WindowsDefenderApplicationGuard CSP

企業會使用 WindowsDefenderApplicationGuard (CSP) ,在 Microsoft Defender 應用程式防護 中設定設定。 此 CSP 已新Windows 10版本 1709 中。

下列以樹格式顯示 WindowsDefenderApplicationGuard 組組服務提供者。

./Device/Vendor/MSFT
WindowsDefenderApplicationGuard
----Settings
--------AllowWindowsDefenderApplicationGuard
--------ClipboardFileType
--------ClipboardSettings
--------PrintingSettings
--------BlockNonEnterpriseContent
--------AllowPersistence
--------AllowVirtualGPU
--------SaveFilesToHost
--------CertificateThumbprints
--------AllowCameraMicrophoneRedirection
----Status
----PlatformStatus
----InstallWindowsDefenderApplicationGuard
----Audit
--------AuditApplicationGuard

./Device/Vendor/MSFT/WindowsDefenderApplicationGuard
根節點。 支援的操作為 [取得]。

設定
內部節點。 支援的操作為 [取得]。

設定/AllowWindowsDefenderApplicationGuard
在模式Microsoft Defender 應用程式防護開啟Enterprise模式。

值類型為整數。 支援的操作包括新增、取得、取代和刪除。

下列清單顯示支援的值:

  • 0 - 停用Microsoft Defender 應用程式防護
  • 1 - 僅Microsoft Defender 應用程式防護 Microsoft Edge啟用
  • 2 - 僅在Microsoft Defender 應用程式防護版本 2004 Windows中 (,才能Windows 10隔離)
  • 3 - 啟用 Microsoft Defender 應用程式防護 2004 Microsoft Edge中新增Windows隔離 (的Windows 10和隔離)

設定/剪貼簿FileType
決定可以從主機複製到 Application Guard 環境的內容類型,反之亦然。

值類型為整數。 支援的操作包括新增、取得、取代和刪除。

此策略設定支援Microsoft Edge模式Windows 10 企業版或Windows 10 教育版Microsoft Defender 應用程式防護Enterprise設定。

下列清單顯示支援的值:

  • 1 - 允許複製文字。
  • 2 - 允許複製影像。
  • 3 - 允許複製文字和影像。

ADMX 資訊:

  • GP 英文名稱:設定Microsoft Defender 應用程式防護剪貼簿設定
  • GP 名稱 :AppHVSIClipboardFileType
  • GP 路徑 :Windows元件/Microsoft Defender 應用程式防護
  • GP ADMX 檔案名 :AppHVSI.admx

設定/剪貼簿設定
此策略設定可讓您決定剪貼簿在 Application Guard 中的行為。

值類型為整數。 支援的操作包括新增、取得、取代和刪除。

此策略設定支援Microsoft Edge模式Windows 10 企業版或Windows 10 教育版Microsoft Defender 應用程式防護Enterprise設定。

下列清單顯示支援的值:

  • 0 (預設) - 完全關閉 Application Guard 的剪貼簿功能。
  • 1 - 開啟從隔離會話到主機的剪貼簿作業。
  • 2 - 開啟從主機到隔離會話的剪貼簿作業。
  • 3 - 在兩個方向開啟剪貼簿作業。

重要

允許複製的內容從 Microsoft Edge 進入應用程式防護可能會造成潛在的安全性風險,不建議這麼做。

ADMX 資訊:

  • GP 英文名稱:設定Microsoft Defender 應用程式防護剪貼簿設定
  • GP 名稱 :AppHVSIClipboardSettings
  • GP 路徑 :Windows元件/Microsoft Defender 應用程式防護
  • GP ADMX 檔案名 :AppHVSI.admx

設定/列印設定
此策略設定可讓您決定列印功能在 Application Guard 中的行為。

值類型為整數。 支援的操作包括新增、取得、取代和刪除。

此策略設定支援Microsoft Edge模式Windows 10 企業版或Windows 10 教育版Microsoft Defender 應用程式防護Enterprise設定。

下列清單顯示支援的值:

