Configurar as políticas do Microsoft Defender Application Guard
Observação
- Microsoft Defender Application Guard, incluindo as APIs do Inicializador de Aplicativos Isolados do Windows, serão preteridos para Microsoft Edge para Empresas e não serão mais atualizados. Baixe o Whitepaper do Microsoft Edge For Business Security para saber mais sobre os recursos de segurança do Edge for Business.
- Como Application Guard for preterido, não haverá uma migração para o Edge Manifest V3. As extensões correspondentes e o aplicativo associado da Windows Store não estarão disponíveis após maio de 2024. Isso afeta os seguintes navegadores: Application Guard Extension – Chrome e Application Guard Extension – Firefox. Se você quiser bloquear navegadores desprotegidos até estar pronto para retirar o uso do MDAG em sua empresa, recomendamos usar políticas do AppLocker ou serviço de gerenciamento do Microsoft Edge. Para obter mais informações, consulte Microsoft Edge e Microsoft Defender Application Guard.
Microsoft Defender Application Guard (Application Guard) funciona com Política de Grupo para ajudá-lo a gerenciar as configurações do computador da sua organização. Com a Política de Grupo, você pode definir uma configuração uma vez e, depois, copiá-la para vários computadores. Por exemplo, você pode configurar várias configurações de segurança em um objeto Política de Grupo, que está vinculado a um domínio e aplicar todas essas configurações a cada ponto de extremidade no domínio.
O Aplicativo Guard usa o isolamento da rede e configurações específicas do aplicativo.
Edição do Windows e requisitos de licenciamento
A tabela a seguir lista as edições do Windows que dão suporte a Microsoft Defender Application Guard (MDAG) para o modo empresarial do Edge e o gerenciamento empresarial:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Educação do Windows |
|---|---|---|---|
| Não | Sim | Não | Sim |
Microsoft Defender Application Guard (MDAG) para o modo empresarial do Edge e os direitos de licença de gerenciamento empresarial são concedidos pelas seguintes licenças:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Educação A5 |
|---|---|---|---|---|
| Não | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Para obter mais informações sobre Microsoft Defender Application Guard (MDAG) para Edge no modo autônomo, consulte Microsoft Defender Application Guard visão geral.
Configurações de isolamento da rede
Essas configurações, localizadas em Computer Configuration\Administrative Templates\Network\Network Isolation, ajudam você a definir e gerenciar os limites de rede da sua organização. O Application Guard usa essas informações para transferir automaticamente todas as solicitações de acesso aos recursos não corporativos no contêiner do Application Guard.
Observação
Para Windows 10, se você tiver KB5014666 instalado e para Windows 11, se tiver KB5014668 instalado, não precisará configurar a política de isolamento de rede para habilitar Application Guard para o Microsoft Edge no modo gerenciado.
Observação
Você deve configurar os domínios de recursos empresariais hospedados na nuvem ou os intervalos de rede privada das configurações definidas nos dispositivos do funcionário para ativar o Application Guard usando o modo empresarial. Os servidores proxy devem ser um recurso neutro listado nos Domínios categorizados como política de trabalho e pessoal .
