Windows 10の「Windows Defender Application Guard」機能は、Microsoft Edgeブラウザを別の仮想化コンテナで実行します。悪意のあるWebサイトがEdgeの欠陥を利用して攻撃してきたとしても、あなたのコンピュータに害を与えることはありません。デフォルトでは、Application Guardは無効になっています。

2018年4月のアップデートにより、Windows 10 Professionalをお使いの方ならどなたでも「アプリ保護」を有効にすることができるようになりました。従来は、Windows 10 Enterpriseでのみ利用可能な機能でした。windows 10 homeをお持ちで、アプリケーションガードが必要な場合は、Proにアップグレードする必要があります。

システム要件

Windows Defender Application Guard（通称：Application GuardまたはWDAG）は、Microsoft Edgeブラウザーでのみ利用可能です。この機能を有効にすると、Windowsは保護された隔離されたコンテナでEdgeを実行することができます。

具体的には、Windowsはマイクロソフトの仮想化技術であるHyper-Vを採用しています。このため、Application Guardは、お使いのPCにIntel VT-XまたはAMD-V仮想化ハードウェアを搭載する必要があります。マイクロソフトは、その他のシステム要件として、4コア以上の64ビットCPU、8GBのRAM、5GBの空き容量も挙げています。

Windows Defender アプリケーションガードを有効にする方法

この機能を有効にするには、「コントロールパネル」→「プログラム」→「Windowsの機能をオンまたはオフにする」を選択します。

ここのリストで「Windows Defender Application Guard」にチェックを入れ、「OK」ボタンをクリックします。

このリストにこのオプションが表示されていない場合は、Windows 10のHomeバージョンを使用しているか、まだ2018年4月のアップデートにアップグレードしていない可能性があります。

このオプションが表示されてもグレーアウトしている場合は、お使いのコンピュータがこの機能に対応していない可能性があります。Intel VT-xまたはAMD-Vハードウェアを搭載したPCをお持ちでない場合や、コンピュータのBIOSでIntel VT-xを有効にする必要がある場合があります。RAMが8GB未満の場合、このオプションもグレーアウトされます。

Windowsは、Windows Defender Application Guard機能をインストールします。完了すると、コンピュータを再起動するよう促されます。この機能を使用するには、コンピュータを再起動する必要があります。

アプリケーションガードでエッジを起動する方法

Edgeは、デフォルトでは通常のブラウジングモードで動作しますが、アプリケーションガード機能で保護された安全なブラウジングウィンドウを開くことができるようになりました。

そのためには、Microsoft Edgeを通常通り起動し、Edgeで［メニュー］→［新しいアプリケーション保護ウィンドウ］をクリックします。

Microsoft Edgeブラウザの新しい別ウィンドウが開きます。ウィンドウの左上にあるオレンジ色の「Application Guard」の文字が、このブラウザウィンドウがApplication Guardによって保護されていることを知らせています。

ここから別のブラウザウィンドウを開くことができ、プライベートブラウジング用のInPrivateウィンドウも追加で開くことができます。

Application Guardウィンドウには、通常のMicrosoft Edgeブラウザーのアイコンとは異なるタスクバーのアイコンも表示されます。青い縁のある「e」マークとグレーの盾のアイコンが特徴です。

特定の種類のファイルをダウンロードして開く場合、Edgeはドキュメントビューアや他の種類のアプリケーションをアプリケーション保護モードで起動することがあります。アプリケーションがアプリケーション保護モードで動作している場合、そのタスクバーアイコンに同じグレーのブロックアイコンが表示されます。

アプリケーション保護モードでは、Edgeのお気に入りやリーディングリスト機能を使用できません。パソコンをログオフすると、作成したブラウザの履歴も削除されます。お客様がコンピュータをログオフすると、現在のセッションのすべてのクッキーも消去されます。つまり、アプリケーション保護モードの使用を開始するたびに、ウェブサイトに再ログインする必要があります。

また、ダウンロードも非常に限られています。Isolated Edgeブラウザは通常のファイルシステムにアクセスできないため、アプリケーション保護モードでは、システムにファイルをダウンロードしたり、通常のフォルダーからWebサイトにファイルをアップロードしたりできません。PDFなどの閲覧は可能ですが、アプリケーション保護モードでは、.exeファイルを含むほとんどの種類のファイルをダウンロードしたり開いたりすることはできません。ダウンロードしたファイルは、アプリケーションで保護された特別なファイルシステムに保存され、PCをログオフした後に削除されます。