  • 0 (預設) - 停用所有列印功能。
  • 1 - 僅啟用 XPS 列印。
  • 2 - 僅啟用 PDF 列印。
  • 3 - 同時啟用 PDF 和 XPS 列印。
  • 4 - 僅啟用本地列印。
  • 5 - 同時啟用本地和 XPS 列印。
  • 6 - 同時啟用本地和 PDF 列印。
  • 7 - 啟用本地、PDF 和 XPS 列印。
  • 8 - 僅啟用網路列印。
  • 9 - 同時啟用網路和 XPS 列印。
  • 10 - 啟用網路和 PDF 列印。
  • 11 - 啟用網路、PDF 和 XPS 列印。
  • 12 - 啟用網路和本地列印。
  • 13 - 啟用網路、本地和 XPS 列印。
  • 14 - 啟用網路、本地和 PDF 列印。
  • 15 - 啟用所有列印。

ADMX 資訊:

  • GP 英文名稱:設定Microsoft Defender 應用程式防護列印設定
  • GP 名稱 :AppHVSIPrintingSettings
  • GP 路徑 :Windows元件/Microsoft Defender 應用程式防護
  • GP ADMX 檔案名 :AppHVSI.admx

設定/BlockNonEnterpriseContent
此策略設定可讓您決定網站是否可以在 Internet Explorer 中載入Microsoft Edge內容。

值類型為整數。 支援的操作包括新增、取得、取代和刪除。

此策略設定支援Microsoft Edge模式Windows 10 企業版或Windows 10 教育版Microsoft Defender 應用程式防護Enterprise設定。

下列清單顯示支援的值:

  • 0 (預設) - 內嵌于企業網站中的非企業內容可于 Microsoft Defender 應用程式防護 容器外,直接在 Internet Explorer 和 Microsoft Edge 中開啟。
  • 1 - 內嵌于企業網站上的非企業內容會停止在 Internet Explorer 中開啟,或Microsoft Edge外部Microsoft Defender 應用程式防護。

注意

新的瀏覽器不再支援此Microsoft Edge設定。 該政策將會在未來版本中被棄用和移除。 包含混合內容的網頁 ,包括企業和非企業內容,如果已啟用此功能,可能無法正確載入或完全失敗。

ADMX 資訊:

  • GP 英文名稱 :防止企業網站在 Microsoft Edge Internet Explorer 中載入非企業內容
  • GP 名稱 :BlockNonEnterpriseContent
  • GP 路徑 :Windows元件/Microsoft Defender 應用程式防護
  • GP ADMX 檔案名 :AppHVSI.admx

設定/AllowPersistence
此策略設定可讓您決定資料是否應該在 Application Guard 中跨不同的會話保留。

值類型為整數。 支援的操作包括新增、取得、取代和刪除。

此策略設定支援Microsoft Edge模式Windows 10 企業版或Windows 10 教育版Microsoft Defender 應用程式防護Enterprise設定。

下列清單顯示支援的值:

  • 0 - 應用程式防護會捨棄使用者下載的檔案及其他專案 (例如,在電腦重新開機或使用者登出時,) Cookie、我的最愛等等。
  • 1 - Application Guard 會保存使用者下載的檔案及其他專案 (例如 cookie、我的最愛等) ,供日後的 Application Guard 會話使用。

ADMX 資訊:

  • GP 英文名稱:允許資料暫留Microsoft Defender 應用程式防護
  • GP 名稱 :AllowPersistence
  • GP 路徑 :Windows元件/Microsoft Defender 應用程式防護
  • GP ADMX 檔案名 :AppHVSI.admx

設定/AllowVirtualGPU
Windows 10 (版本 1803) 中的新功能。 此策略設定可讓您判斷 Application Guard 是否可以使用虛擬圖形處理單元 (GPU) 處理圖形。

值類型為整數。 支援的操作包括新增、取得、取代和刪除。

此策略設定支援Microsoft Edge模式Windows 10 企業版Windows 10 教育版Microsoft Defender 應用程式防護Enterprise設定。

