Windows 10 の「Windows Defender Application Guard」機能は、分離された 仮想化 コンテナーで Microsoft Edge ブラウザーを実行します。たとえ悪意のある Web サイトが Edge の欠陥を悪用したとしても、PC が危険にさらされることはありません。 Application Guard はデフォルトで無効になっています。
April 2018 Update 以降、 Windows 10 Professional を使用している人は誰でも Application Guard を有効にできるようになりました。以前は、この機能は Windows 10 Enterprise でのみ利用可能でした。 Windows 10 Home を使用していて Application Guard が必要な場合は、 Pro にアップグレードする 必要があります。
システム要求
Windows Defender Application Guard (Application Guard または WDAG とも呼ばれます) は、Microsoft Edge ブラウザーでのみ動作します。この機能を有効にすると、Windows は保護された分離されたコンテナーで Edge を実行できます。
具体的には、Windows は Microsoft の Hyper-V 仮想化テクノロジ を使用しています。そのため、Application Guard では、Intel VT-X または AMD-V 仮想化ハードウェア を搭載した PC が必要です。 Microsoft は、少なくとも 4 コアを備えた 64 ビット CPU、8 GB の RAM、5 GB の空き容量など、他の システム要件 もリストしています。
Windows Defender Application Guard を有効にする方法
この機能を有効にするには、[コントロール パネル] > [プログラム] > [Windows の機能をオンまたはオフにする] に進みます。
ここのリストの「Windows Defender Application Guard」オプションにチェックを入れて、「OK」ボタンをクリックします。
このリストにオプションが表示されない場合は、Windows 10 の Home バージョンを使用しているか、まだ April 2018 Update にアップグレードしていません。
オプションが表示されていてもグレー表示になっている場合、お使いの PC はこの機能をサポートしていません。 Intel VT-x または AMD-V ハードウェアを搭載した PC がない場合、または コンピュータの BIOS で Intel VT-X を有効にする 必要がある場合があります。 RAM が 8 GB 未満の場合も、このオプションはグレー表示になります。
Windows は Windows Defender Application Guard 機能をインストールします。完了すると、PC を再起動するように求められます。この機能を使用する前に、PC を再起動する必要があります。
Application Guard で Edge を起動する方法
Edge は引き続きデフォルトで通常のブラウジング モードで実行されますが、Application Guard 機能で保護された安全なブラウジング ウィンドウを開くことができるようになりました。
これを行うには、まず Microsoft Edge を通常どおり起動します。 Edge で、[メニュー] > [新しい Application Guard ウィンドウ] をクリックします。
新しい別の Microsoft Edge ブラウザー ウィンドウが開きます。ウィンドウの左上隅にあるオレンジ色の「Application Guard」というテキストは、ブラウザ ウィンドウが Application Guard で保護されていることを示します。
ここから追加のブラウザ ウィンドウを開くことができます。プライベート ブラウジング用の追加の InPrivate ウィンドウも開くことができます。また、それらのウィンドウにはオレンジ色の「Application Guard」というテキストも表示されます。
Application Guard ウィンドウには、通常の Microsoft Edge ブラウザー アイコンとは別のタスクバー アイコンもあります。ブルーの Edge「e」ロゴとその上にグレーの盾アイコンが特徴です。
一部の種類のファイルをダウンロードして開くと、Edge はドキュメント ビューアーまたは他の種類のアプリケーションを Application Guard モードで起動する場合があります。アプリケーションが Application Guard モードで実行されている場合は、タスクバー アイコンの上に同じ灰色の盾アイコンが表示されます。
Application Guard モードでは、Edge のお気に入りまたは閲覧リスト機能を使用できません。作成したブラウザ履歴も、PC からサインアウトすると削除されます。 PC から歌うと、現在のセッションのすべての Cookie も クリアされます。つまり、Application Guard モードの使用を開始するたびに、Web サイトに再度サインインする必要があります。
