次の方法で共有

Application Guard のテスト シナリオ

  • [アーティクル]
  • 適用対象:
    Windows 11, ✅ Windows 10

組織でハードウェア ベースの分離をテストするために使用できるシナリオの一覧が用意されています。

スタンドアロン モードでの Application Guard

従業員が Application Guard をスタンドアロン モードで使う方法を確認できます。

スタンドアロン モードで Application Guard をテストするには

  1. Application Guard をインストールします

  2. デバイスを再起動し、Microsoft Edge を起動し、メニューから [新しいアプリケーション ガード] ウィンドウ を選択します。

    新しい Application Guard ウィンドウ設定オプション。

  3. Application Guard で分離された環境がセットアップされるのを待ちます。

    デバイス再起動後の Application Guard の起動が早すぎると、読み込み時間が長くなる場合があります。 ただし、以後の起動は、ユーザーが気付くレベルの遅延が生じることなく実行されます。

  4. 信頼されていないが安全な URL (この例では、msn.com を使用) に移動して、新しい Microsoft Edge ウィンドウを表示し、Application Guard の視覚的合図が表示されるか確認します。

    Application Guard で実行されている信頼されていない Web サイト。

企業管理モードでの Application Guard

企業管理モードで Application Guard をインストール、設定、有効化、構成する方法を説明します。

Application Guard をインストール、設定、有効化する

管理モードで Application Guard を使用するには、その機能を含む Windows 10 Enterprise エディション、バージョン 1709、および Windows 11 をインストールする必要があります。 次に、グループ ポリシーを使って必要な設定をセットアップする必要があります。

  1. Application Guard をインストールします

  2. デバイスを再起動し、Microsoft Edge を起動します。

  3. グループ ポリシーでネットワーク分離の設定を指定します。

    1. Windows アイコンを選択し、「Group Policy」と入力し、[グループ ポリシーの編集] を選択します。

    2. [管理用テンプレート] > [ネットワーク] > [ネットワーク分離] > [クラウドでホストされるエンタープライズ リソース ドメイン] 設定に移動します。

    3. このシナリオの目的で、[エンタープライズ クラウド リソース] ボックスに「.microsoft.com」と入力します。

      [エンタープライズ クラウド リソース] 設定を使用したグループ ポリシー エディター。

    4. [管理用テンプレート] > [ネットワーク] > [ネットワーク分離] > [職場用と個人用に分類されたドメイン] 設定に移動します。

    5. このシナリオの目的で、[ニュートラル リソース] ボックスに「bing.com」と入力します。

      [ニュートラル リソース] 設定のグループ ポリシー エディター。

  4. [コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\[Microsoft Defender Application Guard]\[管理モードで Microsoft Defender Application Guard を有効にする] 設定に移動します。

  5. [ 有効] を選択し、[オプション 1] を選択し、[ OK] を選択します

    [オン/オフ] 設定のグループ ポリシー エディター。

    この設定を有効にすると、このシナリオで前に設定したネットワーク分離の設定を含め、必要なすべての設定が従業員のデバイスで正しく構成されているか確認されます。

  6. Microsoft Edge を起動し、「 https://www.microsoft.com」と入力します。

    URL を送信すると、Application Guard は信頼済みとしてマークしたドメインを使用し、Application Guard ではなくホスト PC にサイトを直接表示するため、URL が信頼されていることを判断します。

    Microsoft Edge で実行されている信頼された Web サイト。

  7. 同じ Microsoft Edge ブラウザーで、信頼済みまたは中立的なサイト リストに含まれていない URL を入力します。

    URL の送信後、Application Guard ではその URL を非信頼と判断し、要求をハードウェア分離環境にリダイレクトします。

    Application Guard で実行されている信頼されていない Web サイト。

Application Guard をカスタマイズする

Application Guard では構成を指定して、分離ベースのセキュリティと従業員の生産性の適切なバランスを確立できます。

Application Guard では、従業員向けの既定の動作は次のようになります。

  • ホスト PC と分離されたコンテナー間でコピーと貼り付けを実行しない。

  • 分離されたコンテナーから印刷しない。

  • 分離されたコンテナー間でデータは保持されない。

これらの各設定を変更してグループ ポリシー内で企業と連携するためのオプションがあります。

適用対象:

