設定 Microsoft Defender 應用程式防護原則設定

發行項
03/19/2024
適用於:

✅ Windows 11, ✅ Windows 10

注意

Microsoft Defender 應用程式防護，包括 Windows 隔離應用程式啟動器 API，將會淘汰商務用 Microsoft Edge，且將不再更新。請下載商務用 Microsoft Edge 安全性白皮書，以深入瞭解商務用 Edge 安全性功能。
因為應用程式防護已被取代，所以不會移轉至Edge指令清單 V3。 2024 年 5 月之後將無法使用對應的擴充功能和相關聯的 Windows 市集應用程式。這會影響下列瀏覽器：應用程式防護延伸模組 - Chrome 和 應用程式防護延伸模組 - Firefox。如果您想要封鎖未受保護的瀏覽器，直到您準備好淘汰企業中的 MDAG 使用量為止，建議您使用 AppLocker 原則或 Microsoft Edge 管理服務。如需詳細資訊，請參閱 Microsoft Edge 和 Microsoft Defender 應用程式防護。

Microsoft Defender 應用程式防護 (應用程式防護) 與群組原則搭配使用，以協助您管理組織的計算機設定。使用群組原則可讓您在設定原則設定一次後，將該設定複製到多部電腦上。例如，您可以在連結至網域的群組原則 Object 中設定多個安全性設定，然後將所有這些設定套用至網域中的每個端點。

應用程式防護使用網路隔離和應用程式特定的設定。

Windows 版本和授權需求

下表列出支援適用於Edge企業模式和企業管理 Microsoft Defender 應用程式防護 (MDAG) 的 Windows 版本：

Windows 專業版	Windows 企業版	Windows 專業教育版/SE	Windows 教育版
否	是	否	是

Microsoft Defender 應用程式防護 (Edge 企業模式和企業管理授權權利的 MDAG) 由下列授權授與：

Windows 專業版/專業教育版/SE	Windows 企業版 E3	Windows 企業版 E5	Windows 教育版 A3	Windows 教育版 A5
否	是	是	是	是

如需 Windows 授權的詳細資訊，請參閱 Windows 授權概觀。

如需在獨立模式中 Microsoft Defender 應用程式防護 (MDAG) Edge 的詳細資訊，請參閱 Microsoft Defender 應用程式防護概觀。

網路隔離設定

這些設定位於 Computer Configuration\Administrative Templates\Network\Network Isolation，可協助您定義和管理組織的網路界限。應用程式防護使用此資訊將任何存取非公司資源的要求自動傳送到應用程式防護容器中。

注意

針對 Windows 10，如果您已安裝KB5014666，而針對 Windows 11，如果您已安裝KB5014668，則不需要設定網路隔離原則，即可在受控模式中啟用 Microsoft Edge 的應用程式防護。

注意

您必須在您的員工的裝置上設定雲端裝載的企業資源網域或供應用程式設定的私人網路範圍其中之一，才能成功的使用企業模式開啟應用程式防護。 Proxy 伺服器必須是列在網域中的中性資源，並分類 為工作和個人 原則。

原則名稱	支援版本	描述
供應用程式使用的私人網路範圍	至少要是 Windows Server 2012、Windows 8，或 Windows RT	您的公司網路中的 IP 位址範圍清單，以逗號為分隔。包含的端點或包含在指定 IP 位址範圍中的端點，會使用 Microsoft Edge 轉譯且無法從應用程式防護環境中存取。
裝載於雲端的企業資源網域	至少要是 Windows Server 2012、Windows 8，或 Windows RT	管線分隔 (`\|`) 網域雲端資源清單。包含的端點會使用 Microsoft Edge 轉譯，而且無法從應用程式防護環境存取。此清單支援網路隔離設定通配符數據表中詳述的通配符。
同時分類為工作與私人的網域	至少要是 Windows Server 2012、Windows 8，或 Windows RT	同時作為工作和私人資源使用的網域名稱清單，以逗號為分隔。包含的端點會使用 Microsoft Edge 轉譯，並可從應用程式防護和一般 Edge 環境存取。此清單支援網路隔離設定通配符數據表中詳述的通配符。

