Delen via


Microsoft Defender Application Guard-beleid maken en implementeren

Van toepassing op: Configuration Manager (current branch)

U kunt Microsoft Defender Application Guard (Application Guard) beleid maken en implementeren met behulp van de Configuration Manager endpoint protection. Deze beleidsregels helpen uw gebruikers te beschermen door niet-vertrouwde websites te openen in een beveiligde geïsoleerde container die niet toegankelijk is voor andere onderdelen van het besturingssysteem.

Voorwaarden

Als u een Microsoft Defender Application Guard-beleid wilt maken en implementeren, moet u Windows 10 1709 of hoger gebruiken. De Windows 10 of nieuwere apparaten waarop u het beleid implementeert, moeten worden geconfigureerd met een netwerkisolatiebeleid. Zie het overzicht van de Microsoft Defender Application Guard voor meer informatie.

Een beleid maken en door de beschikbare instellingen bladeren

  1. Kies activa en naleving in de Configuration Manager-console.

  2. Kies in de werkruimte Assets and Compliancede optie Overview>Endpoint Protection>Microsoft Defender Application Guard.

  3. Klik op het tabblad Start in de groep Maken op Microsoft Defender Application Guard beleid maken.

  4. Met het artikel als referentie kunt u door de beschikbare instellingen bladeren en configureren. met Configuration Manager kunt u bepaalde beleidsinstellingen instellen:

  5. Geef op de pagina Netwerkdefinitie de bedrijfsidentiteit op en definieer de grens van uw bedrijfsnetwerk.

    Opmerking

    Windows 10 of hoger pc's slaan slechts één netwerkisolatielijst op de client op. U kunt twee verschillende soorten netwerkisolatielijsten maken en deze implementeren op de client:

    • een van Windows Information Protection
    • een van Microsoft Defender Application Guard

    Als u beide beleidsregels implementeert, moeten deze lijsten met netwerkisolatie overeenkomen. Als u lijsten implementeert die niet overeenkomen met dezelfde client, mislukt de implementatie. Zie de documentatie voor Windows Information Protection voor meer informatie.

  6. Wanneer u klaar bent, voltooit u de wizard en implementeert u het beleid op een of meer Windows 10 1709-apparaten of hoger.

Toepassingsgedrag

Hiermee configureert u interacties tussen hostapparaten en de Application Guard container. Vóór Configuration Manager versie 1802 bevonden zowel het gedrag van de toepassing als de interactie met de host zich op het tabblad Instellingen.

  • Klembord - Onder instellingen vóór Configuration Manager 1802
    • Toegestaan inhoudstype
      • Tekst
      • Afbeeldingen
  • Afdrukken:
    • Afdrukken in XPS inschakelen
    • Afdrukken naar PDF inschakelen
    • Afdrukken inschakelen voor lokale printers
    • Afdrukken naar netwerkprinters inschakelen
  • Graphics: (vanaf Configuration Manager versie 1802)
    • Toegang tot virtuele grafische processor
  • Bestanden: (vanaf Configuration Manager versie 1802)
    • Gedownloade bestanden opslaan op host
  • Beleid: (vanaf Configuration Manager versie 2207)
    • Camera's en microfoons in- of uitschakelen
    • Certificaat dat overeenkomt met de vingerafdruk van de geïsoleerde container

Instellingen voor hostinteractie

Hiermee configureert u toepassingsgedrag binnen de Application Guard-sessie. Vóór Configuration Manager versie 1802 bevonden zowel het gedrag van de toepassing als de interactie met de host zich op het tabblad Instellingen.

  • Andere:
    • Door de gebruiker gegenereerde browsergegevens behouden
    • Beveiligingsgebeurtenissen in de geïsoleerde Application Guard-sessie controleren

Als u Application Guard instellingen wilt bewerken, vouwt u Endpoint Protection uit in de werkruimte Activa en naleving en klikt u vervolgens op het knooppunt Microsoft Defender Application Guard. Klik met de rechtermuisknop op het beleid dat u wilt bewerken en selecteer vervolgens Eigenschappen.

Bekende problemen

Van toepassing op versie 2203 of eerder

Op apparaten met Windows 10 versie 2004 worden fouten weergegeven in de nalevingsrapportage voor Microsoft Defender Application Guard bestandsvertrouwenscriteria. Dit probleem treedt op omdat sommige subklassen zijn verwijderd uit de WMI-klasse MDM_WindowsDefenderApplicationGuard_Settings01 in Windows 10 versie 2004. Alle andere Microsoft Defender Application Guard instellingen zijn nog steeds van toepassing, alleen bestandsvertrouwenscriteria mislukken. Er zijn momenteel geen tijdelijke oplossingen om de fout te omzeilen.

Van toepassing op versie 2207 of hoger

Als u het beleid inschakelt, wordt Microsoft Defender Application Guard functie niet standaard geïnstalleerd. Implementeer een PowerShell-script via ConfigMgr op alle toepasselijke machines.

Gebruik de volgende opdrachten om de functie in te schakelen. Enable-WindowsOptionalFeature -online -FeatureName "Windows-Defender-ApplicationGuard"

Volgende stappen

Zie voor meer informatie over Microsoft Defender Application Guard