Prise en charge de Microsoft Edge pour Microsoft Defender Application Guard
Cet article décrit comment Microsoft Edge prend en charge Microsoft Defender Application Guard (Application Guard).
Notes
Cet article concerne Microsoft Edge version 77 ou ultérieure.
Vue d'ensemble
Les architectes de la sécurité au sein de l’entreprise doivent composer avec la tension qui existe entre la productivité et la sécurité. Il est relativement simple de verrouiller un navigateur et de n’autoriser que quelques sites approuvés à se charger. Cette approche permet d’améliorer la sécurité de manière globale, mais elle est vraisemblablement moins productive. Si vous prenez des mesures moins restrictives pour améliorer la productivité, vous augmentez le profil de risque. Il est difficile de parvenir à un équilibre !
Il est encore plus difficile de face aux menaces émergentes dans ce contexte de menaces en constante évolution. Les navigateurs restent la surface d’attaque principale des appareils clients, car la fonction de base d’un navigateur est de permettre aux utilisateurs d’accéder, télécharger et ouvrir du contenu non approuvé à partir de sources non fiables. Les acteurs malveillants œuvrent en permanence pour créer de nouvelles formes d’attaques d’ingénierie sociale contre le navigateur. La prévention des incidents de sécurité ou les stratégies de détection/réponse ne peuvent pas garantir une sécurité à 100 %.
Une stratégie de sécurité clé à prendre en considération est d’Adopter une méthodologie de violation, ce qui signifie que l’on accepte l’idée qu’une attaque aboutisse au moins une fois, quels que soient les efforts déployés pour l’empêcher. Cette façon de penser exige l’élaboration de défenses pour limiter les dommages, ce qui garantit que le réseau de l’entreprise et d’autres ressources restent protégés dans ce scénario. Le déploiement d’Application Guard pour Microsoft Edge s’inscrit parfaitement dans cette stratégie.
À propos d’Application Guard
Conçu pour Windows 10 et Microsoft Edge, Application Guard utilise une approche d’isolation du matériel. Cette approche autorise le lancement de sites non approuvés à l’intérieur d’un conteneur lors de la navigation. L’isolation du matériel permet aux entreprises de protéger leur réseau et leurs données en cas de visite par un utilisateur d’un site compromis ou malveillant.
L’administrateur d’entreprise définit les sites approuvés, les ressources de cloud et les réseaux internes. Tout ce qui n’apparaît pas dans la liste des sites de confiance est considéré comme non fiable. Ces sites sont isolés du réseau et des données de l’entreprise sur l’appareil de l’utilisateur.
Pour plus d'informations :
- regardez notre vidéo Isolation du navigateur Microsoft Edge à l'aide d'Application Guard
- lisez Qu’est-ce qu’Application Guard et comment fonctionne-t-il ?
La capture d’écran suivante affiche un exemple de message de l’Application Guard montrant que l’utilisateur navigue dans un espace sécurisé.
Nouveautés
La prise en charge d’Application Guard dans le nouveau navigateur Microsoft Edge dispose d’une parité fonctionnelle avec l’Ancienne version de Microsoft Edge et inclut plusieurs améliorations.
Activer le blocage de chargement
À partir de Microsoft Edge 96, les administrateurs ont désormais la possibilité de bloquer les chargements dans le conteneur, ce qui signifie que les utilisateurs ne peuvent pas charger de fichiers à partir de leur appareil local vers leur instance Application Guard. Cette prise en charge peut être contrôlée par l’intermédiaire d’une stratégie. Vous pouvez mettre à jour la stratégie Edge ApplicationGuardUploadBlockingEnabled pour activer ou désactiver les chargements dans le conteneur.
Activer Application Guard en mode passif et parcourir Edge normalement
À partir de Microsoft Edge 94, les utilisateurs ont désormais la possibilité de configurer le mode passif, ce qui signifie qu’Application Guard ignore la configuration de la liste des sites et que les utilisateurs peuvent parcourir Edge normalement. Cette prise en charge peut être contrôlée par l’intermédiaire d’une stratégie. Vous pouvez mettre à jour la stratégie Edge ApplicationGuardPassiveModeEnabled pour activer ou désactiver le mode passif.
