管理者向け Application Guard for Office
適用対象: Word、Excel、PowerPoint for Microsoft 365 アプリ、Windows 10 Enterprise、Windows 11 Enterprise
重要
Microsoft Defender Application Guard for Office は非推奨となり、更新されなくなりました。 この非推奨には、Office 用のMicrosoft Defender Application Guardに使用される Windows.Security.Isolation API も含まれています。 保護ビューとWindows Defenderアプリケーション制御と共に、Microsoft Defender for Endpoint攻撃面の縮小ルールに移行することをお勧めします。
Microsoft Defender Application Guard for Office (Application Guard for Office) は、信頼されていないファイルが信頼できるリソースにアクセスするのを防ぎ、新しい攻撃や新たな攻撃から企業を安全に保ちます。 この記事では、Office 用のApplication Guardでサポートされているデバイスを設定する方法について説明します。
前提条件
ライセンスの要件
- Microsoft 365 E5またはMicrosoft 365 E5 Security
- Microsoft 365 の安全なドキュメント
ハードウェアの最小要件
- CPU: 64 ビット、4 コア (物理または仮想)、仮想化拡張機能 (Intel VT-x または AMD-V)、Core i5 同等以上を推奨します。
- 物理メモリ: 8 GB の RAM。
- ハード ディスク: システム ドライブ上の 10 GB の空き領域 (SSD をお勧めします)。
最小ソフトウェア要件
- Windows: Windows 10 Enterprise エディション、クライアント ビルド バージョン 2004 (20H1) ビルド 19041 以降。 Windows 11のすべてのバージョンがサポートされています。
- Office: ビルド 16.0.13530.10000 以降のMicrosoft 365 Apps。 現在のチャネルと月単位のエンタープライズ チャネルのインストールでは、このバージョンは 2011 と同等です。 Semi-Annual Enterprise Channel と Semi-Annual Enterprise Channel (プレビュー) の場合、最小バージョンは 2108 以降です。 32 ビットバージョンと 64 ビット バージョンの両方がサポートされています。
- 更新プログラム パッケージ: 毎月の累積的なセキュリティ更新プログラムKB4571756 Windows 10
詳細なシステム要件については、「Microsoft Defender Application Guardのシステム要件」を参照してください。 また、仮想化テクノロジを有効にする方法については、コンピューターの製造元のガイドを参照してください。 Microsoft 365 Apps更新チャネルの詳細については、「Microsoft 365 Appsの更新チャネルの概要」を参照してください。
Application Guard for Office を展開する
Office のApplication Guardを有効にする
オペレーティング システムの要件:
- Windows 10: 2020 年 9 月 8 日KB4571756がインストールされていることを確認します。
- Windows 11: 特定の要件はありません。
[Windows 機能]で、[Microsoft Defender Application Guard] を選択し、[OK] を選択します。 Application Guard機能を有効にすると、システムの再起動が求められます。 今すぐまたは手順 3 の後で再起動できます。
管理者として次のコマンドを実行して、Windows PowerShellでアプリケーション ガイドを有効にすることもできます。
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
グループ ポリシー エディターで、[コンピューターの構成>] [管理用テンプレート>] [Windows コンポーネント>Microsoft Defender Application Guard] の順に移動します。
[マネージド モードでMicrosoft Defender Application Guardを有効にする] 設定を有効にします。 [オプション] セクションの値を次のいずれかの値に設定します。
- 2: 分離された Windows 環境でのみMicrosoft Defender Application Guardを有効にします。
- 3: Microsoft Edge および分離された Windows 環境のMicrosoft Defender Application Guardを有効にします。
または、対応する CSP ポリシーを設定できます。
OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard データ型: 整数値 : 2
まだコンピューターを再起動していない場合は、コンピューターを再起動します。
診断 & フィードバックを設定して完全なデータを送信する
注:
