Preparar para instalar o Microsoft Defender Application Guard

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Observação

• Microsoft Defender Application Guard, incluindo as APIs do Inicializador de Aplicativos Isolados do Windows, serão preteridos para Microsoft Edge para Empresas e não serão mais atualizados. Baixe o Whitepaper do Microsoft Edge For Business Security para saber mais sobre os recursos de segurança do Edge for Business.
• Como Application Guard for preterido, não haverá uma migração para o Edge Manifest V3. As extensões correspondentes e o aplicativo associado da Windows Store não estarão disponíveis após maio de 2024. Isso afeta os seguintes navegadores: Application Guard Extension – Chrome e Application Guard Extension – Firefox. Se você quiser bloquear navegadores desprotegidos até estar pronto para retirar o uso do MDAG em sua empresa, recomendamos usar políticas do AppLocker ou serviço de gerenciamento do Microsoft Edge. Para obter mais informações, consulte Microsoft Edge e Microsoft Defender Application Guard.

Antes de continuar, examine os requisitos do sistema para que Microsoft Defender Application Guard examine os requisitos de instalação de hardware e software para Microsoft Defender Application Guard.

Observação

O Microsoft Defender Application Guard não é suportado em VMs e ambiente VDI. Para testes e automação em máquinas de não produção, você pode habilitar o WDAG em uma VM, permitindo a virtualização aninhada do Hyper-V no host.

Preparar para o Microsoft Defender Application Guard

Antes de instalar e usar o Microsoft Defender Application Guard, você deve determinar de que maneira pretende usá-lo em sua empresa. Você pode usar o Application Guard no modo Autônomo ou Gerenciado pela empresa.

Modo autônomo

Os funcionários podem usar sessões de navegação isoladas por hardware sem nenhuma configuração de política de administrador ou gerenciamento. Neste modo, você deve instalar o Application Guard e, em seguida, o funcionário deve iniciar manualmente o Microsoft Edge no Application Guard durante a navegação de sites não confiáveis. Para obter um exemplo de como isso funciona, consulte o cenário de testes do Application Guard em modo autônomo.

O modo autônomo é aplicável para:

• Windows 10 Enterprise edição, versão 1709 e posterior
• Windows 10 Pro edição, versão 1803 e posterior
• Windows 10 Education edição, versão 1809 e posterior
• edições Windows 11 Enterprise, Educação ou Pro

Modo gerenciado pela empresa

Você e seu departamento de segurança podem definir limites corporativos, adicionando explicitamente os domínios confiáveis e personalizando a experiência do Application Guard para atender e impor suas necessidades nos dispositivos dos funcionários. O modo gerenciado pela empresa também redireciona automaticamente todas as solicitações do navegador para adicionar domínios não corporativos no contêiner.

O modo gerenciado pela empresa é aplicável a:

• Windows 10 Enterprise edição, versão 1709 e posterior
• Windows 10 Education edição, versão 1809 e posterior
• edições de Windows 11 Enterprise ou Educação

O diagrama a seguir mostra o fluxo entre o computador host e o contêiner isolado.

Instalar o Application Guard

A funcionalidade do Application Guard aparece desativada por padrão. No entanto, você pode instalá-lo rapidamente nos dispositivos de seus funcionários por meio do Painel de Controle, PowerShell ou sua solução de gerenciamento de dispositivos móveis (MDM).

Instalar a partir de Painel de Controle

1. Abra o Painel de Controle, selecione Programas e selecione Ativar ou desativar recursos do Windows.

   

2. Selecione a caixa marcar ao lado de Microsoft Defender Application Guard e selecione OK para instalar Application Guard e suas dependências subjacentes.

Instalar no PowerShell

Observação

Certifique-se de que seus dispositivos tenham atendido a todos os requisitos do sistema antes desta etapa. O PowerShell instalará o recurso sem verificar os requisitos do sistema. Se seus dispositivos não atenderem aos requisitos do sistema, o Application Guard pode não funcionar. Esta etapa é recomendada somente para cenários gerenciados por empresas.

1. Selecione o ícone Pesquisa na barra de tarefas do Windows e digite PowerShell.

2. Clique com o botão direito do mouse em Windows PowerShell e selecione Executar como administrador para abrir Windows PowerShell com credenciais de administrador.

3. Digite o seguinte comando:

   Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
   

4. Reinicie o dispositivo para instalar Application Guard e suas dependências subjacentes.

Instalar a partir de Intune

Importante

Verifique se os dispositivos da sua organização atendem aos requisitos e estão registrados no Intune.

1. Entre no centro de administração Microsoft Intune.

2. SelecioneRedução> da superfície de ataque do ponto de extremidade>Create Política e faça o seguinte:

   • Na lista Plataforma, selecione Windows 10 e posterior.
   • No tipo Perfil , selecione Isolamento de aplicativo e navegador.
   • Selecione Criar.

3. Na guia Noções básicas, especifique o Nome e a Descrição da política. Selecione Avançar.

4. Na guia Configuração de configuração, configure as configurações de Application Guard, conforme desejado. Selecione Avançar.

5. Na guia Marcas de escopo , se sua organização estiver usando marcas de escopo, escolha + Selecionar marcas de escopo e selecione as marcas que você deseja usar. Selecione Avançar.

   Para saber mais sobre marcas de escopo, consulte Usar RBAC (controle de acesso baseado em função) e marcas de escopo para TI distribuída.

6. Na página Atribuições , selecione os usuários ou grupos que receberão a política. Selecione Avançar.

   Para saber mais sobre como atribuir políticas, consulte Atribuir políticas em Microsoft Intune.

7. Examine suas configurações e selecione Create.

Depois que a política for criada, todos os dispositivos aos quais a política deve ser aplicada terão Microsoft Defender Application Guard habilitado. Os usuários podem ter que reiniciar seus dispositivos para que a proteção esteja em vigor.