適用対象: Word、Excel、PowerPoint for Microsoft 365 アプリ、Windows 10 Enterprise、Windows 11 Enterprise
重要
Microsoft Defender Application Guard for Office は非推奨となり、更新されなくなりました。 この非推奨には、Office 用のMicrosoft Defender Application Guardに使用される Windows.Security.Isolation API も含まれています。 保護ビューと Windows Defender アプリケーションコントロールと共に、Microsoft Defender for Endpoint攻撃面の縮小ルールに移行することをお勧めします。
Microsoft Defender Application Guard for Office (Application Guard for Office) は、信頼されていないファイルが信頼されたリソースにアクセスするのを防ぐのに役立ち、新しい攻撃や新たな攻撃から企業を安全に保ちます。 この記事では、管理者が Application Guard for Office でサポートされているデバイスを設定する方法について説明します。
前提条件
ライセンスの要件
- Microsoft 365 E5またはMicrosoft Defender スイート
- Microsoft 365 の安全なドキュメント
ハードウェアの最小要件
- CPU: 64 ビット、4 コア (物理または仮想)、仮想化拡張機能 (Intel VT-x または AMD-V)、Core i5 同等以上を推奨します。
- 物理メモリ: 8 GB の RAM。
- ハード ディスク: システム ドライブ上の 10 GB の空き領域 (SSD をお勧めします)。
最小ソフトウェア要件
- Windows: Windows 10 Enterprise エディション、クライアント ビルド バージョン 2004 (20H1) ビルド 19041 以降。 Windows 11のすべてのバージョンがサポートされています。
- Office: ビルド 16.0.13530.10000 以降のMicrosoft 365 Apps。 現在のチャネルと月単位のエンタープライズ チャネルのインストールでは、このバージョンは 2011 と同等です。 Semi-Annual Enterprise Channel と Semi-Annual Enterprise Channel (プレビュー) の場合、最小バージョンは 2108 以降です。 32 ビットバージョンと 64 ビット バージョンの両方がサポートされています。
- 更新プログラム パッケージ: 毎月の累積的なセキュリティ更新プログラムKB4571756 Windows 10
詳細なシステム要件については、「Microsoft Defender Application Guardのシステム要件」を参照してください。 また、仮想化テクノロジを有効にする方法については、コンピューターの製造元のガイドを参照してください。
Microsoft 365 Apps更新チャネルの詳細については、「Microsoft 365 Appsの更新チャネルの概要」を参照してください。
Application Guard for Office の展開
Application Guard for Office を有効にする
オペレーティング システムの要件:
- Windows 10: 2020 年 9 月 8 日KB4571756がインストールされていることを確認します。
- Windows 11: 特定の要件はありません。
[Windows 機能]で、[Microsoft Defender Application Guard] を選択し、[OK] を選択します。 Application Guard 機能を有効にすると、システムの再起動が求められます。 今すぐまたは手順 3 の後で再起動できます。
![AG を示す [Windows 機能] ダイアログ ボックス](media/ag03-deploy.png)
管理者として次のコマンドを実行して、Windows PowerShellでアプリケーション ガイドを有効にすることもできます。
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuardグループ ポリシー エディターで、[コンピューターの構成>管理用テンプレート>Windows コンポーネント>Microsoft Defender Application Guard に移動します。
[マネージド モードでMicrosoft Defender Application Guardを有効にする] 設定を有効にします。 [オプション] セクションの値を次のいずれかの値に設定します。
- 2: 分離された Windows 環境でのみMicrosoft Defender Application Guardを有効にします。
- 3: Microsoft Edge および分離された Windows 環境のMicrosoft Defender Application Guardを有効にします。
または、対応する CSP ポリシーを設定できます。
OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard データ型: 整数値 : 2
まだコンピューターを再起動していない場合は、コンピューターを再起動します。
![AG を示す [Windows 機能] ダイアログ ボックス](media/ag03-deploy.png#lightbox)
