Criar e implantar Microsoft Defender Application Guard política

Aplica-se a: Gerenciador de Configurações (branch atual)

Você pode criar e implantar políticas de Microsoft Defender Application Guard (Application Guard) usando a proteção do ponto de extremidade Configuration Manager. Essas políticas ajudam a proteger seus usuários abrindo sites não confiáveis em um contêiner isolado seguro que não é acessível por outras partes do sistema operacional.

Pré-requisitos

Para criar e implantar uma política de Microsoft Defender Application Guard, você deve usar Windows 10 1709 ou posterior. Os dispositivos Windows 10 ou posteriores aos quais você implanta a política devem ser configurados com uma política de isolamento de rede. Para obter mais informações, confira a visão geral Microsoft Defender Application Guard.

Criar uma política e navegar pelas configurações disponíveis

1. No console Configuration Manager, escolha Ativos e Conformidade.

2. No workspace Ativos e Conformidade, escolha Visão geral>proteção>de ponto de extremidade Microsoft Defender Application Guard.

3. Na guia Página Inicial, no grupo Criar, clique em Criar Microsoft Defender Application Guard Política.

4. Usando o artigo como referência, você pode navegar e configurar as configurações disponíveis. Configuration Manager permite definir determinadas configurações de política:

   • Comportamento do aplicativo
   • Configurações de interação do host

5. Na página Definição de Rede , especifique a identidade corporativa e defina seu limite de rede corporativa.

   Observação

   Windows 10 ou computadores posteriores armazenam apenas uma lista de isolamento de rede no cliente. Você pode criar dois tipos diferentes de listas de isolamento de rede e implantá-las no cliente:

   • um do Windows Proteção de Informações
   • um de Microsoft Defender Application Guard

   Se você implantar ambas as políticas, essas listas de isolamento de rede devem corresponder. Se você implantar listas que não correspondem ao mesmo cliente, a implantação falhará. Para obter mais informações, consulte a documentação do Windows Proteção de Informações.

6. Quando terminar, conclua o assistente e implante a política em um ou mais dispositivos Windows 10 1709 ou posteriores.

Comportamento do aplicativo

Configura interações entre dispositivos host e o contêiner Application Guard. Antes de Configuration Manager versão 1802, o comportamento do aplicativo e a interação do host estavam na guia Configurações.

• Área de transferência – Em configurações anteriores a Configuration Manager 1802
  • Tipo de conteúdo permitido
    • Texto
    • Imagens
• Impressão:
  • Habilitar a impressão no XPS
  • Habilitar a impressão para PDF
  • Habilitar a impressão para impressoras locais
  • Habilitar a impressão para impressoras de rede
• Gráficos: (começando com Configuration Manager versão 1802)
  • Acesso ao processador de gráficos virtuais
• Arquivos: (começando com Configuration Manager versão 1802)
  • Salvar arquivos baixados para hospedar
• Políticas: (começando com Configuration Manager versão 2207)
  • Habilitar ou desabilitar câmeras e microfones
  • Certificado que corresponde as impressões digitais ao contêiner isolado

Configurações de interação do host

Configura o comportamento do aplicativo dentro da sessão Application Guard. Antes de Configuration Manager versão 1802, o comportamento do aplicativo e a interação do host estavam na guia Configurações.

• Outros:
  • Reter dados do navegador gerados pelo usuário
  • Auditar eventos de segurança na sessão isolada do application guard

Para editar Application Guard configurações, expanda Proteção de Ponto de Extremidade no workspace Ativos e Conformidade e clique no nó Microsoft Defender Application Guard. Clique com o botão direito do mouse na política que você deseja editar e selecione Propriedades.

Problemas conhecidos

Aplica-se à versão 2203 ou anterior

Dispositivos em execução Windows 10, versão 2004 mostrarão falhas no relatório de conformidade para Microsoft Defender Application Guard Critérios de Confiança de Arquivo. Esse problema ocorre porque algumas subclasses foram removidas da classe MDM_WindowsDefenderApplicationGuard_Settings01 WMI em Windows 10, versão 2004. Todas as outras configurações de Microsoft Defender Application Guard ainda serão aplicadas, somente os Critérios de Confiança de Arquivo falharão. Atualmente, não há soluções alternativas para ignorar o erro.

Aplica-se à versão 2207 ou posterior

Habilitar a política não instala Microsoft Defender Application Guard recurso por padrão. Implante um script do PowerShell por meio do ConfigMgr em todos os computadores aplicáveis.

Use os comandos a seguir para habilitar o recurso. Enable-WindowsOptionalFeature -online -FeatureName "Windows-Defender-ApplicationGuard"

Próximas etapas

Para obter mais informações sobre Microsoft Defender Application Guard, consulte

• Microsoft Defender Application Guard visão geral.
• Microsoft Defender Application Guard perguntas frequentes.