Configurer les paramètres de stratégie Protection d'application Microsoft Defender
Remarque
- Protection d'application Microsoft Defender, y compris les API du lanceur d’applications isolés Windows, est déconseillé pour Microsoft Edge for Business et ne sera plus mis à jour. Pour en savoir plus sur les fonctionnalités de sécurité de Microsoft Edge, consultez Microsoft Edge For Business Security.
- À compter de Windows 11, version 24H2, Protection d'application Microsoft Defender, y compris les API du lanceur d’applications isolées Windows, n’est plus disponible.
- Étant donné que Protection d'application est déconseillé, il n’y aura pas de migration vers Edge Manifest V3. Les extensions de navigateur correspondantes et l’application Windows Store associée ne sont plus disponibles. Si vous souhaitez bloquer les navigateurs non protégés jusqu’à ce que vous soyez prêt à mettre hors service l’utilisation de MDAG dans votre entreprise, nous vous recommandons d’utiliser des stratégies AppLocker ou le service de gestion Microsoft Edge. Pour plus d’informations, consultez Microsoft Edge et Protection d'application Microsoft Defender.
Protection d'application Microsoft Defender (Protection d'application) fonctionne avec stratégie de groupe pour vous aider à gérer les paramètres de l’ordinateur de votre organization. Grâce à la stratégie de groupe, vous pouvez configurer un paramètre de stratégie une seule fois, puis le copier sur plusieurs ordinateurs. Par exemple, vous pouvez configurer plusieurs paramètres de sécurité dans un objet stratégie de groupe lié à un domaine, puis appliquer tous ces paramètres à chaque point de terminaison du domaine.
Application Guard utilise l’isolement réseau et les paramètres spécifiques à l’application.
Conditions d'octroi de licence d'édition Windows
Le tableau suivant répertorie les éditions de Windows qui prennent en charge Protection d'application Microsoft Defender (MDAG) pour le mode Entreprise Edge et la gestion d’entreprise :
Windows Pro | Windows Entreprise | Windows Pro Education/SE | Windows Éducation |
---|---|---|---|
Non | Oui | Non | Oui |
Les droits de licence Protection d'application Microsoft Defender (MDAG) pour edge en mode Entreprise et gestion d’entreprise sont accordés par les licences suivantes :
Windows Pro/Professionnel Éducation/SE | Windows Entreprise E3 | Windows Entreprise E5 | Windows Éducation A3 | Windows Éducation A5 |
---|---|---|---|---|
Non | Oui | Oui | Oui | Oui |
Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.
Pour plus d’informations sur Protection d'application Microsoft Defender (MDAG) pour Microsoft Edge en mode autonome, consultez Protection d'application Microsoft Defender vue d’ensemble.
Paramètres d’isolation du réseau
Ces paramètres, situés dans Computer Configuration\Administrative Templates\Network\Network Isolation
, vous aident à définir et à gérer les limites réseau de votre organization. Protection d'application utilise ces informations pour transférer automatiquement toutes les demandes d’accès aux ressources non incorporées dans le conteneur Protection d'application.
Remarque
Par Windows 10, si vous avez KB5014666 installé et, pour Windows 11, si vous avez KB5014668 installé, vous n’avez pas besoin de configurer la stratégie d’isolation réseau pour activer Protection d'application pour Microsoft Edge en mode managé.
Remarque
Vous devez configurer les domaines des ressources d’entreprise hébergés dans le cloud ou les plages de réseaux privés pour les paramètres des applications sur les appareils de vos employés pour activer correctement Application Guard en mode entreprise. Les serveurs proxy doivent être une ressource neutre répertoriée dans les domaines classés à la fois comme stratégie professionnelle et personnelle .
Nom de la stratégie | Versions prises en charge | Description |
---|---|---|
Plages de réseaux privés pour les applications | Au minimum Windows Server 2012, Windows 8 ou Windows RT | Liste de plages d’adresses IP se trouvant sur votre réseau d’entreprise séparée par des virgules. Les points de terminaison inclus ou les points de terminaison qui sont inclus dans une plage d’adresses IP spécifiée, sont rendus à l’aide de Microsoft Edge et ne seront pas accessibles à partir de l’environnement Application Guard. |
Domaines de ressources d’entreprise hébergés dans le cloud | Au minimum Windows Server 2012, Windows 8 ou Windows RT | Liste séparée par des canaux (| ) de vos ressources cloud de domaine. Les points de terminaison inclus sont rendus à l’aide de Microsoft Edge et ne seront pas accessibles à partir de l’environnement Application Guard. Cette liste prend en charge les caractères génériques détaillés dans le tableau des caractères génériques des paramètres d’isolation réseau . |
Domaines classés comme professionnels et personnels | Au minimum Windows Server 2012, Windows 8 ou Windows RT | Liste séparée par des virgules des noms de domaine utilisés en tant que ressources professionnelles ou personnelles. Les points de terminaison inclus sont rendus à l’aide de Microsoft Edge et sont accessibles à partir de l’Protection d'application et de l’environnement Microsoft Edge standard. Cette liste prend en charge les caractères génériques détaillés dans le tableau des caractères génériques des paramètres d’isolation réseau . |
Caractères génériques des paramètres d’isolation réseau
Valeur | Nombre de points à gauche | Signification |
---|---|---|
contoso.com |
0 | Approuvez uniquement la valeur littérale de contoso.com . |
www.contoso.com |
0 | Approuvez uniquement la valeur littérale de www.contoso.com . |
.contoso.com |
1 | Approuvez tout domaine qui se termine par le texte contoso.com . Les sites correspondants incluent spearphishingcontoso.com , contoso.com et www.contoso.com . |
..contoso.com |
2 | Approuvez tous les niveaux de la hiérarchie de domaine qui se trouvent à gauche du point. Les sites correspondants incluent shop.contoso.com , us.shop.contoso.com , www.us.shop.contoso.com , mais PAS contoso.com lui-même. |
Paramètres des applications
Ces paramètres, situés dans Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard
, peuvent vous aider à gérer l’implémentation de Protection d'application de votre organization.