診断 & フィードバックを設定して完全なデータを送信する
注:
この手順は必要ありません。 ただし、オプションの診断 データを構成すると、報告された問題の診断に役立ちます。
この手順により、問題を特定して修正するために必要なデータが Microsoft に確実に到達します。 Windows デバイスで診断を有効にするには、次の手順に従います。
- [スタート] メニューから [設定] を開きます。
- [Windows の設定] で、[プライバシー] を選択します。
- [プライバシー] で、[ 診断 & フィードバック ] を選択し、[ オプションの診断データ] を選択します。
Windows 診断設定の構成の詳細については、「organizationでの Windows 診断データの構成」を参照してください。
Application Guard for Office が有効になっていて動作していることを確認する
Application Guard for Office が有効になっていることを確認する前に、次の手順を実行します。
- ポリシーが展開されているデバイスで、Word、Excel、またはPowerPointを起動します。
- 起動したアプリから、[ ファイル>Account] に移動します。 [ アカウント ] ページで、予想されるライセンスが表示されていることを確認します。
Application Guard for Office が有効になっていることを確認するには、信頼されていないドキュメントを開きます。 たとえば、インターネットからダウンロードしたドキュメントや、organization外のユーザーからの電子メールの添付ファイルを開くことができます。
信頼されていないファイルを最初に開くと、次の Office スプラッシュ画面が表示されます。 Application Guard for Office がアクティブ化され、ファイルが開かれています。 通常、信頼されていないファイルの後続の開き方は高速です。
ファイルが開いた後、Application Guard for Office 内でファイルが開かれていることを示す視覚的なインジケーターがいくつかあります。
リボンの吹き出し
タスク バーにシールドがあるアプリケーション アイコン
Application Guard for Office を構成する
Office では、Application Guard for Office を構成するための次のポリシーがサポートされています。 これらのポリシーは、グループ ポリシーまたは Office クラウド ポリシー サービスを使用して構成できます。
注:
これらのポリシーを構成すると、Application Guard for Office で開かれたファイルの一部の機能を無効にすることができます。
| ポリシー | 説明 |
|---|---|
| Application Guard for Office を使用しない | Application Guard for Office の代わりに保護ビュー分離コンテナーを使用するように、Word、Excel、およびPowerPointを強制します。 |
| Application Guard for Office コンテナーの事前作成を構成する | 実行時のパフォーマンスを向上させるために、Application Guard for Office コンテナーが事前に作成されているかどうかを判断します。 このポリシーを有効にすると、コンテナーの事前作成を続行する日数を指定するか、Office の組み込みのヒューリスティックでコンテナーを事前作成できます。 |
| Application Guard で開かれた Office ドキュメントからのコピーと貼り付けを構成する | ユーザーが Application Guard で開かれたドキュメントと、許可されている形式との間でコンテンツをコピーして貼り付けることができるかどうかを制御できます。 |
| Application Guard for Office でハードウェア アクセラレーションを無効にする | Application Guard for Office でハードウェア アクセラレーションを使用してグラフィックスをレンダリングするかどうかを制御します。 この設定を有効にすると、Application Guard for Office はソフトウェア ベース (CPU) レンダリングを使用し、Microsoft 以外のグラフィックス ドライバーを読み込んだり、接続されているグラフィックス ハードウェアと対話したりしません。 |
| Application Guard for Office でサポートされていないファイルの種類の保護を無効にする | サポートされていないファイルの種類が開かれるのを Application Guard for Office でブロックするか、保護ビューへのリダイレクトを有効にするかを制御します。 |
| Application Guard for Office で開かれたドキュメントのカメラとマイクへのアクセスをオフにする | このポリシーを有効にすると、Application Guard for Office 内のカメラとマイクへの Office アクセスが削除されます。 |
| Application Guard for Office で開かれたドキュメントからの印刷を制限する | Application Guard for Office で開かれたファイルからユーザーが印刷できるプリンターを制限します。 たとえば、このポリシーを使用して、ユーザーが PDF にのみ印刷されるように制限できます。 |