  • Windows 10 Enterprise または Pro エディション、バージョン 1803 以降
  • Windows 11 Enterprise または Pro エディション

コピーと貼り付けのオプション

  1. [コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\[Microsoft Defender Application Guard]\[Microsoft Defender Application Guard] クリップボード設定の構成に移動します。

  2. [ 有効] を 選択し、[ OK] を選択します

    グループ ポリシー エディターのクリップボード オプション。

  3. クリップボードの動作を選択します。

    • 分離されたセッションからホスト PC にコピーして貼り付ける

    • ホスト PC から分離されたセッションにコピーして貼り付ける

    • 双方向でコピーして貼り付ける

  4. コピーできる内容を選択します。

    • ホスト PC と分離コンテナーの間でコピーできるのはテキストのみです。

    • ホスト PC と分離コンテナーの間でコピーできるのはイメージのみです。

    • ホスト PC と分離コンテナーの間で、テキストとイメージの両方をコピーできます。

  5. [OK] を選択します。

  1. コンピューターの構成\管理用テンプレート\Windows コンポーネント\Microsoft Defender Application Guard\Configure Microsoft Defender Application Guard の印刷設定に移動します。

  2. [ 有効] を 選択し、[ OK] を選択します

    グループ ポリシー エディターの印刷オプション。

  3. 設定で提供される一覧に基づいて、従業員が利用できる印刷の種類に最も該当する番号を選択します。 ローカル、ネットワーク、PDF、XPS 印刷の組み合わせを指定できます。

  4. [OK] を選択します。

データ永続化オプション

  1. [コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\[Microsoft Defender Application Guard]\[Microsoft Defender Application Guard のデータ永続化を許可する] 設定に移動します。

  2. [ 有効] を 選択し、[ OK] を選択します

    グループ ポリシー エディターのデータ永続化オプション。

  3. Microsoft Edge を開き、信頼されていないが安全な URL を閲覧します。

    Web サイトは分離されたセッションで開きます。

  4. サイトを [お気に入り] の一覧に追加し、分離されたセッションを閉じます。

  5. デバイスにサインアウトしてもう一度サインインし、Application Guard で Microsoft Edge を再度開きます。

    以前に追加されたサイトが [お気に入り] 一覧にも表示されます。

    Windows 11 バージョン 22H2 以降では、データの永続化は既定で無効になっています。 データの永続化を許可または無効にしない場合は、デバイスを再起動するか、分離コンテナーにサインインしてサインアウトすると、リサイクル イベントがトリガーされます。 このアクションにより、セッション Cookie や Favorites などの生成されたすべてのデータが破棄され、Application Guard からデータが削除されます。 データの保持を有効にすると、従業員が生成したすべてのアーティファクトが、コンテナー リサイクル イベント間で保持されます。 ただし、これらの成果物は分離コンテナーにのみ存在し、ホスト PC と共有されません。 このデータは、再起動後、さらには Windows 10 と Windows 11 のビルドからビルドへのアップグレードによっても保持されます。

    データ保持を有効にした後に、従業員に対してそのサポートを停止する場合は、Windows に搭載されているユーティリティを使ってコンテナーをリセットし、個人データを破棄できます。

    コンテナーをリセットするには、次の手順に従います。
    1. コマンド ライン プログラムを開き、Windows/System32 に移動します。
    2. 「 wdagtool.exe cleanup」と入力します。 コンテナー環境がリセットされ、従業員が生成したデータのみ維持されます。
    3. 「 wdagtool.exe cleanup RESET_PERSISTENCE_LAYER」と入力します。 従業員が生成した全データを破棄するなど、コンテナーの環境がリセットされます。

    Microsoft Edge バージョン 90 以降では、 RESET_PERSISTENCE_LAYERはサポートされなくなりました。

適用対象:

  • Windows 10 Enterprise または Pro エディション、バージョン 1803
  • Windows 11 Enterprise または Pro エディション、バージョン 21H2。 Windows 11 バージョン 22H2 以降では、データの永続化は既定で無効になっています。