| Nome da política | Versões com suporte | Descrição |
|---|---|---|
| Intervalos de rede privada dos aplicativos | Pelo menos Windows Server 2012, Windows 8 ou Windows RT | Uma lista dos intervalos de endereços IP da sua rede corporativa, separados por vírgula. Os pontos de extremidade incluídos ou os pontos de extremidade que estão incluídos em um intervalo de endereços IP especificado são renderizados por meio do Microsoft Edge e não poderão ser acessados pelo ambiente do Application Guard. |
| Domínios de recursos empresariais hospedados na nuvem | Pelo menos Windows Server 2012, Windows 8 ou Windows RT | Uma lista separada por pipe (|) de seus recursos de nuvem de domínio. Os pontos de extremidade incluídos são renderizados por meio do Microsoft Edge e não poderão ser acessados no ambiente do Application Guard. Essa lista dá suporte aos curingas detalhados na tabela Configurações de isolamento de rede curinga . |
| Domínios categorizados como profissional e pessoal | Pelo menos Windows Server 2012, Windows 8 ou Windows RT | Uma lista de nomes de domínio usados como recursos profissionais ou pessoais, separados por vírgula. Os pontos de extremidade incluídos são renderizados usando o Microsoft Edge e estarão acessíveis no ambiente Application Guard e regular do Edge. Essa lista dá suporte aos curingas detalhados na tabela Configurações de isolamento de rede curinga . |
Configurações de isolamento de rede curinga
| Valor | Número de ponto à esquerda | Significado |
|---|---|---|
contoso.com |
0 | Confie apenas no valor literal de contoso.com. |
www.contoso.com |
0 | Confie apenas no valor literal de www.contoso.com. |
.contoso.com |
1 | Confie em qualquer domínio que termine com o texto contoso.com. Os sites correspondentes incluem spearphishingcontoso.com, contoso.come www.contoso.com. |
..contoso.com |
2 | Confie em todos os níveis da hierarquia de domínio que estão à esquerda do ponto. Os sites correspondentes incluem shop.contoso.com, us.shop.contoso.com, www.us.shop.contoso.com, mas NÃO contoso.com em si. |
Configurações específicas de aplicativos
Essas configurações, localizadas em Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard, podem ajudá-lo a gerenciar a implementação de Application Guard da sua organização.
| Nome | Versões com suporte | Descrição | Opções |
|---|---|---|---|
| Configurar configurações da área de transferência Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Educação |
Determina se o Application Guard pode usar a funcionalidade de área de transferência. | Habilitado. Isso só é eficaz no modo gerenciado. Ativa a funcionalidade da área de transferência e permite que você escolha se deseja além disso: - Desabilite completamente a funcionalidade da área de transferência quando a Segurança de Virtualização estiver habilitada. - Habilitar a cópia de determinado conteúdo de Application Guard no Microsoft Edge. - Habilitar a cópia de determinado conteúdo do Microsoft Edge em Application Guard. Importante: Permitir que o conteúdo copiado vá do Microsoft Edge para Application Guard pode causar riscos potenciais de segurança e não é recomendado. Desabilitado ou não configurado. Desativa completamente a funcionalidade da área de transferência para Application Guard. |
| Configurar Microsoft Defender Application Guard configurações de impressão | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Educação |
Determina se o Application Guard pode usar a funcionalidade de impressão. | Habilitado. Isso só é eficaz no modo gerenciado. Ativa a funcionalidade de impressão e permite que você escolha se deseja além disso: - Habilitar Application Guard imprimir no formato XPS. - Habilitar Application Guard imprimir no formato PDF. - Habilitar Application Guard imprimir em impressoras anexadas localmente. - Habilitar Application Guard imprimir de impressoras de rede conectadas anteriormente. Os funcionários não podem procurar outras impressoras. Desabilitado ou não configurado. Desativa completamente a funcionalidade de impressão do Application Guard. |
| Permitir Persistência | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Educação |
Determina se os dados persistem em diferentes sessões em Microsoft Defender Application Guard. | Enabled. Isso só é eficaz no modo gerenciado. O Application Guard salva os arquivos baixados pelo usuário e outros itens (como cookies, Favoritos etc.) para uso em sessões futuras do Application Guard. Desabilitado ou não configurado. Todos os dados de usuário no Application Guard é redefinido entre as sessões. OBSERVAÇÃO: se você decidir parar de dar suporte à persistência de dados para seus funcionários, poderá usar nosso utilitário fornecido pelo Windows para redefinir o contêiner e descartar quaisquer dados pessoais. Para redefinir o contêiner: |
| Ativar Microsoft Defender Application Guard no modo gerenciado | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Educação |
