Application Guard cenários de teste

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10

Observação

• Microsoft Defender Application Guard, incluindo as APIs do Inicializador de Aplicativos Isolados do Windows, serão preteridos para Microsoft Edge para Empresas e não serão mais atualizados. Baixe o Whitepaper do Microsoft Edge For Business Security para saber mais sobre os recursos de segurança do Edge for Business.
• Como Application Guard for preterido, não haverá uma migração para o Edge Manifest V3. As extensões correspondentes e o aplicativo associado da Windows Store não estarão disponíveis após maio de 2024. Isso afeta os seguintes navegadores: Application Guard Extension – Chrome e Application Guard Extension – Firefox. Se você quiser bloquear navegadores desprotegidos até estar pronto para retirar o uso do MDAG em sua empresa, recomendamos usar políticas do AppLocker ou serviço de gerenciamento do Microsoft Edge. Para obter mais informações, consulte Microsoft Edge e Microsoft Defender Application Guard.

Encontramos uma lista de cenários que você pode usar para testar o isolamento baseado em hardware em sua organização.

Application Guard no modo autônomo

Você pode ver como um funcionário usará o modo autônomo com o Application Guard.

Para testar o Application Guard no modo Autônomo

1. Instale Application Guard.

2. Reinicie o dispositivo, inicie o Microsoft Edge e selecione Nova janela Application Guard no menu.

   

3. Aguarde o Application Guard configurar o ambiente isolado.

   Observação

   Se você iniciar o Application Guard rapidamente após reiniciar o dispositivo, ele pode demorar um pouco mais para ser carregado. No entanto, as inicializações subsequentes devem ocorrer sem quaisquer atrasos perceptíveis.

4. Vá para uma URL não confiável, mas segura (neste exemplo, usamos msn.com) e exiba a nova janela do Microsoft Edge, verificando se estão aparecendo para você as indicações visuais do Application Guard.

   

Application Guard no modo Gerenciado pela empresa

Como instalar, configurar, ativar e configurar o Application Guard para o modo Gerenciado pela empresa.

Instalar, configurar e ativar o Application Guard

Antes de usar Application Guard no modo gerenciado, você deve instalar Windows 10 Enterprise edição, versão 1709 e Windows 11 que inclua a funcionalidade. Em seguida, você deve usar a Política de Grupo para definir as configurações necessárias.

1. Instale Application Guard.

2. Reinicie o dispositivo e inicie o Microsoft Edge.

3. Defina as configurações de isolamento de rede na Política de Grupo:

   a. Selecione o ícone do Windows, digite Group Policye selecione Editar Política de Grupo.

   b. Vá para a configuração Modelos Administrativos\Rede\Isolamento de Rede\Domínios de recursos corporativos hospedados na nuvem.

   c. Para fins desse cenário, digite .microsoft.com na caixa de recursos de nuvem enterprise.

   

   d. Vá para a configuração Modelos Administrativos\Rede\Isolamento de Rede\Domínios categorizada como profissional e pessoal.

   e. Para fins desse cenário, digite bing.com na caixa Recursos neutros .

   

4. Acesse a Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Ativar Microsoft Defender Application Guard na configuração modo gerenciado.

5. Selecione Habilitado, escolha opção 1 e selecione OK.

   

   Observação

   A habilitação dessa configuração verifica se todas as configurações necessárias estão configuradas corretamente nos dispositivos do funcionário, incluindo as configurações de isolamento de rede definidas anteriormente neste cenário.

6. Inicie o Microsoft Edge e digite https://www.microsoft.com.

   Depois de enviar a URL, Application Guard determinar que a URL é confiável porque ela usa o domínio marcado como confiável e mostra o site diretamente no computador host em vez de em Application Guard.

   

7. No mesmo navegador do Microsoft Edge, digite qualquer URL que não faça parte de suas listas de sites confiáveis ou neutras.

   Após enviar a URL, o Application Guard determina que a URL não é confiável e redireciona a solicitação para o ambiente isolado por hardware.

   

Personalizar o Application Guard

O Application Guard permite que você especifique a configuração, permitindo o equilíbrio adequado entre a segurança baseada em isolamento e a produtividade dos funcionários.

O Application Guard fornece o seguinte comportamento padrão aos funcionários:

• Nenhuma cópia e colagem entre o computador host e o contêiner isolado.

• Nenhuma impressão no contêiner isolado.

• Nenhuma persistência de dados de um contêiner isolado para outro.

Você tem a opção de alterar cada uma dessas configurações para trabalhar com a empresa na Política de Grupo.

Aplica-se a:

• Windows 10 Enterprise ou edições Pro, versão 1803 ou posterior
• edições Windows 11 Enterprise ou Pro

Copiar e colar opções

1. Acesse as configurações do computador\modelos administrativos\Componentes do Windows\Microsoft Defender Application Guard\Configurar Microsoft Defender Application Guard configurações da área de transferência.

2. Selecione Habilitado e selecione OK.

   

3. Especifique como funcionará a área de transferência:

   • Copiar e colar da sessão isolada para o computador host

   • Copiar e colar do computador host para a sessão isolada

   • Copiar e colar ambas as direções

4. Especifique o que pode ser copiado:

   • Somente o texto pode ser copiado entre o computador host e o contêiner isolado.

   • Somente as imagens podem ser copiadas entre o computador host e o contêiner isolado.

   • O texto e as imagens podem ser copiados entre o computador host e o contêiner isolado.