如果您啟用這項設定,Microsoft Defender 應用程式防護使用 Hyper-V 存取支援、高安全性的呈現圖形硬體, (US) 。 這些 US 可改善呈現效果和電池使用時間,Microsoft Defender 應用程式防護,尤其是視像播放和其他耗用大量圖形的使用案例。 如果您啟用這項設定時未連接任何高安全性的呈現圖形硬體,Microsoft Defender 應用程式防護會自動還原為軟體型的 CPU (或) 呈現。

下列清單顯示支援的值:

  • 0 (預設) - 無法存取 vGPU,並使用 CPU 支援呈現圖形。 未配置該策略時,與已停用 0 (相同) 。
  • 1 - 開啟從 CPU 存取 vGPU 卸載圖形轉出的功能。 這可在使用圖形豐富的網站或在容器內觀看影片時,建立更快速的體驗。

警告

使用可能遭到入侵的圖形裝置或驅動程式啟用此設定,可能會對主機裝置造成風險。

ADMX 資訊:

  • GP 英文名稱:允許硬體加速呈現Microsoft Defender 應用程式防護
  • GP 名稱 :AllowVirtualGPU
  • GP 路徑 :Windows元件/Microsoft Defender 應用程式防護
  • GP ADMX 檔案名 :AppHVSI.admx

設定/SaveFilesToHost
Windows 10 (版本 1803) 中的新功能。 此策略設定可讓您判斷使用者是否可以選擇從容器的 Edge 下載檔案,並保留檔案從容器到主機作業系統。 這也可以讓使用者在主機作業系統上選擇檔案,然後透過容器的 Edge 上傳檔案。

值類型為整數。 支援的操作包括新增、取得、取代和刪除。

此策略設定支援Microsoft Edge模式Windows 10 企業版Windows 10 教育版Microsoft Defender 應用程式防護Enterprise設定。

下列清單顯示支援的值:

  • 0 (預設) - 使用者無法從容器的 Edge 將檔案下載至主機檔案系統,或將檔案從主機檔案系統上傳到容器中的 Edge。 未配置該策略時,與已停用 0 (相同) 。
  • 1 - 開啟允許使用者從容器的 Edge 下載檔案至主機檔案系統的功能。

ADMX 資訊:

  • GP 英文名稱:允許檔案從主機作業系統下載Microsoft Defender 應用程式防護
  • GP 名稱 :SaveFilesToHost
  • GP 路徑 :Windows元件/Microsoft Defender 應用程式防護
  • GP ADMX 檔案名 :AppHVSI.admx

設定/CertificateThumbprints
新增到 Windows 10 版本 1809。 此策略設定可讓特定裝置層級的根憑證與 Microsoft Defender 應用程式防護共用。

值類型為字串。 支援的操作包括新增、取得、取代和刪除。

此策略設定支援Microsoft Edge模式Windows 10 企業版Windows 10 教育版Microsoft Defender 應用程式防護Enterprise設定。

如果您啟用這項設定,具有比對指定之指紋的憑證會移轉到容器。 您可以使用逗號來分隔要傳輸之每個憑證的指紋,以指定多個憑證。

以下是範例:
b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924

如果您停用或未設定此設定,憑證不會與 Microsoft Defender 應用程式防護共用。

ADMX 資訊:

  • GP 英文名稱 :Microsoft Defender 應用程式防護使用者裝置使用根憑證授權單位
  • GP 名稱: 憑證Thumbprints
  • GP 路徑 :Windows元件/Microsoft Defender 應用程式防護
  • GP ADMX 檔案名 :AppHVSI.admx

注意

若要強制執行此政策,必須重新開機裝置或使用者登入/登出。

設定/AllowCameraMicrophoneRedirection
新增到 Windows 10 版本 1809。 此策略設定可讓您判斷使用者Microsoft Defender 應用程式防護裝置上啟用這些設定時,應用程式是否可以存取裝置上的相機和麥克風。

值類型為整數。 支援的操作包括新增、取得、取代和刪除。

此策略設定支援Microsoft Edge模式Windows 10 企業版Windows 10 教育版Microsoft Defender 應用程式防護Enterprise設定。