アプリケーション保護ウィンドウは、コピー、ペースト、印刷など、他の機能も無効にします。

マイクロソフトでは、希望に応じてこれらの制限を解除するオプションをいくつか追加していますが、これらはデフォルトの設定です。

Windows Defender アプリケーションガードの設定方法

Windows Defender Application Guardとその制限事項は、グループポリシーで設定することができます。スタンドアロンのWindows 10 Professional PCでApplication Guardを使用する場合は、「スタート」を押し、「gpedit.msc software」と入力し、Enterキーを押すことで実行できます。

(グループポリシーエディターはWindows 10のHome Editionでは利用できませんが、アプリケーション保護機能であるWindows Defenderも利用できません)。

コンピュータの構成] > [管理用テンプレート] > [Windows コンポーネント] > [Windows Defender]を開きます。アプリケーションガード」。

データの永続化」を有効にし、Application Guardによるお気に入り、ブラウザの履歴、Cookieの保存を許可するには、ここで「Windows Defender Application Guardのデータの永続化を許可する」の設定をダブルクリックし、「有効」を選択して「OK」をクリックしてください。ここで "Persistence "の設定を行い、"Enabled "を選択して "OK "をクリックします。Application Guardは、ログオフ後にPCのデータを削除することはありません。

Edgeによる通常のシステムフォルダへのファイルのダウンロードを許可するには、「Windows Defender Application GuardからホストOSへのファイルのダウンロードと保存を許可する」設定をダブルクリックして「有効」に設定します。"をクリックし、"OK "をクリックします。

アプリケーション保護モードでダウンロードしたファイルは、Windowsユーザーアカウントの一般ダウンロードフォルダー内の「信頼できないファイル」フォルダーに保存されます。

通常のシステムクリップボードへのエッジアクセスを有効にするには、「Windows Defenderアプリケーション保護クリップボード設定の構成」オプションをダブルクリックします。有効化]をクリックし、こちらの説明を参考にクリップボードの設定をカスタマイズしてください。たとえば、Application Protection Browser から通常のオペレーティング システム、通常のオペレーティング システムから Application Protection Browser、またはその両方へのクリップボード操作を有効にすることができます。また、テキストコピー、画像コピー、またはその両方を許可するかどうかを選択することができます。終了したらOKをクリックします。

Microsoft では、ホスト オペレーティング システムから Application Protection セッションへのコピーを許可しないことを推奨しています。この場合、アプリケーション保護ブラウザセッションが侵害されると、コンピュータのクリップボードからデータを読み取ることができます。

印刷を有効にするには、「Windows Defenderアプリケーション保護印刷設定の構成」オプションをダブルクリックします。有効化」をクリックし、ここのオプションを使ってプリンター設定をカスタマイズします。例えば、ローカルプリンターへの印刷のみを許可する場合は「4」、PDFファイルへの印刷のみを許可する場合は「2」、ローカルプリンターとPDFファイルへの印刷のみを許可する場合は「6」と入力します。およびPDFファイルです。終了したら「OK」をクリックします。

PDF または XPS ファイルへの印刷が有効な場合、Application Guard はこれらのファイルをホスト オペレーティング システムの通常のファイル システムに保存することを許可します。

これらの設定を変更した後は、コンピュータを再起動しなければ、設定は有効になりません。

グループポリシーエディターには、これらの設定はWindows 10 Enterpriseが必要だと書かれていますが、Windows 10 Professionalでもうまく動作することがわかり、2018年4月にアップデートされました。マイクロソフトの誰かが、ドキュメントの更新を忘れたのかもしれません。

これらのグループポリシー設定についての詳細は、Microsoft社のWindows Defender Application Guardグループポリシーのドキュメントを参照してください。

また、Windows 10のセキュリティ機能に興味がある方は、ファイルを強奪から保護するのに役立つ「Controlled Folder Access」をぜひチェックしてみてください。デフォルトでは、この機能も無効になっています。