Application Guard cenários de teste

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Observação

• Microsoft Defender Application Guard, incluindo as APIs do Iniciador de Aplicações Isoladas do Windows, foi preterido para Microsoft Edge para Empresas e deixará de ser atualizado. Para saber mais sobre as capacidades de segurança do Microsoft Edge, consulte Microsoft Edge For Business Security.
• A partir do Windows 11, versão 24H2, Microsoft Defender Application Guard, incluindo as APIs do Iniciador de Aplicações Isoladas do Windows, já não está disponível.
• Uma vez que Application Guard foi preterido, não haverá uma migração para o Manifesto do Edge V3. As extensões de browser correspondentes e a aplicação associada da Loja Windows já não estão disponíveis. Se quiser bloquear browsers desprotegidos até estar pronto para extinguir a utilização do MDAG na sua empresa, recomendamos que utilize as políticas do AppLocker ou o serviço de gestão do Microsoft Edge. Para obter mais informações, consulte Microsoft Edge e Microsoft Defender Application Guard.

Criámos uma lista de cenários que pode utilizar para testar o isolamento baseado em hardware na sua organização.

Application Guard no modo autônomo

Você pode ver como um funcionário usará o modo autônomo com o Application Guard.

Para testar o Application Guard no modo Autônomo

1. Instale Application Guard.

2. Reinicie o dispositivo, inicie o Microsoft Edge e, em seguida, selecione Nova janela Application Guard no menu.

   

3. Aguarde o Application Guard configurar o ambiente isolado.

   Observação

   Se você iniciar o Application Guard rapidamente após reiniciar o dispositivo, ele pode demorar um pouco mais para ser carregado. No entanto, as inicializações subsequentes devem ocorrer sem quaisquer atrasos perceptíveis.

4. Vá para uma URL não confiável, mas segura (neste exemplo, usamos msn.com) e exiba a nova janela do Microsoft Edge, verificando se estão aparecendo para você as indicações visuais do Application Guard.

   

Application Guard no modo Gerenciado pela empresa

Como instalar, configurar, ativar e configurar o Application Guard para o modo Gerenciado pela empresa.

Instalar, configurar e ativar o Application Guard

Antes de poder utilizar Application Guard no modo gerido, tem de instalar Windows 10 Enterprise edição, versão 1709 e Windows 11, que inclui a funcionalidade. Em seguida, você deve usar a Política de Grupo para definir as configurações necessárias.

1. Instale Application Guard.

2. Reinicie o dispositivo e, em seguida, inicie o Microsoft Edge.

3. Defina as configurações de isolamento de rede na Política de Grupo:

   1. Selecione o ícone do Windows, escreva Group Policye, em seguida, selecione Editar Política de Grupo.

   2. Vá para a configuração Modelos Administrativos\Rede\Isolamento de Rede\Domínios de recursos corporativos hospedados na nuvem.

   3. Para efeitos deste cenário, escreva .microsoft.com na caixa Recursos da cloud empresarial .

      

   4. Vá para a configuração Modelos Administrativos\Rede\Isolamento de Rede\Domínios categorizada como profissional e pessoal.

   5. Para efeitos deste cenário, escreva bing.com na caixa Recursos neutros .

      

4. Aceda à definição Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Ativar Microsoft Defender Application Guard no Modo Gerido.

5. Selecione Ativado, escolha Opção 1 e selecione OK.

   

   Observação

   A habilitação dessa configuração verifica se todas as configurações necessárias estão configuradas corretamente nos dispositivos do funcionário, incluindo as configurações de isolamento de rede definidas anteriormente neste cenário.

6. Inicie o Microsoft Edge e escreva https://www.microsoft.com.

   Depois de submeter o URL, Application Guard determina que o URL é fidedigno porque utiliza o domínio que marcou como fidedigno e mostra o site diretamente no PC anfitrião em vez de no Application Guard.

   

7. No mesmo browser Microsoft Edge, escreva qualquer URL que não faça parte das suas listas de sites fidedignos ou neutros.

   Após enviar a URL, o Application Guard determina que a URL não é confiável e redireciona a solicitação para o ambiente isolado por hardware.

   

Personalizar o Application Guard

O Application Guard permite que você especifique a configuração, permitindo o equilíbrio adequado entre a segurança baseada em isolamento e a produtividade dos funcionários.

O Application Guard fornece o seguinte comportamento padrão aos funcionários:

• Nenhuma cópia e colagem entre o computador host e o contêiner isolado.

• Nenhuma impressão no contêiner isolado.

• Nenhuma persistência de dados de um contêiner isolado para outro.

Você tem a opção de alterar cada uma dessas configurações para trabalhar com a empresa na Política de Grupo.

Aplica-se a:

• edições Windows 10 Enterprise ou Pro, versão 1803 ou posterior
• edições Windows 11 Enterprise ou Pro

Opções de copiar e colar

1. Aceda a Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Configurar Microsoft Defender Application Guard definições da área de transferência.

2. Selecione Ativado e selecione OK.

   

3. Especifique como funcionará a área de transferência:

   • Copiar e colar da sessão isolada para o computador host

   • Copiar e colar do computador host para a sessão isolada

   • Copiar e colar ambas as direções

4. Especifique o que pode ser copiado:

   • Apenas o texto pode ser copiado entre o PC anfitrião e o contentor isolado.

   • Apenas as imagens podem ser copiadas entre o PC anfitrião e o contentor isolado.

   • O texto e as imagens podem ser copiados entre o PC anfitrião e o contentor isolado.

5. Clique em OK.

Opções de impressão

1. Aceda a Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Configurar Microsoft Defender Application Guard definições de impressão.

