Microsoft Defender Application Guard の使い方をステップバイステップで解説します。

機密情報を取り扱う仕事をしている場合、または毎日不審なウェブサイトを閲覧している場合は、 Microsoft Defender Application Guard (MDAG) これは、単なる恐怖と大惨事の分かれ目となるWindowsの機能の一つです。単なるウイルス対策プログラムではなく、システムとデータから脅威を隔離する追加のレイヤーとなるのです。

次の行ではっきりとわかるだろう Application Guardとは具体的に何なのか、内部的にはどのように動作するのか、どのデバイスで使用できるのか、そしてどのように設定するのか？ 本稿では、シンプルな導入事例とエンタープライズ規模の導入事例の両方を取り上げます。また、要件、グループポリシー、よくあるエラー、そしてこのテクノロジーを使い始める際に発生する様々なよくある質問についても解説します。

Microsoft Defender Application Guardとは何ですか？また、どのように動作するのですか？

Microsoft Defender Application Guard は、高度なセキュリティ機能であり、 信頼できないウェブサイトやドキュメントを仮想コンテナに隔離する Hyper-Vをベースにしている。個々の攻撃を一つずつ阻止しようとするのではなく、疑わしいデータを格納する小型の「使い捨てコンピュータ」を作成する。

そのコンテナは メインのオペレーティングシステムとは別独自の強化されたWindowsインスタンスを備え、ファイル、認証情報、社内リソースへの直接アクセスは一切ありません。たとえ悪意のあるサイトがブラウザやOfficeの脆弱性を悪用したとしても、被害はその隔離された環境内に留まります。

Microsoft Edgeの場合、Application Guardは、 信頼済みとしてマークされていないドメイン そのコンテナ内で自動的に開きます。Officeの場合も同様で、組織が安全とみなさないソースから送信されたWord、Excel、PowerPointドキュメントも同じように開きます。

重要なのは、この分離がハードウェアによるものであるという点だ。 Hyper-Vは独立した環境を作成する ホストから隔離することで、攻撃者が隔離されたセッションから実際のシステムに移行し、企業データを盗んだり、保存されている認証情報を悪用したりする可能性を大幅に低減します。

さらに、コンテナは匿名環境として扱われます。 ユーザーのクッキー、パスワード、セッションは継承しません。これにより、なりすましやセッション窃盗の手法に頼る攻撃者にとって、活動ははるかに困難になる。

Application Guardの使用が推奨されるデバイスの種類

Application Guardは技術的にはさまざまなシナリオで実行できますが、特に次のような用途向けに設計されています。 企業環境と管理対象デバイスマイクロソフトは、MDAGが最も有効な機器の種類をいくつか区別している。

まず第一にあります ドメイン参加済みエンタープライズデスクトップこれらは通常、Configuration ManagerまたはIntuneで管理されます。これらは一般的なオフィスコンピュータであり、標準ユーザーが利用し、有線社内ネットワークに接続されています。リスクは主に日常的なインターネット閲覧から生じます。

それから、 企業向けノートパソコンこれらもドメインに参加し、中央管理されるデバイスですが、内部または外部のWi-Fiネットワークに接続します。この場合、デバイスが管理されたネットワークから離れ、ホテル、空港、または家庭のネットワークのWi-Fiにさらされるため、リスクが高まります。

もう一つのグループはBYOD（Bring Your Own Device）ノートパソコンです。 会社所有ではないが管理されている個人用機器 Intuneのようなソリューションを通じてアクセスする場合、通常はローカル管理者権限を持つユーザーがアクセスするため、攻撃対象領域が拡大し、企業リソースへのアクセスに隔離機能を利用することがより魅力的になります。

最後に、 完全に管理されていない個人用デバイスこれらは、どのドメインにも属さず、ユーザーが完全に制御できるウェブサイトです。このような場合、Application Guardをスタンドアロンモード（特にEdgeの場合）で使用することで、潜在的に危険なウェブサイトにアクセスする際に、追加の保護レイヤーを提供できます。

