WDAGのエンタープライズモードは、企業で使用するWebサイト(ローカルおよびクラウド)を事前に定義し、企業用のWebサイトには通常のMicrosoft Edgeや「Internet Explorer(IE)」でのアクセスを提供し、それ以外の信頼できないWebサイトはWDAGによるブラウジングに自動的にリダイレクトします。ローカルとWDAG間のクリップボード使用許可や、WDAGからの印刷設定などを詳細に許可または禁止することもできます(画面4)。
また、エンタープライズモードは、グループポリシーやMicrosoft Intuneなどのモバイルデバイス管理(MDM)サービスを利用して構成および展開することが可能です。グループポリシー(またはローカルコンピューターポリシー)で展開するには、次の2つの場所にあるポリシーを、企業の環境やポリシーに合わせて構成します。
「ネットワーク分離」ポリシーでは、以下の3つの範囲を定義します。
WDAGはこれらのポリシーで構成された企業ネットワークの境界の定義に基づいて、企業以外のリソースにアクセスするための全ての要求をWDAGコンテナに自動的にリダイレクトします。また、WDAG環境からこれらのWebサイトへのアクセスはブロックされるため、ネットワークを介した攻撃リスクが大幅に軽減されます。
「Windows Defender Application Guard」ポリシーでは、エンタープライズモードの有効化、セッション間でのデータの永続化許可(既定は無効)、監査イベントの記録、通常のMicrosoft Edge/IEへの非エンタープライズサイトのコンテンツ読み込み許可(既定は可能)、クリップボードの許可設定(片方向または双方向にテキストとイメージのコピーを許可することが可能。既定は全てをブロック)、印刷設定のカスタマイズ(PDFやXPSへのファイル出力許可、ローカル/リモートプリンタへの印刷許可が可能。既定は全て無効)を構成することができます(画面5)。WDAGとローカルコンピュータ間ではファイルのやりとりはできませんが、PDFまたはXPS形式のファイルに出力するという手段を許可することができます。
WDAGは、Hyper-Vハイパーバイザーを利用し、WDAGコンテナで小さなWindows 10インスタンス(英語版)を動かします。そのため、最適なパフォーマンスを得るには、Hyper-Vのシステム要件に加え、以下のシステム要件を満たしている必要があります。これらの要件を満たしていない場合、既定ではWDAGを有効化できないことがあります。
CPU | x64プロセッサ。4コアを推奨 |
---|---|
メモリ | 8GBを推奨 |
ディスク | 5GB以上の空き。SSDを推奨 |
その他 | Windows 10 Enterprise バージョン1709以降 |
▲WDAGのシステム要件 |
Hyper-Vのシステム要件とは、Intel VT-xまたはAMD-Vのサポートと、第二レベルアドレス変換拡張(Second Level Address Translation:SLAT)のサポートです。これは、VBSのシステム要件でもあります。
WDAGの概念やセットアップ手順については、以下の公式ドキュメントおよびブログを参照してください。
WDAGはWindows 10 Enterprise バージョン1709で正式に利用可能になりましたが、先に指摘したように、本稿執筆時点(2018年1月初旬)では英語(en-us)環境での利用が想定されており、他の言語では正常にセットアップできなかったり、機能しなかったりする場合があります。
例えば、日本語環境では、初期セットアップ時のエラーの問題やキーボード認識(WDAG内は101配列)の問題などがあります。現時点で日本語環境やシステム要件を満たしていない環境でWDAGを評価したい場合は、以下の筆者の個人ブログを参考にしてください。物理コンピュータまたは「入れ子構造の仮想化(Nested Virtualization)」を有効化したHyper-V仮想マシンで評価することが可能です。
岩手県花巻市在住。Microsoft MVP:Cloud and Datacenter Management(Oct 2008 - Sep 2016)。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。Microsoft製品、テクノロジーを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手掛ける。個人ブログは『山市良のえぬなんとかわーるど』。近著は『Windows Server 2016テクノロジ入門−完全版』(日経BP社)。
Copyright © ITmedia, Inc. All Rights Reserved.