次の方法で共有


WindowsDefenderApplicationGuard CSP

WindowsDefenderApplicationGuard 構成サービス プロバイダー (CSP) は、Microsoft Defender Application Guardの設定を構成するために企業によって使用されます。 この CSP は、バージョン 1709 Windows 10で追加されました。

Windows エディションとライセンスに関する要件

次の表に、MDM 経由で構成するMicrosoft Defender Application Guard (MDAG) をサポートする Windows エディションの一覧を示します。

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
なし はい なし はい

MDM ライセンスエンタイトルメントを使用して構成するMicrosoft Defender Application Guard (MDAG) は、次のライセンスによって付与されます。

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
なし はい はい はい はい

Windows ライセンスの詳細については、「Windows ライセンスの概要」を参照してください。

次の一覧は、WindowsDefenderApplicationGuard 構成サービス プロバイダー ノードを示しています。

監査

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Audit

監査用の内部ノード。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 node
アクセスの種類 [ゲームをゲット] を選びます

Audit/AuditApplicationGuard

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Audit/AuditApplicationGuard

このポリシー設定を使用すると、監査イベントをApplication Guardから収集できるかどうかを決定できます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) 監査イベント ログは、Application Guardに対して収集されません。
1 Application Guardは、システムから監査ポリシーを継承し、コンテナーのセキュリティ イベントの監査Application Guard開始します。

グループ ポリシー マッピング:

名前
名前 AppHVSI_AuditApplicationGuardConfig
フレンドリ名 Microsoft Defender Application Guardで監査イベントを許可する
場所 [コンピューターの構成]
パス Windows コンポーネント > Microsoft Defender Application Guard
レジストリ キー名 SOFTWARE\Policies\Microsoft\AppHVSI
レジストリ値の名前 AuditApplicationGuard
ADMX ファイル名 AppHVSI.admx

InstallWindowsDefenderApplicationGuard

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/InstallWindowsDefenderApplicationGuard

Application Guard機能のリモート インストールを開始します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 Exec、Get

指定可能な値

説明
Install 機能のインストールを開始します。
Uninstall 機能のアンインストールを開始します。

PlatformStatus

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 2004 [10.0.19041] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/PlatformStatus

プラットフォームのインストール状態とデバイス上の前提条件Application Guard示すビットマスクを返します。 ビット 0 - エンタープライズ管理モードでApplication Guardが有効になっている場合は、1 に設定します。 ビット 1 - クライアント コンピューターが Hyper-V 対応の場合は 1 に設定します。 ビット 2 - Microsoft 用に予約されています。 ビット 3 - クライアント コンピューターにApplication Guardがインストールされている場合は、1 に設定します。 ビット 4 - Microsoft 用に予約されています。 ビット 5 - クライアント コンピューターが最小ハードウェア要件を満たしている場合は、1 に設定します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 [ゲームをゲット] を選びます

設定

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings

設定の内部ノード。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 node
アクセスの種類 [ゲームをゲット] を選びます

Settings/AllowCameraMicrophoneRedirection

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 Version 1809 [10.0.17763] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowCameraMicrophoneRedirection

このポリシー設定を使用すると、ユーザーのデバイスでこれらの設定が有効になっているときに、Microsoft Defender Application Guard内のアプリケーションがデバイスのカメラとマイクにアクセスできるかどうかを判断できます。

  • このポリシー設定を有効にした場合、Microsoft Defender Application Guard内のアプリケーションは、ユーザーのデバイス上のカメラとマイクにアクセスできます。

  • このポリシー設定を無効にするか、構成しなかった場合、Microsoft Defender Application Guard内のアプリケーションはユーザーのデバイス上のカメラとマイクにアクセスできなくなります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) Microsoft Defender Application Guardデバイスのカメラとマイクにアクセスできません。 ポリシーが構成されていない場合は、無効 (0) と同じです。
1 Microsoft Defender Application Guardがデバイスのカメラとマイクにアクセスできるようにする機能をオンにします。

グループ ポリシー マッピング:

名前
名前 AppHVSI_AllowCameraMicrophoneRedirectionConfig
フレンドリ名 Microsoft Defender Application Guardでカメラとマイクへのアクセスを許可する
場所 [コンピューターの構成]
パス Windows コンポーネント > Microsoft Defender Application Guard
レジストリ キー名 SOFTWARE\Policies\Microsoft\AppHVSI
レジストリ値の名前 AllowCameraMicrophoneRedirection
ADMX ファイル名 AppHVSI.admx

Settings/AllowPersistence

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowPersistence

このポリシー設定を使用すると、Application Guardのさまざまなセッション間でデータを保持するかどうかを決定できます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換

指定可能な値

説明
0 Application Guardは、コンピューターの再起動またはユーザーのログオフ時に、ユーザーがダウンロードしたファイルやその他の項目 (Cookie、お気に入りなど) を破棄します。
1 Application Guard では、ユーザーがダウンロードしたファイルとその他の項目 (Cookie、お気に入りなど) を保存して今後の Application Guard セッションで使えるようにします。

グループ ポリシー マッピング:

名前
名前 AppHVSI_AllowPersistence
フレンドリ名 Microsoft Defender Application Guardのデータ永続化を許可する
場所 [コンピューターの構成]
パス Windows コンポーネント > Microsoft Defender Application Guard
レジストリ キー名 SOFTWARE\Policies\Microsoft\AppHVSI
レジストリ値の名前 AllowPersistence
ADMX ファイル名 AppHVSI.admx

Settings/AllowVirtualGPU

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowVirtualGPU

このポリシー設定を使用すると、Application Guard仮想グラフィックス処理装置 (GPU) を使用してグラフィックスを処理できるかどうかを判断できます。 この設定を有効にした場合、Microsoft Defender Application Guardは Hyper-V を使用して、サポートされているセキュリティの高いレンダリング グラフィックス ハードウェア (GPU) にアクセスします。 これらの GPU は、特にビデオ再生やその他のグラフィックスを集中的に使用するユース ケースで、Microsoft Defender Application Guardを使用しながらレンダリングパフォーマンスとバッテリ寿命を向上させます。 セキュリティの高いレンダリング グラフィックス ハードウェアを接続せずにこの設定を有効にした場合、Microsoft Defender Application Guardは自動的にソフトウェア ベース (CPU) レンダリングに戻ります。

Warning

侵害される可能性のあるグラフィックス デバイスまたはドライバーでこの設定を有効にすると、ホスト デバイスにリスクが発生する可能性があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) vGPU にアクセスできず、CPU を使用してグラフィックスのレンダリングをサポートします。 ポリシーが構成されていない場合は、無効 (0) と同じです。
1 CPU からグラフィックス レンダリングをオフロードする vGPU にアクセスする機能をオンにします。 これにより、グラフィックスの強い Web サイトを操作したり、コンテナー内でビデオを見る場合に、より高速なエクスペリエンスを作成できます。

グループ ポリシー マッピング:

名前
名前 AppHVSI_AllowVirtualGPU
フレンドリ名 Microsoft Defender Application Guardのハードウェア高速化レンダリングを許可する
場所 [コンピューターの構成]
パス Windows コンポーネント > Microsoft Defender Application Guard
レジストリ キー名 SOFTWARE\Policies\Microsoft\AppHVSI
レジストリ値の名前 AllowVirtualGPU
ADMX ファイル名 AppHVSI.admx

Settings/AllowWindowsDefenderApplicationGuard

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard

エンタープライズ モードでMicrosoft Defender Application Guardを有効にします。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換

指定可能な値

説明
0 Microsoft Defender Application Guardを無効にします。
1 Microsoft Edge のMicrosoft Defender Application Guardのみを有効にします。
2 分離された Windows 環境でのみMicrosoft Defender Application Guardを有効にします。
3 Microsoft Edge および分離された Windows 環境のMicrosoft Defender Application Guardを有効にします。

グループ ポリシー マッピング:

名前
名前 AllowAppHVSI
パス Windows コンポーネント > Microsoft Defender Application Guard

Settings/BlockNonEnterpriseContent

このポリシーは非推奨であり、今後のリリースで削除される可能性があります。

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/BlockNonEnterpriseContent

このポリシー設定を使用すると、Web サイトが Microsoft Edge とインターネット エクスプローラーでエンタープライズ以外のコンテンツを読み込めるかどうかを判断できます。

