應用程式防護 測試案例

• 適用於:

  ✅ Windows 11, ✅ Windows 10

注意

• Microsoft Defender 應用程式防護，包括 Windows 隔離應用程式啟動器 API，將會淘汰 商務用 Microsoft Edge，且將不再更新。 請下載 商務用 Microsoft Edge 安全性白皮書 ，以深入瞭解商務用 Edge 安全性功能。
• 因為 應用程式防護 已被取代，所以不會移轉至Edge指令清單 V3。 2024 年 5 月之後將無法使用對應的擴充功能和相關聯的 Windows 市集應用程式 。 這會影響下列瀏覽器：應用程式防護 延伸模組 - Chrome 和 應用程式防護 延伸模組 - Firefox。 如果您想要封鎖未受保護的瀏覽器，直到您準備好淘汰企業中的 MDAG 使用量為止，建議您使用 AppLocker 原則或 Microsoft Edge 管理服務。 如需詳細資訊，請參閱 Microsoft Edge 和 Microsoft Defender 應用程式防護。

我們已提供可用來測試組織中硬體隔離的案例清單。

獨立模式中的應用程式防護功能

您可以看到員工會如何使用應用程式防護的獨立模式。

在獨立模式中測試應用程式防護

1. 安裝 應用程式防護。

2. 重新啟動裝置，啟動 Microsoft Edge，然後從功能表中選取 [新增 應用程式防護] 視窗。

   

3. 等待應用程式防護設定隔離環境。

   注意

   重新啟動裝置後太快開啟應用程式防護可能導致載入時間變長。 不過，後續的開始應該不會發生任何可預見的延遲。

4. 移至未受信任但安全的 URL (在此範例中，我們使用 msn.com)，並檢視新的 Microsoft Edge 視窗，確定您看到應用程式防護的視覺提示。

   

受企業管理模式中的應用程式防護

如何安裝、設定、開啟，以及為受企業管理模式設定應用程式防護。

安裝，設定，並開啟應用程式防護

您必須先安裝 Windows 10 企業版 版本、版本 1709 和包含功能的 Windows 11，才能在受控模式中使用 應用程式防護。 接著，您必須使用群組原則設定必要設定。

1. 安裝 應用程式防護。

2. 重新啟動裝置，然後啟動 Microsoft Edge。

3. 於群組原則中設定網路隔離設定：

   a. 選取 Windows 圖示，輸入 Group Policy，然後選取 [編輯 群組原則]。

   b. 移至 \[系統管理範本\網路\網路隔離\裝載於雲端的企業資源網域\] 設定。

   c. 基於此案例的目的，請在 [企業雲端資源] 方塊中輸入 .microsoft.com 。

   

   d. 移至 \[系統管理範本\網路\網路隔離\同時分類為工作與私人的網域\] 設定。

   e. 基於此案例的目的，請在 [中性資源] 方塊中輸入 bing.com 。

   

4. 移至 [計算機設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\在受控模式中開啟 Microsoft Defender 應用程式防護] 設定。

5. 選 取 [已啟用]，選擇 [選項 1]，然後選取 [ 確定]。

   

   注意

   啟用這個設定會驗證所有必要的設定均有正確的於您的員工的裝置上設定，包括稍早在本案例中設定的網路隔離設定。

6. 啟動 Microsoft Edge 並輸入 https://www.microsoft.com。

   提交 URL 之後，應用程式防護 會判斷 URL 是受信任的，因為它使用您已標示為受信任的網域，並直接在主計算機上顯示網站，而不是在 應用程式防護 中顯示網站。

   

7. 在相同的 Microsoft Edge 瀏覽器中，輸入不屬於受信任或中性網站清單的任何 URL。

   您提交 URL 後，應用程式防護會判斷 URL 未受信任，並將要求重新導向至硬體隔離環境。

   

自訂應用程式防護

應用程式防護可讓您指定您的設定，允許您為您的員工建立以隔離為基礎的安全性和生產力之間適當的平衡。

應用程式防護為您的員工提供下列預設行為：

• 主機 PC 和隔離容器之間不允許複製與貼上。

• 不允許從隔離容器列印。

• 從一個隔離容器到另一個隔離容器不允許資料保留。

您可以選擇從群組原則中變更這些設定，以配合您的企業。

適用於：

• Windows 10 企業版 或專業版，版本 1803 或更新版本
• Windows 11 企業版 版或專業版

複製並貼上選項

1. 移至計算機設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\設定 Microsoft Defender 應用程式防護 剪貼簿設定。

2. 選 取 [已啟用 ]，然後選取 [ 確定]。

   

3. 選擇剪貼簿的運作方式：

   • 從隔離工作階段複製和貼上至主機 PC

   • 從主機 PC 複製和貼上至隔離工作階段

   • 雙向複製和貼上

4. 選擇可以複製的項目：

   • 主電腦與隔離容器之間只能複製文字。

   • 只有映像可以在主計算機與隔離容器之間複製。

   • 文字和影像都可以在主計算機與隔離容器之間複製。

5. 選取 [確定]。

列印選項

1. 移至計算機設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\設定 Microsoft Defender 應用程式防護 列印設定。

