Descrição geral do Microsoft Defender Application Guard
Observação
- O Microsoft Defender Application Guard, incluindo as APIs do Iniciador de Aplicações Isoladas do Windows, será preterido para o Microsoft Edge para Empresas e deixará de ser atualizado. Transfira o Documento Técnico de Segurança do Microsoft Edge para Empresas para saber mais sobre as capacidades de segurança do Edge para Empresas.
- Uma vez que o Application Guard foi preterido, não haverá uma migração para o Manifesto do Edge V3. As extensões de browser correspondentes e a aplicação associada da Loja Windows já não estão disponíveis. Se quiser bloquear browsers desprotegidos até estar pronto para extinguir a utilização do MDAG na sua empresa, recomendamos que utilize as políticas do AppLocker ou o serviço de gestão do Microsoft Edge. Para obter mais informações, consulte Microsoft Edge e Microsoft Defender Application Guard.
O Microsoft Defender Application Guard (MDAG) foi concebido para ajudar a evitar ataques antigos e recentemente emergentes para ajudar a manter os funcionários produtivos. Com a nossa abordagem exclusiva de isolamento de hardware, o nosso objetivo é destruir o manual de procedimentos que os atacantes utilizam ao tornar os métodos de ataque atuais obsoletos.
O que é o Application Guard e como ele funciona?
Para o Microsoft Edge, o Application Guard ajuda a isolar sites não fidedignos definidos pela empresa, protegendo a sua empresa enquanto os seus funcionários navegam na Internet. Como administrador corporativo, você define o que deve ser listado como sites, recursos de nuvem e redes internas confiáveis. Tudo o que não consta na sua lista será considerado não confiável. Se um funcionário aceder a um site não fidedigno através do Microsoft Edge ou do Internet Explorer, o Microsoft Edge abre o site num contentor isolado compatível com Hyper-V.
Para o Microsoft Office, o Application Guard ajuda a impedir que ficheiros do Word, PowerPoint e Excel não fidedignos acedam a recursos fidedignos. O Application Guard abre ficheiros não fidedignos num contentor isolado compatível com Hyper-V. O contentor de Hyper-V isolado é separado do sistema operativo anfitrião. Este isolamento de contentor significa que, se o site ou ficheiro não fidedigno se revelar malicioso, o dispositivo anfitrião está protegido e o atacante não consegue aceder aos dados da empresa. Por exemplo, essa abordagem torna o contêiner isolado anônimo, para que um invasor não consiga acessar as credenciais corporativas do funcionário.
Que tipos de dispositivos devem usar o Application Guard?
O Application Guard foi criado para visar vários tipos de dispositivos:
Ambientes de trabalho empresariais. Esses desktops são ingressados no domínio e gerenciados pela sua organização. A gestão de configuração é feita principalmente através do Microsoft Configuration Manager ou do Microsoft Intune. Os funcionários normalmente têm privilégios de usuário padrão e usam uma rede corporativa, com fio, de banda larga.
Portáteis móveis empresariais. Esses laptops são ingressados no domínio e gerenciados pela sua organização. A gestão de configuração é feita principalmente através do Microsoft Configuration Manager ou do Microsoft Intune. Os funcionários normalmente têm privilégios de usuário padrão e usam uma rede corporativa, sem fio, de banda larga.
Traga os seus próprios portáteis móveis (BYOD). Estes portáteis pessoais não estão associados a um domínio, mas são geridos pela sua organização através de ferramentas, como o Microsoft Intune. O funcionário é geralmente um administrador no dispositivo e usa uma rede corporativa, sem fio, de banda larga enquanto está no trabalho e uma rede pessoal equivalente enquanto está em casa.
Dispositivos pessoais. Estes computadores pessoais ou portáteis móveis não são associados a um domínio ou geridos por uma organização. O utilizador é um administrador no dispositivo e utiliza uma rede pessoal sem fios de alta largura de banda enquanto estiver em casa ou numa rede pública comparável enquanto estiver fora.
Edição do Windows e requisitos de licenciamento
A tabela seguinte lista as edições do Windows que suportam o Microsoft Defender Application Guard (MDAG) para o modo autónomo do Edge:
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
Sim | Sim | Sim | Sim |
Os direitos de licença do Microsoft Defender Application Guard (MDAG) para o modo autónomo do Edge são concedidos pelas seguintes licenças:
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
Sim | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Para obter mais informações sobre o Microsoft Defender Application Guard (MDAG) para o modo empresarial do Microsoft Edge, configure as definições de política do Microsoft Defender Application Guard.
Artigos relacionados
Artigo | Descrição |
---|---|
Requisitos de sistema do Microsoft Defender Application Guard | Especifica os pré-requisitos necessários para instalar e utilizar o Application Guard. |
Preparar e instalar o Microsoft Defender Application Guard | Fornece instruções sobre como determinar qual modo usar, Autônomo ou Gerenciado pela empresa, e como instalar o Application Guard na sua organização. |
Configurar as definições da Política de Grupo para o Microsoft Defender Application Guard | Fornece informações sobre as configurações de Política de Grupo e MDM disponíveis. |
Cenários de teste com o Microsoft Defender Application Guard na sua empresa ou organização | Fornece uma lista de cenários de teste sugeridos que pode utilizar para testar o Application Guard na sua organização. |
Microsoft Defender Application Guard para Microsoft Office | Descreve o Application Guard para Microsoft Office, incluindo requisitos mínimos de hardware, configuração e um guia de resolução de problemas |
Perguntas frequentes - Microsoft Defender Application Guard | Fornece respostas às perguntas mais frequentes sobre as funcionalidades do Application Guard, a integração com o sistema operativo Windows e a configuração geral. |
Utilizar um limite de rede para adicionar sites fidedignos em dispositivos Windows no Microsoft Intune | Limite de rede, uma funcionalidade que o ajuda a proteger o seu ambiente de sites que não são considerados fidedignos pela sua organização. |