Configurare le impostazioni dei criteri di Microsoft Defender Application Guard
Nota
- Microsoft Defender Application Guard, incluse le API di avvio delle app isolate di Windows, verranno deprecate per Microsoft Edge for Business e non verranno più aggiornate. Scaricare il white paper sulla sicurezza di Microsoft Edge for Business per altre informazioni sulle funzionalità di sicurezza di Edge for Business.
- Poiché Application Guard è deprecato, non verrà eseguita una migrazione al manifesto edge V3. Le estensioni corrispondenti e l'app di Windows Store associata non saranno disponibili dopo maggio 2024. Ciò influisce sui browser seguenti: estensione Application Guard - Chrome e estensione Application Guard - Firefox. Se si vuole bloccare i browser non protetti fino a quando non si è pronti per ritirare l'utilizzo di MDAG nell'organizzazione, è consigliabile usare i criteri di AppLocker o il servizio di gestione Di Microsoft Edge. Per altre informazioni, vedere Microsoft Edge e Microsoft Defender Application Guard.
Microsoft Defender Application Guard (Application Guard) funziona con Criteri di gruppo per gestire le impostazioni del computer dell'organizzazione. Tramite Criteri di gruppo hai la possibilità di configurare un'impostazione dei criteri una sola volta, per poi copiarla in molti computer. Ad esempio, è possibile configurare più impostazioni di sicurezza in un oggetto Criteri di gruppo, collegato a un dominio, e quindi applicare tutte queste impostazioni a ogni endpoint del dominio.
Application Guard utilizza sia le impostazioni di isolamento rete sia quelle specifiche dell'applicazione.
Requisiti di licenza ed edizione di Windows
Nella tabella seguente sono elencate le edizioni di Windows che supportano Microsoft Defender Application Guard (MDAG) per la modalità Enterprise Edge e la gestione aziendale:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| No | Sì | No | Sì |
Microsoft Defender Application Guard (MDAG) per la modalità Enterprise Edge e i diritti delle licenze di gestione aziendale vengono concessi dalle licenze seguenti:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| No | Sì | Sì | Sì | Sì |
Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.
Per altre informazioni su Microsoft Defender Application Guard (MDAG) per Edge in modalità autonoma, vedere panoramica Microsoft Defender Application Guard.
Impostazioni di isolamento rete
Queste impostazioni, disponibili in Computer Configuration\Administrative Templates\Network\Network Isolation, consentono di definire e gestire i limiti di rete dell'organizzazione. Application Guard utilizza queste informazioni per trasferire automaticamente tutte le richieste per accedere alle risorse non aziendali nel contenitore Application Guard.
Nota
Per Windows 10, se è stato installato KB5014666 e, per Windows 11, se è KB5014668 installato, non è necessario configurare i criteri di isolamento della rete per abilitare Application Guard per Microsoft Edge in modalità gestita.
Nota
È necessario configurare o l'impostazione Domini di risorse aziendali ospitati nel cloud o Intervalli della rete privata per app sui dispositivi dei dipendenti per attivare correttamente Application Guard con la modalità Enterprise. I server proxy devono essere una risorsa neutra elencata nei domini classificati come criteri aziendali e personali .
| Nome criterio | Versioni supportate | Descrizione |
|---|---|---|
| Intervalli della rete privata per app | Almeno Windows Server 2012, Windows 8 o Windows RT | Elenco delimitato da virgole di intervalli di indirizzi IP che si trovano nella rete aziendale. Gli endpoint inclusi o gli endpoint che sono inclusi in un intervallo di indirizzi IP specificato sono sottoposti a rendering tramite Microsoft Edge e non saranno accessibili dall'ambiente Application Guard. |
| Domini di risorse aziendali ospitati nel cloud | Almeno Windows Server 2012, Windows 8 o Windows RT | Elenco delimitato da pipe (|) delle risorse cloud di dominio. Gli endpoint inclusi sono sottoposti a rendering tramite Microsoft Edge e non saranno accessibili dall'ambiente Application Guard. Questo elenco supporta i caratteri jolly descritti in dettaglio nella tabella Dei caratteri jolly delle impostazioni di isolamento della rete. |
| Domini categorizzati sia come aziendali che come personali | Almeno Windows Server 2012, Windows 8 o Windows RT | Elenco delimitato da virgole di nomi di dominio utilizzati sia come risorse aziendali che come risorse personali. Il rendering degli endpoint inclusi viene eseguito usando Microsoft Edge e sarà accessibile dall'ambiente Edge Application Guard e normale. Questo elenco supporta i caratteri jolly descritti in dettaglio nella tabella Dei caratteri jolly delle impostazioni di isolamento della rete. |
Caratteri jolly delle impostazioni di isolamento della rete
| Value | Numero di punti a sinistra | Significato |
|---|---|---|
contoso.com |
0 | Considera attendibile solo il valore letterale di contoso.com. |
www.contoso.com |
0 | Considera attendibile solo il valore letterale di www.contoso.com. |
.contoso.com |
1 | Considerare attendibile qualsiasi dominio che termina con il testo contoso.com. I siti corrispondenti includono spearphishingcontoso.com, contoso.come www.contoso.com. |
..contoso.com |
2 | Considerare attendibili tutti i livelli della gerarchia di dominio a sinistra del punto. I siti corrispondenti includono shop.contoso.com, us.shop.contoso.com, www.us.shop.contoso.com, ma NOT contoso.com stesso. |
Impostazioni specifiche dell'applicazione
Queste impostazioni, disponibili in Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard, consentono di gestire l'implementazione di Application Guard da parte dell'organizzazione.
