Share via


Konfigurieren Microsoft Defender Application Guard Richtlinieneinstellungen

Hinweis

Microsoft Defender Application Guard (Application Guard) arbeitet mit Gruppenrichtlinie zusammen, um Die Computereinstellungen Ihrer organization zu verwalten. Mithilfe von „Gruppenrichtlinie“ können Sie eine Einstellung einmal einrichten und dann auf viele Computer kopieren. Sie können beispielsweise mehrere Sicherheitseinstellungen in einem Gruppenrichtlinie Object einrichten, das mit einer Domäne verknüpft ist, und dann alle diese Einstellungen auf jeden Endpunkt in der Domäne anwenden.

Application Guard verwendet Netzwerkisolations- und App-spezifische Einstellungen.

Windows-Edition und Lizenzierungsanforderungen

In der folgenden Tabelle sind die Windows-Editionen aufgeführt, die Microsoft Defender Application Guard (MDAG) für den Edge-Unternehmensmodus und die Unternehmensverwaltung unterstützen:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Nein Ja Nein Ja

Microsoft Defender Application Guard (MDAG) für Den Edge-Unternehmensmodus und die Unternehmensverwaltungslizenzberechtigungen werden durch die folgenden Lizenzen gewährt:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Nein Ja Ja Ja Ja

Weitere Informationen zur Windows-Lizenzierung finden Sie unter Übersicht über die Windows-Lizenzierung.

Weitere Informationen zu Microsoft Defender Application Guard (MDAG) für Edge im eigenständigen Modus finden Sie unter Microsoft Defender Application Guard Übersicht.

Netzwerkisolationseinstellungen

Mithilfe dieser Einstellungen unter Computer Configuration\Administrative Templates\Network\Network Isolationkönnen Sie die Netzwerkgrenzen Ihrer organization definieren und verwalten. Application Guard verwendet diese Informationen, um Anforderungen für den Zugriff auf unternehmensexterne Ressourcen automatisch in den Application Guard-Container zu übertragen.

Hinweis

Für Windows 10 müssen Sie keine Netzwerkisolationsrichtlinie konfigurieren, wenn Sie KB5014666 installiert haben, und für Windows 11, wenn sie KB5014668 installiert haben, keine Netzwerkisolationsrichtlinie konfigurieren, um Application Guard für Microsoft Edge im verwalteten Modus zu aktivieren.

Hinweis

Zum erfolgreichen Aktivieren von Application Guard mithilfe des Unternehmensmodus müssen Sie die in der Cloud gehosteten Unternehmensressourcendomänen oder die privaten Netzwerkbereiche für die App-Einstellungen auf den Mitarbeitergeräten konfigurieren. Proxyserver müssen eine neutrale Ressource sein, die in den Domänen aufgeführt ist, die sowohl als geschäftliche als auch persönliche Richtlinie kategorisiert sind.

Richtlinienname Unterstützte Versionen Beschreibung
Adressbereich des privaten Netzwerks für Apps Mindestens Windows Server 2012, Windows 8 oder Windows RT Eine kommagetrennte Liste der IP-Adressbereiche, die sich in Ihrem Unternehmensnetzwerk befinden. Enthaltene Endpunkte oder Endpunkte, die sich innerhalb eines angegebenen IP-Adressbereichs befinden, werden mithilfe von Microsoft Edge gerendert. Der Zugriff auf diese ist über die Application Guard-Umgebung nicht möglich.
In der Cloud gehostete Unternehmensressourcendomänen Mindestens Windows Server 2012, Windows 8 oder Windows RT Eine durch Pipe getrennte Liste (|) Ihrer Domänencloudressourcen. Enthaltene Endpunkte werden mithilfe von Microsoft Edge gerendert. Der Zugriff darauf ist über die Application Guard-Umgebung nicht möglich.

Diese Liste unterstützt die in der Tabelle "Netzwerkisolationseinstellungen" aufgeführten Wildcards .

