Windows Defender Application Guard の概要

適用対象:Microsoft Defender Advanced Threat Protection (Microsoft DEFENDER ATP)

Windows Defender Application Guard (Application Guard) は、従業員の生産性を維持するために、古いおよび新しく新しい攻撃を防ぐために設計されています。 独自のハードウェア分離アプローチを使用することで、現在の攻撃方法を廃止することで攻撃者が使用するプレイブックを破棄することができます。

Application Guard の概要とその仕組み

Windows 10 と Microsoft Edge 向けに設計されている Application Guard を使って、企業が定義した非信頼サイトを分離し、従業員がインターネットを閲覧している間に企業を保護できます。 エンタープライズ管理者は、信頼済み Web サイト、クラウド リソース、内部ネットワークを定義します。 一覧にないものはすべて非信頼と見なされます。

従業員が、Microsoft Edge または Internet Explorer のいずれかから非信頼サイトを表示すると、Microsoft Edge では分離された Hyper-V 対応コンテナーに含まれるサイトが開きます。このコンテナーはホストのオペレーティング システムとは異なります。 このコンテナーの分離は、非信頼サイトが悪意のあるサイトであることが判明した場合、ホスト PC が保護され、攻撃者は企業データにアクセスできなくなることを意味します。 たとえば、このアプローチでは分離されたコンテナーが匿名になるため、攻撃者は従業員の企業の資格情報にアクセスできません。

ハードウェア分離の図

Application Guard を使うのはどの種類のデバイスですか。

Application Guard は、いくつかの種類のシステムを対象とするように作成されています。

  • エンタープライズ デスクトップ。 これらのデスクトップは、ドメインに参加し、組織で管理されます。 構成管理は主に System Center Configuration Manager または Microsoft Intune を使って行われます。 通常、従業員は標準ユーザー特権を持ち、高帯域幅のワイヤード (有線) 企業ネットワークを使います。

  • エンタープライズ モバイル ノート PC。 これらのノート PC は、ドメインに参加し、組織で管理されます。 構成管理は主に System Center Configuration Manager または Microsoft Intune を使って行われます。 通常、従業員は、標準ユーザー特権を持ち、高帯域幅のワイヤレス企業ネットワークを使います。

  • BYOD (Bring Your Own Device) モバイル ノート PC。 これらの個人が所有するノート PC はドメインに参加しませんが、Microsoft Intune などのツールを使って組織により管理されます。 通常、従業員はデバイスの管理者で、職場では高帯域幅のワイヤレス企業ネットワークを使い、自宅では同等の個人用ネットワークを使います。

  • 個人用デバイス。 これらの個人所有のデスクトップまたはモバイルノート pc は、ドメインに参加していないか、組織によって管理されていません。 ユーザーはデバイスの管理者であり、自宅または比較可能な外部のパブリックネットワークで、高帯域幅のワイヤレスパーソナルネットワークを使用しています。

よく寄せられる質問

Q: 4 GB の RAM を搭載しているコンピューターで Application Guard を有効にすることはできますか。
A: 最適なパフォーマンスを実現するには 8 GB の RAM をお勧めしますが、次のレジストリ DWORD 値を使用して、推奨されるハードウェア構成を満たしていないコンピューターで Application Guard を有効にすることができます。
HKLM\software\Microsoft\Hvsi\SpecRequiredProcessorCount - 既定では 4 コアです。
HKLM\software\Microsoft\Hvsi\SpecRequiredMemoryInGB - 既定では 8 GB です。
HKLM\software\Microsoft\Hvsi\SpecRequiredFreeDiskSpaceInGB - 既定では 5 GB です。


Q: 従業員は、Application Guard Edge セッションからホスト デバイスにドキュメントをダウンロードできますか。
A: Windows 10 Enterprise edition 1803 では、ユーザーは分離されたアプリケーションガードコンテナーからホスト PC にドキュメントをダウンロードできます。 これはポリシーによって管理されます。

Windows 10 Enterprise edition 1709 または Windows 10 Professional edition 1803 では、分離された Application Guard コンテナーからホスト PC にファイルをダウンロードすることはできません。 ただし、従業員は [Print as PDF] **(PDF 形式で印刷) または **[Print as XPS] (XPS 形式で印刷) オプションを使って、それらのファイルをホスト デバイスに保存できます。


Q: 従業員は、ホスト デバイスと Application Guard Edge セッション間でコピーや貼り付けを実行できますか。
A: 組織の設定によっては、従業員は、分離されたコンテナーに対して、画像 (.bmp) とテキストのコピーと貼り付けを行うことができます。


Q: 従業員が Application Guard Edge セッションにお気に入りを表示できないのはなぜですか。
A: Application Guard Edge セッションを安全に、ホスト デバイスから分離した状態で保つために、Application Guard Edge セッションに格納されているお気に入りをホスト デバイスにコピーしていません。


Q: 従業員が Application Guard Edge セッションに拡張機能を表示できないのはなぜですか。
A: 現時点では、Application Guard Edge セッションは拡張機能をサポートしていません。 ただし、マイクロソフトはこの件に関するフィードバックを厳密に検討しています。


Q: ネットワークプロキシ (IP リテラルアドレス) で動作するように WDAG を設定するにはどうすればよいですか?
A: WDAG には、IP アドレスだけでなく、シンボリック名を持つプロキシが必要です。 "192.168.1.4:81" などの IP リテラルプロキシ設定は、"itproxy:81" という注釈を付けるか、IP アドレスが192.168.100.10 のプロキシに対して "P19216810010" などのレコードを使うことができます。 これは、Windows 10 Enterprise edition、1709、またはそれ以降に適用されます。


Q: Windows 10 Enterprise、バージョン1803の展開でハードウェアアクセラレータポリシーを有効にしました。 ユーザーが CPU レンダリングを取得しているのはなぜですか?
A: この機能は、現在、Microsoft によって提供されている別のレジストリキーがないと、現在のところ、実験的なものではなく機能します。 Windows 10 Enterprise、バージョン1803の展開でこの機能を評価する場合は、Microsoft に連絡して、この機能を有効にするための作業を行います。


Q: Wdagutility アカウントのローカルアカウントとは
A: このアカウントは、Windows 10 バージョン 1709 (秋の作成者の更新プログラム) で始まるアプリケーションガードの一部です。 このアカウントは、お使いのデバイスで Application Guard が有効になるまで無効のままになります。 この項目は OS に統合されており、脅威/ウイルス/マルウェアと見なされることはありません。


関連トピック

トピック 説明
Windows Defender Application Guard のシステム要件 Application Guard をインストールして使うために必要な前提条件を指定します。
Windows Defender Application Guard を準備してインストールする スタンドアロンと企業管理のどちらのモードを使うか決定する方法と、組織内で Application Guard をインストールする方法について説明します。
Windows Defender Application Guard のグループ ポリシー設定の構成 利用可能なグループ ポリシーと MDM 設定に関する情報を提供します。
企業や組織で Windows Defender Application Guard を使用するテスト シナリオ Windows Defender Application Guard (Application Guard) の社内テスト用として推奨されるテスト シナリオを用意しました。