Microsoft Defender アプリケーション ガード潜在的に危険なファイルが信頼できるシステム リソースにアクセスするのを防ぎます。ハードウェア仮想化を使用した隔離された環境で、信頼できないドキュメントを開きます。この分離コンテナ、単一スタンドアロン、および自動モードで悪意のあるソフトウェアからシステムを保護します。管理者は、自動モード (別名エンタープライズ管理モード) でいくつかの信頼できる Web サイトを定義します。
定義されたドメインに由来するドキュメントやアプリは通常、コンピューター上で開きます。一方、Application Guard は、仮想環境内のこれらの定義された信頼済みサイトの外部にある Web サイトからファイルを起動します。
Microsoft Defender Application Guard は、信頼できないファイルが信頼できるリソースにアクセスするのを防ぎ、新たな攻撃から企業を保護します。この記事では、管理者向けに、Application Guard for Office のプレビュー用にデバイスをセットアップする手順を説明します。 Microsoft によれば、デバイス上で Application Guard for Office を有効にするためのシステム要件とインストール手順に関する情報が提供されます。
Windows 11 で Microsoft Defender Application Guard を有効にする方法
Windows コンピューターで Microsoft Defender Application Guard を有効または無効にするには。以下について調べていきます。
- Windows の機能で Application Guard を有効または無効にします。
- PowerShell を使用して Application Guard を有効または無効にします。
- コマンド プロンプトを使用して Microsoft Defender Application Guard for Edge をインストールします。
- 管理モードの Microsoft Defender Application Guard グループ ポリシーを有効にします。
1] Windows 機能で Microsoft Defender Application Guard をオンまたはオフにする
[スタート]ボタンを右クリックし、[スタート]ボタンを選択します。走るをクリックして、「実行」ダイアログボックスを開きます。入力アプリウィズ.cpl[実行]ダイアログ ボックスで、わかりましたボタン。
をクリックしてくださいWindows の機能をオンまたはオフにする[プログラムと機能] ウィンドウの左側のパネルにあるリンクをクリックします。
探すMicrosoft Defender アプリケーション ガードWindows の機能画面のリストから選択し、このオプションの横にあるチェックボックスをオンにして有効にします。をヒットします。わかりましたボタン。
Microsoft Defender Application Guard を有効にした後、マシンを再起動する必要があります。
Microsoft Defender Application Guard を無効にするには、Windows の機能画面でオプションのチェックを外し、コンピューターを再起動します。
読む: Chrome、Edge、Firefox 用の Windows Defender Application Guard 拡張機能。
2] PowerShell を使用して Application Guard を有効または無効にする
PowerShell を使用して Microsoft Defender Application Guard を有効にすることもできます。管理者として PowerShell を開くには、[スタート] ボタンを右クリックし、Windows PowerShell (管理者)。
次のコマンドをコピーして PowerShell ウィンドウに貼り付け、Windows Defender Application Guard を有効にし、ENTER キーを押します。
Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
上記のコマンドを実行すると、Application Guard for Office が有効になります。これに従ってコンピュータを再起動して、プロセスを完了します。
Application Guard を無効にするには、次のコマンドを入力します。
Disable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
3] コマンド プロンプトを使用して Microsoft Defender Application Guard for Edge をインストールします
Edge ブラウザーの Application Guard を有効にするには、管理者特権でコマンド プロンプト ウィンドウを開き、組み込みの DISM ツールを利用する必要があります。手順は次のとおりです。
- 管理者特権のコマンド プロンプト ウィンドウを開く
- コマンドを実行して Application Guard をインストールします
- を押します。Y鍵