Notes
Cette stratégie impacte uniquement Edge, de sorte que les navigations à partir d’autres navigateurs peuvent être redirigées vers le conteneur Application Guard si les extensions correspondantes sont activées.
Synchronisation des favoris à partir de l’hôte dans le conteneur
Certains de nos clients ont demandé la synchronisation des favoris entre le navigateur hôte et le conteneur dans Application Guard. À partir Microsoft Edge version 91, les utilisateurs ont désormais la possibilité de configurer Application Guard pour synchroniser leurs favoris entre l’hôte et le conteneur. Cela garantit que les nouveaux favoris apparaissent également sur le conteneur.
Cette prise en charge peut être contrôlée par l’intermédiaire d’une stratégie. Vous pouvez mettre à jour la stratégie Edge ApplicationGuardFavoritesSyncEnabled pour activer ou désactiver la synchronisation des favoris.
Notes
Pour des raisons de sécurité, la synchronisation des favoris est uniquement possible à partir de l’hôte vers le conteneur et non dans l’autre sens. Pour garantir une liste unifiée des favoris sur l’hôte et le conteneur, nous avons désactivé la gestion des favoris à l’intérieur du conteneur.
Identifier le trafic réseau provenant du conteneur
Plusieurs clients utilisent WDAG dans une configuration spécifique où ils souhaitent identifier le trafic réseau provenant du conteneur. Voici quelques exemples de scénarios :
- Pour restreindre l’accès à quelques sites non confiance uniquement
- Pour autoriser l’accès à Internet à partir du conteneur uniquement
À partir de Microsoft Edge version 91, la prise en charge intégrée permet de baliser le trafic réseau provenant de conteneurs Application Guard, ce qui permet aux entreprises d’utiliser un proxy pour filtrer le trafic et appliquer des stratégies spécifiques. Vous pouvez utiliser l’en-tête pour identifier le trafic qui passe par le conteneur ou l’hôte à l’aide de ApplicationGuardTrafficIdentificationEnabled.
Prise en charge de l’extension dans le conteneur
La prise en charge d’extension dans le conteneur a été l’une des principales demandes de la part des clients. Les scénarios vont de la possibilité d’exécuter des bloqueurs de publicités à l’intérieur du conteneur pour améliorer les performances d’un navigateur jusqu’à la possibilité d’exécuter des extensions personnalisées dans le conteneur.
Les installations d’extension dans le conteneur sont désormais prises en charge, à partir de Microsoft Edge version 81. Cette prise en charge peut être contrôlée par l’intermédiaire d’une stratégie. La updateURL utilisée dans la stratégie ExtensionInstallForcelist doit être ajoutée en tant que ressources neutres dans les stratégies d’isolement réseau utilisées par Application Guard.
Voici quelques exemples de scénarios de prise en charge du conteneur :
- Forcer l’installation d’une extension sur l’hôte
- Suppression d’une extension dans l’hôte
- Extensions bloquées sur l’hôte
Notes
Il est également possible d’installer manuellement des extensions individuelles dans le conteneur à partir du magasin d’extension. Les extensions installées manuellement persisteront dans le conteneur uniquement lorsque la stratégie Autoriser la persistance est activée.
Identification du trafic Application Guard via un proxy double
Certains clients d’entreprise déploient Application Guard avec un cas d’utilisation spécifique où ils doivent identifier le trafic web sortant d’un conteneur Microsoft Defender Application Guard au niveau du proxy. À partir du canal stable version 84, Microsoft Edge prend en charge le serveur proxy double pour répondre à cette exigence. Vous pouvez configurer cette fonctionnalité à l’aide de la stratégie ApplicationGuardContainerProxy .
Le schéma suivant illustre l’architecture double proxy pour Microsoft Edge.
Page Diagnostics pour la résolution de problèmes
L’autre difficulté d’un utilisateur est de résoudre les problèmes de configuration d’Application Guard sur un appareil lorsqu’un problème est signalé. Microsoft Edge dispose d’une page de diagnostics (edge://application-guard-internals) pour résoudre les problèmes rencontrés par les utilisateurs. L’un de ces diagnostics est en mesure de vérifier le degré de confiance d’une URL en fonction de la configuration sur l’appareil de l’utilisateur.
La capture d’écran suivante affiche une page de diagnostic avec plusieurs onglets pour vous permettre de diagnostiquer les problèmes de l’appareil signalés par les utilisateurs.
