Microsoft Defender Application Guard 정책 만들기 및 배포

적용 대상: Configuration Manager(현재 분기)

Configuration Manager 엔드포인트 보호를 사용하여 Microsoft Defender Application Guard(Application Guard) 정책을 만들고 배포할 수 있습니다. 이러한 정책은 운영 체제의 다른 부분에서 액세스할 수 없는 안전한 격리된 컨테이너에서 신뢰할 수 없는 웹 사이트를 열어 사용자를 보호하는 데 도움이 됩니다.

필수 조건

Microsoft Defender Application Guard 정책을 만들고 배포하려면 Windows 10 1709 이상을 사용해야 합니다. 정책을 배포하는 Windows 10 이상 디바이스는 네트워크 격리 정책을 사용하여 구성해야 합니다. 자세한 내용은 Microsoft Defender Application Guard 개요를 참조하세요.

정책을 만들고 사용 가능한 설정을 찾아봅니다.

1. Configuration Manager 콘솔에서 자산 및 규정 준수를 선택합니다.

2. 자산 및 규정 준수 작업 영역에서Endpoint Protection>Microsoft Defender Application Guard 개요>를 선택합니다.

3. 홈 탭의 만들기 그룹에서 Microsoft Defender Application Guard 정책 만들기를 클릭합니다.

4. 문서를 참조로 사용하여 사용 가능한 설정을 찾아보고 구성할 수 있습니다. Configuration Manager 통해 특정 정책 설정을 설정할 수 있습니다.

   • 애플리케이션 동작
   • 호스트 상호 작용 설정

5. 네트워크 정의 페이지에서 회사 ID를 지정하고 회사 네트워크 경계를 정의합니다.

   참고

   Windows 10 이상의 PC는 클라이언트에 하나의 네트워크 격리 목록만 저장합니다. 두 가지 종류의 네트워크 격리 목록을 만들고 클라이언트에 배포할 수 있습니다.

   • Windows Information Protection
   • Microsoft Defender Application Guard

   두 정책을 모두 배포하는 경우 이러한 네트워크 격리 목록이 일치해야 합니다. 동일한 클라이언트와 일치하지 않는 목록을 배포하면 배포가 실패합니다. 자세한 내용은 Windows Information Protection 설명서를 참조하세요.

6. 완료되면 마법사를 완료하고 하나 이상의 Windows 10 1709 이상 디바이스에 정책을 배포합니다.

애플리케이션 동작

호스트 디바이스와 Application Guard 컨테이너 간의 상호 작용을 구성합니다. 버전 1802를 Configuration Manager 전에 애플리케이션 동작과 호스트 상호 작용이 모두 설정 탭 아래에 있었습니다.

• 클립보드 - Configuration Manager 1802 이전 설정에서
  • 허용된 콘텐츠 형식
    • 텍스트
    • 이미지
• 인쇄:
  • XPS에 인쇄 사용
  • PDF에 인쇄 사용
  • 로컬 프린터에 인쇄 사용
  • 네트워크 프린터에 인쇄 사용
• 그래픽: (Configuration Manager 버전 1802부터)
  • 가상 그래픽 프로세서 액세스
• 파일: (Configuration Manager 버전 1802부터)
  • 다운로드한 파일을 호스트에 저장
• 정책: (Configuration Manager 버전 2207부터)
  • 카메라 및 마이크 사용 또는 사용 안 함
  • 격리된 컨테이너에 지문과 일치하는 인증서

호스트 상호 작용 설정

Application Guard 세션 내에서 애플리케이션 동작을 구성합니다. 버전 1802를 Configuration Manager 전에 애플리케이션 동작과 호스트 상호 작용이 모두 설정 탭 아래에 있었습니다.

• 다른:
  • 사용자 생성 브라우저 데이터 보존
  • 격리된 Application Guard 세션의 보안 이벤트 감사

Application Guard 설정을 편집하려면 자산 및 규정 준수 작업 영역에서 Endpoint Protection을 확장한 다음, Microsoft Defender Application Guard 노드를 클릭합니다. 편집하려는 정책을 마우스 오른쪽 단추로 클릭한 다음 속성을 선택합니다.

알려진 문제

버전 2203 이하에 적용됩니다.

Windows 10 버전 2004를 실행하는 디바이스는 Microsoft Defender Application Guard 파일 신뢰 기준에 대한 규정 준수 보고에서 실패를 표시합니다. 이 문제는 일부 하위 클래스가 Windows 10 버전 2004의 WMI 클래스 MDM_WindowsDefenderApplicationGuard_Settings01 에서 제거되었기 때문에 발생합니다. 다른 모든 Microsoft Defender Application Guard 설정은 계속 적용되며 파일 신뢰 조건만 실패합니다. 현재 오류를 우회하는 해결 방법은 없습니다.

버전 2207 이상에 적용됩니다.

정책을 사용하도록 설정해도 기본적으로 Microsoft Defender Application Guard 기능이 설치되지 않습니다. ConfigMgr을 통해 PowerShell 스크립트를 적용 가능한 모든 컴퓨터에 배포합니다.

다음 명령을 사용하여 기능을 사용하도록 설정합니다. Enable-WindowsOptionalFeature -online -FeatureName "Windows-Defender-ApplicationGuard"

다음 단계

Microsoft Defender Application Guard 대한 자세한 내용은

• Microsoft Defender Application Guard 개요입니다.
• Microsoft Defender Application Guard FAQ.