次の方法で共有


Microsoft Edge での Microsoft Defender Application Guard のサポート

重要

Windows 分離アプリ起動ツール API を含むMicrosoft Defender Application Guardは、Microsoft Edge for Businessでは非推奨となり、更新されなくなります。 Windows 11以降、Windows 分離アプリ起動ツール API を含むバージョン 24H2 Microsoft Defender Application Guardは使用できなくなります。

Application Guardの既存のインストール

この非推奨は、Microsoft Defender Application Guard (MDAG) の既存のインストールには影響しません。 組織は、現在のバージョンの Windows で引き続きApplication Guardを使用できますが、セキュリティ管理者は今後、セキュリティ要件を評価することをお勧めします。 この機能は、今後の Windows リリースで削除される可能性がありますが、Windows 上の既存のインストールでは引き続き維持されます。

非推奨に関する考慮事項

非推奨には、Application Guardの次の要素が含まれています。

  • organizationでコンテナー ベースの分離が必要な場合は、Windows サンドボックスまたは Azure Virtual Desktop (AVD) をお勧めします。
  • Application Guardは非推奨であるため、Edge Manifest V3 への移行はありません。 対応する拡張機能と関連する Windows ストア アプリは、2024 年 5 月以降は使用できません。 これは、 ChromeFirefox のブラウザーに影響します。 企業で MDAG の使用を廃止する準備ができるまで保護されていないブラウザーをブロックする場合は、AppLocker ポリシーまたは Microsoft Edge 管理サービスを使用することをお勧めします。

ヒント

Microsoft Edge for Business セキュリティ に関するホワイトペーパーをダウンロードして、Edge for Business をセキュリティで保護されたエンタープライズ ブラウザーにする機能の詳細を確認してください。

Edge の追加のセキュリティ機能により、Application Guardを必要とせずに非常に安全になります。 セキュリティ機能の一覧には、次のものが含まれます。

  • フィッシング対策とマルウェアのサポートと URL のスキャンとブロックのための Defender SmartScreen。
  • Just-In-Time JavaScript コンパイル (およびその他の保護) を無効にして、メモリ関連の脆弱性から保護するためのセキュリティ モードを強化しました。
  • スペルミスのある Web サイトに対する Web サイトの入力ミスの保護。
  • 機密アイテムを識別、監視、および自動的に保護するためのデータ損失防止。

概要

この記事では、Microsoft Edge による Microsoft Defender Application Guard (Application Guard) のサポートについて説明します。

エンタープライズのセキュリティ設計者は、生産性とセキュリティとの間の葛藤に取り組む必要があります。 ブラウザーをロック ダウンし、少数の信頼されたサイトだけを読み込むようにするのは比較的簡単です。 このアプローチにより全体的なセキュリティ態勢を向上させることはできますが、生産的とは言えないでしょう。 生産性を向上するために制限を緩めると、リスク プロファイルは増大します。 バランスを取るのは簡単ではありません。

脅威の情勢は常に変化しているため、新たな脅威に対抗し続けるのはさらに大変です。 ブラウザーの基本的な役割は、ユーザーが信頼されていないソースからの信頼されていないコンテンツにアクセスし、ダウンロードして開けるようにすることであるため、ブラウザーはクライアント デバイスにおける主要な攻撃対象であり続けています。 悪意のある攻撃者は、ブラウザーに対する新しい形態の攻撃をソーシャル エンジニアリングの手法で仕掛けることに余念がありません。 セキュリティ インシデントの防止または検出/対応の戦略では、100% の安全性を保証できません。

検討すべき重要なセキュリティ対策は、侵害を想定する手法です。これは、攻撃を防ぐ努力をしたとしても、少なくとも 1 度は攻撃が成功することを受け入れることを意味しています。 この考え方では、被害を抑えるための防御を構築することが必要になります。こうすれば、このシナリオにおいて、企業のネットワークと他のリソースを保護し続けることが可能になります。 Microsoft Edge に Application Guard を展開することは、この戦略にうまく適合します。

Application Guard について

Windows 10/11 および Microsoft Edge 用に設計されたApplication Guardは、ハードウェア分離アプローチを使用します。 このアプローチでは、信頼されていないサイトへの移動はコンテナー内で行われます。 ハードウェア分離により、エンタープライズは、セキュリティが侵害されたサイトや悪意のあるサイトにユーザーがアクセスした場合でも、企業のネットワークとデータを保護することができるようになります。

エンタープライズ管理者は、信頼済みサイト、クラウド リソース、内部ネットワークを定義します。 信頼済みサイトのリストに入っていないものはすべて、信頼されていないと見なされます。 これらのサイトは、ユーザーのデバイス上で企業ネットワークとデータから分離されます。

