Windows Defender Application Guard の概要

適用対象: Microsoft Defender Advanced Threat Protection (microsoft defender ATP)

Windows Defender Application Guard (Application Guard) は、従業員の生産性を維持するために、古いおよび新しく新しい攻撃を防ぐために設計されています。 独自のハードウェア分離アプローチを使用することで、現在の攻撃方法を廃止することで攻撃者が使用するプレイブックを破棄することができます。

Application Guard の概要とその仕組み

Windows 10 と Microsoft Edge 向けに設計されている Application Guard を使って、企業が定義した非信頼サイトを分離し、従業員がインターネットを閲覧している間に企業を保護できます。 エンタープライズ管理者は、信頼済み Web サイト、クラウド リソース、内部ネットワークを定義します。 一覧にないものはすべて非信頼と見なされます。

従業員が、Microsoft Edge または Internet Explorer のいずれかから非信頼サイトを表示すると、Microsoft Edge では分離された Hyper-V 対応コンテナーに含まれるサイトが開きます。このコンテナーはホストのオペレーティング システムとは異なります。 このコンテナーの分離は、非信頼サイトが悪意のあるサイトであることが判明した場合、ホスト PC が保護され、攻撃者は企業データにアクセスできなくなることを意味します。 たとえば、このアプローチでは分離されたコンテナーが匿名になるため、攻撃者は従業員の企業の資格情報にアクセスできません。

ハードウェア分離の図

Application Guard を使うのはどの種類のデバイスですか。

Application Guard は、いくつかの種類のシステムを対象とするように作成されています。

  • エンタープライズ デスクトップ。 これらのデスクトップは、ドメインに参加し、組織で管理されます。 構成管理は主に System Center Configuration Manager または Microsoft Intune を使って行われます。 通常、従業員は標準ユーザー特権を持ち、高帯域幅のワイヤード (有線) 企業ネットワークを使います。

  • エンタープライズ モバイル ノート PC。 これらのノート PC は、ドメインに参加し、組織で管理されます。 構成管理は主に System Center Configuration Manager または Microsoft Intune を使って行われます。 通常、従業員は、標準ユーザー特権を持ち、高帯域幅のワイヤレス企業ネットワークを使います。

  • BYOD (Bring Your Own Device) モバイル ノート PC。 これらの個人所有のラップトップは、ドメインに参加しているわけではありませんが、Microsoft Intune などのツールを使用して組織によって管理されます。 通常、従業員はデバイスの管理者で、職場では高帯域幅のワイヤレス企業ネットワークを使い、自宅では同等の個人用ネットワークを使います。

  • 個人用デバイス。 これらの個人所有のデスクトップまたはモバイルノート pc は、ドメインに参加していないか、組織によって管理されていません。 ユーザーはデバイスの管理者であり、自宅または比較可能な外部のパブリックネットワークで、高帯域幅のワイヤレスパーソナルネットワークを使用しています。

関連記事

記事 説明
Windows Defender Application Guard のシステム要件 Application Guard をインストールして使用するために必要な前提条件を指定します。
Windows Defender Application Guard を準備してインストールする スタンドアロンと企業管理のどちらのモードを使うか決定する方法と、組織内で Application Guard をインストールする方法について説明します。
Windows Defender Application Guard のグループ ポリシー設定の構成 利用可能なグループ ポリシーと MDM 設定に関する情報を提供します。
企業や組織で Windows Defender Application Guard を使用するテスト シナリオ 組織の Application Guard をテストするために使用できる、推奨されるテストシナリオの一覧を示します。
よく寄せられる質問: Windows Defender Application Guard アプリケーションガード機能、Windows オペレーティングシステムとの統合、一般的な構成についてよく寄せられる質問に対する回答を提供します。