如果您啟用此策略設定,Microsoft Defender 應用程式防護內的應用程式將能夠存取使用者裝置上的相機和麥克風。

如果您停用或未設定此策略設定,Microsoft Defender 應用程式防護中的應用程式將無法存取使用者裝置上的相機和麥克風。

下列清單顯示支援的值:

  • 0 (預設) - Microsoft Defender 應用程式防護無法存取裝置相機和麥克風。 未配置該策略時,與已停用 0 (相同) 。
  • 1 - 開啟允許Microsoft Defender 應用程式防護存取裝置相機和麥克風的功能。

重要

如果您開啟此策略設定,遭到入侵的容器可能會忽略相機和麥克風許可權,並存取相機和麥克風,而使用者不知道。 為了避免未經授權的存取,建議您在不需要相機和麥克風隱私權設定時,在使用者的裝置上關閉這些設定。

ADMX 資訊:

  • GP 英文名稱:允許相機和麥克風存取Microsoft Defender 應用程式防護
  • GP 名稱 :AllowCameraMicrophoneRedirection
  • GP 路徑 :Windows元件/Microsoft Defender 應用程式防護
  • GP ADMX 檔案名 :AppHVSI.admx

狀態
會返回位元遮罩,指出裝置上Microsoft Edge和先決條件之 Application Guard 安裝的狀態。

值類型為整數。 支援的操作為 [取得]。

  • 位 0 - 將 Application Guard 啟用為企業管理模式時設為 1。
  • 位 1 - 當用戶端電腦具備 Hyper-V 功能時,設為 1。
  • 位 2 - 當用戶端電腦具有有效的作業系統授權和 SKU 時,設為 1。
  • 位 3 - 在用戶端電腦上安裝 Application Guard 時設為 1。
  • 位 4 - 設定必要的網路隔離策略時設為 1。

重要

如果您透過 Intune 部署 Application Guard,則必須將網路隔離策略配置為啟用應用程式防護Microsoft Edge。

  • 位 5 - 當用戶端電腦符合最低硬體需求時,設為 1。
  • 位 6 - 當系統需要重新開機時設為 1。

PlatformStatus
已新增Windows 10版本 2004。 適用于 Microsoft Office/Generic 平臺。 會返回位元遮罩,指出裝置上 Application Guard 平臺安裝的狀態和先決條件。

值類型為整數。 支援的操作為 [取得]。

  • 位 0 - 將 Application Guard 啟用為企業管理模式時設為 1。
  • 位 1 - 當用戶端電腦具備 Hyper-V 功能時,設為 1。
  • 位 2 - 保留給 Microsoft。
  • 位 3 - 在用戶端電腦上安裝 Application Guard 時設為 1。
  • 位 4 - 保留給 Microsoft。
  • 位 5 - 當用戶端電腦符合最低硬體需求時,設為 1。

安裝 WindowsDefenderApplicationGuard
啟動應用程式防護功能遠端安裝。

支援的操作為取得和執行。

下列清單顯示支援的值:

  • 安裝 - 將啟動功能安裝。
  • 卸載 - 將啟動功能卸載。

稽核
內部節點。 支援的操作為 [取得]。

Audit/AuditApplicationGuard
此策略設定可讓您決定是否可以從 Application Guard 收集稽核事件。

整數中的數值型別。 支援的操作包括新增、取得、取代和刪除。

此策略設定在 Windows 10 企業版 或 Windows 10 教育版 模式Microsoft Defender 應用程式防護支援Enterprise設定。

下列清單顯示支援的值:

  • 0 (預設) - 不會針對 Application Guard 收集稽核事件記錄。
  • 1 - Application Guard 會從系統繼承其稽核策略,並開始稽核 Application Guard 容器的安全性事件。

ADMX 資訊:

  • GP 英文名稱:允許在 Microsoft Defender 應用程式防護
  • GP 名稱 :AuditApplicationGuard
  • GP 路徑 :Windows元件/Microsoft Defender 應用程式防護
  • GP ADMX 檔案名 :AppHVSI.admx