- Enter キーを押してコンピュータを再起動し、操作を完了します。
これらすべての手順を詳しく確認してみましょう。
一番最初のステップは、管理者特権のコマンド プロンプト ウィンドウを開く。これを行うには、Windows 11 の検索ボックスをクリックし、次のように入力します。cmd、検索結果に表示されるコマンド プロンプト オプションを右クリックし、管理者として実行オプション。
次に、次のコマンドを実行する必要があります。
Dism /online /Enable-Feature /FeatureName:"Windows-Defender-ApplicationGuard"
このコマンドを実行するとすぐに、Application Guard を有効にするプロセスが開始されます。数分かかる場合があります。その後、コマンド プロンプト ウィンドウでコンピュータを再起動するように求められます。プレスYEnter キーを使用します。
これにより、コンピュータがすぐに再起動され、Application Guard のインストール プロセスが開始されます。 PC が起動すると、この機能はすぐに有効になります。
4] 管理モードのグループ ポリシーで Microsoft Defender Application Guard を有効にする
上記の 2 つのオプションは、Application Guard for Office を有効または無効にする方法です。 2 つの方法のいずれかを完了したら、管理モード グループ ポリシーで機能を有効にする必要があります。
これを行うには、次の場所に移動します[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Microsoft Defender Application Guard]。
ここで、下の値を変更しますオプションに2または3。をクリックしてくださいわかりましたボタンをクリックして設定を保存し、ウィンドウを閉じます。この後、コンピュータを再起動します。
読む:Microsoft Defender Application Guard 設定を構成するGPEDIT と REGEDIT の使用
Windows 11/10 で CMD を使用して Application Guard を無効にするかアンインストールする
Application Guard 機能をいつでも使用したくない場合は、次の手順で簡単に使用できます。
- 管理者特権のコマンド プロンプト ウィンドウを開く
- コマンドを実行して Application Guard をアンインストールします
- を押します。Y鍵
- Enter キーを押して PC を再起動します。
タイプcmd検索ボックスで、管理者として実行検索結果に表示されるオプションを選択すると、管理者特権のコマンド プロンプト ウィンドウが開きます。
次に、次のコマンドを実行します。
Dism /online /Disable-Feature /FeatureName:"Windows-Defender-ApplicationGuard"
コマンドが完全に処理されるまで待ちます。
コンピュータを再起動するかどうかを尋ねるメッセージが表示されたら、Yキーを押してEnterキーを押します。 PCが再起動されるまで待ちます。これにより操作が完了し、Microsoft Defender Application Guard が削除されます。
これがお役に立てば幸いです。
こちらもお読みください:
- 方法Edge の Application Guard からの印刷を有効にする
- 方法Application Guard for Edge で高度なグラフィックスを有効にする
- 方法Application Guard for Edge で高度なグラフィックスを有効にする
- Microsoft Defender Application Guard for Edge でカメラとマイクを有効にする。
Microsoft Defender Application Guard とは何ですか?
Microsoft Defender アプリケーション ガードは、次の 3 種類のエンタープライズ システムを対象として作成されています。
- エンタープライズデスクトップ
- エンタープライズ モバイル ラップトップ
- 自分のデバイスの持ち込み (BYOD) モバイル ラップトップ。
この機能では、仮想化テクノロジーインターネットの閲覧中または電子メールのチェック中にクリックされたリンクを開くためサンドボックス環境(保護された環境でソフトウェアをテストまたは分析するための隔離された環境) を使用して、悪意のあるスクリプトがユーザーのネットワークやデバイスに侵入するのを防ぎます。
マイクロソフトは次のように述べています。
Application Guard は、企業が定義した信頼できないサイトを隔離するのに役立ち、従業員がインターネットを閲覧している間、企業を保護します。企業管理者は、信頼できる Web サイト、クラウド リソース、および内部ネットワークの中にあるものを定義します。リストにないものはすべて信頼できないものとみなされます。従業員が Microsoft Edge または Internet Explorer を通じて信頼できないサイトにアクセスすると、Microsoft Edge はホスト オペレーティング システムから分離された、隔離された Hyper-V 対応コンテナーでサイトを開きます。このコンテナ分離は、信頼できないサイトが悪意のあるサイトであることが判明した場合でも、ホスト PC が保護され、攻撃者が企業データにアクセスできないことを意味します。
