Allen Bernard (Special to ZDNet.com) 翻訳校正: 村上雅章 野崎裕子 2020-08-17 06:30 2017年9月に米信用情報大手のEquifaxがサイバー攻撃を受けて1億4700万人の米国在住者の個人情報が流出したと発表して以来、多くのデータ流出事件がニュースの見出しを飾ってきている。その結果、データプライバシーとデータセキ...
Microsoft Defender Application Guard for Office(Application Guard for Office)は、信頼できないファイルが信頼できるリソースにアクセスするのを防ぎ、企業を新しい攻撃から安全に保護します。この記事では、管理者がApplication Guard for Officeのプレビュー用にデバイスをセットアップする方法について説明します。デバイスでApplication Guard for Officeを有効にするためのシステム要件とインストール手順に関する情報を提供します。
Application Guard for Officeが有効になっていて機能していることを確認する
Application Guard for Officeが有効になっていることを確認する前に、ポリシーが展開されているデバイスでWord、Excel、またはPowerPointを起動します。Officeがアクティブ化されていることを確認します。最初にOffice製品をアクティブ化するには、仕事用IDを使用する必要がある場合があります。
Application Guard for Officeが有効になっていることを確認するには、Word、Excel、またはPowerPointを起動して、信頼できないドキュメントを開きます。たとえば、インターネットからダウンロードしたドキュメントや、組織外のユーザーからのメールの添付ファイルを開くことができます。
信頼できないファイルを最初に起動したときに、以下のようなOfficeスプラッシュ画面が表示される場合があります。Application Guard for Officeがアクティブ化され、ファイルが開かれている間、しばらく表示される場合があります。信頼されていないファイルのその後の起動はより速くなるはずです。
ファイルを開くと、ファイルがApplication Guard for Office内で開かれたことを示すいくつかの視覚的なインジケーターが表示されます。
リボンの吹き出し
タスクバーにシールドが付いたアプリケーションアイコン
Office用のApplication Guardを構成する
Officeは、Application Guard for Officeの機能を構成できるようにする次のポリシーをサポートしています。これらのポリシーは、グループポリシーまたはOfficeクラウドポリシーサービスを使用して構成できます。
注意
これらのポリシーはまもなく利用可能になります。また、これらのポリシーを構成すると、Application Guard for Officeで開いたファイルの一部の機能が無効になる場合があります。
OFFICE用のAPPLICATION GUARDを構成する
方針
説明
Officeのアプリケーションガードを無効にする
このポリシーを有効にすると、Word、Excel、およびPowerPointは、Office用のアプリケーションガードの代わりに保護されたビューの分離コンテナーを使用するようになります。このポリシーを使用すると、EdgeでApplication Guardを有効のままにしておくことに問題がある場合に、Application Guard for Officeを一時的に無効にすることができます。
Application Guardで開いたドキュメントのコピー/貼り付けを無効にする
このポリシーを有効にすると、ユーザーは、Application Guard for Officeで開いたドキュメントから、そのドキュメントの外部で開いたドキュメントにコンテンツをコピーして貼り付けることができなくなります。
このポリシーを有効にすると、ユーザーがApplication Guard for Officeで開いたファイルから印刷できるプリンターが制限されます。たとえば、このポリシーを使用して、ユーザーにPDFへの印刷のみを制限することができます。
Application Guardで開いたドキュメントのカメラとマイクへのアクセスをオフにする
このポリシーを有効にすると、Office for Application Guard内のカメラとマイクへのOfficeアクセスが削除されます。
--(以下原文)--
Application Guard for Office (public preview) for admins
Microsoft Defender Application Guard for Office (Application Guard for Office) helps prevent untrusted files from accessing trusted resources, keeping your enterprise safe from new and emerging attacks. This article walks admins through setting up devices for a preview of Application Guard for Office. It provides information about system requirements and installation steps to enable Application Guard for Office on a device.
Prerequisites
Minimum hardware requirements
CPU: 64-bit, 4 cores (physical or virtual), virtualization extensions (Intel VT-x OR AMD-V), Core i5 equivalent or higher recommended
Physical memory: 8-GB RAM
Hard disk: 10 GB of free space on the system drive (SSD recommended)
Minimum software requirements
Windows 10: Windows 10 Enterprise edition, Client Build version 2004 (20H1) build 19041
Office: Office Beta Channel Build version 2008 16.0.13212 or later
Update package: Windows 10 cumulative monthly security updates KB4571756
Download and install Windows 10 cumulative monthly security updates KB4571756.
Select Microsoft Defender Application Guard under Windows Features and select OK. Enabling the Application Guard feature will prompt a system reboot. You can choose to reboot now or after step 3.
The feature can also be enabled by running the following PowerShell command as administrator:
Look for the Microsoft Defender Application Guard in Managed Mode group policy located at Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard. Turn this policy on by setting the value under Options as 2 or 3 then selecting OK or Apply.
Alternatively, you can set the corresponding CSP policy:
OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Data type: Integer Value: 2
Reboot the system.
Set Diagnostics & feedback to send full data
This step ensures that the data necessary to identify and fix problems is reaching Microsoft. Follow these steps to enable diagnostics on your Windows device:
Open Settings from the Start menu.
On Windows Settings, select Privacy.
Under Privacy, select Diagnostics & feedback and select Optional diagnostic data.
Confirm that Application Guard for Office is enabled and working
Before confirming that the Application Guard for Office is enabled, launch Word, Excel, or PowerPoint on a device where the policies have been deployed. Make sure Office is activated. You may need to use your work identity to activate the Office product first.
To confirm that Application Guard for Office is now enabled, launch Word, Excel, or PowerPoint and open an untrusted document. For example, you can open a document downloaded from the internet or an email attachment from someone outside your organization.
On the first launch of an untrusted file, you may see an Office splash screen like the one below. It might show for some time while Application Guard for Office is being activated and the file is being opened. Subsequent launches of untrusted files should be faster.
Upon being opened, the file should display a few visual indicators that the file was opened inside Application Guard for Office:
A callout in the ribbon
The application icon with a shield in the taskbar
Configure Application Guard for Office
Office supports the following policies to enable you to configure the capabilities of Application Guard for Office. These policies can be configured through Group policies or through the Office cloud policy service.
Note
These policies will become available soon. Also, configuring these policies can disable some functionalities for files opened in Application Guard for Office.
CONFIGURE APPLICATION GUARD FOR OFFICE
Policy
Description
Disable Application Guard for Office
Enabling this policy will force Word, Excel, and PowerPoint to use the Protected View isolation container instead of Application Guard for Office. This policy can be used to temporarily disable Application Guard for Office when there are issues in leaving it enabled for Edge.
Disable copy/paste for documents opened in Application Guard
Enabling this policy will prevent a user from copying and pasting content from a document opened in Application Guard for Office to a document opened outside it.
Prevent users from removing Application Guard protection on files
Enabling this policy will remove the option (within the Office application experience) to disable Application Guard protection or open a file outside Application Guard.
Note: Users can still bypass this policy by manually removing the mark-of-the-web property from the file or by moving a document to a Trusted location.
Restrict printing from documents opened in Application Guard
Enabling this policy will limit printers a user can print to from a file opened in Application Guard for Office. For example, you can use this policy to restrict users to only print to PDF.
Turn off camera and microphone access for documents opened in Application Guard
