Compartilhar via


Descrição geral do Microsoft Defender Application Guard

Observação

O Microsoft Defender Application Guard (MDAG) foi concebido para ajudar a evitar ataques antigos e recentemente emergentes para ajudar a manter os funcionários produtivos. Com a nossa abordagem exclusiva de isolamento de hardware, o nosso objetivo é destruir o manual de procedimentos que os atacantes utilizam ao tornar os métodos de ataque atuais obsoletos.

O que é o Application Guard e como ele funciona?

Para o Microsoft Edge, o Application Guard ajuda a isolar sites não fidedignos definidos pela empresa, protegendo a sua empresa enquanto os seus funcionários navegam na Internet. Como administrador corporativo, você define o que deve ser listado como sites, recursos de nuvem e redes internas confiáveis. Tudo o que não consta na sua lista será considerado não confiável. Se um funcionário aceder a um site não fidedigno através do Microsoft Edge ou do Internet Explorer, o Microsoft Edge abre o site num contentor isolado compatível com Hyper-V.

Para o Microsoft Office, o Application Guard ajuda a impedir que ficheiros do Word, PowerPoint e Excel não fidedignos acedam a recursos fidedignos. O Application Guard abre ficheiros não fidedignos num contentor isolado compatível com Hyper-V. O contentor de Hyper-V isolado é separado do sistema operativo anfitrião. Este isolamento de contentor significa que, se o site ou ficheiro não fidedigno se revelar malicioso, o dispositivo anfitrião está protegido e o atacante não consegue aceder aos dados da empresa. Por exemplo, essa abordagem torna o contêiner isolado anônimo, para que um invasor não consiga acessar as credenciais corporativas do funcionário.

Diagrama de isolamento de hardware.

Que tipos de dispositivos devem usar o Application Guard?

O Application Guard foi criado para visar vários tipos de dispositivos:

  • Ambientes de trabalho empresariais. Esses desktops são ingressados no domínio e gerenciados pela sua organização. A gestão de configuração é feita principalmente através do Microsoft Configuration Manager ou do Microsoft Intune. Os funcionários normalmente têm privilégios de usuário padrão e usam uma rede corporativa, com fio, de banda larga.

  • Portáteis móveis empresariais. Esses laptops são ingressados no domínio e gerenciados pela sua organização. A gestão de configuração é feita principalmente através do Microsoft Configuration Manager ou do Microsoft Intune. Os funcionários normalmente têm privilégios de usuário padrão e usam uma rede corporativa, sem fio, de banda larga.

  • Traga os seus próprios portáteis móveis (BYOD). Estes portáteis pessoais não estão associados a um domínio, mas são geridos pela sua organização através de ferramentas, como o Microsoft Intune. O funcionário é geralmente um administrador no dispositivo e usa uma rede corporativa, sem fio, de banda larga enquanto está no trabalho e uma rede pessoal equivalente enquanto está em casa.

  • Dispositivos pessoais. Estes computadores pessoais ou portáteis móveis não são associados a um domínio ou geridos por uma organização. O utilizador é um administrador no dispositivo e utiliza uma rede pessoal sem fios de alta largura de banda enquanto estiver em casa ou numa rede pública comparável enquanto estiver fora.

Edição do Windows e requisitos de licenciamento

A tabela seguinte lista as edições do Windows que suportam o Microsoft Defender Application Guard (MDAG) para o modo autónomo do Edge:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
Sim Sim Sim Sim

Os direitos de licença do Microsoft Defender Application Guard (MDAG) para o modo autónomo do Edge são concedidos pelas seguintes licenças:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
Sim Sim Sim Sim Sim

Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.

Para obter mais informações sobre o Microsoft Defender Application Guard (MDAG) para o modo empresarial do Microsoft Edge, configure as definições de política do Microsoft Defender Application Guard.

Artigo Descrição
Requisitos de sistema do Microsoft Defender Application Guard Especifica os pré-requisitos necessários para instalar e utilizar o Application Guard.
Preparar e instalar o Microsoft Defender Application Guard Fornece instruções sobre como determinar qual modo usar, Autônomo ou Gerenciado pela empresa, e como instalar o Application Guard na sua organização.
Configurar as definições da Política de Grupo para o Microsoft Defender Application Guard Fornece informações sobre as configurações de Política de Grupo e MDM disponíveis.
Cenários de teste com o Microsoft Defender Application Guard na sua empresa ou organização Fornece uma lista de cenários de teste sugeridos que pode utilizar para testar o Application Guard na sua organização.
Microsoft Defender Application Guard para Microsoft Office Descreve o Application Guard para Microsoft Office, incluindo requisitos mínimos de hardware, configuração e um guia de resolução de problemas
Perguntas frequentes - Microsoft Defender Application Guard Fornece respostas às perguntas mais frequentes sobre as funcionalidades do Application Guard, a integração com o sistema operativo Windows e a configuração geral.
Utilizar um limite de rede para adicionar sites fidedignos em dispositivos Windows no Microsoft Intune Limite de rede, uma funcionalidade que o ajuda a proteger o seu ambiente de sites que não são considerados fidedignos pela sua organização.