| ユーザーがファイル上の Office 保護用 Application Guard を削除できないようにする | Application Guard for Office 保護を無効にするか、Application Guard for Office の外部でファイルを開くオプション (Office アプリケーション エクスペリエンス内) を削除します。 手記: ユーザーは、ファイルから mark-of-the-web プロパティを手動で削除するか、ドキュメントを信頼できる場所に移動することで、このポリシーをバイパスできます。 |
注:
次のポリシーを有効にするには、ユーザーは Windows からサインアウトし、もう一度サインインする必要があります。
- Application Guard で開いた Office ドキュメントからのコピーと貼り付けを構成します。
- Application Guard for Office でハードウェア アクセラレーションを無効にします。
- Application Guard for Office で開かれたドキュメントの印刷を制限します。
- Application Guard for Office で開かれたドキュメントへのカメラとマイクのアクセスをオフにします。
フィードバックの送信
フィードバック Hub 経由でフィードバックを送信する
Application Guard for Office を起動するときに問題が発生した場合は、フィードバック Hub からフィードバックを送信することをお勧めします。
- フィードバック ハブ アプリを開き、サインインします。
- Application Guard の起動中にエラー ダイアログが表示された場合は、エラー ダイアログで [ Microsoft に報告 ] を選択して、新しいフィードバック送信を開始します。 それ以外の場合は、 https://aka.ms/mdagoffice-fb に移動して Application Guard の正しいカテゴリを選択し、右上の [ 新しいフィードバックの追加 ] を選択します。
- [ フィードバックの要約 ] ボックスに概要を入力します。
- 問題の詳細な説明とデバッグにかかった手順を [ 詳細に説明 する] ボックスに入力し、[ 次へ] を選択します。
- [問題] の横にあるバブルを選択 します。 選択したカテゴリが [セキュリティとプライバシーの> Microsoft Defender Application Guard – Office] であることを確認し、[次へ] を選択します。
- [ 新しいフィードバック] を選択し、[ 次へ] を選択します。
- 問題に関するトレースを収集します。
- [ 問題の再作成 ] タイルを展開します。
- Application Guard の実行中に発生している問題が発生した場合は、Application Guard インスタンスを開きます。 インスタンスを開くと、Application Guard コンテナー内から追加のトレースを収集できます。
- [ 記録の開始] を選択し、タイルの回転が停止するのを待ち、[ 記録の停止] と言います。
- Application Guard の問題を完全に再現します。 再現には、Application Guard インスタンスを起動しようとしたり、失敗するまで待機したり、実行中の Application Guard インスタンスで問題を再現したりする場合があります。
- [ 記録の停止] タイルを選択します。
- 実行中の Application Guard インスタンスは、送信後数分でも開いたままにして、コンテナー 診断も収集できるようにします。
- 問題に関連する関連するスクリーンショットまたはファイルを添付します。
- [送信] を選択します。
One Customer Voice を使用してフィードバックを送信する
Application Guard でファイルを開いたときに問題が発生した場合は、Word、Excel、PowerPoint内からフィードバックを送信することもできます。 詳細なガイダンスについては、「 フィードバックを提供 する」を参照してください。
Office 365のMicrosoft Defender for EndpointとMicrosoft Defenderとの統合
Application Guard for Office は、分離された環境で発生する悪意のあるアクティビティに対する監視とアラートを提供するために、Microsoft Defender for Endpointと統合されています。
Microsoft E365 E5 の安全なドキュメントは、Microsoft Defender for Endpointを使用して Application Guard for Office で開かれたドキュメントをスキャンする機能です。 追加の保護レイヤーの場合、スキャンの結果が決定されるまで、ユーザーは Application Guard for Office を離れることはできません。
制限事項と考慮事項
Application Guard for Office は、信頼されていないドキュメントを分離して、信頼された企業リソースにアクセスできないようにする保護モードです。 たとえば、イントラネット、ユーザーの ID、コンピューター上の任意のファイルなどです。 ユーザーが信頼できるリソースへのアクセスを必要とするアクション (ローカル画像ファイルの挿入など) を試みると、アクションは失敗し、次の例のようなプロンプトが表示されます。 信頼されていないドキュメントが信頼されたリソースにアクセスできるようにするには、ユーザーはドキュメントから Application Guard 保護を削除する必要があります。
注:
ユーザーは、ファイルとファイルのソースを信頼する場合にのみ保護を削除するように勧めます。
