Application Guard のテストシナリオ

適用対象:Microsoft Defender Advanced Threat Protection (Microsoft DEFENDER ATP)

組織内のハードウェアベースの分離をテストするために使用できるシナリオの一覧を用意しました。

スタンドアロン モードでの Application Guard

従業員が Application Guard をスタンドアロン モードで使う方法を確認できます。

スタンドアロン モードで Application Guard をテストするには

  1. Application Guard をインストールします。

  2. デバイスを再起動して、Microsoft Edge を起動し、メニューの [新しい Application Guard ウィンドウ] をクリックします。

    [新しい Application Guard ウィンドウ] 設定オプション

  3. Application Guard で分離された環境がセットアップされるのを待ちます。

    注意

    デバイス再起動後の Application Guard の起動が早すぎると、読み込み時間が長くなる場合があります。 ただし、以後の起動は、ユーザーが気付くレベルの遅延が生じることなく実行されます。

  4. 信頼されていないが安全な URL (この例では、msn.com を使用) に移動して、新しい Microsoft Edge ウィンドウを表示し、Application Guard の視覚的合図が表示されるか確認します。

    Application Guard で実行されている非信頼 Web サイト

企業管理モードでの Application Guard

企業管理モードで Application Guard をインストール、設定、有効化、構成する方法を説明します。

Application Guard をインストール、設定、有効化する

Application Guard をエンタープライズ モードで使う前に、この機能が含まれている Windows 10 Enterprise エディション バージョン 1709 をインストールする必要があります。 次に、グループ ポリシーを使って必要な設定をセットアップする必要があります。

  1. Application Guard をインストールします。

  2. デバイスを再起動し、Microsoft Edge を起動します。

  3. グループ ポリシーでネットワーク分離の設定を指定します。

    a. Windows アイコンをクリックし、「Group Policy」と入力して [グループ ポリシーの編集] をクリックします。

    b. [管理用テンプレート] > [ネットワーク] > [ネットワーク分離] > [クラウドでホストされるエンタープライズ リソース ドメイン] 設定に移動します。

    c. このシナリオの目的に合わせて、[エンタープライズ クラウド リソース] ボックスに「microsoft.com」と入力します。

    エンタープライズ クラウド リソース設定を示すグループ ポリシー エディター

    d. [管理用テンプレート] > [ネットワーク] > [ネットワーク分離] > [職場用と個人用に分類されたドメイン] 設定に移動します。

    e. このシナリオの目的に合わせて、[ニュートラル リソース] ボックスに「bing.com」と入力します。

    ニュートラル リソース設定を示すグループ ポリシー エディター

  4. コンピューターの構成機能 \ Components\Windows Defender アプリケーションで、[エンタープライズモードで Windows Defender アプリケーションガードを有効にする] 設定に移動します。

  5. [有効] をクリックし、オプション1を選択して、[ OK] をクリックします。

    オン/オフの設定を示すグループ ポリシー エディター

    注意

    この設定を有効にすると、このシナリオで前に設定したネットワーク分離の設定を含め、必要なすべての設定が従業員のデバイスで正しく構成されているか確認されます。

  6. Microsoft Edge を起動し、「www.microsoft.com」と入力します。

    URL の送信後、Application Guard では、この URL が信頼済みとしてマークされているドメインを使っているため信頼できると判断し、Application Guard ではなく、ホストの PC にサイトが直接表示されます。

    Microsoft Edge で実行されている信頼できる Web サイト

  7. 同じ Microsoft Edge ブラウザーで、信頼されているサイトまたはニュートラル サイトの一覧に含まれていない URL を入力します。

    URL の送信後、Application Guard ではその URL を非信頼と判断し、要求をハードウェア分離環境にリダイレクトします。

    Application Guard で実行されている非信頼 Web サイト

Application Guard をカスタマイズする

Application Guard では構成を指定して、分離ベースのセキュリティと従業員の生産性の適切なバランスを確立できます。

Application Guard では、従業員向けの既定の動作は次のようになります。

  • ホスト PC と分離されたコンテナー間でコピーと貼り付けを実行しない。

  • 分離されたコンテナーから印刷しない。

  • 分離されたコンテナー間でデータは保持されない。

これらの各設定を変更してグループ ポリシー内で企業と連携するためのオプションがあります。

適用対象:

  • Windows 10 Enterpise edition、バージョン1709以降
  • Windows 10 Professional edition、バージョン1803

コピーと貼り付けのオプション

  1. コンピューターの構成\ 管理用テンプレート \Windows コンポーネント Components\Windows Defender アプリケーションに移動します。 Windows Defender Application Guard のクリップボード設定を構成します。

  2. [有効] をクリックし、[ OK] をクリックします。

    グループ ポリシー エディターのクリップボード オプション

  3. クリップボードの動作を選択します。

    • 分離されたセッションからホスト PC にコピーして貼り付ける

    • ホスト PC から分離されたセッションにコピーして貼り付ける

    • 双方向でコピーして貼り付ける

  4. コピーできる内容を選択します。

    • 1. ホスト PC と分離されたコンテナー間でテキストのみコピーできます。

    • 2. ホスト PC と分離されたコンテナー間でイメージのみコピーできます。

    • 3. ホスト PC と分離されたコンテナー間でテキストとイメージの両方をコピーできます。

  5. [OK] をクリックします。

印刷オプション

  1. コンピューターの構成\ 管理用テンプレート \Windows コンポーネント Components\Windows Defender アプリケーションに移動します。 Windows Defender application Guard の印刷設定を構成します。

  2. [有効] をクリックし、[ OK] をクリックします。

    グループ ポリシー エディターの印刷オプション

  3. 設定で提供される一覧に基づいて、従業員が利用できる印刷の種類に最も該当する番号を選択します。 ローカル、ネットワーク、PDF、XPS 印刷の組み合わせを指定できます。

  4. [OK] をクリックします。

データ永続性オプション

  1. コンピューターの構成 \ 管理用テンプレート \Windows コンポーネント Components\Windows Defender アプリケーションに移動します。 Windows Defender アプリケーションガードの設定でデータの常設を許可します。

  2. [有効] をクリックし、[ OK] をクリックします。

    グループ ポリシー エディターのデータ保持オプション

  3. Microsoft Edge を開き、信頼されていないが安全な URL を閲覧します。

    Web サイトは分離されたセッションで開きます。

  4. サイトを [お気に入り] の一覧に追加し、分離されたセッションを閉じます。

  5. ログアウトして、デバイスに戻り、Application Guard で Microsoft Edge をもう一度開きます。

    以前に追加されたサイトが [お気に入り] 一覧にも表示されます。

    注意

    データの保持を許可しないまたはオフにする場合、デバイスを再起動するか、分離されたコンテナーにログインしてログアウトすると、サイクル イベントがトリガーされて、セッションの Cookies、お気に入りなどを含む生成されたすべてのデータが破棄され、データが Application Guard から削除されます。 データの保持を有効にすると、従業員が生成したすべてのアーティファクトが、コンテナー リサイクル イベント間で保持されます。 ただし、これらのアーティファクトは分離されたコンテナーのみに存在し、ホスト PC と共有されません。 このデータは、再起動後、また Windows 10 のビルド間アップグレードでも保持されます。

    データ保持を有効にした後に、従業員に対してそのサポートを停止する場合は、Windows に搭載されているユーティリティを使ってコンテナーをリセットし、個人データを破棄できます。

    コンテナーをリセットするには:

    1. コマンド ライン プログラムを開いて、Windows/System32 に移動します。
    2. wdagtool.exe cleanup」と入力します。
      コンテナー環境がリセットされ、従業員が生成したデータのみ維持されます。
    3. wdagtool.exe cleanup RESET_PERSISTENCE_LAYER」と入力します。
      従業員が生成した全データを破棄するなど、コンテナーの環境がリセットされます。

適用対象:

  • Windows 10 Enterpise edition、バージョン1803
  • Windows 10 Professional edition、バージョン1803

ダウンロード オプション

  1. コンピューターの構成内容の Components\Windows を参照して、[ファイルをダウンロードして、Windows Defender アプリケーションガード] の設定からホストオペレーティングシステムに保存します。

  2. [有効] をクリックし、[ OK] をクリックします。

    グループポリシーエディターのダウンロードオプション

  3. ログアウトして、デバイスに戻り、Application Guard で Microsoft Edge をもう一度開きます。

  4. Windows Defender Application Guard からファイルをダウンロードします。

  5. ファイルがこの PC にダウンロードされたことを確認してください > は、信頼できないファイル > ダウンロードします。

ハードウェアアクセラレータのオプション

  1. コンピューターの構成 \ 管理用テンプレート \Windows コンポーネント Components\Windows Defender アプリケーションに移動します。 Windows Defender アプリケーションガードの設定でハードウェアアクセラレータによるレンダリングを許可します。

  2. [有効] をクリックし、[ OK] をクリックします。

    グループポリシーエディターのハードウェアアクセラレータオプション

  3. この機能を有効にした後で、Microsoft Edge を起動して、ビデオ、3D、その他のグラフィックスを多用するコンテンツを含む、信頼されていないが安全な URL を参照します。 Web サイトは、分離セッションで開きます。

  4. 視覚エクスペリエンスとバッテリのパフォーマンスを評価します。

適用対象:

  • Windows 10 Enterpise edition、バージョン1809
  • Windows 10 Professional edition、バージョン1809

ファイルの信頼のオプション

  1. コンピューターの構成 \ 管理用テンプレート \Windows コンポーネント Components\Windows Defender アプリケーションに移動します。 Windows Defender Application Guard の設定で開かれているファイルをユーザーが信頼できるようにします。

  2. [有効] をクリックし、オプションを2に設定して、[ OK] をクリックします。

    グループポリシーエディターのダウンロードオプション

  3. ログアウトして、デバイスに戻り、Application Guard で Microsoft Edge をもう一度開きます。

  4. Office 365 ファイルなど、端のファイルを開きます。

  5. ファイルを開く前に、ウイルス対策スキャンが完了していることを確認します。

カメラとマイクのオプション

  1. コンピューターの構成 \ 管理用テンプレート \Windows コンポーネント Components\Windows Defender アプリケーションに移動します。 Windows Defender アプリケーションガードの設定で、カメラとマイクへのアクセスを許可します。

  2. [有効] をクリックし、[ OK] をクリックします。

    グループポリシーエディターのダウンロードオプション

  3. ログアウトして、デバイスに戻り、Application Guard で Microsoft Edge をもう一度開きます。

  4. エッジにビデオまたはオーディオ機能を搭載したアプリケーションを開きます。

  5. カメラとマイクが正常に動作することを確認します。

ルート証明書の共有オプション

  1. コンピューターの構成 \ 管理用テンプレート \Windows コンポーネント Components\Windows Defender アプリケーションに移動します。 Windows Defender Application Guard で、ユーザーのデバイス設定からルート証明機関を使用できるようにします。

  2. [有効] をクリックし、共有する各証明書の拇印をコンマで区切ってコピーして、[ OK] をクリックします。

    グループポリシーエディターのダウンロードオプション

  3. ログアウトして、デバイスに戻り、Application Guard で Microsoft Edge をもう一度開きます。