Prise en charge de Microsoft Edge pour Microsoft Defender Application Guard

Important

Microsoft Defender Application Guard, y compris les API windows du lanceur d’applications isolées, sera déconseillé pour Microsoft Edge pour les entreprises et ne sera plus mis à jour.

Installations existantes d’Application Guard

Cette dépréciation n’affecte pas les installations existantes de Microsoft Defender Application Guard (MDAG). Les organisations peuvent continuer à utiliser Application Guard sur les versions actuelles de Windows, mais nous recommandons que les administrateurs de la sécurité évaluent leurs exigences de sécurité à l’avenir. Cette fonctionnalité peut être supprimée dans une prochaine version de Windows, mais elle continuera d’être conservée pour les installations existantes sur Windows.

Considérations relatives à la dépréciation

La dépréciation inclut les éléments suivants d’Application Guard.

• Si votre organisation nécessite une isolation basée sur les conteneurs, nous vous recommandons de windows Sandbox ou d’Azure Virtual Desktop (AVD).
• Comme Application Guard est déconseillé, il n’y aura pas de migration vers Edge Manifest V3. Les extensions correspondantes et l’application du Windows Store associée ne seront plus disponibles après mai 2024. Cela affecte les navigateurs suivants : Chrome et Firefox. Si vous souhaitez bloquer les navigateurs non protégés jusqu’à ce que vous soyez prêt à mettre hors service l’utilisation de MDAG dans votre entreprise, nous vous recommandons d’utiliser des stratégies AppLocker ou le service de gestion Microsoft Edge.

Astuce

Téléchargez le livre blanc sur la sécurité microsoft Edge pour entreprises pour en savoir plus sur les fonctionnalités qui font d’Edge pour les entreprises un navigateur d’entreprise sécurisé.

Les fonctionnalités de sécurité supplémentaires dans Edge le rendent très sécurisé sans avoir besoin d’Application Guard. La liste croissante des fonctionnalités de sécurité inclut :

• Defender SmartScreen pour la prise en charge de l’anti-hameçonnage et des programmes malveillants, ainsi que l’analyse et le blocage des URL.
• Mode de sécurité amélioré pour la protection contre les vulnérabilités liées à la mémoire en désactivant la compilation JavaScript juste-à-temps (et d’autres protections).
• Protection contre les fautes de frappe de site web pour les sites web mal orthographiés.
• Protection contre la perte de données pour identifier, surveiller et protéger automatiquement les éléments sensibles.

Vue d'ensemble

Cet article décrit comment Microsoft Edge prend en charge Microsoft Defender Application Guard (Application Guard).

Les architectes de la sécurité au sein de l’entreprise doivent composer avec la tension qui existe entre la productivité et la sécurité. Il est relativement simple de verrouiller un navigateur et de n’autoriser que quelques sites approuvés à se charger. Cette approche permet d’améliorer la sécurité de manière globale, mais elle est vraisemblablement moins productive. Si vous prenez des mesures moins restrictives pour améliorer la productivité, vous augmentez le profil de risque. Il est difficile de parvenir à un équilibre !

Il est encore plus difficile de face aux menaces émergentes dans ce contexte de menaces en constante évolution. Les navigateurs restent la surface d’attaque principale des appareils clients, car la fonction de base d’un navigateur est de permettre aux utilisateurs d’accéder, télécharger et ouvrir du contenu non approuvé à partir de sources non fiables. Les acteurs malveillants œuvrent en permanence pour créer de nouvelles formes d’attaques d’ingénierie sociale contre le navigateur. La prévention des incidents de sécurité ou les stratégies de détection/réponse ne peuvent pas garantir une sécurité à 100 %.

Une stratégie de sécurité clé à prendre en considération est d’Adopter une méthodologie de violation, ce qui signifie que l’on accepte l’idée qu’une attaque aboutisse au moins une fois, quels que soient les efforts déployés pour l’empêcher. Cette façon de penser exige l’élaboration de défenses pour limiter les dommages, ce qui garantit que le réseau de l’entreprise et d’autres ressources restent protégés dans ce scénario. Le déploiement d’Application Guard pour Microsoft Edge s’inscrit parfaitement dans cette stratégie.

À propos d’Application Guard

Conçu pour Windows 10/11 et Microsoft Edge, Application Guard utilise une approche d’isolation matérielle. Cette approche autorise le lancement de sites non approuvés à l’intérieur d’un conteneur lors de la navigation. L’isolation du matériel permet aux entreprises de protéger leur réseau et leurs données en cas de visite par un utilisateur d’un site compromis ou malveillant.

L’administrateur d’entreprise définit les sites approuvés, les ressources de cloud et les réseaux internes. Tout ce qui n’apparaît pas dans la liste des sites de confiance est considéré comme non fiable. Ces sites sont isolés du réseau et des données de l’entreprise sur l’appareil de l’utilisateur.

Pour plus d'informations :

• regardez notre vidéo Isolation du navigateur Microsoft Edge à l'aide d'Application Guard
• lisez Qu’est-ce qu’Application Guard et comment fonctionne-t-il ?

La capture d’écran suivante affiche un exemple de message de l’Application Guard montrant que l’utilisateur navigue dans un espace sécurisé.

Nouveautés

La prise en charge d’Application Guard dans le nouveau navigateur Microsoft Edge offre une parité fonctionnelle avec La version héritée de Microsoft Edge et inclut plusieurs améliorations.

Activer le blocage du chargement

À partir de Microsoft Edge 96, les administrateurs ont désormais la possibilité de bloquer les chargements dans le conteneur, ce qui signifie que les utilisateurs ne peuvent pas charger de fichiers de leur appareil local vers leur instance Application Guard. Cette prise en charge peut être contrôlée par l’intermédiaire d’une stratégie. Vous pouvez mettre à jour la stratégie Edge ApplicationGuardUploadBlockingEnabled pour activer ou désactiver les chargements dans le conteneur.

Activer Application Guard en mode passif et parcourir Edge normalement

À partir de Microsoft Edge 94, les utilisateurs ont désormais la possibilité de configurer le mode passif, ce qui signifie qu’Application Guard ignore la configuration de la liste des sites et que les utilisateurs peuvent parcourir Edge normalement. Cette prise en charge peut être contrôlée par l’intermédiaire d’une stratégie. Vous pouvez mettre à jour la stratégie Edge ApplicationGuardPassiveModeEnabled pour activer ou désactiver le mode passif.

Remarque

Cette stratégie n’affecte que Edge, de sorte que les navigations à partir d’autres navigateurs peuvent être redirigées vers le conteneur Application Guard si les extensions correspondantes sont activées.

Synchronisation des favoris à partir de l’hôte dans le conteneur

Certains de nos clients ont demandé la synchronisation des favoris entre le navigateur hôte et le conteneur dans Application Guard. À partir Microsoft Edge version 91, les utilisateurs ont désormais la possibilité de configurer Application Guard pour synchroniser leurs favoris entre l’hôte et le conteneur. Cela garantit que les nouveaux favoris apparaissent également sur le conteneur.

Cette prise en charge peut être contrôlée par l’intermédiaire d’une stratégie. Vous pouvez mettre à jour la stratégie Edge ApplicationGuardFavoritesSyncEnabled pour activer ou désactiver la synchronisation des favoris.

Remarque

Pour des raisons de sécurité, la synchronisation des favoris est uniquement possible à partir de l’hôte vers le conteneur et non dans l’autre sens. Pour garantir une liste unifiée des favoris sur l’hôte et le conteneur, nous avons désactivé la gestion des favoris à l’intérieur du conteneur.

