Tworzenie i wdrażanie zasad Microsoft Defender Application Guard
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Zasady Microsoft Defender Application Guard (Application Guard) można tworzyć i wdrażać przy użyciu Configuration Manager endpoint protection. Te zasady pomagają chronić użytkowników przez otwieranie niezaufanych witryn internetowych w bezpiecznym izolowanym kontenerze, który nie jest dostępny dla innych części systemu operacyjnego.
Wymagania wstępne
Aby utworzyć i wdrożyć zasady Microsoft Defender Application Guard, należy użyć Windows 10 1709 lub nowszych. Urządzenia Windows 10 lub nowsze, na których są wdrażane zasady, muszą być skonfigurowane przy użyciu zasad izolacji sieci. Aby uzyskać więcej informacji, zobacz omówienie Microsoft Defender Application Guard.
Tworzenie zasad i przeglądanie dostępnych ustawień
W konsoli Configuration Manager wybierz pozycję Zasoby i zgodność.
W obszarze roboczym Zasoby i zgodność wybierz pozycję Przegląd>programu Endpoint Protection>Microsoft Defender Application Guard.
Na karcie Narzędzia główne w grupie Tworzenie kliknij pozycję Utwórz zasady Microsoft Defender Application Guard.
Korzystając z artykułu jako dokumentacji, możesz przeglądać i konfigurować dostępne ustawienia. Configuration Manager umożliwia ustawienie pewnych ustawień zasad:
Na stronie Definicja sieci określ tożsamość firmową i zdefiniuj granicę sieci firmowej.
Uwaga
Windows 10 lub nowsze komputery przechowują tylko jedną listę izolacji sieci na kliencie. Można utworzyć dwa różne rodzaje list izolacji sieci i wdrożyć je na kliencie:
- jeden z systemu Windows Information Protection
- jeden z Microsoft Defender Application Guard
W przypadku wdrożenia obu zasad te listy izolacji sieci muszą być zgodne. Jeśli wdrożysz listy, które nie są zgodne z tym samym klientem, wdrożenie zakończy się niepowodzeniem. Aby uzyskać więcej informacji, zobacz dokumentację systemu Windows Information Protection.
Po zakończeniu zakończ pracę kreatora i wdróż zasady na co najmniej jednym urządzeniu Windows 10 1709 lub nowszym.
Zachowanie aplikacji
Konfiguruje interakcje między urządzeniami hosta i kontenerem Application Guard. Przed Configuration Manager wersji 1802 zachowanie aplikacji i interakcja z hostem znajdowały się na karcie Ustawienia.
- Schowek — w obszarze ustawień przed Configuration Manager 1802
- Dozwolony typ zawartości
- Tekst
- Obrazów
- Dozwolony typ zawartości
- Drukowanie:
- Włączanie drukowania w systemie XPS
- Włączanie drukowania w formacie PDF
- Włączanie drukowania na drukarkach lokalnych
- Włączanie drukowania na drukarkach sieciowych
- Grafika: (począwszy od Configuration Manager wersji 1802)
- Dostęp do wirtualnego procesora graficznego
- Pliki: (począwszy od Configuration Manager wersji 1802)
- Zapisywanie pobranych plików na hoście
- Zasady: (począwszy od Configuration Manager wersji 2207)
- Włączanie lub wyłączanie kamer i mikrofonów
- Certyfikat pasujący do odcisków palca do izolowanego kontenera
Ustawienia interakcji hosta
Konfiguruje zachowanie aplikacji wewnątrz sesji Application Guard. Przed Configuration Manager wersji 1802 zachowanie aplikacji i interakcja z hostem znajdowały się na karcie Ustawienia.
- Innych:
- Zachowywanie danych przeglądarki wygenerowanych przez użytkownika
- Inspekcja zdarzeń zabezpieczeń w izolowanej sesji ochrony aplikacji
Aby edytować ustawienia Application Guard, rozwiń węzeł Endpoint Protection w obszarze roboczym Zasoby i zgodność, a następnie kliknij węzeł Microsoft Defender Application Guard. Kliknij prawym przyciskiem myszy zasady, które chcesz edytować, a następnie wybierz pozycję Właściwości.
Znane problemy
Dotyczy wersji 2203 lub starszej
Na urządzeniach z systemem Windows 10 w wersji 2004 zostaną wyświetlone błędy w raportowaniu zgodności dla kryteriów zaufania plików Microsoft Defender Application Guard. Ten problem występuje, ponieważ niektóre podklasy zostały usunięte z klasy MDM_WindowsDefenderApplicationGuard_Settings01 WMI w Windows 10, wersja 2004. Wszystkie inne ustawienia Microsoft Defender Application Guard będą nadal stosowane, tylko kryteria zaufania plików nie powiedzie się. Obecnie nie ma żadnych obejść, aby pominąć błąd.
Dotyczy wersji 2207 lub nowszej
Włączenie zasad domyślnie nie powoduje zainstalowania funkcji Microsoft Defender Application Guard. Wdróż skrypt programu PowerShell za pośrednictwem programu ConfigMgr na wszystkich odpowiednich maszynach.
Użyj następujących poleceń, aby włączyć funkcję. Enable-WindowsOptionalFeature -online -FeatureName "Windows-Defender-ApplicationGuard"
Następne kroki
Aby uzyskać więcej informacji na temat Microsoft Defender Application Guard, zobacz
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla