Application Guard のテスト シナリオ

適用対象:Windows Defender Advanced Threat Protection (Windows Defender ATP)

おした念頭に置いて、組織内のハードウェア ベースの分離のテストに使用できるシナリオの一覧。

スタンドアロン モードでの Application Guard

従業員が Application Guard をスタンドアロン モードで使う方法を確認できます。

スタンドアロン モードで Application Guard をテストするには

  1. Application Guard をインストールします。

  2. デバイスを再起動して、Microsoft Edge を起動し、メニューの [新しい Application Guard ウィンドウ] をクリックします。

    [新しい Application Guard ウィンドウ] 設定オプション

  3. Application Guard で分離された環境がセットアップされるのを待ちます。

    注意

    デバイス再起動後の Application Guard の起動が早すぎると、読み込み時間が長くなる場合があります。 ただし、以後の起動は、ユーザーが気付くレベルの遅延が生じることなく実行されます。

  4. 信頼されていないが安全な URL (この例では、msn.com を使用) に移動して、新しい Microsoft Edge ウィンドウを表示し、Application Guard の視覚的合図が表示されるか確認します。

    Application Guard で実行されている非信頼 Web サイト

企業管理モードでの Application Guard

企業管理モードで Application Guard をインストール、設定、有効化、構成する方法を説明します。

Application Guard をインストール、設定、有効化する

Application Guard をエンタープライズ モードで使う前に、この機能が含まれている Windows 10 Enterprise エディション バージョン 1709 をインストールする必要があります。 次に、グループ ポリシーを使って必要な設定をセットアップする必要があります。

  1. Application Guard をインストールします。

  2. デバイスを再起動し、Microsoft Edge を起動します。

  3. グループ ポリシーでネットワーク分離の設定を指定します。

    a. Windows アイコンをクリックし、「Group Policy」と入力して [グループ ポリシーの編集] をクリックします。

    b. [管理用テンプレート] > [ネットワーク] > [ネットワーク分離] > [クラウドでホストされるエンタープライズ リソース ドメイン] 設定に移動します。

    c. このシナリオの目的に合わせて、[エンタープライズ クラウド リソース] ボックスに「microsoft.com」と入力します。

    エンタープライズ クラウド リソース設定を示すグループ ポリシー エディター

    d. [管理用テンプレート] > [ネットワーク] > [ネットワーク分離] > [職場用と個人用に分類されたドメイン] 設定に移動します。

    e. このシナリオの目的に合わせて、[ニュートラル リソース] ボックスに「bing.com」と入力します。

    ニュートラル リソース設定を示すグループ ポリシー エディター

  4. コンピューター構成 \ 管理用テンプレート \windows コンポーネント \windows Defender turnエンタープライズ モードで Windows Defender Application Guard の設定に移動します。

  5. [有効] をクリックし、オプション1では、 [ok] をクリックします。

    オン/オフの設定を示すグループ ポリシー エディター

    注意

    この設定を有効にすると、このシナリオで前に設定したネットワーク分離の設定を含め、必要なすべての設定が従業員のデバイスで正しく構成されているか確認されます。

  6. Microsoft Edge を起動し、「www.microsoft.com」と入力します。

    URL の送信後、Application Guard では、この URL が信頼済みとしてマークされているドメインを使っているため信頼できると判断し、Application Guard ではなく、ホストの PC にサイトが直接表示されます。

    Microsoft Edge で実行されている信頼できる Web サイト

  7. 同じ Microsoft Edge ブラウザーで、信頼されているサイトまたはニュートラル サイトの一覧に含まれていない URL を入力します。

    URL の送信後、Application Guard ではその URL を非信頼と判断し、要求をハードウェア分離環境にリダイレクトします。

    Application Guard で実行されている非信頼 Web サイト

Application Guard をカスタマイズする

Application Guard では構成を指定して、分離ベースのセキュリティと従業員の生産性の適切なバランスを確立できます。

Application Guard では、従業員向けの既定の動作は次のようになります。

  • ホスト PC と分離されたコンテナー間でコピーと貼り付けを実行しない。

  • 分離されたコンテナーから印刷しない。

  • 分離されたコンテナー間でデータは保持されない。

これらの各設定を変更してグループ ポリシー内で企業と連携するためのオプションがあります。

適用対象:

  • Windows 10 のエンタープライズ エディション バージョン 1709 以降
  • Windows 10 Professional エディション、バージョン 1803

コピーし、貼り付けのオプション

  1. コンピューターの構成 \ 管理用テンプレート \windows コンポーネント \windows Defender Application Guard\Configure Windows Defender Application Guard のクリップボード設定に移動します。

  2. [有効] をクリックし、 [ok] をクリックします。

    グループ ポリシー エディターのクリップボード オプション

  3. クリップボードの動作を選択します。

    • 分離されたセッションからホスト PC にコピーして貼り付ける

    • ホスト PC から分離されたセッションにコピーして貼り付ける

    • 双方向でコピーして貼り付ける

  4. コピーできる内容を選択します。

    • 1. ホスト PC と分離されたコンテナー間でテキストのみコピーできます。

    • 2. ホスト PC と分離されたコンテナー間でイメージのみコピーできます。

    • 3. ホスト PC と分離されたコンテナー間でテキストとイメージの両方をコピーできます。

  5. [OK] をクリックします。

印刷オプション

  1. コンピューターの構成 \ 管理用テンプレート \windows コンポーネント \windows Defender Application Guard\Configure Windows Defender Application Guard の印刷設定に移動します。

