重要: Microsoft Defender Application Guard for Office は非推奨となり、更新されなくなりました。 この非推奨には、Office 用のMicrosoft Defender Application Guardに使用される Windows.Security.Isolation API も含まれています。 保護ビューとWindows Defenderアプリケーションコントロールと共に、Microsoft Defender for Endpoint攻撃面の縮小ルールに移行することをお勧めします。
インターネットやその他の安全でない可能性のある場所にあるファイルには、コンピューターやデータに害をもたらすウイルス、ワーム、その他のマルウェア類が含まれている可能性があります。 ユーザーを保護するために、 Microsoft 365 は、ハードウェア ベースの仮想化を通じてデータの残りの部分から分離されたセキュリティで保護されたコンテナーである Application Guard 内の安全でない可能性がある場所からファイルを開きます。 保護されたビューとは異なり、 Microsoft 365 が Application Guard でファイルを開くときに、コンテナーの外部でファイルを再度開く必要なく、それらのファイルを安全に 読み取り、 編集、 印刷、 保存 できます。
ファイルが安全であると確信していて、Application Guard によってブロックされている何かを行う必要がある場合は、そのファイルから保護を削除することを選択できます。
注: 管理者が [セーフ ドキュメント] を有効にしている場合、ファイルは Endpoint サービスの Microsoft Defender に対して検証され、Application Guard の外部で開く前に悪意があるかどうかを判断します。
[保護ビュー] は、ほとんどの編集機能が無効化されている読み取り専用モードです。 このような安全でない可能性のある場所にあるファイルは、コンピューターを保護するために読み取り専用として保護ビューで開かれます。 保護ビューを使用すると、リスクを抑えながら、ファイルを読んでその内容を確認し、編集を有効にできます。
Application Guard は制限付きモードであり、信頼されていないドキュメントの編集と印刷を制限しながら、コンピューターへのリスクを最小限に抑えることができます。 Office は、ハードウェア ベースの仮想化によってデバイスから分離されたセキュリティで保護されたコンテナーである Application Guard の安全でない可能性がある場所からファイルを開きます。 Office Application Guard でファイルを開くときに、コンテナーの外部でファイルを再度開く必要なく、それらのファイルを安全に読み取り、編集、印刷、保存できます。
保護されたビューと比較して、Application Guard は、セキュリティの強化と、ユーザーの生産性の向上の両方を提供します。
セキュリティ
Application Guard は仮想化ベースのサンドボックスであり、発生する可能性のある信頼されていないドキュメントを分離するために使用されます。 Azure をデスクトップに提供するのと同じテクノロジが提供されます。
信頼されていないドキュメントは、ホスト オペレーティング システムとは別の分離された Hyper-V 対応コンテナーで開きます。 このコンテナーの分離は、ドキュメントが悪意のある場合、ホスト PC が保護され、攻撃者がエンタープライズ データにアクセスできないことを意味します。 たとえば、この方法では分離されたコンテナーが匿名になるため、攻撃者は従業員のエンタープライズ資格情報にアクセスできません。
作業効率化
セキュリティで保護されたコンテナー内でドキュメントを読み取ることができるだけでなく、Application Guard コンテナー内に信頼されていないドキュメントを保持しながら、印刷、コメントとレビュー、軽い編集、保存などの機能を使用できるようになりました。
悪意のない信頼されていないソースからドキュメントが検出された場合、デバイスを危険にさらす心配なく、生産性を維持できます。
悪意のあるドキュメントが発生した場合は、Application Guard 内で安全に分離され、システムの残りの部分は安全です。
Application Guard は、Microsoft 365 E5 または Microsoft 365 E5 モビリティ+ セキュリティ ライセンスをお持ちの組織が利用できます。 それらの組織のユーザーは、最新チャネルまたは月次エンタープライズ チャネルで Microsoft 365 Apps for enterprise を使用している必要があります。
Application Guard でファイルが開かれるのはいつですか?
現在 [保護されたビュー] で開いているファイルは、Application Guard が有効になっている場合、Application Guard で開きます。 以下のものが含まれます。
-
インターネットから送信されたファイル: これは、デバイス上のローカル イントラネットドメインまたは信頼済みサイト ドメインの一部ではないドメイン、組織外の送信者から電子メールの添付ファイルとして受信したファイル、他の種類のインターネット メッセージングまたは共有サービスから受信したファイル、または組織外の OneDrive または SharePoint の場所から開かれたファイルからダウンロードされたファイルを指します。
-
安全でない可能性のある場所のファイルに対して、保護ビューを有効にする: これは、管理者によって割り当てられた、インターネット一時ファイルのフォルダーなどのコンピューター上のフォルダーやネットワークを指します。
注: 組織の OneDrive を含むネットワーク上の場所から開かれたファイルは、Application Guard で読み取り専用で開きます。 このようなファイルのコピーを保存して作業を続行したり、ファイルのソースを信頼している場合は、以下で説明するように保護を削除することができます。
-
ファイル ブロックによってブロックされているファイル: ファイル制限機能により、古い形式のファイルは開かずに保護ビューで開かれ、保存機能とファイルを開く機能が無効になります。 ファイル ブロックについての詳細情報。
ファイルから保護を削除または復元するにはどうすればよいですか?