必要なWindowsエディションとライセンス

何か設定を始める前に、この点を明確にしておくことが重要です。 Microsoft Defender Application GuardはどのバージョンのWindowsで使用できますか？ そして、どのようなライセンス権を持つのか。

のために Edgeスタンドアロンモード (つまり、高度なエンタープライズ管理を行わずにApplication Guardをブラウザサンドボックスとしてのみ使用する場合)は、Windowsでサポートされています。

• Windowsプロ
• Windowsエンタープライズ
• Windows Pro Education / SE
• Windowsエデュケーション

このシナリオでは、以下のようなライセンスをお持ちの場合、MDAGライセンス権が付与されます。 Windows Pro / Pro Education / SE、Windows Enterprise E3 または E5、および Windows Education A3 または A5実際には、Windows Proを搭載した多くの業務用PCでは、基本的な使用目的で既にこの機能を有効にできます。

のために エッジエンタープライズモードと企業管理 （事前指示やより複雑なシナリオが関係する場合）サポートは縮小されます。

• Windowsエンタープライズ y Windowsエデュケーション このモードでは、アプリケーションガードがサポートされています。
• Windows Pro および Windows Pro Education/SE いいえ 彼らはこの企業向けバージョンをサポートしています。

ライセンスに関しては、このより高度な企業利用には Windows Enterprise E3/E5 または Windows Education A3/A5組織がエンタープライズ版のサブスクリプションなしでPro版のみを使用している場合、Edgeのスタンドアロンモードに制限されます。

システム要件と互換性

Windows版に加えて、Application Guardを安定して動作させるには、以下の条件を満たす必要があります。 一連の技術要件 バージョン、ハードウェア、仮想化サポートに関連する事項。

オペレーティングシステムに関しては、 Windows 10 1809以降 (2018年10月アップデート)または同等のWindows 11バージョンが必要です。サーバーSKUや大幅に機能を縮小したバージョンには対応しておらず、明らかにクライアントコンピュータを対象としています。

ハードウェアレベルでは、機器は ハードウェアベースの仮想化が有効 Hyper-Vは隔離されたコンテナを作成するための重要なコンポーネントであるため、（Intel VT-x/AMD-VのサポートやSLATなどの第2レベルのアドレス変換など）が必要です。このレイヤーがないと、MDAGは安全な環境を構築できません。

また、 互換性のある管理メカニズム エンタープライズソフトウェア要件に詳述されているように、集中管理（例えば、Microsoft IntuneやConfiguration Managerなど）で使用する場合は、Windowsセキュリティインターフェイス自体を使用してください。シンプルな展開の場合は、Windowsセキュリティインターフェイス自体で十分です。

最後に、注意してください Application Guardは現在、非推奨化の過程にあります。 Microsoft Edge for Business については、スタンドアロン アプリケーションに関連する特定の API は今後更新されなくなります。それでもなお、短期および中期的なリスク抑制が必要な環境では、依然として広く利用されています。

ユースケース：安全性と生産性のどちらを優先するか

サイバーセキュリティにおける古典的な問題の一つは、 ユーザーをブロックするのではなく、真に保護するためごく少数の「信頼できる」ウェブサイトのみを許可すれば、リスクは軽減されるが、生産性は著しく低下する。一方、制限を緩和すれば、リスクへの露出度は急激に高まる。

ブラウザは 主な攻撃対象面 この仕事の目的は、未知のウェブサイト、ダウンロード、サードパーティのスクリプト、攻撃的な広告など、さまざまなソースからの信頼できないコンテンツを開くことなので、エンジンをどれだけ改良しても、誰かが悪用しようとする新しい脆弱性が必ず発生します。

このモデルでは、管理者は信頼できると考えるドメイン、IPアドレス範囲、クラウド リソースを正確に定義します。 リストに載っていないものはすべて自動的にコンテナに送られますそこでは、ユーザーはブラウザの不具合が他の内部システムに悪影響を及ぼすことを心配することなく、安心して閲覧できる。

その結果、従業員にとっては比較的柔軟なナビゲーションが可能になるが、 厳重に警備された国境 信頼できない外部世界と、何としても守らなければならない企業環境との間の境界線。

