[Intune] Microsoft Defender Application Guard で安全なブラウザ環境を構築する

Intune で設定出来る Microsoft Defender Application Guard について解説していきます。在宅ワークやテレワークが増えてきた昨今では端末管理の仕組みを再検討する必要が発生していると思います。ほとんどの企業が会社のネットワーク上で管理することを想定しているので、在宅ワークやテレワークで利用する時に VPN 経由で管理する必要がありました。Intune で管理すると VPN が不要になるので、余計なシステムが不要になって運用も楽になります。いわゆるゼロトラストと呼ばれるインフラの仕組みになります。ここについては別途語るとして、本記事では Intune の各機能に付いて解説していきます。

Microsoft Defender Application Guard とは？

Microsoft Defender Application Guard (Application Guard) をざっくり説明すると、安全にブラウジングするためのセキュリティ機能になります。その仕組みは、例えば会社内の安全なシステムや信頼されているサイトと信頼されていないサイトを分離し、信頼されていないサイトからのウィルス対策や情報漏洩対策として機能させることができます。

使用感としては、管理者が信頼済み Web サイト、クラウド リソース、内部ネットワークを定義します。 一覧にないものはすべて非信頼と見なされます。 利用者が信頼されていないサイトにアクセスする場合は、Microsoft Edge を使用して、Microsoft Edge は分離された Hyper-V 対応コンテナーでサイトを開きます。

この Hyper-V 対応コンテナーがこの機能の中核となっています。表示されたサイトは見た目上は普通に表示されますが、実際には裏で通常の表示領域とは別の仮想空間を使って表示させることで、PC 内のデータを直接データのやりとりを発生させないようにし、ウィルスの感染を防いだり、情報漏洩を防ぐことができます。つまり悪意あるサイトが攻撃したくても、攻撃したい場所にアクセスできないので、攻撃することができないということになります。

この機能を利用するためのシステム要件

Microsoft Defender Application Guard は、全ての PC で利用できるわけではありません。次の各項目に記載されている要件を満たした PC である必要があります。管理したいと考えている PC が要件を満たしているか？を確認しておきましょう。

ハードウェアの要件

ハードウェア	説明
CPU	最小 4 コア (論理プロセッサ) 、64 ビット
CPU の仮想化拡張機能	Extended Page Tables (第 2 レベルのアドレス変換 (SLAT)__ とも呼ばれます)。 および VBS に対する次のどちらかの仮想化拡張機能: VT-x (Intel) または AMD-V
ハードウェアのメモリ	Microsoft では、少なくとも 8 GB の RAM が必要です
ハード ディスク	5 GB の空き領域、ソリッド ステート ディスク (SSD) を推奨
入出力メモリ管理ユニット (IOMMU) のサポート	必須ではないが、強く推奨

ソフトウェアの要件

ソフトウェア	説明
オペレーティング システム	Windows 10 Enterpriseバージョン 1809 以上  Windows 10 Professionalバージョン 1809 以上  Windows 10 Professionalバージョン 1809 以上のワークステーション エディションの場合  Windows 10 Professional Education エディションバージョン 1809 以上  Windows 10 Educationバージョン 1809 以上  Professionalエディションは、非管理対象デバイスでのみサポートされます。Intune または他のサードパーティのモバイル デバイス管理 (MDM) ソリューションは、MDAG ではサポートProfessionalされません。  Windows 11
Browser	Microsoft Edge
管理システム  (管理対象デバイスの場合のみ)	Microsoft Intuneまたは Microsoft Endpoint Configuration Manager または グループ ポリシー または 現在の、会社全体の Microsoft 以外のモバイル デバイス管理 (MDM) ソリューション。 Mirosoft 以外の MDM ソリューションの詳細については、製品に付属のドキュメントを参照してください。

リンク

Intune で設定できる項目

Active Directory のグループポリシー機能でも設定できますが、本項では Intune で設定できる項目を解説します。設定できる項目は9種類になります。

それでは詳しく各項目を見ていきましょう。

Application Guard

項目名	設定値	規定値
Application Guard	○構成されていません ○Edge に対して有効にする	構成されていません

本機能（Microsoft Defender Application Guard）を有効にするための設定項目です。Intune上ではEdgeのみに対して設定できます。この設定を有効にすることで他の設定を変更することが可能になります。

クリップボードの動作

項目名	設定値	規定値
クリップボードの動作	○構成されていません ○PC からブラウザーへのコピー/貼り付けのみを許可する ○ブラウザーから PC へのコピー/貼り付けのみを許可する ○PC からブラウザーの間でのコピー/貼り付けを許可する ○PC からブラウザーの間でのコピー/貼り付けをブロックする	構成されていません

この設定では PC からブラウザー（Edge）に対してコピーと貼り付けをどのように制御するかを決定します。対象のサイトにたいして何か入力する必要があるときは PC からブラウザー（Edge）のみを許可して、個人情報が表示されるようなシステムの場合は完全ブロックするような制御になるかと思われます。

エンタープライズ サイトの外部コンテンツ

項目名	設定値	規定値
エンタープライズ サイトの外部コンテンツ	○ブロック ○構成されていません	構成されていません

Web フィルタと同じように危険なサイトを表示できないようにします。

仮想ブラウザーからの印刷

項目名	設定値	規定値
仮想ブラウザーからの印刷	○許可 ○構成されていません	構成されていません

Application Guard が機能しているブラウザから印刷する場合に設定します。

印刷の種類

項目名	設定値	規定値
印刷の種類	□PDF □XPS □ローカル プリンター □ネットワーク プリンター	ー

Application Guard が機能しているブラウザから印刷する場合に許可する対象を選択します。複合機などのネットワークプリンターを禁止して PDF の電子媒体として保存することを許可するような設定ができます。

ログの収集

項目名	設定値	規定値
ログの収集	○許可 ○構成されていません	構成されていません

Application Guard に関するログを記録する場合に設定します。障害対応などのためにも設定しておくと良いかもしれません。

ユーザーが生成したブラウザー データを保持する

項目名	設定値	規定値
ユーザーが生成したブラウザー データを保持する	○許可 ○構成されていません	構成されていません

通常のブラウザにも付いているパスワードなどの保存について、 Application Guard が機能しているブラウザでパスワードなどを保存するかどうかを設定します。

グラフィック アクセラレータ

項目名	設定値	規定値
グラフィック アクセラレータ	○有効にする ○構成されていません	構成されていません

Application Guard が機能しているブラウザの表示を早くするときに利用する場合に設定します。ただし、PC のスペックを少し上げておく必要があります。

ホスト ファイル システムにファイルをダウンロードする

項目名	設定値	規定値
ホスト ファイル システムにファイルをダウンロードする	○有効にする ○構成されていません	構成されていません

Application Guard が機能しているブラウザからのコピー/貼り付けではなく、ファイルのダウンロードを行いたいときに設定します。

まとめ

Application Guard の機能を利用すると安全にブラウジングすることができます。制御しすぎるとユーザの利便性が下がったり、管理者側もメンテナンスが大変になるので、コントロールしたい内容をしっかり議論してから設定項目を決めていくのがオススメです。

セキュリティに関する設定になるので、検証はしっかりしておきましょう。

リンク