Supporto di Microsoft Edge per Microsoft Defender Application Guard

Importante

Microsoft Defender Application Guard, incluse le API di avvio delle app isolate di Windows, sarà deprecato per Microsoft Edge per le aziende e non verrà più aggiornato.

Installazioni esistenti di Application Guard

Questa deprecazione non influisce sulle installazioni esistenti di Microsoft Defender Application Guard (MDAG). Le organizzazioni possono continuare a usare Application Guard nelle versioni correnti di Windows, ma è consigliabile che gli amministratori della sicurezza valutino i requisiti di sicurezza in futuro. Questa funzionalità potrebbe essere rimossa in una versione futura di Windows, ma continuerà a essere mantenuta per le installazioni esistenti in Windows.

Considerazioni sulla deprecazione

La deprecazione include gli elementi seguenti di Application Guard.

• Se l'organizzazione richiede l'isolamento basato su contenitori, è consigliabile usare Sandbox di Windows o Desktop virtuale Azure (AVD).If your organization requires container-based isolation, we recommend Windows Sandbox or Azure Virtual Desktop (AVD).
• Poiché Application Guard è deprecato, non verrà eseguita una migrazione al manifesto edge V3. Le estensioni corrispondenti e l'app di Windows Store associata non saranno disponibili dopo maggio 2024. Ciò influisce sui browser seguenti: Chrome e Firefox. Se si vuole bloccare i browser non protetti fino a quando non si è pronti per ritirare l'utilizzo di MDAG nell'organizzazione, è consigliabile usare i criteri di AppLocker o il servizio di gestione Di Microsoft Edge.

Suggerimento

Scaricare il white paper di Microsoft Edge for Business Security per altre informazioni sulle funzionalità che rendono Edge for Business un browser aziendale sicuro.

Le funzionalità di sicurezza aggiuntive in Edge lo rendono molto sicuro senza la necessità di Application Guard. L'elenco crescente di funzionalità di sicurezza include:

• Defender SmartScreen per il supporto anti-phishing e malware e l'analisi e il blocco degli URL.
• Modalità di sicurezza avanzata per la protezione dalle vulnerabilità correlate alla memoria disabilitando la compilazione JavaScript JIT (e altre protezioni).
• Protezione degli errori di digitazione del sito Web per i siti Web con errori di ortografia.
• Prevenzione della perdita dei dati per identificare, monitorare e proteggere automaticamente gli elementi sensibili.

Panoramica

Questo articolo descrive come Microsoft Edge supporta Microsoft Defender Application Guard (Application Guard).

Gli architetti della sicurezza nell'organizzazione devono gestire la tensione esistente tra produttività e sicurezza. È relativamente facile bloccare un browser e consentire solo il caricamento di pochi siti attendibili. Questo approccio migliorerà le condizioni di sicurezza complessive, ma è verosimilmente meno produttivo. Rendendolo meno restrittivo al fine di migliorare la produttività, si aumenta il profilo di rischio. Si tratta di un equilibrio difficile da trovare.

È ancora più difficile stare al passo con le nuove minacce emergenti in questo scenario di minaccia in continuo cambiamento. I browser restano la superficie di attacco principale nei dispositivi client, perché la loro attività di base è quella di consentire agli utenti di accedere, scaricare e aprire contenuto non attendibile da origini non attendibili. Gli autori di minacce sono costantemente al lavoro per creare nuove forme di ingegneria sociale al fine di attaccare il browser. La prevenzione degli incidenti di sicurezza o le strategie di rilevamento/risposta non possono garantire la sicurezza al 100%.

Una delle principali strategie di sicurezza da considerare è la Assume Breach Methodology, ossia la metodologia di presunzione di violazione, che implica l'accettazione della riuscita di un attacco almeno una volta nonostante gli sforzi per impedirlo. Questo presupposto richiede la creazione di difese che contengano il danno, in modo che la rete aziendale e altre risorse rimangano protette in questo scenario. La distribuzione di Application Guard per Microsoft Edge si adatta perfettamente a questa strategia.

Informazioni su Application Guard

Progettato per Windows 10/11 e Microsoft Edge, Application Guard usa un approccio di isolamento hardware. che consente di avviare gli spostamenti nei siti non attendibili all'interno di un contenitore. L'isolamento hardware consente alle organizzazioni di proteggere la rete e i dati aziendali nel caso in cui gli utenti visitino un sito che è compromesso o dannoso.

L'amministratore dell'organizzazione definisce quali sono i siti, le risorse del cloud e le reti interne attendibili. Tutto ciò che non è incluso nell'elenco dei siti attendibili viene considerato non attendibile. Questi siti sono isolati dalla rete e dai dati aziendali nel dispositivo dell'utente.

Per ulteriori informazioni:

• guardare il video sull' isolamento del browser Microsoft Edge con Application Guard
• leggere cos'è Application Guard e come funziona?