Microsoft Edge の Application Guard の最新機能とアップデート

マイクロソフトは、Chromium ベースのさまざまなバージョンの Microsoft Edge を通じて、 Application Guardの具体的な改善点 ユーザーエクスペリエンスを向上させ、管理者により多くの制御権限を与えることを目的としている。

重要な新機能の1つは コンテナからのファイルアップロードをブロックするEdge 96以降、組織はポリシーを使用して、ユーザーがローカルデバイスからフォームやWebサービスにドキュメントをアップロードすることを隔離されたセッション内で防止できるようになりました。 ApplicationGuardUploadBlockingEnabledこれにより、情報漏洩のリスクが軽減されます。

もう1つの非常に便利な改善点は、 パッシブモードEdge 94以降で利用可能。ポリシーによって有効化されると ApplicationGuardPassiveModeEnabledApplication Guardはサイトリストの強制表示を停止し、機能がインストールされている状態でもユーザーがEdgeを「通常通り」閲覧できるようにします。これは、トラフィックをリダイレクトすることなく、このテクノロジーをすぐに使えるようにするための便利な方法です。

の可能性も追加されました ホストのお気に入りをコンテナと同期するこれは、完全に切り離された2つのブラウジング体験を避けるために多くの顧客が要望したものでした。Edge 91以降、ポリシーは ApplicationGuardFavoritesSyncEnabled これにより、隔離された環境内でも新しいマーカーが均等に出現することが可能になる。

ネットワーク分野では、Edge 91は以下のサポートを組み込んでいます。 コンテナから出るトラフィックにラベルを付ける 指令のおかげで ApplicationGuardTrafficIdentificationEnabledこれにより、企業はプロキシを介してトラフィックを識別およびフィルタリングすることが可能になり、例えばMDAGから閲覧する際に、ごく少数のサイトへのアクセスを制限することができます。

デュアルプロキシ、拡張機能、その他の高度なシナリオ

一部の組織は、より複雑な展開においてアプリケーションガードを使用する必要がある コンテナ輸送を綿密に監視する そして、その隔離された環境内におけるブラウザの機能。

これらのケースでは、Edge は以下をサポートしています。 ダブルプロキシ 安定版バージョン84以降では、ディレクティブを介して設定可能です。 ApplicationGuardContainerProxyこのアイデアは、コンテナから発信されるトラフィックを、ホストが使用するプロキシとは異なる特定のプロキシ経由でルーティングすることで、独立したルールを適用しやすくし、より厳格な検査を可能にするというものです。

顧客から繰り返し寄せられたもう一つの要望は、 コンテナ内で拡張機能を使用するEdge 81以降、これが可能になったため、定義されたポリシーに準拠している限り、広告ブロッカー、社内拡張機能、その他のツールを実行できます。宣言する必要があります。 updateURL ネットワーク分離ポリシーの拡張機能により、Application Guard からアクセス可能な中立的なリソースとみなされます。

受け入れられるシナリオには以下が含まれます。 ホストへの拡張機能の強制インストール これらの拡張機能はコンテナ内に表示され、特定の拡張機能を削除したり、セキュリティ上の理由から望ましくないと判断された拡張機能をブロックしたりすることが可能になります。ただし、ネイティブのメッセージ処理コンポーネントに依存する拡張機能には、この制限は適用されません。 彼らは互換性がありません MDAG内。

構成や動作の問題を診断するために、 特定の診断ページ en edge://application-guard-internalsそこから、例えば、特定のURLがユーザーに実際に適用されているポリシーに基づいて信頼できるとみなされているかどうかなどを確認できます。

最後に、アップデートに関して、新しいMicrosoft Edgeは コンテナ内でも自動的にアップデートされます。ホストブラウザと同じチャネルとバージョンに従います。Edgeの旧バージョンとは異なり、オペレーティングシステムのアップデートサイクルに依存しなくなったため、メンテナンスが大幅に簡素化されました。