Identifier le trafic réseau provenant du conteneur

Plusieurs clients utilisent WDAG dans une configuration spécifique où ils souhaitent identifier le trafic réseau provenant du conteneur. Voici quelques exemples de scénarios :

• Pour restreindre l’accès à quelques sites non confiance uniquement
• Pour autoriser l’accès à Internet à partir du conteneur uniquement

À compter de Microsoft Edge version 91, il existe une prise en charge intégrée pour étiqueter le trafic réseau provenant des conteneurs Application Guard, ce qui permet aux entreprises d’utiliser le proxy pour filtrer le trafic et appliquer des stratégies spécifiques. Vous pouvez utiliser l’en-tête pour identifier le trafic qui passe par le conteneur ou l’hôte à l’aide de ApplicationGuardTrafficIdentificationEnabled.

Prise en charge de l’extension dans le conteneur

La prise en charge d’extension dans le conteneur a été l’une des principales demandes de la part des clients. Les scénarios vont de la possibilité d’exécuter des bloqueurs de publicités à l’intérieur du conteneur pour améliorer les performances d’un navigateur jusqu’à la possibilité d’exécuter des extensions personnalisées dans le conteneur.

Les installations d’extension dans le conteneur sont désormais prises en charge, à partir de Microsoft Edge version 81. Cette prise en charge peut être contrôlée par l’intermédiaire d’une stratégie. La updateURL utilisée dans la stratégie ExtensionInstallForcelist doit être ajoutée en tant que ressources neutres dans les stratégies d’isolement réseau utilisées par Application Guard.

Voici quelques exemples de scénarios de prise en charge du conteneur :

• Forcer l’installation d’une extension sur l’hôte
• Suppression d’une extension dans l’hôte
• Extensions bloquées sur l’hôte

Remarque

Il est également possible d’installer manuellement des extensions individuelles dans le conteneur à partir du magasin d’extension. Les extensions installées manuellement persisteront dans le conteneur uniquement lorsque la stratégie Autoriser la persistance est activée.

Identification du trafic Application Guard via un proxy double

Certains clients d’entreprise déploient Application Guard avec un cas d’utilisation spécifique où ils doivent identifier le trafic web sortant d’un conteneur Microsoft Defender Application Guard au niveau du proxy. À partir du canal stable version 84, Microsoft Edge prend en charge le serveur proxy double pour répondre à cette exigence. Vous pouvez configurer cette fonctionnalité à l’aide de la stratégie ApplicationGuardContainerProxy .

Le schéma suivant illustre l’architecture double proxy pour Microsoft Edge.

Page Diagnostics pour la résolution de problèmes

L’autre difficulté d’un utilisateur est de résoudre les problèmes de configuration d’Application Guard sur un appareil lorsqu’un problème est signalé. Microsoft Edge dispose d’une page de diagnostics (edge://application-guard-internals) pour résoudre les problèmes rencontrés par les utilisateurs. L’un de ces diagnostics est en mesure de vérifier le degré de confiance d’une URL en fonction de la configuration sur l’appareil de l’utilisateur.

La capture d’écran suivante affiche une page de diagnostic avec plusieurs onglets pour vous permettre de diagnostiquer les problèmes de l’appareil signalés par les utilisateurs.

Mises à jour de Microsoft Edge dans le conteneur

Les mises à jour de la version héritée de Microsoft Edge dans le conteneur font partie du cycle de mise à jour du système d’exploitation Windows. Les mises à jour de la nouvelle version de Microsoft Edge s’opérant indépendamment du système d’exploitation Windows, il n’existe plus de dépendance sur les mises à jour de conteneur. Le canal et la version de l’hôte Microsoft Edge sont répliqués dans le conteneur.

Conditions préalables

Les exigences suivantes s’appliquent aux appareils utilisant Application Guard avec Microsoft Edge :

• Windows 10 1809 (Mise à jour d’octobre 2018 de Windows 10) et versions ultérieures.

• Uniquement les références SKU client Windows

  Remarque

  Application Guard est pris en charge uniquement sur les références SKU Windows 10/11 Professionnel et Windows 10/11 Entreprise.

