最新の Windows Insider Preview と Microsoft 365 Apps Insider を連携させた機能として Application Guard の提供が始まったようです。
まだプレビューなのですが、利用方法が載っていたので使ってみました。
まず Insider の OS と Microsoft 365 Apps を用意します。
また Application Guard 機能を有効化しておきましょう。
用意ができたら、利用するためのレジストリの設定を行います。
HKLM の Policies 内に追記を行います。私の場合新しいキーの追加でした。
以下のコマンドでキーを追加します。
reg add HKLM\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides /v 3457697930 /t REG_DWORD /d 1
reg add HKLM\SYSTEM\CurrentControlSet\Policies\Microsoft\FeatureManagement\Overrides /v 94539402 /t REG_DWORD /d 1
こんな感じの値ができていれば良いようです。
続いてタスクスケジューラーの実行です。
Microsoft Windows Flighting FeatureConfig にある ReconcileFeatures を実行します。
最後に GPO の設定です。
Application Guard を管理モードで有効にする。を 2 か 3 で有効化します。
こんな感じですね。 3 の場合は Edge も Application Guard が有効化されるので注意!
再起動すると、通知エリアに情報が書かれていました。
インターネットからダウンロードしたファイルに反応するので、サンプルの Excel をダウンロードして起動してみましょう。
https://templates.office.com/ja-jp/templates-for-Excel?WT.mc_id=M365-MVP-5002496
こういったところからダウンロードすれば安心ですね。
早速起動したところ、スプラッシュに Application Guard の動作が記されました。
起動が完了するとこんな感じに Application Guard マークが表示されます。
Application Guard で開いたかどうかは右上に表示されます。
当たり前かもしれませんが、この時はプロファイルが読み込まれていないため、自分の名前などが表示されませんでした。
何かを行おうにも全般的に動かせなさそうな感じに。
セルにコピペを行ってみたところ、ちゃんと閉じられました。
ただ、編集した後に保存しようとすると、ローカルディスクへのアクセスは行えるようです。
こういったリダイレクトの機構は素晴らしいですね。
起動時のタスクマネージャーを見てみたところ、一度 Microsoft 365 Apps が起動した後に Officeappguardというプロセスが起動していました。
Microsoft 365 Apps のプロセスはこの後消えてなくなるようです。
ディスクからデータを読んだ後にプロセスを引き渡している感じでしょうか。
リソースモニターにはいるのにタスクマネージャーにはいないという状態が見て取れました。
今までもインターネット経由のファイルは読み取り専用になるなど、安全性重視の作りでしたが、 Application Guard が使えると、さらに動的な確認が行えるようになりそうです。
現在プレビューで、利用には Microsoft 365 E5 などの上位ライセンスが必須となっています。
が、安全性を買うと思えば安いものかと。ぜひ利用を検討してみてはいかがでしょうか。
音楽:天使とロザリオ