WindowsでMicrosoft Defender Application Guardを有効にする方法

互換性のあるコンピューターで実行したい場合は、最初のステップは Windowsの機能を有効にする 対応する。基本的なレベルでは、そのプロセスは非常に単純だ。

最も簡単な方法は、次のコマンドで「ファイル名を指定して実行」ダイアログボックスを開くことです。 勝利+ R、書く appwiz.cpl Enterキーを押すと、「プログラムと機能」パネルに直接移動します。そこから左側に、「Windowsの機能の有効化または無効化」へのリンクがあります。

利用可能なコンポーネントのリストで、エントリを見つける必要があります 「Microsoft Defender Application Guard」 それを選択してください。承認すると、Windows が必要なバイナリをダウンロードまたは有効化し、変更を適用するためにコンピューターを再起動するように促します。

再起動後、適切なバージョンの Edge がインストールされている互換性のあるデバイスでは、 新しいウィンドウまたは個別のタブを開く ブラウザのオプションを通じて、または管理環境においては、信頼できないサイトリストの設定に基づいて自動的に設定されます。

「新しいアプリケーションガードウィンドウ」などのオプションが表示されない場合、またはコンテナが開かない場合は、 あなたが従っている手順は古い可能性があります。これは、お使いのWindowsのエディションがサポートされていない、Hyper-Vが有効になっていない、または組織のポリシーでこの機能が無効になっていることが原因である可能性があります。

グループポリシーを使用したアプリケーションガードの設定

ビジネス環境では、各機器を個別に手動で設定するのではなく、あらかじめ定義されたシステムが使用されます。 グループポリシー（GPO） または、Intune の構成プロファイルを使用してポリシーを一元的に定義します。Application Guard は、ネットワーク分離とアプリケーション固有のパラメーターという 2 つの主要な構成ブロックに依存しています。

ネットワーク分離設定は Computer Configuration\Administrative Templates\Network\Network Isolation例えば、以下のようなものがここで定義されます。 社内ネットワークの範囲とドメインは、企業ドメインとみなされます。これは、信頼できるものと、ゴミ箱に捨てるべきものとの境界線を示すものとなるだろう。

主要な政策の1つは、 「アプリケーション向けプライベートネットワーク間隔」このセクションでは、企業ネットワークに属するIPアドレス範囲をカンマ区切りのリストで指定します。これらの範囲内のエンドポイントは通常のEdgeで開きますが、Application Guard環境からはアクセスできません。

もう一つの重要な政策は 「クラウドホスト型エンタープライズリソースドメイン」文字で区切られたリストを使用する | 組織の内部サービスとして扱うべきSaaSドメインおよびクラウドサービスを指定します。これらはコンテナ外のEdgeでもレンダリングされます。

最後に、 「個人用と仕事用に分類される領域」 これにより、個人用とビジネス用の両方に使用できるドメインを宣言できます。これらのサイトは、必要に応じて通常のEdge環境とApplication Guardの両方からアクセス可能です。

ネットワーク分離設定でのワイルドカードの使用

各サブドメインを1つずつ記述する必要がないように、ネットワーク分離リストは以下をサポートします。 ドメイン名にワイルドカード文字を使用するこれにより、何が信頼できるとみなされるかをより適切に管理できるようになる。

単純に定義すれば contoso.comブラウザは、その特定の値のみを信頼し、その値を含む他のドメインは信頼しません。つまり、ブラウザはその値そのものだけを企業に属するものとして扱います。 正確なルート としない www.contoso.com 変異体もなし。

指定されている場合 www.contoso.comそう その特定のホストのみ 信頼できるものとみなされます。その他のサブドメインなど shop.contoso.com 彼らは仲間外れにされ、最終的にはゴミ箱行きになるかもしれない。

フォーマット .contoso.com （前のピリオド）は、 「contoso.com」で終わるドメインはすべて信頼できます。これには以下が含まれます contoso.com アップ www.contoso.com あるいはチェーンのような spearphishingcontoso.comしたがって、慎重に使用する必要がある。

最後に、もしそれが使用されるならば ..contoso.com (先頭のコロン)、ドメインの左側に位置する階層のすべてのレベルが信頼されます。たとえば、 shop.contoso.com o us.shop.contoso.comしかし ルート「contoso.com」は信頼できません それ自体が重要なのです。それは、企業資源とみなされるものをより精緻に管理する方法です。