• Une des solutions de gestion est décrite dans la section Configuration logicielle

Comment installer Application Guard

Les articles suivants fournissent les informations nécessaires pour installer, configurer et tester Application Guard avec Microsoft Edge.

• Configuration requise
• Installer Microsoft Defender Application Guard
• Configurer les paramètres de stratégie de groupe Application Guard
• Tester Application Guard

Forum Aux Questions

Application Guard est-il déconseillé ?

Oui, Microsoft Defender Application Guard, y compris les API du lanceur d’applications isolés Windows, sera déconseillé pour Microsoft Edge entreprise et ne sera plus mis à jour.

Application Guard fonctionne-t-elle en mode Internet Explorer ?

Le mode Internet Explorer prend en charge les fonctionnalités d’Application Guard, mais nous ne prévoyons pas une utilisation importante de cette fonctionnalité en mode Internet Explorer. Il est recommandé de déployer le mode Internet Explorer pour une liste de sites internes de confiance, et Application Guard pour les sites non approuvés uniquement. Assurez-vous que tous les sites ou adresses IP en mode Internet Explorer sont également ajoutés à la stratégie d’isolation réseau pour être considérés comme des ressources approuvées par Application Guard.

Ai-je besoin d’installer l’extension Chrome d’Application Guard ?

Non, la fonctionnalité Application Guard est nativement prise en charge dans Microsoft Edge. En effet, l’extension Chrome d’Application Guard n’est pas une configuration prise en charge dans Microsoft Edge.

Les employés peuvent-ils télécharger des documents à partir de la session Application Guard Edge sur des appareils hôtes ?

Dans Windows 10 Édition Entreprise, version 1803, les utilisateurs peuvent télécharger des documents à partir du conteneur Application Guard isolé vers le PC hôte. Cette fonctionnalité est gérée par la stratégie.

Dans Windows 10 Édition Entreprise, version 1709 ou Windows 10 Professionnel, version 1803, il n’est pas possible de télécharger des fichiers à partir du conteneur Application Guard isolé vers l’ordinateur hôte. Toutefois, les employés peuvent utiliser les options Imprimer en tant que PDF ou Imprimer en tant que XPS et enregistrer ces fichiers sur l’appareil hôte.

Les employés peuvent-ils effectuer des opérations de copier et coller entre l’appareil hôte et la session Application Guard Edge ?

Selon les paramètres de votre organisation, les employés peuvent copier et coller des images (.bmp) et du texte vers et à partir du conteneur isolé.

Pourquoi les employés ne voient-ils pas leurs favoris dans la session Application Guard Edge ?

Selon les paramètres de votre organisation, la synchronisation des favoris peut être désactivée. Pour gérer la stratégie, consultez : Microsoft Edge et Microsoft Defender Application Guard | Microsoft Docs.

Pourquoi les employés ne peuvent-ils pas voir leurs extensions dans la session Application Guard Edge ?

Veillez à activer la stratégie d’extensions sur votre configuration Application Guard.

Mon extension ne semble pas fonctionner dans Edge Application Guard ?

Si la stratégie d’extensions est activée pour MDAG dans la configuration, vérifiez que votre extension nécessite des composants de gestion des messages natifs, ces extensions ne sont pas prises en charge dans le conteneur Application Guard.

J’essaie de regarder la vidéo de lecture avec HDR, pourquoi l’option HDR est-elle manquante ?

Pour que la lecture vidéo HDR fonctionne dans le conteneur, l’accélération matérielle des processeurs virtuels doit être activée dans Application Guard.

Y a-t-il d’autres forums aux questions liés à cette plateforme ?

Oui. Forum aux questions - Microsoft Defender Application Guard

Voir également

• Page d’accueil Microsoft Edge Entreprise
• Microsoft Defender - Protection avancée contre les menaces
• Vidéo : isolation du navigateur Microsoft Edge avec Application Guard