Criar e implementar Microsoft Defender Application Guard política

Aplica-se a: Configuration Manager (branch atual)

Pode criar e implementar políticas de Microsoft Defender Application Guard (Application Guard) com o Configuration Manager endpoint protection. Estas políticas ajudam a proteger os seus utilizadores ao abrir sites não fidedignos num contentor isolado seguro que não é acessível por outras partes do sistema operativo.

Pré-requisitos

Para criar e implementar uma política de Microsoft Defender Application Guard, tem de utilizar o Windows 10 1709 ou posterior. Os dispositivos Windows 10 ou posteriores nos quais implementa a política têm de ser configurados com uma política de isolamento de rede. Para obter mais informações, veja a descrição geral do Microsoft Defender Application Guard.

Criar uma política e procurar as definições disponíveis

1. Na consola do Configuration Manager, selecione Ativos e Conformidade.

2. Na área de trabalho Ativos e Compatibilidade, selecione Descrição Geral>do Endpoint Protection>Microsoft Defender Application Guard.

3. No separador Base, no grupo Criar, clique em Criar Microsoft Defender Application Guard Política.

4. Ao utilizar o artigo como referência, pode procurar e configurar as definições disponíveis. Configuration Manager permite-lhe definir determinadas definições de política:

   • Comportamento da aplicação
   • Definições de interação do anfitrião

5. Na página Definição de Rede , especifique a identidade empresarial e defina o limite de rede empresarial.

   Observação

   Windows 10 ou PCs posteriores armazenam apenas uma lista de isolamento de rede no cliente. Pode criar dois tipos diferentes de listas de isolamento de rede e implementá-las no cliente:

   • um do Windows Proteção de Informações
   • um de Microsoft Defender Application Guard

   Se implementar ambas as políticas, estas listas de isolamento de rede têm de corresponder. Se implementar listas que não correspondam ao mesmo cliente, a implementação falhará. Para obter mais informações, consulte a documentação do Windows Proteção de Informações.

6. Quando tiver terminado, conclua o assistente e implemente a política num ou mais dispositivos Windows 10 1709 ou posteriores.

Comportamento da aplicação

Configura interações entre dispositivos anfitriões e o contentor Application Guard. Antes Configuration Manager versão 1802, o comportamento da aplicação e a interação do anfitrião estavam no separador Definições.

• Área de Transferência – em definições anteriores a Configuration Manager 1802
  • Tipo de conteúdo permitido
    • Texto
    • Imagens
• Impressão:
  • Ativar a impressão para XPS
  • Ativar a impressão em PDF
  • Ativar a impressão em impressoras locais
  • Ativar a impressão em impressoras de rede
• Gráficos: (começando com Configuration Manager versão 1802)
  • Acesso ao processador de gráficos virtuais
• Ficheiros: (a começar com Configuration Manager versão 1802)
  • Guardar ficheiros transferidos no anfitrião
• Políticas: (a começar com Configuration Manager versão 2207)
  • Ativar ou desativar câmaras e microfones
  • Certificado que corresponde aos thumbprints com o contentor isolado

Definições de interação do anfitrião

Configura o comportamento da aplicação dentro da sessão Application Guard. Antes Configuration Manager versão 1802, o comportamento da aplicação e a interação do anfitrião estavam no separador Definições.

• Outro:
  • Reter dados do browser gerados pelo utilizador
  • Auditar eventos de segurança na sessão de proteção de aplicações isolada

Para editar Application Guard definições, expanda Endpoint Protection na área de trabalho Ativos e Compatibilidade e, em seguida, clique no nó Microsoft Defender Application Guard. Clique com o botão direito do rato na política que pretende editar e, em seguida, selecione Propriedades.

Problemas conhecidos

Aplica-se à versão 2203 ou anterior

Os dispositivos com Windows 10, versão 2004, mostrarão falhas nos relatórios de compatibilidade para Microsoft Defender Application Guard Critérios de Confiança de Ficheiros. Este problema ocorre porque algumas subclasses foram removidas da classe MDM_WindowsDefenderApplicationGuard_Settings01 WMI no Windows 10, versão 2004. Todas as outras definições de Microsoft Defender Application Guard continuarão a ser aplicadas, apenas os Critérios de Confiança de Ficheiros falharão. Atualmente, não existem soluções para ignorar o erro.

Aplica-se à versão 2207 ou posterior

Ativar a política não instala Microsoft Defender Application Guard funcionalidade por predefinição. Implemente um script do PowerShell através de ConfigMgr em todos os computadores aplicáveis.

Utilize os seguintes comandos para ativar a funcionalidade. Enable-WindowsOptionalFeature -online -FeatureName "Windows-Defender-ApplicationGuard"

Próximas etapas

Para obter mais informações sobre Microsoft Defender Application Guard, consulte

• Microsoft Defender Application Guard descrição geral.
• MICROSOFT DEFENDER APPLICATION GUARD FAQ.