メインアプリケーションガード固有の指示

2番目の主要な設定セットは、 Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guardここから国が統治される コンテナの詳細な動作 そして、ユーザーがその中で何ができるか、何ができないか。

最も関連性の高い政策の1つは、 「クリップボードの設定」これは、ホストとアプリケーションガード間でテキストや画像をコピー＆ペーストできるかどうかを制御します。管理モードでは、コンテナからの出力のみを許可したり、逆方向のみを許可したり、クリップボードを完全に無効にしたりすることもできます。

同様に、 「印刷設定」 コンテナからコンテンツを印刷できるかどうか、また印刷できる形式を決定します。PDF、XPS、接続されているローカルプリンター、または定義済みのネットワークプリンターへの印刷を有効にしたり、MDAG内のすべての印刷機能をブロックしたりできます。

選択 「粘り強さを認めよう」 この設定は、ユーザーデータ（ダウンロードしたファイル、Cookie、お気に入りなど）をApplication Guardセッション間で保持するか、環境がシャットダウンされるたびに削除するかを決定します。管理モードでこれを有効にすると、コンテナはこれらの情報を将来のセッションのために保持できます。無効にすると、起動するたびにほぼクリーンな環境になります。

後で永続化を許可しないようにする場合は、このツールを使用できます wdagtool.exe パラメータ付き cleanup o cleanup RESET_PERSISTENCE_LAYER コンテナをリセットし、従業員によって生成された情報を破棄する。

もう一つの重要な政策は 「管理モードでアプリケーションガードを有効にする」このセクションでは、この機能が Microsoft Edge、Microsoft Office、またはその両方に適用されるかどうかを指定します。デバイスが前提条件を満たしていない場合、またはネットワーク分離が構成されている場合、このポリシーは有効になりません（ただし、特定の KB 更新プログラムがインストールされている場合、Edge ではネットワーク分離は不要となる、一部の最新バージョンの Windows を除く）。

ファイル共有、証明書、カメラ、監査

上記の政策に加えて、他にも影響を与える指令があります。 コンテナがホストシステムとどのように関連しているか そして周辺機器も同様です。

政治 「ホストオペレーティングシステムへのファイルのダウンロードを許可する」 これは、隔離された環境からダウンロードしたファイルをホストに保存できるかどうかを決定します。有効にすると、両方の環境間で共有リソースが作成され、ホストからコンテナへの特定のアップロードも可能になります。これは非常に便利ですが、セキュリティの観点から評価する必要があります。

の構成 「ハードウェアアクセラレーションによるレンダリングを有効にする」 vGPU を介して GPU の使用を有効にすることで、特にビデオや負荷の高いコンテンツを再生する際のグラフィック性能が向上します。互換性のあるハードウェアが利用できない場合、Application Guard は CPU レンダリングに切り替わります。ただし、信頼性の低いドライバを搭載したデバイスでこのオプションを有効にすると、ホストへのリスクが高まる可能性があります。

また、以下の指示もあります。 カメラとマイクへのアクセスを許可する コンテナ内で有効にします。これを有効にすると、MDAG 上で動作するアプリケーションがこれらのデバイスを使用できるようになり、隔離された環境からビデオ通話や会議を行うことが容易になりますが、コンテナが侵害された場合に標準のアクセス許可を回避される可能性も生じます。

別のポリシーでは、アプリケーションガードを許可しています。 特定のホストルート認証局を使用するこれは、指定されたフィンガープリントを持つ証明書をコンテナに転送します。この機能を無効にすると、コンテナはこれらの証明書を継承しないため、プライベート認証局に依存する特定の内部サービスへの接続がブロックされる可能性があります。

最後に、のオプション 「監査イベントを許可する」 これにより、コンテナ内で生成されたシステムイベントがログに記録され、デバイスの監査ポリシーが継承されるため、セキュリティチームはホストログからApplication Guard内部で何が起こっているかを追跡できます。

