Vue d’ensemble de Microsoft Defender Application Guard
Remarque
- Microsoft Defender Application Guard, y compris les API windows du lanceur d’applications isolées, sera déconseillé pour Microsoft Edge pour les entreprises et ne sera plus mis à jour. Téléchargez le livre blanc sur la sécurité de Microsoft Edge Entreprise pour en savoir plus sur les fonctionnalités de sécurité d’Edge pour entreprises.
- Comme Application Guard est déconseillé, il n’y aura pas de migration vers Edge Manifest V3. Les extensions de navigateur correspondantes et l’application Windows Store associée ne sont plus disponibles. Si vous souhaitez bloquer les navigateurs non protégés jusqu’à ce que vous soyez prêt à mettre hors service l’utilisation de MDAG dans votre entreprise, nous vous recommandons d’utiliser des stratégies AppLocker ou le service de gestion Microsoft Edge. Pour plus d’informations, consultez Microsoft Edge et Microsoft Defender Application Guard.
Microsoft Defender Application Guard (MDAG) est conçu pour aider à prévenir les attaques anciennes et émergentes afin de maintenir la productivité des employés. À l’aide de notre approche unique d’isolation matérielle, notre objectif est de détruire le playbook que les attaquants utilisent en rendant obsolètes les méthodes d’attaque actuelles.
Qu’est-ce qu’Application Guard et comment fonctionne-t-il ?
Pour Microsoft Edge, Application Guard permet d’isoler les sites non approuvés définis par l’entreprise, en protégeant votre entreprise pendant que vos employés naviguent sur Internet. En tant qu’administrateur d’entreprise, vous définissez les sites Web approuvés, les ressources de cloud et les réseaux internes. Tout ce qui ne figure pas sur votre liste est considéré comme non approuvé. Si un employé accède à un site non approuvé via Microsoft Edge ou Internet Explorer, Microsoft Edge ouvre le site dans un conteneur isolé avec Hyper-V.
Pour Microsoft Office, Application Guard empêche les fichiers Word, PowerPoint et Excel non approuvés d’accéder à des ressources approuvées. Application Guard ouvre les fichiers non approuvés dans un conteneur hyper-V isolé. Le conteneur Hyper-V isolé est distinct du système d’exploitation hôte. Cette isolation de conteneur signifie que si le site ou le fichier non approuvé s’avère malveillant, l’appareil hôte est protégé et l’attaquant ne peut pas accéder à vos données d’entreprise. Par exemple, cette approche anonymise le conteneur isolé, afin qu’une personne malveillante ne puisse pas accéder aux informations d’identification d’entreprise de votre employé.
Quels types d’appareils Application Guard doit-il utiliser ?
Application Guard a été créé pour cibler plusieurs types d’appareils :
Ordinateurs de bureau d’entreprise. Ces ordinateurs de bureau sont joints au domaine et gérés par votre organisation. La gestion de la configuration s’effectue principalement via Microsoft Configuration Manager ou Microsoft Intune. En règle générale, les employés ont des privilèges d’utilisateur standard et utilisent un réseau d’entreprise câblé à bande passante élevée.
Ordinateurs portables mobiles d’entreprise. Ces ordinateurs portables sont joints au domaine et gérés par votre organisation. La gestion de la configuration s’effectue principalement via Microsoft Configuration Manager ou Microsoft Intune. En règle générale, les employés ont des privilèges d’utilisateur standard et utilisent un réseau d’entreprise sans fil à bande passante élevée.
Apportez votre propre appareil (BYOD) portables. Ces ordinateurs portables personnels ne sont pas joints à un domaine, mais sont gérés par votre organisation par le biais d’outils tels que Microsoft Intune. L’employé est généralement administrateur sur l’appareil et utilise un réseau d’entreprise sans fil à bande passante élevée au travail et un réseau personnel comparable à son domicile.
Appareils personnels. Ces ordinateurs de bureau ou ordinateurs portables personnels ne sont pas joints à un domaine ou gérés par une organisation. L’utilisateur est administrateur sur l’appareil et utilise un réseau personnel sans fil à bande passante élevée à la maison ou un réseau public comparable à l’extérieur.
Conditions d'octroi de licence d'édition Windows
Le tableau suivant répertorie les éditions de Windows qui prennent en charge Microsoft Defender Application Guard (MDAG) pour le mode autonome Edge :
Windows Pro | Windows Entreprise | Windows Pro Education/SE | Windows Éducation |
---|---|---|---|
Oui | Oui | Oui | Oui |
Les droits de licence microsoft Defender Application Guard (MDAG) pour Edge en mode autonome sont accordés par les licences suivantes :
Windows Pro/Professionnel Éducation/SE | Windows Entreprise E3 | Windows Entreprise E5 | Windows Éducation A3 | Windows Éducation A5 |
---|---|---|---|---|
Oui | Oui | Oui | Oui | Oui |
Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.
Pour plus d’informations sur Microsoft Defender Application Guard (MDAG) pour le mode Entreprise Microsoft Edge, consultez Configurer les paramètres de stratégie Microsoft Defender Application Guard.
Articles connexes
Article | Description |
---|---|
Configuration système requise pour Microsoft Defender Application Guard | Spécifie les prérequis nécessaires à l’installation et à l’utilisation d’Application Guard. |
Préparer et installer Microsoft Defender Application Guard | Fournit des instructions sur la détermination du mode à utiliser (Autonome ou Géré par l’entreprise) et l’installation d’Application Guard dans votre organisation. |
Configurer les paramètres de stratégie de groupe pour Microsoft Defender Application Guard | Fournit des informations sur les paramètres de Stratégie de groupe et GPM disponibles. |
Scénarios de test à l’aide de Microsoft Defender Application Guard dans votre entreprise ou organisation | Fournit une liste de scénarios de test suggérés que vous pouvez utiliser pour tester Application Guard dans votre organisation. |
Microsoft Defender Application Guard pour Microsoft Office | Décrit Application Guard pour Microsoft Office, notamment la configuration matérielle minimale requise, la configuration et un guide de résolution des problèmes |
Forum aux questions - Microsoft Defender Application Guard | Fournit des réponses aux questions fréquemment posées sur les fonctionnalités d’Application Guard, l’intégration au système d’exploitation Windows et la configuration générale. |
Utiliser une limite réseau pour ajouter des sites de confiance sur des appareils Windows dans Microsoft Intune | Limite réseau, une fonctionnalité qui vous permet de protéger votre environnement contre les sites qui ne sont pas approuvés par votre organisation. |