この手順は必要ありません。 ただし、オプションの診断 データを構成すると、報告された問題の診断に役立ちます。
この手順により、問題を特定して修正するために必要なデータが Microsoft に確実に到達します。 Windows デバイスで診断を有効にするには、次の手順に従います。
- [スタート] メニューから [設定] を開きます。
- [Windows の設定] で、[プライバシー] を選択します。
- [プライバシー] で、[ 診断 & フィードバック ] を選択し、[ オプションの診断データ] を選択します。
Windows 診断設定の構成の詳細については、「organizationでの Windows 診断データの構成」を参照してください。
Office のApplication Guardが有効になっていて動作していることを確認する
Office のApplication Guardが有効になっていることを確認する前に、次の手順を実行します。
- ポリシーが展開されているデバイスで、Word、Excel、または PowerPoint を起動します。
- 起動したアプリから、[ファイル> アカウント] に移動します。 [ アカウント ] ページで、予想されるライセンスが表示されていることを確認します。
Office のApplication Guardが有効になっていることを確認するには、信頼されていないドキュメントを開きます。 たとえば、インターネットからダウンロードしたドキュメントや、organization外のユーザーからの電子メールの添付ファイルを開くことができます。
信頼されていないファイルを最初に開くと、次の Office スプラッシュ画面が表示されます。 Application Guard for Office がアクティブ化され、ファイルが開かれています。 通常、信頼されていないファイルの後続の開き方は高速です。
ファイルが開いた後、Office Application Guard内でファイルが開かれていることを示す視覚的なインジケーターがいくつかあります。
Office のApplication Guardを構成する
Office では、Office 用のApplication Guardを構成するための次のポリシーがサポートされています。 これらのポリシーは、グループ ポリシーまたは Office クラウド ポリシー サービスを使用して構成できます。
注:
これらのポリシーを構成すると、Application Guard for Office で開かれたファイルの一部の機能を無効にすることができます。
ポリシー | 説明 |
---|---|
Application Guard for Office を使用しない | Word、Excel、PowerPoint に対して、Office 用のApplication Guardではなく、保護ビュー分離コンテナーを強制的に使用します。 |
Office コンテナーの事前作成のApplication Guardを構成する | 実行時のパフォーマンスを向上させるために、Office コンテナーのApplication Guardが事前に作成されているかどうかを判断します。 このポリシーを有効にすると、コンテナーの事前作成を続行する日数を指定するか、Office の組み込みのヒューリスティックでコンテナーを事前作成できます。 |
Application Guardで開かれた Office ドキュメントからのコピーと貼り付けを構成する | ユーザーが Office からApplication Guardで開かれたドキュメントと、許可されている形式との間でコンテンツをコピーして貼り付けることができるかどうかを制御できます。 |
Application Guard for Office でハードウェア アクセラレーションを無効にする | Office のApplication Guardがハードウェア アクセラレーションを使用してグラフィックスをレンダリングするかどうかを制御します。 この設定を有効にした場合、Application Guard for Office ではソフトウェア ベース (CPU) レンダリングが使用され、サード パーティ製のグラフィックス ドライバーを読み込んだり、接続されているグラフィックス ハードウェアと対話したりすることはありません。 |
Application Guard for Office でサポートされていないファイルの種類の保護を無効にする | Office のApplication Guardが、サポートされていないファイルの種類を開くことをブロックするか、保護ビューへのリダイレクトを有効にするかを制御します。 |
Application Guard for Office で開かれたドキュメントのカメラとマイクへのアクセスをオフにする | このポリシーを有効にすると、Office for Office 内のカメラとマイクへの Office アクセスApplication Guard削除されます。 |
Application Guard for Office で開かれたドキュメントからの印刷を制限する | Application Guard for Office で開かれたファイルからユーザーが印刷できるプリンターを制限します。 たとえば、このポリシーを使用して、ユーザーが PDF にのみ印刷されるように制限できます。 |