  2. [有効] をクリックし、 [ok] をクリックします。

    グループ ポリシー エディターの印刷オプション

  3. 設定で提供される一覧に基づいて、従業員が利用できる印刷の種類に最も該当する番号を選択します。 ローカル、ネットワーク、PDF、XPS 印刷の組み合わせを指定できます。

  4. [OK] をクリックします。

データ保持オプション

  1. Windows Defender Application Guard のデータ保持をコンピューター構成 \ 管理用テンプレート \windows コンポーネント \windows Defender Application \allow設定に移動します。

  2. [有効] をクリックし、 [ok] をクリックします。

    グループ ポリシー エディターのデータ保持オプション

  3. Microsoft Edge を開き、信頼されていないが安全な URL を閲覧します。

    Web サイトは分離されたセッションで開きます。

  4. サイトを [お気に入り] の一覧に追加し、分離されたセッションを閉じます。

  5. ログアウトして、デバイスに戻り、Application Guard で Microsoft Edge をもう一度開きます。

    以前に追加されたサイトが [お気に入り] 一覧にも表示されます。

    注意

    データの保持を許可しないまたはオフにする場合、デバイスを再起動するか、分離されたコンテナーにログインしてログアウトすると、サイクル イベントがトリガーされて、セッションの Cookies、お気に入りなどを含む生成されたすべてのデータが破棄され、データが Application Guard から削除されます。 データの保持を有効にすると、従業員が生成したすべてのアーティファクトが、コンテナー リサイクル イベント間で保持されます。 ただし、これらのアーティファクトは分離されたコンテナーのみに存在し、ホスト PC と共有されません。 このデータは、再起動後、また Windows 10 のビルド間アップグレードでも保持されます。

    データ保持を有効にした後に、従業員に対してそのサポートを停止する場合は、Windows に搭載されているユーティリティを使ってコンテナーをリセットし、個人データを破棄できます。

    コンテナーをリセットするには:

    1. コマンド ライン プログラムを開いて、Windows/System32 に移動します。
    2. wdagtool.exe cleanup」と入力します。
      コンテナー環境がリセットされ、従業員が生成したデータのみ維持されます。
    3. wdagtool.exe cleanup RESET_PERSISTENCE_LAYER」と入力します。
      従業員が生成した全データを破棄するなど、コンテナーの環境がリセットされます。

適用対象:

  • Windows 10 のエンタープライズ エディション、バージョン 1803
  • Windows 10 Professional エディション、バージョン 1803

ダウンロード オプション

  1. Windows Defender Application Guard からホスト オペレーティング システムをダウンロードして保存するファイルをコンピューター構成 \ 管理用テンプレート \windows コンポーネント \windows Defender Application \allow設定に移動します。

  2. [有効] をクリックし、 [ok] をクリックします。

    グループ ポリシー エディターのダウンロード オプション

  3. ログアウトして、デバイスに戻り、Application Guard で Microsoft Edge をもう一度開きます。

  4. Windows Defender Application Guard からファイルをダウンロードします。

  5. この PC _gt ダウンロード _gt 信頼されていないファイルにダウンロードしたファイルを確認します。

ハードウェア アクセラレータ オプション

  1. Windows Defender Application Guard のコンピューター構成 \ 管理用テンプレート \windows コンポーネント \windows Defender Application \allow ハードウェア アクセラレータによるレンダリング設定に移動します。

  2. [有効] をクリックし、 [ok] をクリックします。

    グループ ポリシー エディターのハードウェア アクセラレーションのオプション

  3. この機能を有効にした後は、Microsoft Edge を開き、信頼されていないが、ビデオ、3 D、安全な URL またはその他のグラフィックスを多用するコンテンツを参照します。 Web サイトは、分離されたセッションで開きます。

  4. 視覚エクスペリエンスとバッテリーのパフォーマンスを評価します。

適用対象:

  • Windows 10 のエンタープライズ エディション バージョン 1809
  • Windows 10 Professional エディション バージョン 1809

ファイルの信頼のオプション

  1. 信頼ファイルを Windows Defender Application Guard で開いているコンピューター構成 \ 管理用テンプレート \windows コンポーネント \windows Defender Application \allow ユーザー設定に移動します。

  2. 有効オプションは 2 に設定を [ok] をクリックします。

    グループ ポリシー エディターのダウンロード オプション

  3. ログアウトして、デバイスに戻り、Application Guard で Microsoft Edge をもう一度開きます。

  4. Edge では、このような Office 365 ファイルでファイルを開きます。

  5. ファイルの前に完了したウイルス対策スキャンが開かれたことを確認します。

カメラとマイクのオプション

  1. コンピューター構成 \ 管理用テンプレート \windows コンポーネント \windows Defender Application \allow カメラとマイクの Windows Defender Application Guard 内のアクセスの設定に移動します。

  2. [有効] をクリックし、 [ok] をクリックします。

    グループ ポリシー エディターのダウンロード オプション

  3. ログアウトして、デバイスに戻り、Application Guard で Microsoft Edge をもう一度開きます。

  4. Edge でビデオやオーディオ機能では、アプリケーションを開きます。

  5. カメラとマイクが期待どおりに動作するかを確認します。

ルート証明書の共有のオプション

  1. コンピューター構成 \ 管理用テンプレート \windows コンポーネント \windows Defender Application \allow Windows Defender Application Guard ユーザーのデバイスからのルート証明機関を使用する設定に移動します。

  2. 有効にし、コンマで区切ってを共有するには、各証明書の拇印をコピー、 [ok] をクリックします。

    グループ ポリシー エディターのダウンロード オプション

  3. ログアウトして、デバイスに戻り、Application Guard で Microsoft Edge をもう一度開きます。