを有効にします。
  • Microsoft Edge から Application Guard への特定のコンテンツのコピーを有効にします。

    重要
    コピーされたコンテンツを Microsoft Edge から Application Guard に移動できるようにすると、潜在的なセキュリティ リスクが生じるため、お勧めできません。
無効または未構成。 Application Guard のクリップボード機能を完全に無効にします。
Windows Defender Application Guard の印刷設定を構成します Windows 10 Enterprise、1709、またはそれ以降

Windows 10 Pro、1803、またはそれ以降
Application Guard で印刷機能を使うかどうかを決定します。 有効。 印刷機能をオンにし、追加で次を実行するかどうかを選ぶことができます。
  • Application Guard で XPS 形式への印刷を有効にします。
  • Application Guard で PDF 形式への印刷を有効にします。
  • Application Guard でローカルに接続されたプリンターへの印刷を有効にします。
  • Application Guard で以前に接続したネットワーク プリンターからの印刷を有効にします。 従業員は追加のプリンターを検索できません。
無効または未構成。 Application Guard の印刷機能を完全に無効にします。
Block enterprise websites to load non-enterprise content in IE and Edge (エンタープライス Web サイトで IE と Edge での非エンタープライズ コンテンツの読み込みをブロックします) Windows 10 Enterprise、1709、またはそれ以降 [許可されたアプリ] 一覧に含まれていないアプリでインターネット アクセスを許可するかどうかを指定します。 有効。 Internet Explorer と Microsoft Edge の両方から、Application Guard コンテナーにレンダリングできない非エンタープライズ サイトへのネットワーク トラフィックを回避します。 これにより、CDN によりキャッシュされているアセットと分析サイトへの参照もブロックされる可能性があります。 ページの破損を避けるため、これらを信頼済みエンタープライズ リソースに追加してください。

無効または未構成。 Microsoft Edge で Application Guard にレンダリングできない非エンタープライズ サイトにネットワーク トラフィックをレンダリングできるようにします。
永続化の許可 Windows 10 Enterprise、1709、またはそれ以降

Windows 10 Pro、1803、またはそれ以降
Windows Defender Application Guard 内の異なるセッション間でデータを維持するかどうかを指定します。 有効。 Application Guard では、ユーザーがダウンロードしたファイルとその他の項目 (Cookie、お気に入りなど) を保存して今後の Application Guard セッションで使えるようにします。

無効または未構成。 Application Guard 内のすべてのユーザー データはセッション間でリセットされます。


従業員のデータの永続性のサポートを後から停止する場合は、Windows に搭載されているユーティリティを使ってコンテナーをリセットし、個人データを破棄できます。
コンテナーをリセットするには:
  1. コマンド ライン プログラムを開いて、Windows/System32 に移動します。
  2. wdagtool.exe cleanup」と入力します。
    コンテナー環境がリセットされ、従業員が生成したデータのみ維持されます。
  3. wdagtool.exe cleanup RESET_PERSISTENCE_LAYER」と入力します。
    従業員が生成した全データを破棄するなど、コンテナーの環境がリセットされます。
エンタープライズ モードで Windows Defender Application Guard を有効にする Windows 10 Enterprise、1709、またはそれ以降 Microsoft Edge で Application Guard を有効にするかどうかを指定します。 有効。 Microsoft Edge で Application Guard をオンにし、ネットワーク分離設定に従い、Application Guard コンテナーで非エンタープライズ ドメインをレンダリングします。 必要な前提条件とネットワーク分離設定がデバイスに既に設定されていない限り、Application Guard は実際に有効にならないことに注意してください。

無効。 Application Guard をオフにし、すべてのアプリを Microsoft Edge で実行できるようにします。
ホストオペレーティングシステムにファイルをダウンロードすることを許可する Windows 10 Enterprise、1803、またはそれ以降 ダウンロードしたファイルを Windows Defender Application Guard コンテナーからホストオペレーティングシステムに保存するかどうかを決定します。 有効。 Windows Defender Application Guard コンテナーからホストオペレーティングシステムにダウンロードしたファイルをユーザーが保存できるようにします。

無効または未構成。 ユーザーは、ダウンロードしたファイルをアプリケーションガードからホストオペレーティングシステムに保存することはできません。
Windows Defender アプリケーションガードでハードウェアアクセラレータによるレンダリングを許可する Windows 10 Enterprise、1803、またはそれ以降

Windows 10 Pro、1803、またはそれ以降
Windows Defender Application Guard がハードウェアまたはソフトウェアアクセラレータを使ってグラフィックスをレンダリングするかどうかを決定します。 有効。 Windows Defender アプリケーションガードは、Hyper-v を使って、サポートされている高セキュリティレンダリンググラフィックスハードウェア (Gpu) にアクセスします。 このような Gpu では、Windows Defender Application Guard (特にビデオの再生やその他のグラフィックスを多用するユースケース) において、レンダリングのパフォーマンスとバッテリーの寿命が向上しています。 セキュリティで保護されたレンダリンググラフィックスハードウェアを接続せずにこの設定を有効にした場合、Windows Defender Application Guard は、自動的にソフトウェアベースの (CPU) レンダリングに戻ります。

    重要
    危険な可能性のあるグラフィックスデバイスやドライバーでこの設定を有効にすると、ホストデバイスに悪影響を及ぼす可能性があることに注意してください。

無効または未構成。 Windows Defender Application Guard では、ソフトウェアベースの (CPU) レンダリングを使用します。また、サードパーティ製のグラフィックスドライバーを読み込んだり、接続されているグラフィックスハードウェアを操作したりすることはありません。
Windows Defender アプリケーションガードでのカメラとマイクへのアクセスを許可する Windows 10 Enterprise、1809、またはそれ以降

Windows 10 Pro、1809、またはそれ以降
Windows Defender アプリケーションガード内でカメラとマイクへのアクセスを許可するかどうかを決定します。 有効。 Windows Defender Application Guard 内のアプリケーションは、ユーザーのデバイス上のカメラとマイクにアクセスできます。

重要
侵害されている可能性のあるコンテナーでこのポリシーを有効にすると、カメラとマイクのアクセス許可が無視され、ユーザーの知識がなくてカメラやマイクにアクセスする可能性があることに注意してください。

無効または未構成。 Windows Defender Application Guard 内のアプリケーションでは、ユーザーのデバイス上のカメラとマイクにアクセスできません。
Windows Defender Application Guard でユーザーのデバイスからルート証明機関を使用できるようにする Windows 10 Enterprise、1809、またはそれ以降

Windows 10 Pro、1809、またはそれ以降
ルート証明書を Windows Defender Application Guard と共有するかどうかを決定します。 有効。 指定した拇印に一致する証明書がコンテナーに転送されます。 複数の証明書を区切るには、コンマを使用します。

無効または未構成。 証明書は Windows Defender Application Guard と共有されません。
Windows Defender Application Guard で開かれているファイルをユーザーが信頼できるようにする Windows 10 Enterprise、1809、またはそれ以降 ユーザーが信頼されていないファイルを手動で信頼して、ホストで開くことができるかどうかを決定します。 有効。 ウイルス対策チェックを行うと、ユーザーはファイルを手動で信頼したり、ファイルを信頼したりすることができます。

無効または未構成。 ユーザーは、ファイルを手動で信頼することはできません。 Windows Defender Application Guard では、ファイルを引き続き開くことができます。