詳しくは、次のトピックをご覧ください。

次のスクリーンショットは、ユーザーが安全なサイトを閲覧していることを示す Application Guard のメッセージの例です。

安全な閲覧を示す Application Guard のメッセージ

新着情報

新しい Microsoft Edge ブラウザーでのApplication Guardサポートには、Microsoft Edge 従来版と機能的な同等性があり、いくつかの機能強化が含まれています。

アップロード ブロックを有効にする

Microsoft Edge 96 以降では、管理者はコンテナー内でアップロードをブロックできるようになりました。つまり、ユーザーはローカル デバイスから Application Guard インスタンスにファイルをアップロードできません。 このサポートは、ポリシーを使用して制御できます。 Edge ポリシー ApplicationGuardUploadBlockingEnabled を更新して、コンテナー内のアップロードを有効または無効にすることができます。

パッシブ モードでApplication Guardを有効にし、通常どおり Edge を参照する

Microsoft Edge 94 以降では、ユーザーはパッシブ モードを構成できるようになりました。つまり、Application Guardはサイト リストの構成を無視し、ユーザーは Edge を正常に閲覧できます。 このサポートは、ポリシーを使用して制御できます。 Edge ポリシー ApplicationGuardPassiveModeEnabled を更新して、パッシブ モードを有効または無効にすることができます。

このポリシーは Edge にのみ影響するため、対応する拡張機能が有効になっている場合、他のブラウザーからのナビゲーションが Application Guard コンテナーにリダイレクトされる可能性があります。

ホストからコンテナーに同期するお気に入り

一部のお客様は、Application Guard のホスト ブラウザーとコンテナーの間でお気に入りの同期を求める場合があります。 Microsoft Edge 91 から、ユーザーはホストからコンテナーに自分のお気に入りを同期するために Application Guard を構成するオプションを使用できます。 これにより、コンテナーにも新しいお気に入りが表示されます。

このサポートは、ポリシーを使用して制御できます。 Edge ポリシー ApplicationGuardFavoritesSyncEnabled を更新して、お気に入りの同期を有効または無効にできます。

セキュリティ上の理由から、お気に入りの同期はホストからコンテナーの方向にのみ可能であり、それ以外の方法では可能ではありません。 ホストとコンテナー間で統一されたお気に入りの一覧を提供するために、コンテナー内でお気に入り管理を無効にしました。

コンテナーから発信されるネットワーク トラフィックを識別する

コンテナーから送信されるネットワーク トラフィックを識別する特定の構成で WDAG を使用しているお客様もいます。 このシナリオの一部は次のとおりです。

  • 一握りの信頼されていないサイトにのみアクセスを制限するには
  • コンテナーからのインターネット アクセスのみを許可するには

Microsoft Edge バージョン 91 以降では、Application Guard コンテナーからのネットワーク トラフィックにタグを付けるサポートが組み込まれており、企業はプロキシを使用してトラフィックを除外し、特定のポリシーを適用できます。 ヘッダーを使用して 、ApplicationGuardTrafficIdentificationEnabledを使用して、どのトラフィックがコンテナー経由か、ホスト経由かを識別できます。

コンテナー内の拡張機能サポート

コンテナー内の拡張機能サポートは、お客様からの上位のリクエストの 1 つでした。 ブラウザーのパフォーマンスを向上するためにコンテナー内で広告ブロック機能を実行することから、コンテナー内で自社製のカスタム拡張機能を実行できるようにすることまで、シナリオは多岐にわたります。

Microsoft Edge バージョン 81 から、コンテナー内での拡張機能のインストールがサポートされるようになりました。 このサポートは、ポリシーを使用して制御できます。 ExtensionInstallForcelist ポリシーで使用される updateURL は、Application Guard が使用するネットワークの分離ポリシーでニュートラル リソースとして追加する必要があります。

コンテナーのサポートの例には、次のようなシナリオが含まれます。

  • ホストでの拡張機能のインストールを強制する
  • ホストから拡張機能を削除する
  • ホストで拡張機能がブロックされる

また、拡張機能ストアからコンテナー内に個々の拡張機能を手動でインストールすることも可能です。 手動でインストールされた拡張機能は、永続化の許可ポリシーが有効な場合にのみ、コンテナーで保持されます。

デュアル プロキシを介した Application Guard トラフィックの識別

一部の企業のお客様は、Microsoft Defender Application Guard コンテナーから送信される Web トラフィックをプロキシ レベルで識別する必要がある特定のユース ケースで Application Guard を展開しています。 安定チャネルのバージョン 84 以降、Microsoft Edge はデュアル プロキシをサポートしてこの要件に対応します。 この機能は、ApplicationGuardContainerProxy ポリシーを使用して構成できます。

