WDAG

Question

※前提

在宅環境から、2種類の社内LAN（Web検索を含むOA業務で利用するLAN-aと、一切社外ユーザからのアクセスを禁止したいLAN-b）へ1台の端末からリモートアクセスをする環境を構築するケースを想定しています。アクセス経路を切り分けセキュリティを担保するためWDAG、（あるいはApplicationGuard）利用を検討しています。

 

【質問】

①WDAGとApplicationGuardは同一のものを指すのでしょうか。

 

②厳重なセキュリティ対策が必要なLAN-ｂへのアクセスと、一般的なOA業務サーバがあるLAN-aへのアクセスを切り分けるのにWDAGは有効でしょうか。（WDAGの利用目的と今回のケースは一致しますでしょうか）

 

③通常の Edge / IEでのアクセスとWDAGでのアクセスはどのような仕組みでモード切替を行うのでしょうか。参考となる図がありましたらよろしくお願いします。

 

④VDIの画面転送機能とのメリットの違いについてご教示いただけますでしょうか。VDIもエンド端末とアクセスしたいサーバとの間にVDIサーバを挟む構成のため構成が似ていると考えております。
 

⑤万一、上記①～④へのご回答が難しかった場合、WDAGの機能が分かる一般的な資料だけでもいただけませんでしょうか。
ご多用のところ恐れ入りますがどうぞよろしくお願い致します。

Answer 1

① WDAG = Windows Defender Application Guard です。

② 有効だと思います。

③ URL / ドメイン ベースで Application Guard で起動するサイトと、通常のサイトを判別します（手動での起動も可能）

④ Application Guard は Windows 上に仮想化テクノロジーでホストから分離された実行環境を作成し、その上でブラウザーを動作させる仕組みです。ブラウザーがユーザーのサインインしている Windows のインスタンスと分離されているという点では VDI の画面転送と同じですが、ブラウザーが実行されている場所が（VDI は別のハードウエアまたは仮想化環境上の Windows、Application Guard は同じ Windows 上の仮想化環境）異なります。

⑤ Microsoft Defender Application Guard (Windows 10) - Windows security | Microsoft Docs ここから辿れる資料を一通りご覧になると良いでしょう。

---

Hebikuzure aka Murachi Akira

Answer 2

Murachi様

ご回答下さりありがとうございました。
疑問点を解消できました。

Answer 3

M.SSさん、こんにちは。フォーラムオペレーターのKumoです。
MSDNフォーラムにご投稿くださいましてありがとうございます。

本件、Hebikuzure aka Murachi Akiraさんより参考になる投稿が寄せられたようでなによりです。

［回答としてマーク］機能は設定された投稿が後から参照しやすくなりますので、
同じ問題でお困りの方のためにも参考になった投稿に設定いただけますと幸いです。

お手数ですが、ご協力の程どうかよろしくお願いいたします。

引き続きMSDNフォーラムをご利用いただけますようお願い申し上げます。

---

MSDN/ TechNet Community Support Kumo ～参考になった投稿には「回答としてマーク」をご設定ください。なかった場合は「回答としてマークされていない」も設定できます。同じ問題で後から参照した方が、情報を見つけやすくなりますので、 ご協力くださいますようお願いいたします。また、MSDNサポートに賛辞や苦情がある場合は、MSDNFSF@microsoft.comまでお気軽にお問い合わせください。～