Lo screenshot seguente mostra un esempio di messaggio di Application Guard che indica che l'utente sta navigando in uno spazio sicuro.

Novità

Il supporto di Application Guard nel nuovo browser Microsoft Edge ha parità funzionale con Microsoft Edge Legacy e include diversi miglioramenti.

Abilitare il blocco del caricamento

A partire da Microsoft Edge 96, gli amministratori hanno ora la possibilità di bloccare i caricamenti mentre si trova nel contenitore, il che significa che gli utenti non possono caricare file dal dispositivo locale nell'istanza di Application Guard. Il supporto può essere controllato tramite criterio. È possibile aggiornare il criterio Edge ApplicationGuardUploadBlockingEnabled per abilitare o disabilitare i caricamenti nel contenitore.

Abilitare Application Guard in modalità passiva ed esplorare Edge normalmente

A partire da Microsoft Edge 94, gli utenti hanno ora la possibilità di configurare la modalità passiva, il che significa che Application Guard ignora la configurazione dell'elenco di siti e gli utenti possono esplorare Edge normalmente. Il supporto può essere controllato tramite criterio. È possibile aggiornare il criterio Edge ApplicationGuardPassiveModeEnabled per abilitare o disabilitare la modalità passiva.

Nota

Questo criterio influisce SOLO su Edge, quindi gli spostamenti da altri browser potrebbero essere reindirizzati al contenitore di Application Guard se sono abilitate le estensioni corrispondenti.

Sincronizzazione dei Preferiti dall'host al contenitore

Alcuni clienti hanno chiesto la sincronizzazione dei Preferiti tra il browser host e il contenitore in Application Guard. A partire da Microsoft Edge 91, gli utenti hanno ora la possibilità di configurare Application Guard in modo da sincronizzare i Preferiti dall'host al contenitore. Questo assicura che anche i nuovi Preferiti vengano visualizzati nel contenitore.

Il supporto può essere controllato tramite criterio. È possibile aggiornare il criterio di Microsoft Edge ApplicationGuardFavoritesSyncEnabled per abilitare o disabilitare la sincronizzazione dei Preferiti.

Nota

Per motivi di sicurezza, la sincronizzazione dei Preferiti è possibile solo dall'host al contenitore e non viceversa. Per garantire un elenco unificato dei Preferiti nell'host e nel contenitore, è stata disabilitata la gestione dei Preferiti all'interno del contenitore.

Identificazione del traffico di rete proveniente dal contenitore

Diversi clienti usano WDAG in una configurazione specifica in cui desiderano identificare il traffico di rete proveniente dal contenitore. Di seguito sono riportati alcuni degli scenari in cui questo può essere utile:

• Per limitare l'accesso solo a pochi siti non attendibili
• Per consentire l'accesso a Internet solo dal contenitore

A partire da Microsoft Edge versione 91, è disponibile il supporto integrato per contrassegnare il traffico di rete proveniente dai contenitori di Application Guard, consentendo alle aziende di usare il proxy per filtrare il traffico e applicare criteri specifici. È possibile usare l'intestazione per identificare il traffico che proviene dal contenitore o dall'host usando ApplicationGuardTrafficIdentificationEnabled.

Supporto dell'estensione all'interno del contenitore

Il supporto per l'estensione all'interno del contenitore è una delle principali richieste dei clienti. Gli scenari sono diversi, da quelli che vogliono eseguire il blocco di annunci all'interno del contenitore per aumentare le prestazioni del browser per poter eseguire estensioni personalizzate nel contenitore.

Sono ora supportate le installazioni di estensione nel contenitore, a partire da Microsoft Edge versione 81. Il supporto può essere controllato tramite criterio. Le updateURL usate nel criterio di ExtensionInstallForcelist devono essere aggiunte come Risorse neutre ai criteri di Isolamento della rete usati da Application Guard.

Alcuni esempi di supporto contenitore includono gli scenari seguenti:

• Forzare le installazioni di un'estensione nell'host
• Rimozione di un'estensione dall'host
• Estensioni bloccate nell'host

Nota

È anche possibile installare manualmente singole estensioni all'interno del contenitore dall'archivio estensioni. Le estensioni installate manualmente verranno conservate nel contenitore solo se è abilitato il criterio Consenti il salvataggio permanente.

Identificazione traffico Application Guard via proxy doppio

Alcuni clienti aziendali stanno distribuendo Application Guard con un caso specifico di utilizzo in cui è necessario identificare il traffico Web in uscita da un contenitore Microsoft Defender Application Guard a livello di proxy. A partire da Stable Channel versione 84, Microsoft Edge supporterà il doppio proxy per soddisfare questo requisito. Questa funzionalità può essere configurata usando i criteri di ApplicationGuardContainerProxy.

Il disegno seguente mostra la doppia architettura proxy per Microsoft Edge.