注意: これは、ファイルとそのソースが信頼できると確信している場合にのみ行います。
Application Guard で許可されていないアクションを実行する場合は、ファイルから Application Guard 保護を削除できます。 保護を削除すると、ファイルは信頼済みドキュメントになります。
Application Guard 保護を削除するには、[ファイル] > [情報] に移動し、[保護の削除] を選択します。
できない場合は、ファイルから Application Guard 保護を削除できないポリシーが組織に展開されている可能性があります。
保護を復元するには
[ファイル] > [オプション] > [セキュリティセンター] > [セキュリティセンターの設定] > [信頼済みドキュメント] の順に移動し、[すべての信頼済みドキュメントをクリア] を選択して、信頼を解除します。
これにより、このデバイスから削除したすべてのドキュメントに対する保護が復元されることに注意してください。
重要: このオプションは、Application Guard環境の外部でのみ使用できます。 Office アプリの新しいインスタンスを開いて、この変更を行います。
Application Guard の設定を変更操作方法
重要:
-
このオプションは、Application Guard環境の外部でのみ使用できます。 Office アプリの新しいインスタンスを開いて、この変更を行います。
-
Application Guard の設定を変更する前に、IT 管理者と話し合うことをお勧めします。
-
[ファイル] > [オプション] の順に移動します。
-
[セキュリティ センター] > [セキュリティ センター設定] > [Application Guard] を選択します。
-
選択した後、[OK] を選択して変更を保存し、セキュリティ センター 設定を終了します。
Application Guard 設定
-
インターネットから送信されたファイルに対して Application Guard を有効にする - インターネット は、悪意のあるファイルの最も一般的なソースであるため、安全でない場所と見なされます。
-
安全でない可能性のある場所のファイルに対して、保護ビューを有効にする - これは、管理者によって割り当てられた、インターネット一時ファイルのフォルダーなどのコンピューター上のフォルダーやネットワークを指します。
-
Outlook 添付ファイルに対して Application Guard を有効にする - 電子メールの添付ファイルは、悪意のあるファイルのもう 1 つの一般的なソースです。
Excel には、次の 2 つの追加設定があります。
-
Application Guard で信頼されていないText-Based ファイル (.csv、.dif、.sylk) を常に開く -有効にした場合、信頼されていない場所から開かれたテキスト ベースのファイルは、常に Application Guard で開かれます。 このポリシー設定を無効にするか、構成しない場合、信頼されていない場所から開かれたテキスト ベースのファイルは通常どおりに開きます。
-
Application Guard で信頼されていないデータベース ファイル (.dbf) を常に開く - 有効な場合、信頼されていない場所から開かれたデータベース ファイルは常に Application Guard で開かれます。 この設定を無効にするか、構成しない場合、信頼されていない場所から開かれたデータベース ファイルは通常どおりに開きます。
これらの設定はすべて、グループ ポリシーまたは [Officeクラウド ポリシー サービス] を使用して管理者が構成することもできます。
Application Guard では、どのようなことを行うことができませんか?
セキュリティ上、Application Guard で実行中に特定の機能を Office アプリケーションで使用することはできません。 以下のものが含まれます。
-
ユーザーの ID へのアクセス。
-
ファイル システム上の任意の場所へのアクセス。
-
ネットワーク分離ポリシーごとに、エンタープライズ セキュリティ境界内に分類されるネットワークの場所 (たとえば、会社のイントラネットまたは "Enterprise" として分類されたドメイン) へのアクセス。
-
Information Rights Management (IRM) によって保護されている CSV、HTML、ファイルは Application Guard で開くことができません。 管理者が組織の [サポートされていないファイルの種類 ] ポリシー設定を構成している場合は、これらのファイルを保護ビューで開くことができるようになります。
Office ポリシー用の Application Guard の構成の詳細について説明します。 -
Application Guard で開かれた Office ドキュメントにリッチ テキスト形式 (RTF) のコンテンツまたは画像を貼り付ける方法は、現在サポートされていません。
これらの機能に依存している可能性がある Office の機能は使用できません。 たとえば、ファイルの共有、スクリーンショットのキャプチャ、ファイル システム内の場所からの画像の挿入、データ ソースへの接続の追加などです。
Add-Ins とマクロはどうでしょうか?
無効になっている組み込み関数に加えて、COM、VSTO、Web アドイン、マクロなど、Office の機能を拡張するすべての機能は Application Guard で無効になっています。
スクリーン リーダーで Application Guard を使用できますか?
Application Guard で開いたファイルには、Microsoft Narrator などの UI オートメーション (UIA) フレームワークを使用するアクセシビリティ ツールを使用してアクセスできます。
