【転載】Application Guard for Office はOfficeファイルのマクロ系に結構効果あるからどんどん広まってほしい

hiro_ retweeted: 怪しいファイルを開いて、マクロ警告を無視しても、保護をする新機能出てますぜ！ twitter.com/EurekaBerry/st…:

hiro_ retweeted:

怪しいファイルを開いて、マクロ警告を無視しても、保護をする新機能出てますぜ！ twitter.com/EurekaBerry/st…

--(日本語訳)--

管理者向けOffice用アプリケーションガード（パブリックプレビュー）

Microsoft Defender Application Guard for Office（Application Guard for Office）は、信頼できないファイルが信頼できるリソースにアクセスするのを防ぎ、企業を新しい攻撃から安全に保護します。この記事では、管理者がApplication Guard for Officeのプレビュー用にデバイスをセットアップする方法について説明します。デバイスでApplication Guard for Officeを有効にするためのシステム要件とインストール手順に関する情報を提供します。

前提条件

最小ハードウェア要件

CPU：64ビット、4コア（物理または仮想）、仮想化拡張機能（Intel VT-xまたはAMD-V）、Core i5相当以上を推奨
物理メモリ：8 GB RAM
ハードディスク：システムドライブに10 GBの空き容量（SSD推奨）

最小ソフトウェア要件

Windows 10：Windows 10 Enterpriseエディション、クライアントビルドバージョン2004（20H1）ビルド19041
Office：Office Beta Channel Buildバージョン2008 16.0.13212以降
更新パッケージ：Windows 10の累積的な毎月のセキュリティ更新プログラムKB4571756

システム要件の詳細については、Microsoft Defender Application Guardのシステム要件を参照してください。Office Insider Previewビルドの詳細については、「Office Insiderビルドの展開の開始」を参照してください。

ライセンス要件

Microsoft 365 E5またはMicrosoft 365 E5セキュリティ

Office用アプリケーションガードを展開する

Officeのアプリケーションガードを有効にする

Windows 10の累積的な毎月のセキュリティ更新プログラムKB4571756をダウンロードしてインストールします。
[ Windowsの機能]で[ Microsoft Defender Application Guard]を選択し、[ OK]を選択します。Application Guard機能を有効にすると、システムの再起動が求められます。今すぐ再起動するか、手順3の後で再起動するかを選択できます。
この機能は、管理者として次のPowerShellコマンドを実行して有効にすることもできます。
パワーシェル
```
Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard 
```
Computer Configuration \ Administrative Templates \ Windows Components \ Microsoft Defender Application Guardにある管理モードのMicrosoft Defender Application Guardグループポリシーを探します。[オプション]の値を2または3に設定し、[ OK]または[ 適用]を選択して、このポリシーをオンにします。
または、対応するCSPポリシーを設定できます。
OMA-URI：./Device / Vendor / MSFT / WindowsDefenderApplicationGuard / Settings / AllowWindowsDefenderApplicationGuard
データタイプ：整数
値：2
システムを再起動します。

診断とフィードバックを設定して完全なデータを送信する

この手順により、問題の特定と修正に必要なデータがMicrosoftに確実に届きます。次の手順に従って、Windowsデバイスで診断を有効にします。

[スタート]メニューから[設定]を開きます。
上のWindowsの設定、選択しプライバシーを。
[プライバシー]で、[ 診断とフィードバック]を選択し、[ オプションの診断データ]を選択します。

Windows診断設定の構成について詳しくは、組織でのWindows診断データの構成を参照してください。

Application Guard for Officeが有効になっていて機能していることを確認する

Application Guard for Officeが有効になっていることを確認する前に、ポリシーが展開されているデバイスでWord、Excel、またはPowerPointを起動します。Officeがアクティブ化されていることを確認します。最初にOffice製品をアクティブ化するには、仕事用IDを使用する必要がある場合があります。

Application Guard for Officeが有効になっていることを確認するには、Word、Excel、またはPowerPointを起動して、信頼できないドキュメントを開きます。たとえば、インターネットからダウンロードしたドキュメントや、組織外のユーザーからのメールの添付ファイルを開くことができます。

信頼できないファイルを最初に起動したときに、以下のようなOfficeスプラッシュ画面が表示される場合があります。Application Guard for Officeがアクティブ化され、ファイルが開かれている間、しばらく表示される場合があります。信頼されていないファイルのその後の起動はより速くなるはずです。

ファイルを開くと、ファイルがApplication Guard for Office内で開かれたことを示すいくつかの視覚的なインジケーターが表示されます。

リボンの吹き出し
タスクバーにシールドが付いたアプリケーションアイコン

Office用のApplication Guardを構成する

Officeは、Application Guard for Officeの機能を構成できるようにする次のポリシーをサポートしています。これらのポリシーは、グループポリシーまたはOfficeクラウドポリシーサービスを使用して構成できます。

注意

これらのポリシーはまもなく利用可能になります。また、これらのポリシーを構成すると、Application Guard for Officeで開いたファイルの一部の機能が無効になる場合があります。