次の図は、Microsoft Edge のデュアル プロキシ アーキテクチャを示しています。

Application Guard のデュアル プロキシ アーキテクチャ

トラブルシューティングのための診断ページ

ユーザーにとってのもう一つの問題点は、問題が報告されたときにデバイス上で Application Guard の構成をトラブルシューティングすることです。 Microsoft Edge には、ユーザーの問題をトラブルシューティングするための診断ページ (edge://application-guard-internals) があります。 これらの診断の 1 つは、ユーザー デバイス上の構成に基づいて URL の信頼性を確認することです。

次のスクリーンショットは、デバイス上でユーザーが報告した問題の診断に役立つ、複数のタブを含む診断ページを示しています。

Application Guard の診断ページ

コンテナーでの Microsoft Edge の更新

コンテナーでの Microsoft Edge 従来版の更新は、Windows OS の更新サイクルに含まれています。 新しいバージョンの Microsoft Edge の更新そのものは Windows OS から独立しているため、コンテナーの更新への依存関係はなくなりました。 ホストの Microsoft Edge のチャネルとバージョンは、コンテナー内で複製されます。

前提条件

Microsoft Edge でApplication Guardを使用するデバイスには、次の要件が適用されます。

  • Windows 10 1809 (Windows 10 October 2018 Update) 以降。

  • Windows クライアント SKU のみ

    Application Guardは、Windows 10/11 Pro および Windows 10/11 Enterprise SKU でのみサポートされます。

  • ソフトウェア要件に記載されている管理ソリューションのいずれか

Application Guard のインストール方法

Application Guard をインストールし、Microsoft Edge で構成およびテストするために必要な情報は、次の記事を参照してください。

よく寄せられる質問

Application Guardは非推奨ですか?

はい。Windows 分離アプリ起動ツール API を含むMicrosoft Defender Application Guardは、Microsoft Edge for Businessでは非推奨となり、更新されなくなります。

Application Guard は IE モードで動作しますか?

IE モードでは Application Guard の機能がサポートされますが、IE モードではこの機能を多用することは想定していません。 IE モードは、信頼された内部サイトの一覧に展開することをお勧めします。Application Guardは信頼されていないサイト専用です。 すべての IE モード サイトまたは IP アドレスもネットワーク分離ポリシーに追加され、Application Guardによって信頼されたリソースと見なされることを確認します。

Application Guard の Chrome 拡張機能をインストールする必要はありますか?

いいえ。Application Guard 機能は Microsoft Edge でネイティブでサポートされています。 事実、Application Guard の Chrome 拡張機能の構成は、Microsoft Edge ではサポートされていません。

従業員は、Application Guard Edge セッションからホスト デバイスにドキュメントをダウンロードできますか。

バージョン 1803 Windows 10 Enterpriseエディションでは、ユーザーは分離されたApplication Guard コンテナーからホスト PC にドキュメントをダウンロードできます。 この機能はポリシーによって管理されます。

Windows 10 Enterprise エディション、バージョン 1709、または Windows 10 Professional エディションバージョン 1803 では、分離されたApplication Guard コンテナーからホスト コンピューターにファイルをダウンロードすることはできません。 ただし、従業員は [Print as PDF] (PDF 形式で印刷) または [Print as XPS] (XPS 形式で印刷) オプションを使って、それらのファイルをホスト デバイスに保存できます。

従業員は、ホスト デバイスと Application Guard Edge セッション間でコピーや貼り付けを実行できますか。

従業員は、organizationの設定に応じて、分離コンテナーとの間で画像 (.bmp) とテキストをコピーして貼り付けることができます。

Application Guard Edge セッションで従業員にお気に入りが表示されないのはなぜですか?

organizationの設定によっては、[お気に入りの同期] がオフになっている場合があります。 ポリシーを管理するには、「Microsoft Edge と Microsoft Defender Application Guard |Microsoft Docs。

従業員が Application Guard Edge セッションで拡張機能を表示できないのはなぜですか?

Application Guard構成で拡張機能ポリシーを有効にしてください。

Edge Application Guardで拡張機能が機能しないようですか?

拡張機能ポリシーが構成で MDAG に対して有効になっている場合は、拡張機能にネイティブ メッセージ処理コンポーネントが必要な場合にチェック、これらの拡張機能は Application Guard コンテナーでサポートされていません。

HDR でビデオを再生watchしようとしていますが、HDR オプションが見つからないのはなぜですか?

コンテナーで HDR ビデオ再生を機能させるには、Application Guardで vGPU ハードウェア アクセラレーションを有効にする必要があります。

はい、できます。 よく寄せられる質問: Microsoft Defender Application Guard

関連項目