Nom | Versions prises en charge | Description | Options |
---|---|---|---|
Configurer les paramètres du Presse-papiers Protection d'application Microsoft Defender | Windows 10 Entreprise, 1709 ou version ultérieure Windows 10 Éducation, 1809 ou version ultérieure Windows 11 Entreprise et éducation |
Détermine si Application Guard peut utiliser la fonctionnalité de Presse-papiers. | Activé. Cela n’est efficace qu’en mode managé. Active la fonctionnalité du Presse-papiers et vous permet de choisir s’il faut également : - Désactivez complètement la fonctionnalité du Presse-papiers lorsque la sécurité de virtualisation est activée. - Activer la copie de certains contenus de Protection d'application dans Microsoft Edge. - Activer la copie de certains contenus de Microsoft Edge dans Protection d'application. Important: Autoriser le contenu copié à passer de Microsoft Edge à Protection d'application peut entraîner des risques de sécurité potentiels et n’est pas recommandé. Non, ou non configuré. Désactive complètement la fonctionnalité du Presse-papiers pour Protection d'application. |
Configurer Protection d'application Microsoft Defender paramètres d’impression | Windows 10 Entreprise, 1709 ou version ultérieure Windows 10 Éducation, 1809 ou version ultérieure Windows 11 Entreprise et éducation |
Détermine si Application Guard peut utiliser la fonctionnalité d’impression. | Activé. Cela n’est efficace qu’en mode managé. Active la fonctionnalité d’impression et vous permet de choisir s’il faut également : - Activez Protection d'application pour imprimer au format XPS. - Activer Protection d'application pour imprimer au format PDF. - Activer Protection d'application pour imprimer sur des imprimantes attachées localement. - Activer Protection d'application pour imprimer à partir d’imprimantes réseau précédemment connectées. Les employés ne peuvent pas rechercher d’autres imprimantes. Non, ou non configuré. Désactive complètement la fonctionnalité d’impression pour Application Guard. |
Autoriser la persistance | Windows 10 Entreprise, 1709 ou version ultérieure Windows 10 Éducation, 1809 ou version ultérieure Windows 11 Entreprise et éducation |
Détermine si les données sont conservées dans différentes sessions dans Protection d'application Microsoft Defender. | Activé. Cela n’est efficace qu’en mode managé. Application Guard enregistre les fichiers téléchargés par l’utilisateur et d’autres éléments (par exemple, les cookies, les favoris, etc.) pour une utilisation dans de futures sessions Application Guard. Non, ou non configuré. Toutes les données utilisateur au sein d’Application Guard sont réinitialisées entre les sessions. REMARQUE : si vous décidez par la suite d’arrêter la prise en charge de la persistance des données pour vos employés, vous pouvez utiliser notre utilitaire fourni par Windows pour réinitialiser le conteneur et ignorer toutes les données personnelles.