サポートおよびカスタマイズフレームワークとの統合

Application Guardで何らかの問題が発生すると、ユーザーは エラーダイアログボックス デフォルトでは、問題の説明と、フィードバックハブを通じてマイクロソフトに報告するためのボタンのみが表示されます。ただし、この表示はカスタマイズして、社内サポートを円滑に進めることができます。

ルート上 Administrative Templates\Windows Components\Windows Security\Enterprise Customization 管理者が使用できるポリシーがあります サポートサービスの連絡先情報を追加する内部リンクまたは簡単な手順説明。こうすることで、従業員はエラーに気づいた際に、誰に連絡すべきか、どのような手順を踏むべきかをすぐに把握できます。

Application Guardに関するよくある質問とよくある問題

Application Guard の使用により、 繰り返しの質問 実際の導入環境において、特にパフォーマンス、互換性、ネットワーク動作に関して。

最初の質問の1つは、 RAMが4GBしかないデバイスうまくいくシナリオもあるかもしれないが、実際にはコンテナは実質的に並行して動作する別のオペレーティングシステムであるため、パフォーマンスは著しく低下することが多い。

もう一つのデリケートな点は、統合です。 ネットワークプロキシとPACスクリプトPAC ファイルへのアクセスに失敗した際に、「MDAG Browser から外部 URL を解決できません: ERR_CONNECTION_REFUSED」や「ERR_NAME_NOT_RESOLVED」などのメッセージが表示される場合は、通常、コンテナ、プロキシ、および分離ルール間の構成に問題があることを示しています。

また、以下のような問題もあります。 IME（入力メソッドエディタ）はサポートされていません Windowsの一部のバージョンでは、ディスク暗号化ドライバまたはデバイス制御ソリューションとの競合により、コンテナの読み込みが完了しない場合があります。

管理者の中には次のようなエラーに遭遇する人もいます。 「ERROR_VIRTUAL_DISK_LIMITATION」 仮想ディスクに関連する制限がある場合、またはハイパースレッディングなどのテクノロジーを無効化できない場合、間接的にHyper-V、ひいてはMDAGに影響を及ぼします。

また、どのように 特定のサブドメインのみを信頼するドメインリストのサイズ制限、またはコンテナ内で開くサイトに移動したときにホストタブが自動的に閉じる動作を無効にする方法について。

アプリケーションガード、IEモード、Chrome、およびOffice

環境下では Microsoft EdgeのIEモードApplication Guardはサポートされていますが、Microsoftはこのモードでのこの機能の広範な利用は想定していません。IEモードは[特定のアプリケーション/用途]に限定して使用することをお勧めします。 信頼できる内部サイト また、MDAGは外部サイトや信頼できないサイトとみなされるサイトにのみ使用してください。

次のことを確認することが重要です。 IEモードで設定されているすべてのサイトネットワークとその関連IPアドレスは、ネットワーク分離ポリシーにおいて信頼できるリソースとして含める必要があります。そうしないと、両方の機能を組み合わせた際に予期しない動作が発生する可能性があります。

Chromeに関して、多くのユーザーがそれが本当に必要なのかと尋ねています。 Application Guard拡張機能をインストールする答えはノーです。この機能はMicrosoft Edgeにネイティブに統合されており、古いChrome拡張機能はEdgeで使用する際にはサポート対象外となります。

Office 文書の場合、Application Guard は Word、Excel、PowerPointファイルを隔離されたコンテナで開く ファイルが信頼できないと判断された場合、悪意のあるマクロやその他の攻撃経路がホストに到達するのを防ぎます。この保護機能は、他のDefender機能やファイル信頼ポリシーと組み合わせることができます。

グループポリシーオプションの中には、Application Guardで開かれた特定のファイルをユーザーが「信頼」し、安全なファイルとしてコンテナから退出できるようにするものもあります。ただし、この機能は隔離のメリットを損なわないよう、慎重に管理する必要があります。