| Nome | Versioni supportate | Descrizione | Opzioni |
|---|---|---|---|
| Configurare Microsoft Defender Application Guard impostazioni degli Appunti | Windows 10 Enterprise, 1709 o superiore Windows 10 Education, 1809 o superiore Windows 11 Enterprise e istruzione |
Determina se Application Guard può usare la funzionalità Appunti. | Abilitata. Questa operazione è efficace solo in modalità gestita. Attiva la funzionalità degli Appunti e consente di scegliere se: - Disabilitare completamente la funzionalità degli Appunti quando Virtualization Security è abilitato. - Abilitare la copia di determinati contenuti da Application Guard in Microsoft Edge. - Abilitare la copia di determinati contenuti da Microsoft Edge in Application Guard. Importante: Consentire al contenuto copiato di passare da Microsoft Edge a Application Guard può causare potenziali rischi per la sicurezza e non è consigliato. No o non configurata. Disattiva completamente la funzionalità degli Appunti per Application Guard. |
| Configurare le impostazioni di stampa Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 o superiore Windows 10 Education, 1809 o superiore Windows 11 Enterprise e istruzione |
Determina se Application Guard può usare la funzionalità di stampa. | Abilitata. Questa operazione è efficace solo in modalità gestita. Attiva la funzionalità di stampa e consente di scegliere se: - Abilitare Application Guard per la stampa nel formato XPS. - Abilitare Application Guard per la stampa nel formato PDF. - Abilitare Application Guard per la stampa su stampanti collegate in locale. - Abilitare Application Guard per la stampa da stampanti di rete connesse in precedenza. I dipendenti non possono cercare altre stampanti. No o non configurata. Disattiva completamente la funzionalità di stampa per Application Guard. |
| Consenti il salvataggio permanente | Windows 10 Enterprise, 1709 o superiore Windows 10 Education, 1809 o superiore Windows 11 Enterprise e istruzione |
Determina se i dati vengono mantenuti in sessioni diverse in Microsoft Defender Application Guard. | Abilitata. Questa operazione è efficace solo in modalità gestita. Application Guard salva i file scaricati dall'utente e altri elementi (ad esempio, cookie, Preferiti e così via) per l'uso in sessioni future di Application Guard. No o non configurata. Tutti i dati utente all'interno di Application Guard vengono reimpostati tra le sessioni. NOTA: se in seguito si decide di interrompere il supporto della persistenza dei dati per i dipendenti, è possibile usare l'utilità fornita da Windows per reimpostare il contenitore e rimuovere eventuali dati personali. Per reimpostare il contenitore: |
| Attivare Microsoft Defender Application Guard in modalità gestita | Windows 10 Enterprise, 1709 o superiore Windows 10 Education, 1809 o superiore Windows 11 Enterprise e istruzione |
Determina se attivare Application Guard per Microsoft Edge e Microsoft Office. | Abilitata. Attiva Application Guard per Microsoft Edge e/o Microsoft Office, in conformità alle impostazioni di isolamento della rete, eseguendo il rendering di contenuto non attendibile nel contenitore Application Guard. Application Guard non verrà effettivamente attivato a meno che i prerequisiti e le impostazioni di isolamento della rete necessari non siano già impostati nel dispositivo. Opzioni disponibili: - Abilitare Microsoft Defender Application Guard solo per Microsoft Edge - Abilitare Microsoft Defender Application Guard solo per Microsoft Office - Abilitare Microsoft Defender Application Guard sia per Microsoft Edge che per Microsoft Office Disabilitato. Disattiva Application Guard, consentendo l'esecuzione di tutte le app in Microsoft Edge e Microsoft Office. Nota: Ad Windows 10, se è stato installato KB5014666 e, per Windows 11, se è stato installato KB5014668, non è più necessario configurare i criteri di isolamento della rete per abilitare Application Guard per Edge. |
| Consenti il download dei file nel sistema operativo host | Windows 10 Enterprise o Pro, 1803 o versione successiva Windows 10 Education, 1809 o superiore Windows 11 Enterprise o Pro o Education |
Determina se salvare i file scaricati nel sistema operativo host dal contenitore Microsoft Defender Application Guard. | Abilitata. Consente agli utenti di salvare i file scaricati dal contenitore Microsoft Defender Application Guard nel sistema operativo host. Questa azione crea una condivisione tra l'host e il contenitore che consente anche il caricamento dall'host al contenitore Application Guard. No o non configurata. Gli utenti non sono in grado di salvare i file scaricati da Application Guard nel sistema operativo host. |