ユーザーがファイルの Office 保護のApplication Guardを削除できないようにする | Office 保護のApplication Guardを無効にしたり、Office 用Application Guard外部でファイルを開いたりするためのオプション (Office アプリケーション エクスペリエンス内) を削除します。 メモ: ユーザーは、ファイルから mark-of-the-web プロパティを手動で削除するか、ドキュメントを信頼できる場所に移動することで、このポリシーをバイパスできます。 |
注:
次のポリシーを有効にするには、ユーザーは Windows からサインアウトし、もう一度サインインする必要があります。
- Application Guardで開いた Office ドキュメントからのコピーと貼り付けを構成します。
- Application Guard for Office でハードウェア アクセラレーションを無効にします。
- Application Guard for Office で開かれたドキュメントの印刷を制限します。
- Application Guard for Office で開かれたドキュメントへのカメラとマイクのアクセスをオフにします。
フィードバックの送信
フィードバック Hub 経由でフィードバックを送信する
Office Application Guardを起動するときに問題が発生した場合は、フィードバック Hub からフィードバックを送信することをお勧めします。
- フィードバック ハブ アプリを開き、サインインします。
- Application Guardの起動時にエラー ダイアログが表示された場合は、エラー ダイアログで [Microsoft に報告] を選択して、新しいフィードバック送信を開始します。 それ以外の場合は、 にhttps://aka.ms/mdagoffice-fb移動してApplication Guardの正しいカテゴリを選択し、右上の [新しいフィードバックの追加] を選択します。
- [ フィードバックの要約 ] ボックスに概要を入力します。
- 問題の詳細な説明とデバッグにかかった手順を [ 詳細に説明 する] ボックスに入力し、[ 次へ] を選択します。
- [問題] の横にあるバブルを選択 します。 選択したカテゴリが [セキュリティとプライバシー > のMicrosoft Defender Application Guard – Office] であることを確認し、[次へ] を選択します。
- [ 新しいフィードバック] を選択し、[ 次へ] を選択します。
- 問題に関するトレースを収集します。
- [ 問題の再作成 ] タイルを展開します。
- Application Guard実行中に発生している問題が発生した場合は、Application Guard インスタンスを開きます。 インスタンスを開くと、Application Guard コンテナー内から追加のトレースを収集できます。
- [ 記録の開始] を選択し、タイルの回転が停止するのを待ち、[ 記録の停止] と言います。
- Application Guardに関する問題を完全に再現します。 再現には、Application Guard インスタンスを起動しようとして失敗するまで待機したり、実行中のApplication Guard インスタンスで問題を再現したりする場合があります。
- [ 記録の停止] タイルを選択します。
- 実行中のApplication Guardインスタンスは、送信後数分でも開いたままにして、コンテナー診断も収集できるようにします。
- 問題に関連する関連するスクリーンショットまたはファイルを添付します。
- [送信] を選択します。
One Customer Voice を使用してフィードバックを送信する
Application Guardでファイルを開いたときに問題が発生した場合は、Word、Excel、PowerPoint 内からフィードバックを送信することもできます。 詳細なガイダンスについては、「 フィードバックを提供 する」を参照してください。
Microsoft Defender for EndpointとMicrosoft Defender for Office 365との統合
Application Guard for Office は、分離された環境で発生する悪意のあるアクティビティに対する監視とアラートを提供するために、Microsoft Defender for Endpointと統合されています。
Microsoft E365 E5 の安全なドキュメントは、Microsoft Defender for Endpointを使用して、Application Guard for Office で開かれたドキュメントをスキャンする機能です。 追加の保護レイヤーの場合、スキャンの結果が決定されるまで、ユーザーは Office のApplication Guardを残すことはできません。
制限事項と考慮事項
Application Guard for Office は、信頼されていないドキュメントを分離して、信頼された企業リソースにアクセスできないようにする保護モードです。 たとえば、イントラネット、ユーザーの ID、コンピューター上の任意のファイルなどです。 ユーザーが信頼できるリソースへのアクセスを必要とするアクション (ローカル画像ファイルの挿入など) を試みると、アクションは失敗し、次の例のようなプロンプトが表示されます。 信頼されていないドキュメントが信頼されたリソースにアクセスできるようにするには、ユーザーはドキュメントからApplication Guard保護を削除する必要があります。
注:
ユーザーは、ファイルとファイルのソースを信頼する場合にのみ保護を削除するように勧めます。