世界中の多くの事業所がセキュリティの直接的な脅威にさらされている最新の状況を考慮すると、Microsoft Defender Application Guard が提供するこの新しい多層防御の保護層は歓迎されています。
攻撃の 90% 以上が、特に次の目的で設計されたハイパーリンクを介して開始されるという事実は事実です。
- 認証情報を盗む
- マルウェアをインストールする
- 脆弱性を悪用します。
そのため、最初は、社内の正当な権限を装った破損した電子メールが、従業員に重要と思われる文書を読むためのリンクをクリックするよう要求する可能性があります。
このリンクは、ユーザーのマシンにマルウェアをインストールするために特別に作成されています。そのコンピュータで接続が確立されると、攻撃者は簡単に資格情報を盗み、同じネットワーク上の他のコンピュータの脆弱性を探すことができます。
Microsoft Defender Application Guard でサポートされている仮想化テクノロジを使用すると、潜在的な脅威が特定され、ネットワークやシステムから隔離され、コンテナーが閉じられるときに完全に削除されます。
次に、従業員がネットワーク管理者によって信頼されていないサイトを参照すると、Application Guard は潜在的な脅威を即座に除去します。以下の図の赤枠で示されているように、Application Guard は、カーネルのまったく異なるコピーを使用して、ハードウェア層で Windows の新しいインスタンスを作成します。基盤となるハードウェア (Windows Defender Application Guard) により、この Windows の別個のコピーは、メモリ、ローカル ストレージ、その他のインストールされているアプリケーション、企業ネットワーク エンドポイントへのアクセスを含む、ユーザーの通常の動作環境にアクセスできなくなります。
エンタープライズ向けの徹底した防御
Microsoft Defender Application Guard は、インターネット経由でネットワークやデバイスへの侵入を狙う高度な攻撃から企業システムを保護することで、顧客に問題のないブラウジング エクスペリエンスを提供できます。悪意のあるコードがネットワークに侵入した場合の明確な行動計画も用意されています。この独創的なツールは Microsoft Edge とサイレントに連携して、Windows の一時的かつ分離されたコピーでそのサイトを開きます。この場合、攻撃者のコードがブラウザの悪用に成功したとしても、攻撃者はコードが興味深いデータがなく、ユーザー資格情報へのアクセスがなく、企業ネットワーク上の他のエンドポイントにもアクセスできないクリーンな環境で実行されていることを発見します。したがって、攻撃は顕著さを失い、常に中断されます。
ブラウジング セッションが完了するとすぐに、一時コンテナはマルウェアとともに廃棄されます。これらすべてはすぐに行われるため、ユーザーは攻撃が行われているという兆候さえ感じません。削除後、将来の閲覧セッションのために新しいコンテナが作成されます。
Web 開発者と Application Guard
Web 開発者にとって非常に喜ばしいニュースは、サイト コードで何も変わったり新しいことをする必要がないことです。Microsoft Edge は、ホスト バージョンの Windows で行うのと基本的に同じ方法で、Application Guard でサイトをレンダリングします。 Microsoft Edge がこのモードで実行されている場合、悪意のあるコードを検出するための必須要件はなく、動作の違いを考慮する必要もありません。この一時コンテナはユーザーの終了時に破棄されるため、ユーザーの終了時には Cookie やローカル ストレージは許可されません。
さらに、Microsoft は Microsoft Defender Application Guard や Office 365 ATP などの他のセキュリティに関する発表を行いました。これらはインテリジェンスを相互に共有し、IT プロフェッショナルが Windows と Office 365 の両方にわたるセキュリティ脅威をタイムリーに調査して対応できるようにする機能を備えています。
Microsoft Defender Application Guard for Microsoft Edge をインストールするにはどうすればよいですか?
次のコマンドを実行して、Microsoft Defender Application Guard for Microsoft Edge をインストールする:
Dism /online /Enable-Feature /FeatureName:"Windows-Defender-ApplicationGuard"
このコマンドを実行するとすぐに、Application Guard の有効化が開始されます。
