Creare e distribuire criteri di Microsoft Defender Application GuardCreate and deploy Microsoft Defender Application Guard policy

Si applica a: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

È possibile creare e distribuire criteri di Microsoft Defender Application Guard usando Configuration Manager Endpoint Protection.You can create and deploy Microsoft Defender Application Guard (Application Guard) policies by using the Configuration Manager endpoint protection. Questi criteri consentono di proteggere gli utenti aprendo i siti Web non attendibili in un contenitore isolato protetto non accessibile da altre parti del sistema operativo.These policies help protect your users by opening untrusted web sites in a secure isolated container that isn't accessible by other parts of the operating system.

PrerequisitiPrerequisites

Per creare e distribuire criteri di Microsoft Defender Application Guard, è necessario usare la versione Windows 10 Fall Creators Update (1709).To create and deploy a Microsoft Defender Application Guard policy, you must use the Windows 10 Fall Creator's Update (1709). I dispositivi Windows 10 in cui verranno distribuiti i criteri devono essere configurati con criteri di isolamento di rete.The Windows 10 devices to which you deploy the policy must be configured with a network isolation policy. Per altre informazioni, vedere Panoramica di Microsoft Defender Application Guard.For more information, see the Microsoft Defender Application Guard overview.

Creare un criterio e individuare le impostazioni disponibiliCreate a policy, and to browse the available settings

  1. Nella console di Configuration Manager scegliere Asset e conformità.In the Configuration Manager console, choose Assets and Compliance.

  2. Nell'area di lavoro Asset e conformità scegliere Panoramica > Endpoint Protection > Windows Defender Application Guard.In the Assets and Compliance workspace, choose Overview > Endpoint Protection > Windows Defender Application Guard.

  3. Nella scheda Home nel gruppo Crea fare clic su Crea i criteri di Windows Defender Application Guard.In the Home tab, in the Create group, click Create Windows Defender Application Guard Policy.

  4. Usando l'articolo come riferimento, è possibile selezionare e configurare le impostazioni disponibili.Using the article as a reference, you can browse and configure the available settings. Configuration Manager consente di configurare determinate impostazioni dei criteri:Configuration Manager allows you to set certain policy settings:

  5. Nella pagina Definizione di rete specificare l'identità aziendale e definire il limite di rete aziendale.On the Network Definition page, specify the corporate identity, and define your corporate network boundary.

    Nota

    I PC Windows 10 archiviano solo un elenco di isolamento rete nel client.Windows 10 PCs store only one network isolation list on the client. È possibile creare due tipi diversi di elenchi di isolamento di rete e quindi distribuirli nel client:You can create two different kinds of network isolation lists and deploy them to the client:

    • uno da Windows Information Protectionone from Windows Information Protection
    • uno da Microsoft Defender Application Guardone from Microsoft Defender Application Guard

    Se si distribuiscono entrambi i criteri, questi elenchi di isolamento rete devono corrispondere.If you deploy both policies, these network isolation lists must match. Se si distribuiscono elenchi che non corrispondono allo stesso client, la distribuzione avrà esito negativo.If you deploy lists that don't match to the same client, the deployment will fail. Per altre informazioni, vedere la documentazione di Windows Information Protection.For more information, see the Windows Information Protection documentation.

  6. Al termine, completare la procedura guidata e distribuire i criteri in uno o più dispositivi Windows 10 1709.When you're finished, complete the wizard, and deploy the policy to one or more Windows 10 1709 devices.

Impostazioni per l'interazione degli hostHost interaction settings

Configura le interazioni tra i dispositivi host e il contenitore Application Guard.Configures interactions between host devices and the Application Guard container. Prima di Configuration Manager versione 1802, le impostazioni relative al comportamento delle applicazioni e all'interazione degli host si trovavano nella scheda Impostazioni.Before Configuration Manager version 1802, both application behavior and host interaction were under the Settings tab.

  • Appunti: in Impostazioni prima di Configuration Manager 1802Clipboard - Under settings prior to Configuration Manager 1802
    • Tipo di contenuto consentitoPermitted content type
      • TestoText
      • ImmaginiImages
  • Stampa:Printing:
    • Abilitazione della stampa in XPSEnable printing to XPS
    • Abilitazione della stampa in PDFEnable printing to PDF
    • Abilitazione della stampa nelle stampanti localiEnable printing to local printers
    • Abilitazione della stampa nelle stampanti di reteEnable printing to network printers
  • Grafica: (a partire da Configuration Manager versione 1802)Graphics: (starting with Configuration Manager version 1802)
    • Accesso all'unità di elaborazione grafica virtualeVirtual graphics processor access
  • File: (a partire da Configuration Manager versione 1802)Files: (starting with Configuration Manager version 1802)
    • Salvataggio dei file scaricati nell'hostSave downloaded files to host

Impostazioni relative al comportamento delle applicazioniApplication behavior settings

Consentono di configurare il comportamento delle applicazioni all'interno della sessione di Application Guard.Configures application behavior inside the Application Guard session. Prima di Configuration Manager versione 1802, le impostazioni relative al comportamento delle applicazioni e all'interazione degli host si trovavano nella scheda Impostazioni.Before Configuration Manager version 1802, both application behavior and host interaction were under the Settings tab.