マクロや ActiveX コントロールなどのアクティブなコンテンツは、Application Guard for Office で無効になっています。 アクティブなコンテンツを有効にするには、Application Guard保護を削除する必要があります。
ネットワーク共有からの信頼されていないファイル、または OneDrive、OneDrive for Business、または SharePoint Online から共有されたファイルは、Application Guardで読み取り専用として開きます。 ユーザーは、このようなファイルのローカル コピーを保存してコンテナーで作業を続けたり、保護を削除して元のファイルを直接操作したりできます。
Information Rights Management (IRM) によって保護されているファイルは、既定でブロックされます。 ユーザーが保護ビューでこのようなファイルを開く場合、管理者は、organizationのサポートされていないファイルの種類のポリシー設定を構成する必要があります。
Application Guard for Office の Office アプリケーションに対するカスタマイズは、ユーザーがサインアウトして再度サインインした後、またはデバイスの再起動後も保持されません。
UIA フレームワークを使用するアクセシビリティ ツールのみが、Application Guard for Office で開かれたファイルにアクセシビリティ対応のエクスペリエンスを提供できます。
インストール後のApplication Guardの最初の起動には、ネットワーク接続が必要です。
ドキュメントの情報セクションで、[ 最終変更者 ] プロパティに WDAGUtilityAccount がユーザーとして表示される場合があります。 WDAGUtilityAccount は、Application Guardによって使用される匿名アカウントです。 デスクトップ ユーザーの ID は、Application Guard コンテナー内では使用できません。
Application Guard for Office のパフォーマンスの最適化
Application Guardは、仮想マシンと同様に仮想化されたコンテナーを使用して、信頼されていないドキュメントをシステムから分離します。 コンテナーを作成し、Application Guard コンテナーを設定して Office ドキュメントを開くプロセスには、ユーザーが信頼されていないドキュメントを開くときのユーザー エクスペリエンスに悪影響を与える可能性があるパフォーマンス オーバーヘッドがあります。
ユーザーに予想されるファイルの開き方を提供するために、Application Guardロジックを使用して、システムで次のヒューリスティックが満たされたときにコンテナーを事前に作成します。ユーザーは、保護ビューまたは過去 28 日間にApplication Guardでファイルを開きました。
このヒューリスティックが満たされると、Office はユーザーが Windows にサインインした後に、ユーザーのApplication Guard コンテナーを事前に作成します。 この事前作成操作が進行中ですが、システムのパフォーマンスが低下する可能性がありますが、操作が完了するとすぐに効果が解決されます。
注:
ヒューリスティックがコンテナーを事前に作成するために必要なヒントは、ユーザーがコンテナーを使用する際に Office アプリケーションによって生成されます。 ユーザーがApplication Guardが有効になっている新しいシステムに Office をインストールした場合、ユーザーが初めてシステムで信頼されていないドキュメントを開くまで、Office はコンテナーを事前に作成しません。 この最初のファイルは、Application Guardで開くには時間がかかります。
既知の問題
- サポートされていないファイルの種類の保護ポリシーの既定の設定は、暗号化されているか、Information Rights Management (IRM) が設定されている信頼されていない、サポートされていないファイルの種類を開くのをブロックすることです。 この設定には、Microsoft Purview 情報保護の秘密度ラベルを使用して暗号化されたファイルが含まれます。
- 現時点では HTML ファイルはサポートされていません。
- 現在、Application Guard for Office は NTFS 圧縮ボリュームでは機能しません。 "ERROR_VIRTUAL_DISK_LIMITATION" というエラーが表示された場合は、ボリュームを圧縮解除してみてください。
- ハイパーバイザーが有効になっていない可能性があることを示すエラーが表示された場合は、次の項目をチェックします。
- 仮想化は BIOS で有効になっています。
- Hyper-V がオンになっています。
- ホスト ネットワーク サービスが実行されています。
- .NET にUpdatesすると、Application Guardでファイルが開かなくなります。 この問題は、コンピューターを再起動することで解決できます。
- Application Guardでは、"サービスとしてのログオン" アクセス許可を "Virtual Machines" に付与する必要があり、"wdagutilityaccount" を "サービスとしてのログオンを拒否する" セキュリティ ポリシー設定に追加することはできません。
- 詳細については、「よく寄せられる質問 - Microsoft Defender Application Guard」を参照してください。