網路隔離設定通配符

值	左邊的點數	意義
`contoso.com`	0	只信任的 `contoso.com`常值。
`www.contoso.com`	0	只信任的 `www.contoso.com`常值。
`.contoso.com`	1	信任任何以文字 `contoso.com`結尾的網域。相符的網站包括 `spearphishingcontoso.com`、 `contoso.com`與 `www.contoso.com`。
`..contoso.com`	2	信任點左側的所有網域階層層級。相符的網站包括 `shop.contoso.com`、 `us.shop.contoso.com`、 `www.us.shop.contoso.com`，但 NOT `contoso.com` 本身。

應用程式特定的設定

這些設定位於 Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard，可協助您管理貴組織的應用程式防護實作。

名稱	支援版本	說明	選項
設定 Microsoft Defender 應用程式防護剪貼簿設定	Windows 10 企業版，1709 或更高版本 Windows 10 教育版，1809 或更高版本 Windows 11 企業版和教育版	判斷應用程式防護是否可以使用剪貼簿功能。	啟用。這只有在受控模式中才有效。開啟剪貼簿功能，並讓您選擇是否要另外： - 啟用虛擬化安全性時，完全停用剪貼簿功能。 - 啟用將特定內容從應用程式防護複製到 Microsoft Edge。 - 啟用將特定內容從 Microsoft Edge 複製到應用程式防護。重要：允許複製的內容從 Microsoft Edge 移至應用程式防護可能會造成潛在的安全性風險，而且不建議這麼做。停用或未設定。完全關閉應用程式防護的剪貼簿功能。
設定 Microsoft Defender 應用程式防護列印設定	Windows 10 企業版，1709 或更高版本 Windows 10 教育版，1809 或更高版本 Windows 11 企業版和教育版	判斷應用程式防護是否可以使用列印功能。	啟用。這只有在受控模式中才有效。開啟列印功能，並讓您選擇是否要另外： - 啟用應用程式防護以列印成 XPS 格式。 - 啟用應用程式防護以列印成 PDF 格式。 - 啟用應用程式防護以印表到本機連結的印表機。 - 啟用應用程式防護從先前連線的網路印表機印表機印。員工無法搜尋其他印表機。停用或未設定。完全關閉應用程式防護的列印功能。
允許保留	Windows 10 企業版，1709 或更高版本 Windows 10 教育版，1809 或更高版本 Windows 11 企業版和教育版	判斷數據是否在 Microsoft Defender 應用程式防護中的不同會話之間保存。	啟用。這只有在受控模式中才有效。應用程式防護儲存使用者下載的檔案及其他項目（例如 cookie、我的最愛，以及等等）用於未來的應用程式防護工作階段。停用或未設定。應用程式防護中所有的使用者資料於工作階段之間重設。注意：如果您稍後決定停止支持員工的數據持續性，您可以使用 Windows 提供的公用程式來重設容器，並捨棄任何個人資料。重設容器： 1.開啟命令列程式並瀏覽至 `Windows/System32`。 2.鍵入 `wdagtool.exe cleanup`。容器環境已重設，只保留員工產生的資料。 3.鍵入 `wdagtool.exe cleanup RESET_PERSISTENCE_LAYER`。容器環境已重設，包括捨棄所有員工產生的資料。
在受控模式中開啟 Microsoft Defender 應用程式防護	Windows 10 企業版，1709 或更高版本 Windows 10 教育版，1809 或更高版本 Windows 11 企業版和教育版	決定是否要開啟 Microsoft Edge 和 Microsoft Office 的應用程式防護。	啟用。開啟 Microsoft Edge 和/或 Microsoft Office 的應用程式防護，並接受網路隔離設定，在應用程式防護容器中轉譯不受信任的內容。除非裝置上已設定必要的必要條件和網路隔離設定，否則不會實際開啟應用程式防護。可用的選項： - 僅針對 Microsoft Edge 啟用 Microsoft Defender 應用程式防護 - 僅針對 Microsoft Office 啟用 Microsoft Defender 應用程式防護 - 啟用 Microsoft Edge 和 Microsoft Office 的 Microsoft Defender 應用程式防護已停用。關閉應用程式防護，允許所有應用程式在 Microsoft Edge 和 Microsoft Office 中執行。注意：針對 Windows 10，如果您已安裝KB5014666，而針對 Windows 11，如果您已安裝KB5014668，則不再需要設定網路隔離原則來啟用Edge的應用程式防護。