2. 選 取 [已啟用 ]，然後選取 [ 確定]。

   

3. 根據清單提供的設定，選擇最能代表您的員工所需要的列印類型的號碼。 您可以允許任何組合的本機、網路、PDF 及 XPS 列印。

4. 選取 [確定]。

數據持續性選項

1. 移至 [計算機設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\允許數據持續 Microsoft Defender 應用程式防護 設定。

2. 選 取 [已啟用 ]，然後選取 [ 確定]。

   

3. 打開 Microsoft Edge 並瀏覽至未受信任但安全的 URL。

   網站於隔離工作階段中開啟。

4. 將網站加到您的 \[我的最愛\] 清單，然後關閉隔離工作階段。

5. 註銷並重新登入您的裝置，再次在 應用程式防護 中開啟 Microsoft Edge。

   先前新增的網站應該仍會出現在您的 \[我的最愛\] 清單中。

   注意

   從 Windows 11 22H2 版開始，預設會停用數據持續性。 如果您不允許或關閉數據持續性，重新啟動裝置或登入和註銷隔離容器會觸發回收事件。 此動作會捨棄所有產生的數據，例如會話 Cookie 和我的最愛，並從 應用程式防護 中移除數據。 如果您開啟資料保留，所有員工產生的成品會跨容器回收事件保留。 不過，這些成品只存在於隔離的容器中，而且不會與主計算機共用。 這項數據會在重新啟動之後保存，甚至透過 Windows 10 和 Windows 11 的組建對組建升級來保存。

   如果您開啟資料保留，但之後決定停止支援您的員工此項功能，您可以使用 Windows 提供的公用程式來重置容器並捨棄任何私人資料。

   若要重設容器，請遵循下列步驟：
   1.開啟命令行程式並流覽至 Windows/System32。
   2.鍵入 wdagtool.exe cleanup。 容器環境已重設，只保留員工產生的資料。
   3.鍵入 wdagtool.exe cleanup RESET_PERSISTENCE_LAYER。 容器環境已重設，包括捨棄所有員工產生的資料。

   Microsoft Edge 90 版或更新版本不再支援 RESET_PERSISTENCE_LAYER。

適用於：

• Windows 10 企業版 版或專業版，版本 1803
• Windows 11 企業版 版或 Pro 版本 21H2。 Windows 11 版本 22H2 和更新版本中預設會停用數據持續性。

下載選項

1. 移至電腦設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\允許檔案從 Microsoft Defender 應用程式防護 設定下載並儲存至主機操作系統。

2. 選 取 [已啟用 ]，然後選取 [ 確定]。

   

3. 註銷並重新登入您的裝置，再次在 應用程式防護 中開啟 Microsoft Edge。

4. 從 Microsoft Defender 應用程式防護 下載檔。

5. 檢查檔案是否已下載到此電腦 > 下載未受信任的 > 檔案。

硬體加速選項

1. 移至 [計算機設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\允許硬體加速轉譯 Microsoft Defender 應用程式防護 設定。

2. 選 取 [已啟用 ]，然後選取 [ 確定]。

   

3. 啟用此功能之後，請開啟 Microsoft Edge 並流覽至不受信任但具有視訊、3D 或其他需要大量圖形內容的安全 URL。 網站會在隔離的會話中開啟。

4. 評估視覺體驗和電池效能。

相機和麥克風選項

1. 移至計算機設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\允許相機和麥克風存取 Microsoft Defender 應用程式防護 設定。

2. 選 取 [已啟用 ]，然後選取 [ 確定]。

   

3. 註銷並重新登入您的裝置，再次在 應用程式防護 中開啟 Microsoft Edge。

4. 在 Edge 中開啟具有視訊或音訊功能的應用程式。

5. 檢查相機和麥克風是否如預期般運作。

跟證書共享選項

1. 移至 [計算機設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\允許 Microsoft Defender 應用程式防護 從使用者的裝置設定使用跟證書授權單位]。

2. 選 取 [已啟用]，複製要共用之每個憑證的指紋，並以逗號分隔，然後選取 [ 確定]。

   

3. 註銷並重新登入您的裝置，再次在 應用程式防護 中開啟 Microsoft Edge。

應用程式防護 第三方網頁瀏覽器的擴充功能

適用於 Chrome 和 Firefox 的 應用程式防護 擴充功能可讓 應用程式防護 保護使用者，即使他們執行的是 Microsoft Edge 或 Internet Explorer 以外的網頁瀏覽器。

一旦使用者在其企業裝置上安裝擴充功能及其隨附應用程式，您就可以執行下列案例。

1. 開啟 Firefox 或 Chrome，無論您安裝擴充功能的瀏覽器為何。

2. 流覽至組織網站。 換句話說，組織所維護的內部網站。 您可能會在網站完全載入之前立即看到此評估頁面。

3. 流覽至非企業外部網站網站，例如 www.bing.com。 月臺應重新導向至 Microsoft Defender 應用程式防護 Edge。

4. 選取 Microsoft Defender 應用程式防護 圖示以開啟新的 應用程式防護 視窗，然後選取 [新增 應用程式防護 視窗][