マクロや ActiveX コントロールなどのアクティブなコンテンツは、Application Guard for Office で無効になっています。 アクティブなコンテンツを有効にするには、Application Guard 保護を削除する必要があります。
ネットワーク共有からの信頼されていないファイル、または OneDrive または SharePoint から共有されたファイルは、Application Guard で読み取り専用として開きます。 ユーザーは、このようなファイルのローカル コピーを保存してコンテナーで作業を続けたり、保護を削除して元のファイルを直接操作したりできます。
Information Rights Management (IRM) によって保護されているファイルは、既定でブロックされます。 ユーザーが保護ビューでこのようなファイルを開く場合、管理者は、organizationのサポートされていないファイルの種類のポリシー設定を構成する必要があります。
Application Guard for Office の Office アプリケーションに対するカスタマイズは、ユーザーがサインアウトして再度サインインした後、またはデバイスの再起動後に保持されません。
UiA フレームワークを使用するアクセシビリティ ツールのみが、Application Guard for Office で開かれたファイルにアクセシビリティ対応のエクスペリエンスを提供できます。
インストール後に Application Guard を初めて起動する場合は、ネットワーク接続が必要です。
ドキュメントの情報セクションで、[ 最終変更者 ] プロパティに WDAGUtilityAccount がユーザーとして表示される場合があります。 WDAGUtilityAccount は、Application Guard で使用される匿名アカウントです。 デスクトップ ユーザーの ID は、Application Guard コンテナー内では使用できません。
Application Guard for Office のパフォーマンスの最適化
Application Guard では、仮想マシンと同様に仮想化されたコンテナーを使用して、信頼されていないドキュメントをシステムから分離します。 コンテナーを作成し、Application Guard コンテナーをセットアップして Office ドキュメントを開くプロセスには、ユーザーが信頼されていないドキュメントを開くときのユーザー エクスペリエンスに悪影響を与える可能性があるパフォーマンス オーバーヘッドがあります。
Application Guard では、想定されるファイルの開き方をユーザーに提供するために、システムで次のヒューリスティックが満たされたときにロジックを使用してコンテナーを事前に作成します。ユーザーは、過去 28 日間に保護ビューまたは Application Guard でファイルを開きました。
このヒューリスティックが満たされると、Office はユーザーが Windows にサインインした後に Application Guard コンテナーを事前に作成します。 この事前作成操作が進行中ですが、システムのパフォーマンスが低下する可能性がありますが、操作が完了するとすぐに効果が解決されます。
注:
ヒューリスティックがコンテナーを事前に作成するために必要なヒントは、ユーザーがコンテナーを使用する際に Office アプリケーションによって生成されます。 ユーザーが Application Guard が有効になっている新しいシステムに Office をインストールした場合、ユーザーが初めてシステムで信頼されていないドキュメントを開くまで、Office はコンテナーを事前に作成しません。 この最初のファイルは、Application Guard で開くには時間がかかります。
既知の問題
- サポートされていないファイルの種類の保護ポリシーの既定の設定は、暗号化されているか、Information Rights Management (IRM) が設定されている信頼されていない、サポートされていないファイルの種類を開くのをブロックすることです。 この設定には、Microsoft Purview Information Protectionの秘密度ラベルを使用して暗号化されたファイルが含まれます。
- 現時点では HTML ファイルはサポートされていません。
- 現在、Application Guard for Office は NTFS 圧縮ボリュームでは機能しません。 "ERROR_VIRTUAL_DISK_LIMITATION" というエラーが表示された場合は、ボリュームを圧縮解除してみてください。
- ハイパーバイザーが有効になっていない可能性があることを示すエラーが表示された場合は、次の項目をチェックします。
- 仮想化は BIOS で有効になっています。
- Hyper-V がオンになっています。
- ホスト ネットワーク サービスが実行されています。
- .NET にUpdatesすると、Application Guard でファイルが開かなくなります。 この問題は、コンピューターを再起動することで解決できます。
- Application Guard では、"サービスとしてのログオン" アクセス許可を "Virtual Machines" に付与する必要があり、"wdagutilityaccount" を "サービスとしてのログオンを拒否する" セキュリティ ポリシー設定に追加することはできません。
- 詳細については、「よく寄せられる質問 - Microsoft Defender Application Guard」を参照してください。