2. Selecione Ativado e selecione OK.

   

3. Com base na lista fornecida na configuração, escolha o número que melhor representa o tipo de impressão que deverá ser disponibilizada para seus funcionários. Você pode permitir qualquer combinação de impressão local, de rede, em PDF e em XPS.

4. Clique em OK.

Opções de persistência de dados

1. Aceda à definição Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Permitir persistência de dados para Microsoft Defender Application Guard.

2. Selecione Ativado e selecione OK.

   

3. Abra o Microsoft Edge e navegue até uma URL não confiável, mas segura.

   O site é aberto na sessão isolada.

4. Adicione o site à lista Favoritos e feche a sessão isolada.

5. Termine sessão e volte a iniciar sessão no seu dispositivo, abrindo o Microsoft Edge no Application Guard novamente.

   O site adicionado anteriormente ainda aparecerá na lista Favoritos.

   Observação

   A partir de Windows 11, versão 22H2, a persistência de dados está desativada por predefinição. Se não permitir ou desativar a persistência de dados, reiniciar um dispositivo ou iniciar e terminar sessão no contentor isolado aciona um evento de reciclagem. Esta ação elimina todos os dados gerados, como cookies de sessão e Favoritos, e remove os dados de Application Guard. Se você ativar a persistência de dados, todos os artefatos gerados pelo funcionário serão preservados entre os eventos de reciclagem de contêiner. No entanto, estes artefactos só existem no contentor isolado e não são partilhados com o PC anfitrião. Estes dados persistem após reinícios e até mesmo através de atualizações de Windows 10 e Windows 11.

   Se você ativar a persistência de dados, mas decidir interromper posteriormente o suporte a ela para seus funcionários, use o utilitário fornecido pelo Windows para redefinir o contêiner e descartar quaisquer dados pessoais.

   Para repor o contentor, siga estes passos:
   1. Abra um programa de linha de comandos e navegue para Windows/System32.
   2. Escreva wdagtool.exe cleanup. O ambiente do contêiner é redefinido, mantendo somente os dados gerados pelo funcionário.
   3. Escreva wdagtool.exe cleanup RESET_PERSISTENCE_LAYER. O ambiente do contêiner é redefinido, incluindo o descarte de todos os dados gerados pelo funcionário.

   O Microsoft Edge versão 90 ou posterior já não suporta RESET_PERSISTENCE_LAYER.

Aplica-se a:

• edições Windows 10 Enterprise ou Pro, versão 1803
• Windows 11 Enterprise ou edições Pro, versão 21H2. A persistência de dados está desativada por predefinição no Windows 11, versão 22H2 e posterior.

Opções de download

1. Aceda a Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Permitir que os ficheiros transfiram e guardem no sistema operativo anfitrião a partir Microsoft Defender Application Guard definição.

2. Selecione Ativado e selecione OK.

   

3. Termine sessão e volte a iniciar sessão no seu dispositivo, abrindo o Microsoft Edge no Application Guard novamente.

4. Transfira um ficheiro a partir de Microsoft Defender Application Guard.

5. Verifique se o ficheiro foi transferido para Este PC > Transfere ficheiros > não fidedignos.

Opções de aceleração de hardware

1. Aceda à definição Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Permitir composição acelerada por hardware para Microsoft Defender Application Guard.

2. Selecione Ativado e Selecione OK.

   

3. Depois de ativar esta funcionalidade, abra o Microsoft Edge e navegue para um URL não fidedigno, mas seguro, com vídeo, 3D ou outros conteúdos com utilização intensiva de gráficos. O site é aberto numa sessão isolada.

4. Avalie a experiência visual e o desempenho da bateria.

Opções de câmara e microfone

1. Aceda à definição Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Permitir acesso à câmara e ao microfone na definição Microsoft Defender Application Guard.

2. Selecione Ativado e selecione OK.

   

3. Termine sessão e volte a iniciar sessão no seu dispositivo, abrindo o Microsoft Edge no Application Guard novamente.

4. Abra uma aplicação com capacidade de vídeo ou áudio no Microsoft Edge.

5. Verifique se a câmara e o microfone funcionam conforme esperado.

Opções de partilha de certificados de raiz

1. Aceda a Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Permitir que Microsoft Defender Application Guard utilize as Autoridades de Certificação de Raiz a partir da definição do dispositivo do utilizador.

2. Selecione Ativado, copie o thumbprint de cada certificado para partilhar, separado por uma vírgula e selecione OK.

   

3. Termine sessão e volte a iniciar sessão no seu dispositivo, abrindo o Microsoft Edge no Application Guard novamente.

Extensão Application Guard para browsers de terceiros

A Extensão de Application Guard disponível para o Chrome e o Firefox permite que Application Guard protejam os utilizadores mesmo quando estão a executar um browser diferente do Microsoft Edge ou Explorer da Internet.

Assim que um utilizador tiver a extensão e a respetiva aplicação complementar instaladas no respetivo dispositivo empresarial, pode executar os seguintes cenários.

1. Abra o Firefox ou o Chrome, seja qual for o browser onde tiver a extensão instalada.

2. Navegue para um site organizacional. Por outras palavras, um site interno mantido pela sua organização. Poderá ver esta página de avaliação por um instante antes de o site ser totalmente carregado.

   

3. Navegue para um site de web site externo, como www.bing.com. O site deve ser redirecionado para o Microsoft Defender Application Guard Edge.

   

4. Abra uma nova janela de Application Guard ao selecionar o ícone de Microsoft Defender Application Guard e, em seguida, Nova Janela de Application Guard.