panoramica Microsoft Defender Application Guard

Nota

Microsoft Defender Application Guard, incluse le API di avvio delle app isolate di Windows, verranno deprecate per Microsoft Edge for Business e non verranno più aggiornate. Scaricare il white paper sulla sicurezza di Microsoft Edge for Business per altre informazioni sulle funzionalità di sicurezza di Edge for Business.

Microsoft Defender Application Guard (MDAG) è progettato per aiutare a prevenire attacchi vecchi e nuovi emergenti per mantenere produttivi i dipendenti. Usando il nostro approccio di isolamento hardware univoco, l'obiettivo è distruggere il playbook usato dagli utenti malintenzionati rendendo obsoleti i metodi di attacco correnti.

Che cos'è Application Guard e come funziona?

Per Microsoft Edge, Application Guard consente di isolare i siti non attendibili definiti dall'organizzazione, proteggendo l'azienda mentre i dipendenti esplorano Internet. Come amministratore dell'organizzazione, puoi definire quali tra siti Web, risorse del cloud e reti interne sono attendibili. Tutti gli elementi non inclusi nell'elenco sono considerati non attendibili. Se un dipendente passa a un sito non attendibile tramite Microsoft Edge o Internet Explorer, Microsoft Edge apre il sito in un contenitore isolato abilitato per Hyper-V.

Per Microsoft Office, Application Guard impedisce ai file di Word, PowerPoint ed Excel non attendibili di accedere alle risorse attendibili. Application Guard apre file non attendibili in un contenitore isolato abilitato per Hyper-V. Il contenitore Hyper-V isolato è separato dal sistema operativo host. Questo isolamento del contenitore significa che se il sito o il file non attendibile risulta dannoso, il dispositivo host è protetto e l'utente malintenzionato non può accedere ai dati aziendali. Questo approccio, ad esempio, rende il contenitore isolato anonimo, in modo che un utente malintenzionato non può accedere alle credenziali dell'organizzazione del dipendente.

Diagramma dell'isolamento hardware.

Quali tipi di dispositivi deve utilizzare Application Guard?

Application Guard è stato creato per la destinazione di diversi tipi di dispositivi:

  • Desktop aziendali. Questi desktop vengono aggiunti a un dominio e gestiti dall'organizzazione. La gestione della configurazione viene eseguita principalmente tramite Microsoft Configuration Manager o Microsoft Intune. I dipendenti in genere dispongono di privilegi utente standard e utilizzano una rete aziendale cablata con larghezza di banda elevata.

  • Portatili per dispositivi mobili aziendali. Questi laptop vengono aggiunti a un dominio e gestiti dall'organizzazione. La gestione della configurazione viene eseguita principalmente tramite Microsoft Configuration Manager o Microsoft Intune. I dipendenti in genere dispongono di privilegi utente standard e utilizzano una rete aziendale wireless con larghezza di banda elevata.

  • Porta i tuoi portatili per dispositivi mobili (BYOD). Questi portatili di proprietà personale non sono aggiunti al dominio, ma sono gestiti dall'organizzazione tramite strumenti, ad esempio Microsoft Intune. Il dipendente è in genere un amministratore nel dispositivo e utilizza una rete aziendale wireless con larghezza di banda elevata mentre è in ufficio e una rete personale comparabile mentre è a casa.

  • Dispositivi personali. Questi desktop di proprietà personale o portatili mobili non sono aggiunti al dominio o gestiti da un'organizzazione. L'utente è un amministratore del dispositivo e usa una rete personale wireless a larghezza di banda elevata mentre è a casa o una rete pubblica paragonabile all'esterno.

Requisiti di licenza ed edizione di Windows

Nella tabella seguente sono elencate le edizioni di Windows che supportano Microsoft Defender Application Guard (MDAG) per la modalità autonoma edge:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

Microsoft Defender Application Guard (MDAG) per i diritti di licenza in modalità autonoma Edge sono concessi dalle licenze seguenti:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.

Per altre informazioni su Microsoft Defender Application Guard (MDAG) per la modalità Enterprise Edge, configurare le impostazioni dei criteri di Microsoft Defender Application Guard.

Articolo Descrizione
Requisiti di sistema per Microsoft Defender Application Guard Specifica i prerequisiti necessari per installare e usare Application Guard.
Preparare e installare Microsoft Defender Application Guard Vengono fornite istruzioni su come determinare la modalità da utilizzare, autonoma o gestita dall'organizzazione, e come installare Application Guard nell'organizzazione.
Configurare le impostazioni di Criteri di gruppo per Microsoft Defender Application Guard Vengono fornite informazioni sulle impostazioni di Criteri di gruppo e MDM disponibili.
Scenari di test con Microsoft Defender Application Guard nell'azienda o nell'organizzazione Fornisce un elenco di scenari di test suggeriti che è possibile usare per testare Application Guard nell'organizzazione.
Estensione Microsoft Defender Application Guard per i Web browser Descrive l'estensione Application Guard per Chrome e Firefox, inclusi i problemi noti, e una guida alla risoluzione dei problemi
Microsoft Defender Application Guard per Microsoft Office Descrive Application Guard per Microsoft Office, inclusi requisiti hardware minimi, configurazione e una guida alla risoluzione dei problemi
Domande frequenti: Microsoft Defender Application Guard Fornisce risposte alle domande frequenti sulle funzionalità Application Guard, l'integrazione con il sistema operativo Windows e la configurazione generale.
Usare un limite di rete per aggiungere siti attendibili nei dispositivi Windows in Microsoft Intune Limite di rete, una funzionalità che consente di proteggere l'ambiente da siti non considerati attendibili dall'organizzazione.