Pagina di diagnostica per la risoluzione dei problemi

Un altro aspetto che desta maggiori preoccupazioni per l'utente è la risoluzione dei problemi relativi alla configurazione di Application Guard in un dispositivo quando viene segnalato un problema. Microsoft Edge include una pagina di diagnostica (edge://application-guard-internals) per risolvere i problemi degli utenti. Una di queste diagnostiche riesce a controllare l'URL trust in base alla configurazione nel dispositivo dell'utente.

Lo screenshot seguente mostra una pagina di diagnostica con più schede che consente di diagnosticare i problemi segnalati dall'utente nel dispositivo.

Aggiornamenti di Microsoft Edge nel contenitore

Gli aggiornamenti della versione legacy di Microsoft Edge nel contenitore fanno parte del ciclo di aggiornamento del sistema operativo Windows. Dato che la nuova versione di Microsoft Edge si aggiorna indipendentemente dal sistema operativo Windows, non esiste più la dipendenza dagli aggiornamenti del contenitore. Il canale e la versione dell'host Microsoft Edge vengono replicati all'interno del contenitore.

Prerequisiti

I requisiti seguenti si applicano ai dispositivi che usano Application Guard con Microsoft Edge:

• Windows 10 1809 (Aggiornamento di Windows 10 ottobre 2018) e versioni successive.

• Solo SKU dei client Windows.

  Nota

  Application Guard è supportato solo in SKU Windows 10/11 Pro e Windows 10/11 Enterprise.

• Una delle soluzioni di gestione descritte nei Requisiti software

Come installare Application Guard

Gli articoli seguenti forniscono le informazioni necessarie per installare, configurare e testare Application Guard con Microsoft Edge.

• Requisiti di sistema
• Installare Microsoft Defender Application Guard
• Configurare le impostazioni dei criteri di gruppo di Application Guard
• Testare Application Guard

Domande frequenti

Application Guard è deprecato?

Sì, Microsoft Defender Application Guard, incluse le API di avvio delle app isolate di Windows, sarà deprecato per Microsoft Edge per le aziende e non verrà più aggiornato.

Application Guard funziona in modalità IE?

La modalità IE supporta la funzionalità Application Guard, ma non prevediamo un uso molto importante di questa funzionalità in modalità IE. È consigliabile distribuire la modalità IE per un elenco di siti interni attendibili e usare Application Guard solo per i siti non attendibili. Assicurarsi che tutti i siti o gli indirizzi IP in modalità Internet Explorer vengano aggiunti anche ai criteri di isolamento della rete da considerare come risorsa attendibile da Application Guard.

È necessario installare l'estensione Application Guard per Chrome?

No, la funzionalità Application Guard è supportata in modo nativo in Microsoft Edge. In effetti, l'estensione Application Guard per Chrome non è una configurazione supportata in Microsoft Edge.

I dipendenti possono scaricare documenti dalla sessione Edge di Application Guard nei dispositivi host?

In Windows 10 Enterprise Edition, versione 1803, gli utenti possono scaricare documenti dal contenitore Application Guard isolato nel PC host. Questa funzionalità è gestita dai criteri.

In Windows 10 Enterprise Edition, versione 1709 o Windows 10 Professional edition, versione 1803, non è possibile scaricare i file dal contenitore Application Guard isolato nel computer host. Tuttavia, i dipendenti possono usare le opzioni Stampa su PDF o Stampa su XPS e salvare i file nel dispositivo host.

I dipendenti possono copiare e incollare tra il dispositivo host e la sessione Edge di Application Guard?

A seconda delle impostazioni dell'organizzazione, i dipendenti possono copiare e incollare immagini (.bmp) e testo da e verso il contenitore isolato.

Perché i dipendenti non vedono i preferiti nella sessione di Application Guard Edge?

A seconda delle impostazioni dell'organizzazione, potrebbe essere disattivata la sincronizzazione preferiti. Per gestire i criteri, vedere: Microsoft Edge e Microsoft Defender Application Guard | Microsoft Docs.

Perché i dipendenti non sono in grado di visualizzare le estensioni nella sessione di Application Guard Edge?

Assicurarsi di abilitare i criteri delle estensioni nella configurazione di Application Guard.

La mia estensione non sembra funzionare in Edge Application Guard?

Se i criteri delle estensioni sono abilitati per MDAG nella configurazione, verificare se l'estensione richiede componenti di gestione dei messaggi nativi, tali estensioni non sono supportate nel contenitore di Application Guard.

Sto cercando di guardare il video di riproduzione con HDR, perché manca l'opzione HDR?

Affinché la riproduzione video HDR funzioni nel contenitore, l'accelerazione hardware vGPU deve essere abilitata in Application Guard.

Ci sono altre domande frequenti relative alla piattaforma?

Sì. Domande frequenti: Microsoft Defender Application Guard

Vedere anche

• Pagina di destinazione di Microsoft Edge in modalità Enterprise
• Microsoft Defender Advanced Threat Protection
• Video: isolamento del browser per Microsoft Edge tramite Application Guard