| Consentire il rendering con accelerazione hardware per Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 o superiore Windows 10 Education, 1809 o superiore Windows 11 Enterprise e istruzione |
Determina se Microsoft Defender Application Guard esegue il rendering della grafica usando l'accelerazione hardware o software. | Abilitata. Questa operazione è efficace solo in modalità gestita. Microsoft Defender Application Guard usa Hyper-V per accedere all'hardware per la grafica di rendering (GPU) supportato e ad alta sicurezza. Queste GPU migliorano le prestazioni di rendering e la durata della batteria durante l'uso di Microsoft Defender Application Guard, in particolare per la riproduzione di video e altri casi d'uso a elevato utilizzo di grafica. Se questa impostazione è abilitata senza connettere hardware grafico di rendering ad alta sicurezza, Microsoft Defender Application Guard ripristina automaticamente il rendering basato su software (CPU). Importante: L'abilitazione di questa impostazione con dispositivi grafici o driver potenzialmente compromessi potrebbe rappresentare un rischio per il dispositivo host. No o non configurata. Microsoft Defender Application Guard usa il rendering basato su software (CPU) e non carica driver grafici di terze parti né interagisce con hardware grafico connesso. |
| Consentire l'accesso alla fotocamera e al microfono in Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 o superiore Windows 10 Education, 1809 o superiore Windows 11 Enterprise e istruzione |
Determina se consentire l'accesso alla fotocamera e al microfono all'interno Microsoft Defender Application Guard. | Abilitata. Questa operazione è efficace solo in modalità gestita. Le applicazioni all'interno Microsoft Defender Application Guard sono in grado di accedere alla fotocamera e al microfono nel dispositivo dell'utente. Importante: L'abilitazione di questo criterio con un contenitore potenzialmente compromesso potrebbe ignorare le autorizzazioni della fotocamera e del microfono e accedere alla fotocamera e al microfono senza che l'utente ne sia a conoscenza. No o non configurata. Le applicazioni all'interno Microsoft Defender Application Guard non sono in grado di accedere alla fotocamera e al microfono nel dispositivo dell'utente. |
| Consenti Microsoft Defender Application Guard di usare le autorità di certificazione radice dal dispositivo di un utente | Windows 10 Enterprise o Pro, 1809 o versione successiva Windows 10 Education, 1809 o superiore Windows 11 Enterprise o Pro |
Determina se i certificati radice vengono condivisi con Microsoft Defender Application Guard. | Abilitata. I certificati corrispondenti all'identificazione personale specificata vengono trasferiti nel contenitore. Usare una virgola per separare più certificati. No o non configurata. I certificati non vengono condivisi con Microsoft Defender Application Guard. |
| Consenti eventi di controllo in Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 o superiore Windows 10 Education, 1809 o superiore Windows 11 Enterprise e istruzione |
Questa impostazione di criterio consente di decidere se gli eventi di controllo possono essere raccolti da Microsoft Defender Application Guard. | Abilitata. Questa operazione è efficace solo in modalità gestita. Application Guard eredita i criteri di controllo dal dispositivo e registra gli eventi di sistema dal contenitore Application Guard all'host. No o non configurata. I log eventi non vengono raccolti dal contenitore Application Guard. |
Application Guard impostazioni della finestra di dialogo di supporto
Queste impostazioni si trovano in Administrative Templates\Windows Components\Windows Security\Enterprise Customization. Se si verifica un errore, viene visualizzata una finestra di dialogo. Per impostazione predefinita, questa finestra di dialogo contiene solo le informazioni sull'errore e un pulsante per segnalarla a Microsoft tramite l'hub di feedback. Tuttavia, è possibile fornire informazioni aggiuntive nella finestra di dialogo.
Usare Criteri di gruppo per abilitare e personalizzare le informazioni di contatto.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per