ダウンロード、クリップボード、お気に入り、拡張機能：ユーザーエクスペリエンス

ユーザーの視点からすると、最も実用的な質問のいくつかは、 コンテナ内でできることとできないこと特にダウンロード、コピー＆ペースト、拡張機能に関して。

Windows 10 Enterprise 1803以降のバージョン（エディションによって多少の違いはあるものの）では、 コンテナからホストへのドキュメントのダウンロードを許可する このオプションは、組織がポリシーで設定した場合にのみ利用可能です。以前のバージョンや、特定のビルドのPro版などでは、このオプションは利用できませんでしたが、PDFまたはXPS形式で印刷し、結果をホストデバイスに保存することは可能でした。

クリップボードに関しては、会社のポリシーで許可されている可能性があります。 BMP形式の画像とテキストがコピーされます 隔離された環境との間でコンテンツをコピーできないという苦情があった場合、通常はこれらのポリシーの見直しが必要になります。

多くのユーザーがなぜ 彼らは自分のお気に入りや拡張機能を見ることができない Application Guard の Edge セッションでこの問題が発生することがあります。これは通常、ブックマークの同期が無効になっているか、MDAG の拡張機能ポリシーが有効になっていないことが原因です。これらのオプションを調整すると、コンテナ内のブラウザーはブックマークと特定の拡張機能を継承できるようになりますが、前述の制限事項は常に存在します。

拡張機能が表示されても「動作しない」ケースもあります。ネイティブのメッセージ処理コンポーネントに依存している場合、その機能はコンテナ内では利用できず、拡張機能の動作が制限されたり、完全に動作しなくなったりします。

グラフィック性能、HDR、ハードウェアアクセラレーション

よく話題になるもう一つのテーマは ビデオ再生やHDRなどの高度な機能 Application Guard 内では、Hyper-V 上で実行されている場合、コンテナが常に GPU 機能に直接アクセスできるとは限りません。

隔離された環境で HDR 再生が正しく機能するためには、 vGPUハードウェアアクセラレーションが有効になっています 高速レンダリングポリシーを適用することで、高速レンダリングが可能になります。そうでない場合、システムはCPUに依存するため、HDRなどの一部のオプションはプレーヤーやウェブサイトの設定に表示されません。

アクセラレーションが有効になっている場合でも、グラフィック ハードウェアが十分に安全または互換性がないと判断された場合、アプリケーション ガードは 自動的にソフトウェアレンダリングに戻るこれはノートパソコンの動作の滑らかさやバッテリー消費量に影響を与える。

一部の展開では、TCP フラグメンテーションと競合の問題が見られました。 なかなか起動しないVPN トラフィックがコンテナを通過する場合、通常はネットワークポリシー、MTU、プロキシ構成を見直し、場合によってはMDAGと既にインストールされている他のセキュリティコンポーネントとの連携方法を調整する必要があります。

サポート、診断、およびインシデント報告

あらゆる努力にもかかわらず、社内で解決できない問題が発生した場合、マイクロソフトは次のように推奨します。 特定のサポートチケットを開く Microsoft Defender Application Guard の場合、診断ページ、関連するイベントログ、およびデバイスに適用されている構成の詳細から事前に情報を収集することが重要です。

ページの使用 edge://application-guard-internalsと組み合わせると 監査イベントが有効になっています そして、次のようなツールのリリース wdagtool.exe通常、これによりサポートチームは問題の原因（ポリシーの定義が不十分な場合、他のセキュリティ製品との競合、ハードウェアの制限など）を特定するのに十分なデータを得ることができます。

これらに加えて、ユーザーはWindowsセキュリティのテクニカルサポートダイアログボックスでエラーメッセージや連絡先情報をカスタマイズできるため、適切な解決策を見つけやすくなります。 誰に頼ればいいのか分からずに困らないようにしましょう コンテナの起動に失敗した場合、または期待どおりに開かない場合。

総じて、Microsoft Defender Application Guardは、ハードウェアの分離、きめ細かなポリシー制御、診断ツールといった強力な機能を組み合わせたものであり、適切に活用すれば、日々の生産性を損なうことなく、信頼できないサイトの閲覧や疑わしいソースからのドキュメントの開封に伴うリスクを大幅に軽減できます。