ダウンロードにも制限があります。分離された Edge ブラウザーは通常のファイル システムにアクセスできないため、Application Guard モードではシステムにファイルをダウンロードしたり、通常のフォルダーから Web サイトにファイルをアップロードしたりすることはできません。 Application Guard モードでは、.exe ファイルを含むほとんどの種類のファイルをダウンロードして開くことはできませんが、PDF やその他の種類のドキュメントを表示することはできます。ダウンロードしたファイルは特別な Application Guard ファイル システムに保存され、PC からサインアウトすると消去されます。
Application Guard ウィンドウでは、コピー アンド ペーストや印刷などの他の機能も無効になります。
Microsoft は、必要に応じてこれらの制限を削除するためのオプションをいくつか追加しましたが、これらはデフォルト設定です。
Windows Defender Application Guard を構成する方法
Windows Defender Application Guard とその制限は、グループ ポリシー経由で構成できます。自分のスタンドアロン Windows 10 Professional PC で Application Guard を使用している場合は、[スタート] ボタンをクリックし、「gpedit.msc」と入力して Enter キーを押すと、 を起動できます。
(グループ ポリシー エディターは Windows 10 の Home エディションでは利用できませんが、Windows Defender Application Guard 機能も利用できません。)
[コンピューターの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Defender Application Guard] に移動します。
「データの永続化」を有効にして、Application Guard にお気に入り、ブラウザーの履歴、Cookie を保存させるには、ここで [Windows Defender Application Guard のデータの永続化を許可する] 設定をダブルクリックし、[有効] を選択して、[OK] をクリックします。 Application Guard は、PC からサインアウトした後もデータを消去しません。
Edge が通常のシステム フォルダーにファイルをダウンロードできるようにするには、[Windows Defender Application Guard からホスト オペレーティング システムへのファイルのダウンロードと保存を許可する] 設定をダブルクリックし、[有効] に設定して、[OK] をクリックします。
Application Guard モードでダウンロードしたファイルは、Windows ユーザー アカウントの通常のダウンロード フォルダー内の「信頼できないファイル」フォルダーに保存されます。
Edge に通常のシステム クリップボードへのアクセスを許可するには、[Windows Defender Application Guard クリップボード設定の構成] オプションをダブルクリックします。 「有効」をクリックし、ここの手順に従ってクリップボード設定をカスタマイズします。たとえば、Application Guard ブラウザから通常のオペレーティング システムへのクリップボード操作、通常のオペレーティング システムから Application Guard ブラウザへのクリップボード操作、またはその両方の方法でクリップボード操作を有効にすることができます。テキストのコピー、画像のコピー、またはその両方を許可するかどうかを選択することもできます。完了したら、「OK」をクリックします。
Microsoft では、ホスト オペレーティング システムから Application Guard セッションへのコピーを許可しないことをお勧めします。実行すると、侵害された Application Guard ブラウザ セッションがコンピュータのクリップボードからデータを読み取る可能性があります。
印刷を有効にするには、[Windows Defender Application Guard の印刷設定を構成する] オプションをダブルクリックします。 「有効」をクリックし、ここのオプションを使用してプリンター設定をカスタマイズします。たとえば、ローカル プリンタへの印刷のみを有効にする場合は「4」、PDF ファイルへの印刷のみを有効にする場合は「2」、ローカル プリンタと PDF ファイルへの印刷のみを有効にする場合は「6」を入力できます。完了したら、「OK」をクリックします。
PDF または XPS ファイル への印刷を有効にすると、Application Guard を使用して、それらのファイルをホスト オペレーティング システムの通常のファイル システムに保存できるようになります。
これらの設定を変更した後は、PC を再起動する必要があります。実行するまでは有効になりません。
グループ ポリシー エディターでは、これらの設定には Windows 10 Enterprise が必要であると記載されていましたが、2018 年 4 月の更新プログラムを適用した Windows 10 Professional では完全に正常に動作することがわかりました。 Microsoft の誰かがドキュメントの更新を忘れた可能性があります。
これらのグループ ポリシー設定の内容の詳細については、Microsoft の Windows Defender Application Guard グループ ポリシーのドキュメント を参照してください。
また、Windows 10 のセキュリティ機能に興味がある場合は、ランサムウェアからファイルを保護するのに役立つ 「フォルダー アクセスの制御 」を必ずご覧ください。この機能もデフォルトでは無効になっています。