Sowohl als Arbeits- als auch als persönliche Ressourcen kategorisierte Domänen Mindestens Windows Server 2012, Windows 8 oder Windows RT Eine kommagetrennte Liste der Domänennamen, die als geschäftliche oder persönliche Ressourcen verwendet werden. Die enthaltenen Endpunkte werden mithilfe von Microsoft Edge gerendert und sind über die Application Guard und die reguläre Edge-Umgebung zugänglich.

Diese Liste unterstützt die in der Tabelle "Netzwerkisolationseinstellungen" aufgeführten Wildcards .

Netzwerkisolationseinstellungen: Wildcards

Wert Anzahl der Punkte auf der linken Seite Bedeutung
contoso.com 0 Vertrauen Sie nur dem Literalwert von contoso.com.
www.contoso.com 0 Vertrauen Sie nur dem Literalwert von www.contoso.com.
.contoso.com 1 Vertrauen Sie jeder Domäne, die mit dem Text contoso.comendet. Übereinstimmende Websites sind , spearphishingcontoso.comcontoso.comund www.contoso.com.
..contoso.com 2 Vertrauen Sie allen Ebenen der Domänenhierarchie, die sich links vom Punkt befinden. Übereinstimmende Websites sind , shop.contoso.comus.shop.contoso.com, www.us.shop.contoso.com, aber NICHT contoso.com selbst.

Anwendungsspezifische Einstellungen

Diese Einstellungen unter Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guardkönnen Ihnen helfen, die Implementierung der Application Guard ihrer organization zu verwalten.

Name Unterstützte Versionen Beschreibung Optionen
Konfigurieren Microsoft Defender Application Guard Einstellungen für die Zwischenablage Windows 10 Enterprise, 1709 oder höher

Windows 10 Education, 1809 oder höher

Windows 11 Enterprise und Bildung

Bestimmt, ob Application Guard die Zwischenablagefunktion verwenden kann. Aktiviert. Dies ist nur im verwalteten Modus wirksam. Aktiviert die Funktionalität der Zwischenablage, und Sie können auswählen, ob sie zusätzlich verwendet werden sollen:
– Deaktivieren Sie die Funktionalität der Zwischenablage vollständig, wenn Virtualization Security aktiviert ist.
– Ermöglicht das Kopieren bestimmter Inhalte aus Application Guard in Microsoft Edge.
– Ermöglicht das Kopieren bestimmter Inhalte aus Microsoft Edge in Application Guard. Wichtig: Zuzulassen, dass kopierte Inhalte von Microsoft Edge in Application Guard können potenzielle Sicherheitsrisiken verursachen und werden nicht empfohlen.

Deaktiviert oder nicht konfiguriert. Deaktiviert die Funktionalität der Zwischenablage für Application Guard vollständig.

Konfigurieren von Microsoft Defender Application Guard Druckeinstellungen Windows 10 Enterprise, 1709 oder höher

Windows 10 Education, 1809 oder höher

Windows 11 Enterprise und Bildung

Bestimmt, ob Application Guard die Druckfunktion verwenden kann. Aktiviert. Dies ist nur im verwalteten Modus wirksam. Aktiviert die Druckfunktion, und Sie können auswählen, ob sie zusätzlich:
– Aktivieren sie Application Guard, um im XPS-Format zu drucken.
– Aktivieren sie Application Guard, um im PDF-Format zu drucken.
– Aktivieren sie Application Guard, um auf lokal angeschlossenen Druckern zu drucken.
– Aktivieren sie Application Guard, um von zuvor verbundenen Netzwerkdruckern zu drucken. Mitarbeiter können nicht nach anderen Druckern suchen.

Deaktiviert oder nicht konfiguriert. Deaktiviert die Druckfunktion für Application Guard vollständig.
Persistenz zulassen Windows 10 Enterprise, 1709 oder höher

Windows 10 Education, 1809 oder höher

Windows 11 Enterprise und Bildung

Bestimmt, ob Daten in verschiedenen Sitzungen in Microsoft Defender Application Guard beibehalten werden. Aktiviert. Dies ist nur im verwalteten Modus wirksam. Application Guard speichert vom Benutzer heruntergeladene Dateien und andere Elemente (beispielsweise Cookies oder Favoriten) für die künftige Verwendung in Application Guard-Sitzungen.