Mises à jour de Microsoft Edge dans le conteneur
Les mises à jour de la version héritée de Microsoft Edge dans le conteneur font partie du cycle de mise à jour du système d’exploitation Windows. Les mises à jour de la nouvelle version de Microsoft Edge s’opérant indépendamment du système d’exploitation Windows, il n’existe plus de dépendance sur les mises à jour de conteneur. Le canal et la version de l’hôte Microsoft Edge sont répliqués dans le conteneur.
Conditions préalables
Les conditions suivantes s’appliquent aux appareils utilisant Application Guard avec Microsoft Edge :
Windows 10 1809 (RS5) et versions ultérieures.
Uniquement les références SKU client Windows
Notes
Application Guard est uniquement pris en charge sur les références SKU Windows 10 Professionnel et Windows 10 Entreprise.
Une des solutions de gestion est décrite dans la section Configuration logicielle
Comment installer Application Guard
Les articles suivants fournissent les informations nécessaires pour installer, configurer et tester Application Guard avec Microsoft Edge.
- Configuration requise
- Installer Microsoft Defender Application Guard
- Configurer les paramètres de stratégie de groupe Application Guard
- Tester Application Guard
Forum Aux Questions
Application Guard fonctionne-t-elle en mode Internet Explorer ?
Le mode Internet Explorer prend en charge les fonctionnalités d’Application Guard, mais nous ne prévoyons pas une utilisation importante de cette fonctionnalité en mode Internet Explorer. Il est recommandé de déployer le mode Internet Explorer pour une liste de sites internes de confiance, et Application Guard pour les sites non approuvés uniquement. Assurez-vous que tous les sites ou adresses IP en mode IE sont également ajoutés à la stratégie d’isolement réseau afin qu’ils soient considérés comme des ressources approuvées par Application Guard.
Ai-je besoin d’installer l’extension Chrome d’Application Guard ?
Non, la fonctionnalité Application Guard est nativement prise en charge dans Microsoft Edge. En effet, l’extension Chrome d’Application Guard n’est pas une configuration prise en charge dans Microsoft Edge.
Les employés peuvent-ils télécharger des documents à partir de la session Application Guard Edge sur des appareils hôtes?
Dans Windows 10 Entreprise édition, version 1803, les utilisateurs peuvent télécharger des documents à partir du conteneur Application Guard isolé sur le PC hôte. Cette fonctionnalité est gérée par une stratégie.
Dans Windows 10 Entreprise édition, version 1709 ou Windows 10 Édition Professionnelle, version 1803, il n’est pas possible de télécharger des fichiers à partir du conteneur Application Guard isolé sur l’ordinateur hôte. Toutefois, les employés peuvent utiliser les options Imprimer en tant que PDF ou Imprimer en tant que XPS et enregistrer ces fichiers sur l’appareil hôte.
Les employés peuvent-ils effectuer des opérations de copier et coller entre l’appareil hôte et la session Application Guard Edge?
Selon les paramètres de votre organisation, les employés peuvent copier et coller des images (.bmp) et du texte vers et depuis le conteneur isolé.
Pourquoi les employés ne voient-ils pas leurs favoris dans la session Application Guard Edge ?
Selon les paramètres de votre organisation, il se peut que la synchronisation des favoris soit désactivée. Pour gérer la stratégie, consultez : Microsoft Edge et Protection d'application Microsoft Defender | Microsoft Docs.
Pourquoi les employés ne peuvent-ils pas voir leurs extensions dans la session Application Guard Edge ?
Veillez à activer la stratégie d’extensions sur votre configuration Application Guard.
Mon extension ne semble pas fonctionner dans Edge Application Guard ?
Si la stratégie d’extensions est activée pour MDAG dans la configuration, vérifiez si votre extension nécessite des composants de gestion des messages natifs. Ces extensions ne sont pas prises en charge dans le conteneur Application Guard.
J’essaie de regarder la vidéo de lecture avec HDR, pourquoi l’option HDR est-elle manquante ?
Pour que la lecture vidéo HDR fonctionne dans le conteneur, l’accélération matérielle vGPU doit être activée dans Application Guard.
Y a-t-il d’autres forums aux questions liés à cette plateforme ?
Oui. Forum aux questions - Microsoft Defender Application Guard