Windows Defender Application Guard のインストールを準備する

適用対象:

システム要件を確認する。

注意

Windows Defender Application Guard は、VM や VDI 環境ではサポートされていません。 非運用マシン上でテストや自動化を行う場合は、ホスト上で Hyper-V によって入れ子になった仮想化を有効にして、VM 上の WDAG を有効にすることができます。

ハードウェア要件

Windows Defender Application Guard を実行するには環境に次のハードウェアが必要です。

ハードウェア 説明
64 ビット CPU 最小 4 コアを搭載した 64 ビット コンピューターは、ハイパーバイザー必要があります。 Hyper-V について詳しくは、「Windows Server 2016 で Hyper-v」または「Windows 10 の Hyper-V の概要」をご覧ください。 ハイパーバイザーについて詳しくは、「ハイパーバイザーの仕様」をご覧ください。
CPU の仮想化拡張機能 Extended Page Tables (第 2 レベルのアドレス変換 (SLAT)__ とも呼ばれます)。

さらに

VBS に対する次のどちらかの仮想化拡張機能:

VT-x (Intel)

または

AMD-V
ハードウェアのメモリ Microsoft では、8 GB の RAM の最小値
ハード ディスク 5 GB の空き領域、ソリッド ステート ディスク (SSD) を推奨
入出力メモリ管理ユニット (IOMMU) のサポート 必須ではないが、強く推奨

ソフトウェア要件

お客様の環境では、次のソフトウェアを Windows Defender Application Guard を実行する必要があります。

ソフトウェア 説明
オペレーティング システム Windows 10 Enterprise エディション バージョン 1709 以降
Windows 10 Professional エディション、バージョン 1803
ブラウザー Microsoft Edge と Internet Explorer
管理システム
(管理対象デバイス) の場合のみ
Microsoft Intune

または

System Center Configuration Manager

または

グループ ポリシー

または

現在利用している、サード パーティ製の全社的なモバイル デバイス管理 (MDM) ソリューション。 サード パーティ製の MDM ソリューションについて詳しくは、製品に付属するドキュメントをご覧ください。

Windows Defender Application Guard を準備します。

Windows Defender Application Guard をインストールして使う前に、企業で使う方法を決定する必要があります。 Application Guard は、スタンドアロン モードか企業管理モードのいずれかで使うことができます。

スタンドアロン モード

適用対象:

  • Windows 10 Enterprise エディション バージョン 1709 以降
  • Windows 10 Pro エディション、バージョン 1803

従業員は、管理者または管理ポリシー構成なしでハードウェア分離の閲覧セッションを使うことができます。 In this mode, you must install Application Guard and then the employee must manually start Microsoft Edge in Application Guard while browsing untrusted sites. この機能の例については、「スタンドアロン モードでの Application Guard」テスト シナリオをご覧ください。

企業管理モード

適用対象:

  • Windows 10 Enterprise エディション バージョン 1709 以降

お客様とお客様のセキュリティ部門は、信頼されたドメインを明示的に追加して、従業員のデバイスのニーズを満たすよう Application Guard エクスペリエンスをカスタマイズして適用し、会社の境界を定義できます。 企業管理モードでは、コンテナーで非エンタープライズ ドメインを追加するすべてのブラウザー要求も自動的にリダイレクトします。

次の図は、ホスト PC と分離されたコンテナー間のフローを示しています。 Microsoft Edge と Application Guard 間での移動のフローチャート

Application Guard をインストールする

Application Guard 機能は既定では無効です。 ただし、コントロール パネル、PowerShell、またはモバイル デバイス管理 (MDM) ソリューションを使って従業員のデバイスにすばやくインストールできます。

コントロール パネルを使ってインストールするには

  1. [コントロール パネル] を開き、[プログラム] をクリックした後、[Windows の機能の有効化または無効化] をクリックします。

    Windows 機能、Windows Defender Application Guard の有効化

  2. [Windows Defender Application Guard] の横にあるチェック ボックスをオンにし、[OK] をクリックします。

    Application Guard と基盤となる依存関係がすべてインストールされます。

PowerShell を使ってインストールするには

注意

デバイスは、この手順の前にすべてのシステム要件を満たしていることを確認します。 PowerShell では、システム要件を確認することがなく、機能がインストールされます。 デバイスは、システム要件を満たしていない、Application Guard が動作しない可能性があります。 管理されているエンタープライズ シナリオのみには、この手順を使用することをお勧めします。

  1. Windows 10 タスク バーの [検索] または Cortana アイコンをクリックし、「PowerShell」を入力します。

  2. [Windows PowerShell] を右クリックし、[管理者として実行] をクリックします。

    Windows PowerShell は管理者資格情報で開きます。

  3. 次のコマンドを入力します。

    Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
    
  4. デバイスを再起動します。

    Application Guard と基盤となる依存関係がすべてインストールされます。