Vorbereiten der Installation von Microsoft Defender Application GuardPrepare to install Microsoft Defender Application Guard

BetrifftApplies to:

Überprüfen der SystemanforderungenReview system requirements

Lesen Sie die System Anforderungen für Microsoft Defender Application Guard , um die Hardware-und Softwareinstallationsanforderungen für Microsoft Defender Application Guard zu überprüfen.See System requirements for Microsoft Defender Application Guard to review the hardware and software installation requirements for Microsoft Defender Application Guard.

Hinweis

Microsoft Defender Application Guard wird in der VMS-und VDI-Umgebung nicht unterstützt.Microsoft Defender Application Guard is not supported on VMs and VDI environment. Zum Testen und Automatisieren auf Computern, die nicht für die Produktion gedacht sind, können Sie WDAG auf einer virtuellen Maschine durch Aktivieren der geschachtelten Hyper-V-Virtualisierung auf dem Host ermöglichen.For testing and automation on non-production machines, you may enable WDAG on a VM by enabling Hyper-V nested virtualization on the host.

Vorbereiten für Microsoft Defender Application GuardPrepare for Microsoft Defender Application Guard

Bevor Sie Microsoft Defender Application Guard installieren und verwenden können, müssen Sie bestimmen, auf welche Weise Sie es in Ihrem Unternehmen verwenden möchten.Before you can install and use Microsoft Defender Application Guard, you must determine which way you intend to use it in your enterprise. Sie können Application Guard im Modus Eigenständig oder Unternehmensverwaltet verwenden.You can use Application Guard in either Standalone or Enterprise-managed mode.

Eigenständiger ModusStandalone mode

Gilt für:Applies to:

  • Windows 10 Enterprise-Edition, Version 1709 oder höherWindows 10 Enterprise edition, version 1709 or higher
  • Windows 10 Pro-Edition, Version 1803Windows 10 Pro edition, version 1803

Mitarbeiter können hardwareisolierte Browsersitzungen ohne Administrator- oder Verwaltungsrichtlinienkonfiguration verwenden.Employees can use hardware-isolated browsing sessions without any administrator or management policy configuration. In diesem Modus müssen Sie Application Guard installieren. Anschließend muss der jeweilige Mitarbeiter Microsoft Edge in Application Guard manuell starten, während er auf nicht vertrauenswürdigen Websites surft.In this mode, you must install Application Guard and then the employee must manually start Microsoft Edge in Application Guard while browsing untrusted sites. Ein Beispiel zur Funktionsweise finden Sie im Testszenario Application Guard im eigenständigen Modus.For an example of how this works, see the Application Guard in standalone mode testing scenario.

Unternehmensverwalteter ModusEnterprise-managed mode

Gilt für:Applies to:

  • Windows 10 Enterprise-Edition, Version 1709 oder höherWindows 10 Enterprise edition, version 1709 or higher

Sie und Ihre Sicherheitsabteilung können Ihre Unternehmensgrenzen definieren, indem Sie vertrauenswürdige Domänen explizit hinzufügen und die Application Guard-Funktionen so anpassen, dass sie Ihre Anforderungen erfüllen bzw. dass Ihre Anforderungen auf den Mitarbeitergeräten erzwungen werden.You and your security department can define your corporate boundaries by explicitly adding trusted domains and by customizing the Application Guard experience to meet and enforce your needs on employee devices. Durch den unternehmensverwalteten Modus werden Browseranforderungen automatisch zum Hinzufügen der Nicht-Unternehmensdomäne(n) im Container umgeleitet.Enterprise-managed mode also automatically redirects any browser requests to add non-enterprise domain(s) in the container.

Im folgenden Diagramm wird der Datenfluss zwischen dem Host-PC und dem isolierten Container gezeigt.The following diagram shows the flow between the host PC and the isolated container. Flussdiagramm für Bewegung zwischen Microsoft Edge und Application Guard

Installieren von Application GuardInstall Application Guard

Die Application Guard-Funktion ist standardmäßig deaktiviert.Application Guard functionality is turned off by default. Sie können die Funktion jedoch schnell über die Systemsteuerung, PowerShell oder über die mobile Geräteverwaltung (Mobile Device Management, MDM) auf den Geräten Ihrer Mitarbeiter installieren.However, you can quickly install it on your employee's devices through the Control Panel, PowerShell, or your mobile device management (MDM) solution.

So installieren Sie die Funktion über die SystemsteuerungTo install by using the Control Panel

  1. Öffnen Sie die Systemsteuerung, klicken Sie auf Programme und dann auf Windows-Funktionen ein- oder ausschalten.Open the Control Panel, click Programs, and then click Turn Windows features on or off.

    Windows-Features, Aktivieren des Microsoft Defender Application Guard

  2. Aktivieren Sie das Kontrollkästchen neben Microsoft Defender Application Guard , und klicken Sie dann auf OK.Select the check box next to Microsoft Defender Application Guard and then click OK.