Deaktiviert oder nicht konfiguriert. Alle Benutzerdaten in Application Guard werden zwischen den Sitzungen zurückgesetzt.

HINWEIS: Wenn Sie sich später entscheiden, die Unterstützung der Datenpersistenz für Ihre Mitarbeiter einzustellen, können Sie unser von Windows bereitgestelltes Hilfsprogramm verwenden, um den Container zurückzusetzen und alle personenbezogenen Daten zu verwerfen.

So setzen Sie den Container zurück
1. Öffnen Sie ein Befehlszeilenprogramm, und navigieren Sie zu Windows/System32.
2. Geben Sie ein wdagtool.exe cleanup. Die Containerumgebung wird zurückgesetzt. Es werden nur die vom Mitarbeiter generierten Daten beibehalten.
3. Geben Sie ein wdagtool.exe cleanup RESET_PERSISTENCE_LAYER. Die Containerumgebung, einschließlich aller vom Mitarbeiter generierten Daten, wird zurückgesetzt.

Aktivieren von Microsoft Defender Application Guard im verwalteten Modus Windows 10 Enterprise, 1709 oder höher

Windows 10 Education, 1809 oder höher

Windows 11 Enterprise und Bildung

Bestimmt, ob Application Guard für Microsoft Edge und Microsoft Office aktiviert werden soll. Aktiviert. Aktiviert Application Guard für Microsoft Edge und/oder Microsoft Office unter Berücksichtigung der Netzwerkisolationseinstellungen und rendert nicht vertrauenswürdige Inhalte im Application Guard Container. Application Guard werden nur aktiviert, wenn die erforderlichen Voraussetzungen und Netzwerkisolationseinstellungen bereits auf dem Gerät festgelegt sind. Verfügbare Optionen:
– Aktivieren von Microsoft Defender Application Guard nur für Microsoft Edge
– Aktivieren von Microsoft Defender Application Guard nur für Microsoft Office
– Aktivieren von Microsoft Defender Application Guard für Microsoft Edge und Microsoft Office

Deaktiviert. Deaktiviert Application Guard, sodass alle Apps in Microsoft Edge und Microsoft Office ausgeführt werden können.

Hinweis: Wenn sie KB5014666 für Windows 10 installiert haben, und für Windows 11, wenn sie KB5014668 installiert haben, müssen Sie keine Netzwerkisolationsrichtlinie mehr konfigurieren, um Application Guard für Edge zu aktivieren.
Herunterladen von Dateien auf das Hostbetriebssystem zulassen Windows 10 Enterprise oder Pro, 1803 oder höher

Windows 10 Education, 1809 oder höher

Windows 11 Enterprise oder Pro oder Education

Bestimmt, ob heruntergeladene Dateien aus dem Microsoft Defender Application Guard Container auf dem Hostbetriebssystem gespeichert werden sollen. Aktiviert. Ermöglicht Benutzern das Speichern heruntergeladener Dateien aus dem Microsoft Defender Application Guard Container im Hostbetriebssystem. Mit dieser Aktion wird eine Freigabe zwischen Host und Container erstellt, die auch Uploads vom Host in den Application Guard-Container ermöglicht.

Deaktiviert oder nicht konfiguriert. Benutzer können heruntergeladene Dateien aus Application Guard nicht auf dem Hostbetriebssystem speichern.