  • Contenuto:Content:
    • I siti aziendali possono caricare contenuti non aziendali, ad esempio plug-in di terze parti.Enterprise sites can load non-enterprise content, such as third-party plug-ins.
  • Altro:Other:
    • Conserva i dati del browser generati dall'utenteRetain user-generated browser data
    • Controlla gli eventi di sicurezza nella sessione Application Guard isolataAudit security events in the isolated application guard session

Gestione fileFile management

A partire dalla versione 1906 di Configuration Manager, un'impostazione dei criteri consente agli utenti di considerare attendibili i file che si aprono normalmente in Application Guard.Starting in Configuration Manager version 1906, There's a policy setting that enables users to trust files that normally open in Application Guard. Al termine dell'esecuzione, i file vengono aperti nel dispositivo host anziché in Application Guard.Upon successful completion, the files will open on the host device instead of in Application Guard. Per altre informazioni sui criteri di Application Guard, vedere Configurare le impostazioni dei criteri di Microsoft Defender Application Guard.For more information about the Application Guard policies, see Configure Microsoft Defender Application Guard policy settings.

  • Consenti agli utenti di ritenere attendibili i file aperti in Windows Defender Application Guard: consente all'utente di contrassegnare i file come attendibili.Allow users to trust files that open in Windows Defender Application Guard - Enable the user to mark files as trusted. Quando un file è attendibile, viene aperto nell'host anziché in Application Guard.When a file is trusted, it opens on the host rather than in Application Guard. Si applica ai client Windows 10 versione 1809 o successive.Applies to Windows 10 version 1809 or higher clients.
    • Non consentito: non consente agli utenti di contrassegnare i file come attendibili (impostazione predefinita).Prohibited: Don't allow users to mark files as trusted (default).
    • File checked by antivirus: (File controllati da antivirus) consente agli utenti di contrassegnare i file come attendibili dopo il controllo dell'antivirus.File checked by antivirus: Allow users to mark files as trusted after an antivirus check.
    • Tutti i file: consente agli utenti di contrassegnare qualsiasi file come attendibile.All files: Allow users to mark any file as trusted.

Quando si abilita la gestione dei file, è possibile che vengano visualizzati errori registrati nel log DCMReporting.log del client.When you enable file management, you may see errors logged in the client's DCMReporting.log. Gli errori riportati di seguito in genere non hanno effetto sulle funzionalità:The errors below typically don't effect functionality:

  • Nei dispositivi compatibili:On compatible devices:
    • FileTrustCriteria_condition not found (Impossibile trovare FileTrustCriteria_condition)FileTrustCriteria_condition not found
  • Nei dispositivi non compatibili:On non-compatible devices:
    • FileTrustCriteria_condition not found (Impossibile trovare FileTrustCriteria_condition)FileTrustCriteria_condition not found
    • FileTrustCriteria_condition could not be located in the map (Impossibile trovare FileTrustCriteria_condition nella mappa)FileTrustCriteria_condition could not be located in the map
    • FileTrustCriteria_condition not found in digest (Impossibile trovare FileTrustCriteria_condition nel digest)FileTrustCriteria_condition not found in digest

Per modificare le impostazioni di Application Guard, espandere Endpoint Protection nell'area di lavoro Asset e conformità e quindi fare clic sul nodo Windows Defender Application Guard.To edit Application Guard settings, expand Endpoint Protection in the Assets and Compliance workspace, then click on the Windows Defender Application Guard node. Fare clic con il pulsante destro del mouse sui criteri da modificare e quindi selezionare Proprietà.Right-click on the policy you want to edit, then select Properties.

Problemi notiKnown issues

I dispositivi che eseguono Windows 10, versione 2004 mostreranno errori nella creazione di report di conformità per i criteri di attendibilità file di Microsoft Defender Application Guard.Devices running Windows 10, version 2004 will show failures in compliance reporting for Microsoft Defender Application Guard File Trust Criteria. Questo problema si verifica perché alcune sottoclassi sono state rimosse dalla classe WMI MDM_WindowsDefenderApplicationGuard_Settings01 in Windows 10, versione 2004.This issue occurs because some subclasses were removed from the WMI class MDM_WindowsDefenderApplicationGuard_Settings01 in Windows 10, version 2004. Tutte le altre impostazioni di Microsoft Defender Application Guard verranno comunque applicate. Solo i criteri di attendibilità file non verranno applicati correttamente.All other Microsoft Defender Application Guard settings will still apply, only File Trust Criteria will fail. Non sono attualmente disponibili soluzioni alternative per ignorare l'errore.Currently, there are no workarounds to bypass the error.

Passaggi successiviNext steps

Per altre informazioni su Microsoft Defender Application Guard, vedereFor more information about Microsoft Defender Application Guard, see