ダウンロード オプション

  1. [コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\[Microsoft Defender Application Guard]\[ファイルのダウンロードと Microsoft Defender Application Guard からのホスト オペレーティング システムへの保存を許可する] 設定に移動します。

  2. [ 有効] を 選択し、[ OK] を選択します

    グループ ポリシー エディターのダウンロード オプション。

  3. デバイスにサインアウトしてもう一度サインインし、Application Guard で Microsoft Edge を再度開きます。

  4. Microsoft Defender Application Guard からファイルをダウンロードします。

  5. [この PC > ダウンロード > 信頼されていないファイルにファイルがダウンロードされていることを確認します。

ハードウェアアクセラレーションオプション

  1. [コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\[Microsoft Defender Application Guard]\[Microsoft Defender Application Guard のハードウェア高速化レンダリングを許可する] 設定に移動します。

  2. [ 有効] を 選択し、[ OK] を選択します

    グループ ポリシー エディターのハードウェア アクセラレータ オプション。

  3. この機能を有効にしたら、Microsoft Edge を開き、信頼されていないが安全な URL とビデオ、3D、またはその他のグラフィックスを集中的に使用するコンテンツを参照します。 分離されたセッションで Web サイトが開きます。

  4. 視覚的なエクスペリエンスとバッテリーのパフォーマンスを評価します。

カメラとマイクのオプション

  1. [コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\[Microsoft Defender Application Guard]\[Microsoft Defender Application Guard]\[Microsoft Defender Application Guard でカメラとマイクへのアクセスを許可する] 設定に移動します。

  2. [ 有効] を 選択し、[ OK] を選択します

    グループ ポリシー エディターのカメラとマイクのオプション。

  3. デバイスにサインアウトしてもう一度サインインし、Application Guard で Microsoft Edge を再度開きます。

  4. Microsoft Edge でビデオまたはオーディオ機能を使用してアプリケーションを開きます。

  5. カメラとマイクが期待どおりに動作することを確認します。

ルート証明書共有オプション

  1. [コンピューターの構成]\[管理用テンプレート]\[Windows コンポーネント]\[Microsoft Defender Application Guard]\[Microsoft Defender Application Guard のユーザーのデバイスからのルート証明機関の使用を許可する] の順に移動します。

  2. [ 有効] を選択し、共有する各証明書の拇印をコンマで区切ってコピーし、[ OK] を選択します

    グループ ポリシー エディターのルート証明書オプション。

  3. デバイスにサインアウトしてもう一度サインインし、Application Guard で Microsoft Edge を再度開きます。

サードパーティの Web ブラウザー用 Application Guard 拡張機能

Chrome および Firefox で使用できる Application Guard 拡張機能 を使用すると、Microsoft Edge や Internet Explorer 以外の Web ブラウザーを実行している場合でも、Application Guard でユーザーを保護できます。

ユーザーが拡張機能とそのコンパニオン アプリをエンタープライズ デバイスにインストールしたら、次のシナリオを実行できます。

  1. 拡張機能がインストールされているブラウザーを Firefox または Chrome で開きます。

  2. 組織の Web サイトに移動します。 つまり、組織が管理する内部 Web サイトです。 サイトが完全に読み込まれる前に、この評価ページがすぐに表示されることがあります。

    ページの読み込み中に表示される評価ページ。ユーザーが待機する必要があることを説明します。

  3. www.bing.com など、エンタープライズ以外の外部 Web サイトに移動します。 サイトは Microsoft Defender Application Guard Edge にリダイレクトする必要があります。

    Application Guard コンテナーにリダイレクトされている非エンタープライズ Web サイト -- 表示されるテキストは、ページが Application Guard for Microsoft Edge で開かれていることを説明します。

  4. Microsoft Defender Application Guard アイコンを選択し、[新しい Application Guard ウィンドウ] を選択して、 新しい Application Guard ウィンドウを開きます

    [新しいアプリケーション ガード ウィンドウ] オプションが赤で強調表示されています