OFFICE用のAPPLICATION GUARDを構成する
方針	説明
Officeのアプリケーションガードを無効にする	このポリシーを有効にすると、Word、Excel、およびPowerPointは、Office用のアプリケーションガードの代わりに保護されたビューの分離コンテナーを使用するようになります。このポリシーを使用すると、EdgeでApplication Guardを有効のままにしておくことに問題がある場合に、Application Guard for Officeを一時的に無効にすることができます。
Application Guardで開いたドキュメントのコピー/貼り付けを無効にする	このポリシーを有効にすると、ユーザーは、Application Guard for Officeで開いたドキュメントから、そのドキュメントの外部で開いたドキュメントにコンテンツをコピーして貼り付けることができなくなります。
ユーザーがファイルのApplication Guard保護を削除できないようにする	このポリシーを有効にすると、（Officeアプリケーションエクスペリエンス内で）Application Guard保護を無効にするオプションまたはApplication Guard外のファイルを開くオプションが削除されます。注：ユーザーは、ファイルからWebのマークプロパティを手動で削除するか、ドキュメントを信頼できる場所に移動することで、このポリシーを回避できます。
Application Guardで開いたドキュメントからの印刷を制限する	このポリシーを有効にすると、ユーザーがApplication Guard for Officeで開いたファイルから印刷できるプリンターが制限されます。たとえば、このポリシーを使用して、ユーザーにPDFへの印刷のみを制限することができます。
Application Guardで開いたドキュメントのカメラとマイクへのアクセスをオフにする	このポリシーを有効にすると、Office for Application Guard内のカメラとマイクへのOfficeアクセスが削除されます。

--（以下原文）--

Application Guard for Office (public preview) for admins

Microsoft Defender Application Guard for Office (Application Guard for Office) helps prevent untrusted files from accessing trusted resources, keeping your enterprise safe from new and emerging attacks. This article walks admins through setting up devices for a preview of Application Guard for Office. It provides information about system requirements and installation steps to enable Application Guard for Office on a device.

Prerequisites

Minimum hardware requirements

CPU: 64-bit, 4 cores (physical or virtual), virtualization extensions (Intel VT-x OR AMD-V), Core i5 equivalent or higher recommended
Physical memory: 8-GB RAM
Hard disk: 10 GB of free space on the system drive (SSD recommended)

Minimum software requirements

Windows 10: Windows 10 Enterprise edition, Client Build version 2004 (20H1) build 19041
Office: Office Beta Channel Build version 2008 16.0.13212 or later
Update package: Windows 10 cumulative monthly security updates KB4571756

For detailed system requirements, refer to System requirements for Microsoft Defender Application Guard. To learn more about Office Insider Preview builds, refer to Getting started on deploying Office Insider builds.

Licensing requirements

Microsoft 365 E5 or Microsoft 365 E5 Security

Deploy Application Guard for Office

Enable Application Guard for Office

Download and install Windows 10 cumulative monthly security updates KB4571756.
Select Microsoft Defender Application Guard under Windows Features and select OK. Enabling the Application Guard feature will prompt a system reboot. You can choose to reboot now or after step 3.
The feature can also be enabled by running the following PowerShell command as administrator:
PowerShell
```
Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard 
```
Look for the Microsoft Defender Application Guard in Managed Mode group policy located at Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard. Turn this policy on by setting the value under Options as 2 or 3 then selecting OK or Apply.
Alternatively, you can set the corresponding CSP policy:
OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard
Data type: Integer
Value: 2
Reboot the system.

Set Diagnostics & feedback to send full data

This step ensures that the data necessary to identify and fix problems is reaching Microsoft. Follow these steps to enable diagnostics on your Windows device:

Open Settings from the Start menu.
On Windows Settings, select Privacy.
Under Privacy, select Diagnostics & feedback and select Optional diagnostic data.

For more on configuring Windows diagnostic settings, refer to Configuring Windows diagnostic data in your organization.

Confirm that Application Guard for Office is enabled and working

Before confirming that the Application Guard for Office is enabled, launch Word, Excel, or PowerPoint on a device where the policies have been deployed. Make sure Office is activated. You may need to use your work identity to activate the Office product first.

To confirm that Application Guard for Office is now enabled, launch Word, Excel, or PowerPoint and open an untrusted document. For example, you can open a document downloaded from the internet or an email attachment from someone outside your organization.

On the first launch of an untrusted file, you may see an Office splash screen like the one below. It might show for some time while Application Guard for Office is being activated and the file is being opened. Subsequent launches of untrusted files should be faster.

Upon being opened, the file should display a few visual indicators that the file was opened inside Application Guard for Office:

A callout in the ribbon
The application icon with a shield in the taskbar

Configure Application Guard for Office

Office supports the following policies to enable you to configure the capabilities of Application Guard for Office. These policies can be configured through Group policies or through the Office cloud policy service.

Note

These policies will become available soon. Also, configuring these policies can disable some functionalities for files opened in Application Guard for Office.

CONFIGURE APPLICATION GUARD FOR OFFICE
Policy	Description
Disable Application Guard for Office	Enabling this policy will force Word, Excel, and PowerPoint to use the Protected View isolation container instead of Application Guard for Office. This policy can be used to temporarily disable Application Guard for Office when there are issues in leaving it enabled for Edge.
Disable copy/paste for documents opened in Application Guard	Enabling this policy will prevent a user from copying and pasting content from a document opened in Application Guard for Office to a document opened outside it.
Prevent users from removing Application Guard protection on files	Enabling this policy will remove the option (within the Office application experience) to disable Application Guard protection or open a file outside Application Guard. Note: Users can still bypass this policy by manually removing the mark-of-the-web property from the file or by moving a document to a Trusted location.
Restrict printing from documents opened in Application Guard	Enabling this policy will limit printers a user can print to from a file opened in Application Guard for Office. For example, you can use this policy to restrict users to only print to PDF.
Turn off camera and microphone access for documents opened in Application Guard