允許檔案下載至主機作業系統	Windows 10 企業版或專業版，1803 或更高版本 Windows 10 教育版，1809 或更高版本 Windows 11 企業版或專業或教育版	決定是否要從 Microsoft Defender 應用程式防護容器將下載的檔案儲存至主機操作系統。	啟用。允許使用者將下載的檔案從 Microsoft Defender 應用程式防護容器儲存到主機作業系統。此動作會在主機和容器之間建立共用，也允許從主機上傳至應用程式防護容器。停用或未設定。用戶無法將下載的檔案從應用程式防護儲存到主機作業系統。
允許硬體加速轉譯 Microsoft Defender 應用程式防護	Windows 10 企業版，1709 或更高版本 Windows 10 教育版，1809 或更高版本 Windows 11 企業版和教育版	判斷 Microsoft Defender 應用程式防護是否使用硬體或軟體加速轉譯圖形。	啟用。這只有在受控模式中才有效。 Microsoft Defender 應用程式防護使用 Hyper-V 存取支援的高安全性轉譯圖形硬體 (GPU) 。這些 GPU 可改善使用 Microsoft Defender 應用程式防護時的轉譯效能和電池使用時間，特別是針對視訊播放和其他需要大量圖形的使用案例。如果啟用此設定而不連接任何高安全性轉譯圖形硬體，Microsoft Defender 應用程式防護會自動還原為軟體型 (CPU) 轉譯。重要：使用可能遭到入侵的圖形裝置或驅動程式啟用此設定，可能會對主機裝置造成風險。停用或未設定。 Microsoft Defender 應用程式防護使用軟體型 (CPU) 轉譯，且不會載入任何第三方圖形驅動程式或與任何已連線的圖形硬體互動。
在 Microsoft Defender 應用程式防護中允許相機和麥克風存取	Windows 10 企業版，1709 或更高版本 Windows 10 教育版，1809 或更高版本 Windows 11 企業版和教育版	決定是否允許相機和麥克風存取 Microsoft Defender 應用程式防護內。	啟用。這只有在受控模式中才有效。 Microsoft Defender 應用程式防護內的應用程式能夠存取使用者裝置上的相機和麥克風。重要：使用可能遭到入侵的容器啟用此原則，可能會略過相機和麥克風許可權，並在使用者不知情的情況下存取相機和麥克風。停用或未設定。 Microsoft Defender 應用程式防護內的應用程式無法存取使用者裝置上的相機和麥克風。
允許 Microsoft Defender 應用程式防護從用戶的裝置使用跟證書授權單位	Windows 10 企業版或專業版，1809 或更高版本 Windows 10 教育版，1809 或更高版本 Windows 11 企業版或專業版	判斷跟證書是否與 Microsoft Defender 應用程式防護共用。	啟用。符合指定指紋的憑證會傳輸到容器中。使用逗號分隔多個憑證。停用或未設定。憑證不會與 Microsoft Defender 應用程式防護共用。
允許在 Microsoft Defender 應用程式防護中稽核事件	Windows 10 企業版，1709 或更高版本 Windows 10 教育版，1809 或更高版本 Windows 11 企業版和教育版	此原則設定可讓您決定是否可以從 Microsoft Defender 應用程式防護收集稽核事件。	啟用。這只有在受控模式中才有效。應用程式防護會從您的裝置繼承稽核原則，並將系統事件從應用程式防護容器記錄到您的主機。停用或未設定。不會從您的應用程式防護容器收集事件記錄檔。

應用程式防護支援對話框設定

這些設定位於 Administrative Templates\Windows Components\Windows Security\Enterprise Customization。如果發生錯誤，您會看到對話方塊。根據預設，此對話框僅包含錯誤資訊，以及可讓您透過意見反應中樞向 Microsoft 回報的按鈕。不過，可以在對話框中提供其他資訊。

使用群組原則啟用和自定義連絡資訊。

設定 Microsoft Defender 應用程式防護 原則設定