Windows Defender Application Guard のインストールを準備する

適用対象:

システム要件を確認する。

注意

Windows Defender Application Guard は、VM や VDI 環境ではサポートされていません。 非運用マシン上でテストや自動化を行う場合は、ホスト上で Hyper-V によって入れ子になった仮想化を有効にして、VM 上の WDAG を有効にすることができます。

ハードウェア要件

Windows Defender Application Guard を実行するには環境に次のハードウェアが必要です。

ハードウェア 説明
64 ビット CPU ハイパーバイザには、最低4個のコアを備えた64ビットコンピューターが必要です。 Hyper-V について詳しくは、「Windows Server 2016 で Hyper-v」または「Windows 10 の Hyper-V の概要」をご覧ください。 ハイパーバイザーについて詳しくは、「ハイパーバイザーの仕様」をご覧ください。
CPU の仮想化拡張機能 Extended Page Tables (第 2 レベルのアドレス変換 (SLAT)__ とも呼ばれます)。

さらに

VBS に対する次のどちらかの仮想化拡張機能:

VT-x (Intel)

または

AMD-V
ハードウェアのメモリ Microsoft は最低 8 GB の RAM を必要とします。
ハード ディスク 5 GB の空き領域、ソリッド ステート ディスク (SSD) を推奨
入出力メモリ管理ユニット (IOMMU) のサポート 必須ではないが、強く推奨

ソフトウェア要件

Windows Defender Application Guard を実行するには、お使いの環境で次のソフトウェアが必要です。

ソフトウェア 説明
オペレーティング システム Windows 10 Enterprise edition、バージョン1709以降
Windows 10 Professional edition、バージョン1803
ブラウザー Microsoft Edge と Internet Explorer
管理システム
(管理対象デバイスの場合のみ)
Microsoft Intune

または

System Center Configuration Manager

または

グループ ポリシー

または

現在利用している、サード パーティ製の全社的なモバイル デバイス管理 (MDM) ソリューション。 サード パーティ製の MDM ソリューションについて詳しくは、製品に付属するドキュメントをご覧ください。

Windows Defender Application Guard の準備

Windows Defender Application Guard をインストールして使う前に、企業で使う方法を決定する必要があります。 Application Guard は、スタンドアロン モードか企業管理モードのいずれかで使うことができます。

スタンドアロンモード

適用対象:

  • Windows 10 Enterprise edition、バージョン1709以降
  • Windows 10 Pro エディション、バージョン1803

従業員は、管理者または管理ポリシー構成なしでハードウェア分離の閲覧セッションを使うことができます。 このモードでは、Application Guard をインストールする必要があります。その後、信頼されていないサイトを参照する場合、従業員はアプリケーションガードで Microsoft Edge を手動で起動する必要があります。 この機能の例については、「スタンドアロン モードでの Application Guard」テスト シナリオをご覧ください。

エンタープライズ管理モード

適用対象:

  • Windows 10 Enterprise edition、バージョン1709以降

お客様とお客様のセキュリティ部門は、信頼されたドメインを明示的に追加して、従業員のデバイスのニーズを満たすよう Application Guard エクスペリエンスをカスタマイズして適用し、会社の境界を定義できます。 エンタープライズ管理モードでは、すべてのブラウザー要求がコンテナーに非エンタープライズドメインを追加するように自動的にリダイレクトされます。

次の図は、ホスト PC と分離されたコンテナー間のフローを示しています。 Microsoft Edge と Application Guard 間での移動のフローチャート

Application Guard をインストールする

Application Guard 機能は既定では無効です。 ただし、コントロール パネル、PowerShell、またはモバイル デバイス管理 (MDM) ソリューションを使って従業員のデバイスにすばやくインストールできます。

コントロール パネルを使ってインストールするには

  1. [コントロール パネル] を開き、[プログラム] をクリックした後、[Windows の機能の有効化または無効化] をクリックします。

    Windows 機能、Windows Defender Application Guard の有効化

  2. [Windows Defender Application Guard] の横にあるチェック ボックスをオンにし、[OK] をクリックします。

    Application Guard と基盤となる依存関係がすべてインストールされます。

PowerShell を使ってインストールするには

注意

この手順を実行する前に、デバイスがすべてのシステム要件を満たしていることを確認します。 PowerShell は、システム要件を確認せずに機能をインストールします。 使用しているデバイスがシステム要件を満たしていない場合、Application Guard が機能しないことがあります。 この手順は、エンタープライズ管理シナリオでのみお勧めします。

  1. Windows 10 タスク バーの [検索] または Cortana アイコンをクリックし、「PowerShell」を入力します。

  2. [Windows PowerShell] を右クリックし、[管理者として実行] をクリックします。

    Windows PowerShell は管理者資格情報で開きます。

  3. 次のコマンドを入力します。

    Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
    
  4. デバイスを再起動します。

    Application Guard と基盤となる依存関係がすべてインストールされます。