Pour réinitialiser le conteneur : |
Activer Protection d'application Microsoft Defender en mode managé | Windows 10 Entreprise, 1709 ou version ultérieure Windows 10 Éducation, 1809 ou version ultérieure Windows 11 Entreprise et éducation |
Détermine s’il faut activer Protection d'application pour Microsoft Edge et Microsoft Office. | Activé. Active Protection d'application pour Microsoft Edge et/ou Microsoft Office, en respectant les paramètres d’isolation réseau, en affichant du contenu non approuvé dans le conteneur Protection d'application. Protection d'application ne seront pas réellement activés, sauf si les conditions préalables requises et les paramètres d’isolation réseau sont déjà définis sur l’appareil. Options disponibles : - Activer Protection d'application Microsoft Defender uniquement pour Microsoft Edge - Activer Protection d'application Microsoft Defender uniquement pour Microsoft Office - Activer Protection d'application Microsoft Defender pour Microsoft Edge et Microsoft Office Désactivé. Désactive Protection d'application, ce qui permet à toutes les applications de s’exécuter dans Microsoft Edge et Microsoft Office. Note: Par Windows 10, si vous avez KB5014666 installé et, pour Windows 11, si vous avez KB5014668 installé, vous n’êtes plus obligé de configurer la stratégie d’isolation réseau pour activer Protection d'application pour Microsoft Edge. |
Autoriser le téléchargement des fichiers sur le système d’exploitation hôte | Windows 10 Entreprise ou Pro, 1803 ou version ultérieure Windows 10 Éducation, 1809 ou version ultérieure Windows 11 Entreprise, Professionnel ou Éducation |
Détermine s’il faut enregistrer les fichiers téléchargés dans le système d’exploitation hôte à partir du conteneur Protection d'application Microsoft Defender. | Activé. Permet aux utilisateurs d’enregistrer les fichiers téléchargés du conteneur Protection d'application Microsoft Defender dans le système d’exploitation hôte. Cette action crée un partage entre l’hôte et le conteneur qui autorise également les chargements de l’hôte vers le conteneur Protection d'application. Non, ou non configuré. Les utilisateurs ne peuvent pas enregistrer les fichiers téléchargés à partir de Protection d'application dans le système d’exploitation hôte. |
Autoriser le rendu à accélération matérielle pour Protection d'application Microsoft Defender | Windows 10 Entreprise, 1709 ou version ultérieure Windows 10 Éducation, 1809 ou version ultérieure Windows 11 Entreprise et éducation |
Détermine si Protection d'application Microsoft Defender affiche les graphiques à l’aide de l’accélération matérielle ou logicielle. | Activé. Cela n’est efficace qu’en mode managé. Protection d'application Microsoft Defender utilise Hyper-V pour accéder au matériel graphique de rendu (GPU) pris en charge. Ces GPU améliorent les performances de rendu et l’autonomie de la batterie tout en utilisant Protection d'application Microsoft Defender, en particulier pour la lecture vidéo et d’autres cas d’utilisation gourmands en graphiques. Si ce paramètre est activé sans connecter de matériel graphique à haute sécurité, Protection d'application Microsoft Defender rétablit automatiquement le rendu basé sur le logiciel (PROCESSEUR).
Important: L’activation de ce paramètre avec des périphériques ou des pilotes graphiques potentiellement compromis peut poser un risque pour l’appareil hôte. Non, ou non configuré. Protection d'application Microsoft Defender utilise le rendu logiciel (processeur) et ne charge pas de pilotes graphiques tiers ni n’interagit avec le matériel graphique connecté. |
Autoriser l’accès de la caméra et du microphone dans Protection d'application Microsoft Defender | Windows 10 Entreprise, 1709 ou version ultérieure Windows 10 Éducation, 1809 ou version ultérieure Windows 11 Entreprise et éducation |
Détermine s’il faut autoriser l’accès de la caméra et du microphone à l’intérieur Protection d'application Microsoft Defender. | Activé. Cela n’est efficace qu’en mode managé. Les applications à l’intérieur Protection d'application Microsoft Defender sont en mesure d’accéder à la caméra et au microphone sur l’appareil de l’utilisateur.
Important: L’activation de cette stratégie avec un conteneur potentiellement compromis peut contourner les autorisations de caméra et de microphone et accéder à la caméra et au microphone à l’insu de l’utilisateur. Non, ou non configuré. Les applications à l’intérieur Protection d'application Microsoft Defender ne peuvent pas accéder à la caméra et au microphone sur l’appareil de l’utilisateur. |
Autoriser Protection d'application Microsoft Defender à utiliser les autorités de certification racines à partir de l’appareil d’un utilisateur | Windows 10 Entreprise ou Pro, 1809 ou version ultérieure Windows 10 Éducation, 1809 ou version ultérieure Windows 11 Entreprise ou Pro |
Détermine si les certificats racines sont partagés avec Protection d'application Microsoft Defender. | Activé. Les certificats correspondant à l’empreinte numérique spécifiée sont transférés dans le conteneur. Utilisez une virgule pour séparer plusieurs certificats. Non, ou non configuré. Les certificats ne sont pas partagés avec Protection d'application Microsoft Defender. |
Autoriser les événements d’audit dans Protection d'application Microsoft Defender | Windows 10 Entreprise, 1709 ou version ultérieure Windows 10 Éducation, 1809 ou version ultérieure Windows 11 Entreprise et éducation |
Ce paramètre de stratégie vous permet de décider si les événements d’audit peuvent être collectés à partir de Protection d'application Microsoft Defender. | Activé. Cela n’est efficace qu’en mode managé. Protection d'application hérite des stratégies d’audit de votre appareil et journalise les événements système du conteneur Protection d'application sur votre hôte. Non, ou non configuré. Les journaux des événements ne sont pas collectés à partir de votre conteneur Protection d'application. |
Protection d'application paramètres de boîte de dialogue de prise en charge
Ces paramètres se trouvent dans Administrative Templates\Windows Components\Windows Security\Enterprise Customization
. Si une erreur est rencontrée, une boîte de dialogue s’affiche. Par défaut, cette boîte de dialogue contient uniquement les informations d’erreur et un bouton vous permettant de les signaler à Microsoft via le hub de commentaires. Toutefois, il est possible de fournir des informations supplémentaires dans la boîte de dialogue.
Utilisez stratégie de groupe pour activer et personnaliser les informations de contact.