このポリシー設定は、新しい Microsoft Edge ブラウザーではサポートされなくなりました。 ポリシーは非推奨となり、今後のリリースで削除される予定です。 エンタープライズコンテンツと非エンタープライズコンテンツの両方を含む Web ページは、この機能が有効になっている場合、誤って読み込まれたり、完全に失敗したりする可能性があります。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) エンタープライズ サイトに埋め込まれた非エンタープライズ コンテンツは、インターネット エクスプローラーと Microsoft Edge で直接、Microsoft Defender Application Guard コンテナーの外部で開くことが許可されます。
1 エンタープライズ サイトに埋め込まれた非エンタープライズ コンテンツは、Microsoft Defender Application Guardの外部でインターネット エクスプローラーまたは Microsoft Edge で開くのを停止します。

グループ ポリシー マッピング:

名前
名前 AppHVSI_BlockNonEnterpriseContentConfig
フレンドリ名 エンタープライズ Web サイトが Microsoft Edge とインターネット エクスプローラーでエンタープライズ以外のコンテンツを読み込むのを防ぐ
場所 [コンピューターの構成]
パス Windows コンポーネント > Microsoft Defender Application Guard
レジストリ キー名 SOFTWARE\Policies\Microsoft\AppHVSI
レジストリ値の名前 BlockNonEnterpriseContent
ADMX ファイル名 AppHVSI.admx

設定/CertificateThumbprints

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10 Version 1809 [10.0.17763] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/CertificateThumbprints

このポリシー設定を使用すると、特定のデバイス レベルのルート証明書をMicrosoft Defender Application Guard コンテナーと共有できます。

  • この設定を有効にすると、指定した拇印と一致する証明書がコンテナーに転送されます。 転送する証明書ごとに拇印を区切るためにコンマを使用して、複数の証明書を指定できます。 b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924 の例を次に示します。

  • この設定を無効にした場合、または構成しなかった場合、証明書は Microsoft Defender Application Guard コンテナーと共有されません。

このポリシーを適用するには、デバイスの再起動またはユーザーのログオン/ログオフが必要です。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 chr (string)
アクセスの種類 追加、削除、取得、置換
指定可能な値 リスト (区切り記号: ,)

グループ ポリシー マッピング:

名前
名前 AppHVSI_CertificateThumbprints
フレンドリ名 Microsoft Defender Application Guardユーザーのデバイスからのルート証明機関の使用を許可する
場所 [コンピューターの構成]
パス Windows コンポーネント > Microsoft Defender Application Guard
レジストリ キー名 SOFTWARE\Policies\Microsoft\AppHVSI
ADMX ファイル名 AppHVSI.admx

Settings/ClipboardFileType

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/ClipboardFileType

ホストからApplication Guard環境にコピーできるコンテンツの種類を決定します。その逆も同様です。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換

指定可能な値

説明
1 テキストのコピーを許可します。
2 イメージのコピーを許可します。
3 テキストと画像のコピーを許可します。

グループ ポリシー マッピング:

名前
名前 AppHVSI_ClipboardConfig
フレンドリ名 クリップボード設定Microsoft Defender Application Guard構成する
場所 [コンピューターの構成]
パス Windows コンポーネント > Microsoft Defender Application Guard
レジストリ キー名 SOFTWARE\Policies\Microsoft\AppHVSI
ADMX ファイル名 AppHVSI.admx

設定/ClipboardSettings

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/ClipboardSettings

このポリシー設定を使用すると、Application Guard中のクリップボードの動作を決定できます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) Application Guardのクリップボード機能を完全にオフにします。
1 分離セッションからホストへのクリップボード操作をオンにします。
2 ホストから分離セッションへのクリップボード操作をオンにします。
3 クリップボード操作を双方向にオンにします。

グループ ポリシー マッピング:

名前
名前 AppHVSI_ClipboardConfig
フレンドリ名 クリップボード設定Microsoft Defender Application Guard構成する
場所 [コンピューターの構成]
パス Windows コンポーネント > Microsoft Defender Application Guard
レジストリ キー名 SOFTWARE\Policies\Microsoft\AppHVSI
ADMX ファイル名 AppHVSI.admx

設定/PrintingSettings

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/PrintingSettings

このポリシー設定を使用すると、Application Guard中の印刷機能の動作を決定できます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) すべての印刷機能を無効にします。
1 XPS 印刷のみを有効にします。
2 PDF 印刷のみを有効にします。
3 PDF 印刷と XPS 印刷の両方を有効にします。
4 ローカル印刷のみを有効にします。
5 ローカル印刷と XPS 印刷の両方を有効にします。
6 ローカル印刷と PDF 印刷の両方を有効にします。
7 ローカル印刷、PDF 印刷、XPS 印刷を有効にします。
8 ネットワーク印刷のみを有効にします。
9 ネットワーク印刷と XPS 印刷の両方を有効にします。
10 ネットワーク印刷と PDF 印刷の両方を有効にします。
11 ネットワーク、PDF、XPS 印刷を有効にします。
12 ネットワーク印刷とローカル印刷の両方を有効にします。
13 ネットワーク、ローカル、XPS の印刷を有効にします。
14 ネットワーク、ローカル、および PDF 印刷を有効にします。
15 すべての印刷を有効にします。

グループ ポリシー マッピング:

名前
名前 AppHVSI_PrintingConfig
フレンドリ名 印刷設定Microsoft Defender Application Guard構成する
場所 [コンピューターの構成]
パス Windows コンポーネント > Microsoft Defender Application Guard
レジストリ キー名 SOFTWARE\Policies\Microsoft\AppHVSI
ADMX ファイル名 AppHVSI.admx

Settings/SaveFilesToHost

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10、バージョン 1803 [10.0.17134] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/SaveFilesToHost

このポリシー設定を使用すると、ユーザーがコンテナー内の Edge からファイルをダウンロードし、コンテナーからホスト オペレーティング システムにファイルを保持できるかどうかを判断できます。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 追加、削除、取得、置換
既定値 0

指定可能な値

説明
0 (既定値) ユーザーは、コンテナー内の Edge からホスト ファイル システムにファイルをダウンロードできません。 ポリシーが構成されていない場合は、無効 (0) と同じです。
1 コンテナー内の Edge からホスト ファイル システムにファイルをダウンロードできるようにする機能を有効にします。

グループ ポリシー マッピング:

名前
名前 AppHVSI_SaveFilesToHost
フレンドリ名 Microsoft Defender Application Guardからホスト オペレーティング システムへのファイルのダウンロードと保存を許可する
場所 [コンピューターの構成]
パス Windows コンポーネント > Microsoft Defender Application Guard
レジストリ キー名 SOFTWARE\Policies\Microsoft\AppHVSI
レジストリ値の名前 SaveFilesToHost
ADMX ファイル名 AppHVSI.admx

状態

適用範囲 エディション 対象となる OS
✅ デバイス
❌ ユーザー
✅ Pro
✅ Enterprise
✅ Education
✅ Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 10バージョン 1709 [10.0.16299] 以降
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Status

デバイスのインストールと前提条件Application Guard状態を示すビットマスクを返します。 ビット 0 - エンタープライズ管理モードでApplication Guardが有効になっている場合は、1 に設定します。 ビット 1 - クライアント コンピューターが Hyper-V 対応の場合は 1 に設定します。 ビット 2 - クライアント マシンに有効な OS ライセンスと SKU がある場合は、1 に設定します。 ビット 3 - クライアント コンピューターにインストールApplication Guard場合は 1 に設定します。 ビット 4 - 必要なネットワーク分離ポリシーが構成されている場合は、1 に設定します。 ビット 5 - クライアント コンピューターが最小ハードウェア要件を満たしている場合は、1 に設定します。 ビット 6 - システムの再起動が必要な場合は、1 に設定します。

説明フレームワークのプロパティ:

プロパティ名 プロパティ値
形式 int
アクセスの種類 [ゲームをゲット] を選びます

構成サービス プロバイダーのリファレンス