5. Clique em OK.

Opções de impressão

1. Acesse as configurações do computador\modelos administrativos\Componentes do Windows\Microsoft Defender Application Guard\Configurar Microsoft Defender Application Guard configurações de impressão.

2. Selecione Habilitado e selecione OK.

   

3. Com base na lista fornecida na configuração, escolha o número que melhor representa o tipo de impressão que deverá ser disponibilizada para seus funcionários. Você pode permitir qualquer combinação de impressão local, de rede, em PDF e em XPS.

4. Clique em OK.

Opções de persistência de dados

1. Acesse a Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Permitir persistência de dados para Microsoft Defender Application Guard configuração.

2. Selecione Habilitado e selecione OK.

   

3. Abra o Microsoft Edge e navegue até uma URL não confiável, mas segura.

   O site é aberto na sessão isolada.

4. Adicione o site à lista Favoritos e feche a sessão isolada.

5. Entre e volte para seu dispositivo, abrindo o Microsoft Edge no Application Guard novamente.

   O site adicionado anteriormente ainda aparecerá na lista Favoritos.

   Observação

   Começando com Windows 11, versão 22H2, a persistência de dados é desabilitada por padrão. Se você não permitir ou desativar a persistência de dados, reiniciar um dispositivo ou entrar e sair do contêiner isolado disparará um evento de reciclagem. Essa ação descarta todos os dados gerados, como cookies de sessão e Favoritos, e remove os dados de Application Guard. Se você ativar a persistência de dados, todos os artefatos gerados pelo funcionário serão preservados entre os eventos de reciclagem de contêiner. No entanto, esses artefatos só existem no contêiner isolado e não são compartilhados com o computador host. Esses dados persistem após reinicializações e até mesmo por meio de atualizações de build a build de Windows 10 e Windows 11.

   Se você ativar a persistência de dados, mas decidir interromper posteriormente o suporte a ela para seus funcionários, use o utilitário fornecido pelo Windows para redefinir o contêiner e descartar quaisquer dados pessoais.

   Para redefinir o contêiner, siga estas etapas:
   1. Abra um programa de linha de comando e navegue até Windows/System32.
   2. Digite wdagtool.exe cleanup. O ambiente do contêiner é redefinido, mantendo somente os dados gerados pelo funcionário.
   3. Digite wdagtool.exe cleanup RESET_PERSISTENCE_LAYER. O ambiente do contêiner é redefinido, incluindo o descarte de todos os dados gerados pelo funcionário.

   O Microsoft Edge versão 90 ou posterior não dá mais suporte RESET_PERSISTENCE_LAYERa .

Aplica-se a:

• edições Windows 10 Enterprise ou Pro, versão 1803
• Windows 11 Enterprise ou edições Pro, versão 21H2. A persistência de dados é desabilitada por padrão em Windows 11, versão 22H2 e posterior.

Opções de download

1. Acesse a Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Permitir que os arquivos baixem e salvem no sistema operacional host de Microsoft Defender Application Guard configuração.

2. Selecione Habilitado e selecione OK.

   

3. Entre e volte para seu dispositivo, abrindo o Microsoft Edge no Application Guard novamente.

4. Baixe um arquivo de Microsoft Defender Application Guard.

5. Verifique se o arquivo foi baixado neste computador > Baixa arquivos não confiáveis > .

Opções de aceleração de hardware

1. Acesse a Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Permitir renderização acelerada por hardware para Microsoft Defender Application Guard configuração.

2. Selecione Habilitado e Selecione OK.

   

3. Depois de habilitar esse recurso, abra o Microsoft Edge e navegue até uma URL não confiável, mas segura com vídeo, 3D ou outro conteúdo com uso intensivo de gráficos. O site é aberto em uma sessão isolada.

4. Avalie a experiência visual e o desempenho da bateria.

Opções de câmera e microfone

1. Acesse a Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Permitir acesso à câmera e ao microfone em Microsoft Defender Application Guard configuração.

2. Selecione Habilitado e selecione OK.

   

3. Entre e volte para seu dispositivo, abrindo o Microsoft Edge no Application Guard novamente.

4. Abra um aplicativo com recurso de vídeo ou áudio no Edge.

5. Verifique se a câmera e o microfone funcionam conforme o esperado.

Opções de compartilhamento de certificado raiz

1. Acesse a Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Permitir que Microsoft Defender Application Guard use autoridades de certificado raiz da configuração do dispositivo do usuário.

2. Selecione Habilitado, copie a impressão digital de cada certificado a ser compartilhado, separado por uma vírgula e selecione OK.

   

3. Entre e volte para seu dispositivo, abrindo o Microsoft Edge no Application Guard novamente.

Application Guard Extensão para navegadores da Web de terceiros

A Extensão de Application Guard disponível para Chrome e Firefox permite que Application Guard protejam os usuários mesmo quando estiverem executando um navegador da Web diferente do Microsoft Edge ou da Internet Explorer.

Depois que um usuário tiver a extensão e seu aplicativo complementar instalado em seu dispositivo empresarial, você poderá executar os seguintes cenários.

1. Abra o Firefox ou o Chrome, qualquer navegador no qual você tenha a extensão instalada.

2. Navegue até um site organizacional. Em outras palavras, um site interno mantido pela sua organização. Você pode ver essa página de avaliação por um instante antes que o site seja totalmente carregado.

3. Navegue até um site externo e não empresarial, como www.bing.com. O site deve ser redirecionado para Microsoft Defender Application Guard Edge.

4. Abra uma nova janela de Application Guard, selecionando o ícone Microsoft Defender Application Guard e, em seguida, Nova janela Application Guard