Determina se é necessário ativar Application Guard para o Microsoft Edge e o Microsoft Office. | Enabled. Ativa Application Guard para Microsoft Edge e/ou Microsoft Office, honrando as configurações de isolamento de rede, renderizando conteúdo não confiável no contêiner Application Guard. Application Guard não será ativado, a menos que os pré-requisitos necessários e as configurações de isolamento de rede já estejam definidos no dispositivo. Opções disponíveis: - Habilitar Microsoft Defender Application Guard somente para o Microsoft Edge - Habilitar Microsoft Defender Application Guard somente para o Microsoft Office - Habilitar Microsoft Defender Application Guard para o Microsoft Edge e o Microsoft Office Desabilitado. Desativa Application Guard, permitindo que todos os aplicativos sejam executados no Microsoft Edge e no Microsoft Office. Nota: Para Windows 10, se você tiver KB5014666 instalado e para Windows 11, se tiver KB5014668 instalado, não será mais necessário configurar a política de isolamento de rede para habilitar Application Guard para o Edge. |
| Permitir que os arquivos sejam baixados para hospedar o sistema operacional | Windows 10 Enterprise ou Pro, 1803 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise ou Pró ou Educação |
Determina se é necessário salvar arquivos baixados no sistema operacional host do contêiner Microsoft Defender Application Guard. | Enabled. Permite que os usuários salvem arquivos baixados do contêiner Microsoft Defender Application Guard para o sistema operacional host. Essa ação cria um compartilhamento entre o host e o contêiner que também permite carregamentos do host para o contêiner Application Guard. Desabilitado ou não configurado. Os usuários não podem salvar arquivos baixados de Application Guard para o sistema operacional host. |
| Permitir renderização acelerada por hardware para Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Educação |
Determina se Microsoft Defender Application Guard renderiza os gráficos usando a aceleração de hardware ou software. | Enabled. Isso só é eficaz no modo gerenciado. Microsoft Defender Application Guard usa o Hyper-V para acessar GPUs (hardware gráfico de renderização de alta segurança) com suporte. Essas GPUs melhoram o desempenho de renderização e a duração da bateria ao usar Microsoft Defender Application Guard, especialmente para reprodução de vídeo e outros casos de uso intensivos em gráficos. Se essa configuração estiver habilitada sem conectar nenhum hardware gráfico de renderização de alta segurança, Microsoft Defender Application Guard reverter automaticamente à renderização de CPU (baseada em software). Importante: Habilitar essa configuração com dispositivos gráficos ou drivers potencialmente comprometidos pode representar um risco para o dispositivo host. Desabilitado ou não configurado. Microsoft Defender Application Guard usa a renderização de CPU (baseada em software) e não carregará drivers gráficos de terceiros ou interagirá com qualquer hardware gráfico conectado. |
| Permitir acesso à câmera e ao microfone no Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Educação |
Determina se é necessário permitir o acesso à câmera e ao microfone dentro de Microsoft Defender Application Guard. | Enabled. Isso só é eficaz no modo gerenciado. Aplicativos dentro Microsoft Defender Application Guard podem acessar a câmera e o microfone no dispositivo do usuário. Importante: Habilitar essa política com um contêiner potencialmente comprometido pode ignorar permissões de câmera e microfone e acessar a câmera e o microfone sem o conhecimento do usuário. Desabilitado ou não configurado. Aplicativos dentro Microsoft Defender Application Guard não conseguem acessar a câmera e o microfone no dispositivo do usuário. |
| Permitir que Microsoft Defender Application Guard use autoridades de certificado raiz do dispositivo de um usuário | Windows 10 Enterprise ou Pro, 1809 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise ou Pro |
Determina se os certificados raiz são compartilhados com Microsoft Defender Application Guard. | Enabled. Certificados que correspondem à impressão digital especificada são transferidos para o contêiner. Use uma vírgula para separar vários certificados. Desabilitado ou não configurado. Os certificados não são compartilhados com Microsoft Defender Application Guard. |
| Permitir eventos de auditoria em Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Educação |
Essa configuração de política permite que você decida se os eventos de auditoria podem ser coletados de Microsoft Defender Application Guard. | Enabled. Isso só é eficaz no modo gerenciado. Application Guard herda políticas de auditoria de seus eventos do sistema de logs e dispositivos do contêiner Application Guard para o host. Desabilitado ou não configurado. Os logs de eventos não são coletados do contêiner Application Guard. |
Application Guard configurações de caixa de diálogo de suporte
Essas configurações estão localizadas em Administrative Templates\Windows Components\Windows Security\Enterprise Customization. Se um erro for encontrado, você será apresentado com uma caixa de diálogo. Por padrão, essa caixa de diálogo contém apenas as informações de erro e um botão para você denunciá-la à Microsoft por meio do hub de comentários. No entanto, é possível fornecer informações adicionais na caixa de diálogo.
Use Política de Grupo para habilitar e personalizar informações de contato.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de