    Application Guard und die zugehörigen zugrunde liegenden Abhängigkeiten werden allesamt installiert.Application Guard and its underlying dependencies are all installed.

So installieren Sie die Funktion mithilfe der PowerShellTo install by using PowerShell

Hinweis

Stellen Sie vor diesem Schritt sicher, dass Ihre Geräte alle Systemanforderungen erfüllen.Ensure your devices have met all system requirements prior to this step. PowerShell installiert das Feature, ohne die Systemanforderungen zu prüfen.PowerShell will install the feature without checking system requirements. Wenn Ihre Geräte die Systemanforderungen nicht erfüllen, funktioniert Application Guard möglicherweise nicht.If your devices don't meet the system requirements, Application Guard may not work. Dieser Schritt wird nur für unternehmensverwaltete Szenarien empfohlen.This step is recommended for enterprise managed scenarios only.

  1. Klicken Sie auf das Symbol Suchen oder Cortana auf der Windows10-Taskleiste, und geben Sie PowerShell ein.Click the Search or Cortana icon in the Windows 10 taskbar and type PowerShell.

  2. Klicken Sie mit der rechten Maustaste auf Windows PowerShell, und klicken Sie dann auf Als Administrator ausführen.Right-click Windows PowerShell, and then click Run as administrator.

    Die Windows PowerShell wird mit Administratorberechtigungen geöffnet.Windows PowerShell opens with administrator credentials.

  3. Geben Sie den folgenden Befehl ein:Type the following command:

    Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
    
  4. Starten Sie das Gerät neu.Restart the device.

    Application Guard und die zugehörigen zugrunde liegenden Abhängigkeiten werden allesamt installiert.Application Guard and its underlying dependencies are all installed.

So installieren Sie die Funktion mithilfe von IntuneTo install by using Intune

Wichtig

Vergewissern Sie sich, dass die Geräte Ihrer Organisation die Anforderungen erfüllen und in Intune registriert sind.Make sure your organization's devices meet requirements and are enrolled in Intune.

Registrieren von Geräten bei Intune

  1. Wechseln Sie zu https://endpoint.microsoft.com, und melden Sie sich an.Go to https://endpoint.microsoft.com and sign in.

  2. Wählen Sie Geräte > Konfigurationsprofile > + Profil erstellen aus, und gehen Sie folgendermaßen vor:Choose Devices > Configuration profiles > + Create profile, and do the following:

    1. Wählen Sie Windows10 und höher aus der Liste Plattform aus.In the Platform list, select Windows 10 and later.

    2. Wählen Sie Endpunktschutz aus der Liste Profil aus.In the Profile list, select Endpoint protection.

    3. Wählen Sie Erstellen aus.Choose Create.

  3. Legen Sie die folgenden Einstellungen für das Profil fest:Specify the following settings for the profile:

    • Name und BeschreibungName and Description

    • Wählen Sie im Abschnitt Wählen Sie eine Kategorie aus, um Einstellungen zu konfigurieren die Option Microsoft Defender Application Guard aus.In the Select a category to configure settings section, choose Microsoft Defender Application Guard.

    • Wählen Sie aus der Liste Application Guard die Option Für Edge aktiviert aus.In the Application Guard list, choose Enabled for Edge.

    • Wählen Sie Ihre Einstellungen für Verhalten der Zwischenablage, Externer Inhalt und die restlichen Einstellungen aus.Choose your preferences for Clipboard behavior, External content, and the remaining settings.

  4. Wählen Sie OK und dann erneut OK aus.Choose OK, and then choose OK again.

  5. Überprüfen Sie Ihre Einstellungen, und wählen Sie dann Erstellen aus.Review your settings, and then choose Create.

  6. Wählen Sie Aufgaben aus, und gehen Sie dann folgendermaßen vor:Choose Assignments, and then do the following:

    1. Wählen Sie auf der Registerkarte Einschließen in der Liste Zuweisen an eine Option aus.On the Include tab, in the Assign to list, choose an option.

    2. Wenn Sie über Geräte oder Benutzer verfügen, die Sie aus Schutzprofil dieses Endpunkts ausschließen möchten, geben Sie diese auf der Registerkarte Ausschließen an.If you have any devices or users you want to exclude from this endpoint protection profile, specify those on the Exclude tab.

    3. Klicken Sie auf Speichern.Click Save.

Nachdem das Profil erstellt wurde, ist für alle Geräte, auf die die Richtlinie angewendet werden soll, Microsoft Defender Application Guard aktiviert.After the profile is created, any devices to which the policy should apply will have Microsoft Defender Application Guard enabled. Möglicherweise müssen die Benutzer ihre Geräte neu starten, damit der Schutz wirksam wird.Users might have to restart their devices in order for protection to be in place.