Hardwarebeschleunigtes Rendering für Microsoft Defender Application Guard zulassen Windows 10 Enterprise, 1709 oder höher

Windows 10 Education, 1809 oder höher

Windows 11 Enterprise und Bildung

Bestimmt, ob Microsoft Defender Application Guard Grafiken mithilfe der Hardware- oder Softwarebeschleunigung rendert. Aktiviert. Dies ist nur im verwalteten Modus wirksam. Microsoft Defender Application Guard verwendet Hyper-V, um auf unterstützte Grafikhardware (GPUs) mit hoher Sicherheit zuzugreifen. Diese GPUs verbessern die Renderingleistung und Akkulaufzeit bei verwendung von Microsoft Defender Application Guard, insbesondere für die Videowiedergabe und andere grafikintensive Anwendungsfälle. Wenn diese Einstellung aktiviert ist, ohne eine Verbindung mit hochsicherer Renderinggrafikhardware herzustellen, Microsoft Defender Application Guard automatisch rückgängig machen zum softwarebasierten Rendering (CPU). Wichtig: Das Aktivieren dieser Einstellung mit potenziell kompromittierten Grafikgeräten oder Treibern kann ein Risiko für das Hostgerät darstellen.

Deaktiviert oder nicht konfiguriert. Microsoft Defender Application Guard verwendet softwarebasiertes Rendering (CPU) und lädt keine Grafiktreiber von Drittanbietern und interagiert nicht mit angeschlossener Grafikhardware.
Zulassen des Kamera- und Mikrofonzugriffs in Microsoft Defender Application Guard Windows 10 Enterprise, 1709 oder höher

Windows 10 Education, 1809 oder höher

Windows 11 Enterprise und Bildung

Bestimmt, ob der Kamera- und Mikrofonzugriff innerhalb Microsoft Defender Application Guard zugelassen werden soll. Aktiviert. Dies ist nur im verwalteten Modus wirksam. Anwendungen in Microsoft Defender Application Guard können auf die Kamera und das Mikrofon auf dem Gerät des Benutzers zugreifen. Wichtig: Das Aktivieren dieser Richtlinie mit einem potenziell gefährdeten Container könnte Kamera- und Mikrofonberechtigungen umgehen und ohne Wissen des Benutzers auf die Kamera und das Mikrofon zugreifen.

Deaktiviert oder nicht konfiguriert. Anwendungen in Microsoft Defender Application Guard können nicht auf die Kamera und das Mikrofon auf dem Gerät des Benutzers zugreifen.

Zulassen, dass Microsoft Defender Application Guard Stammzertifizierungsstellen vom Gerät eines Benutzers verwenden Windows 10 Enterprise oder Pro, 1809 oder höher

Windows 10 Education, 1809 oder höher

Windows 11 Enterprise oder Pro

Bestimmt, ob Stammzertifikate für Microsoft Defender Application Guard freigegeben werden. Aktiviert. Zertifikate, die dem angegebenen Fingerabdruck entsprechen, werden in den Container übertragen. Verwenden Sie ein Komma, um mehrere Zertifikate zu trennen.

Deaktiviert oder nicht konfiguriert. Zertifikate werden nicht für Microsoft Defender Application Guard freigegeben.

Überwachungsereignisse in Microsoft Defender Application Guard zulassen Windows 10 Enterprise, 1709 oder höher

Windows 10 Education, 1809 oder höher

Windows 11 Enterprise und Bildung

Mit dieser Richtlinieneinstellung können Sie entscheiden, ob Überwachungsereignisse von Microsoft Defender Application Guard erfasst werden können. Aktiviert. Dies ist nur im verwalteten Modus wirksam. Application Guard erbt Überwachungsrichtlinien von Ihrem Gerät und protokolliert Systemereignisse vom Application Guard Container auf Ihrem Host.

Deaktiviert oder nicht konfiguriert. Ereignisprotokolle werden nicht aus Ihrem Application Guard Container gesammelt.

einstellungen für Application Guard support dialog

Diese Einstellungen befinden sich unter Administrative Templates\Windows Components\Windows Security\Enterprise Customization. Wenn ein Fehler auftritt, wird ein Dialogfeld angezeigt. Standardmäßig enthält dieses Dialogfeld nur die Fehlerinformationen und eine Schaltfläche zum Melden an Microsoft über den Feedback-Hub. Es ist jedoch möglich, zusätzliche Informationen im Dialogfeld anzugeben.

Verwenden Sie Gruppenrichtlinie, um Kontaktinformationen zu aktivieren und anzupassen.