Configurar as políticas do Microsoft Defender Application Guard
Observação
- O Microsoft Defender Application Guard, incluindo as APIs do Iniciador de Aplicações Isoladas do Windows, será preterido para o Microsoft Edge para Empresas e deixará de ser atualizado. Transfira o Documento Técnico de Segurança do Microsoft Edge para Empresas para saber mais sobre as capacidades de segurança do Edge para Empresas.
- Uma vez que o Application Guard foi preterido, não haverá uma migração para o Manifesto do Edge V3. As extensões de browser correspondentes e a aplicação associada da Loja Windows já não estão disponíveis. Se quiser bloquear browsers desprotegidos até estar pronto para extinguir a utilização do MDAG na sua empresa, recomendamos que utilize as políticas do AppLocker ou o serviço de gestão do Microsoft Edge. Para obter mais informações, consulte Microsoft Edge e Microsoft Defender Application Guard.
O Microsoft Defender Application Guard (Application Guard) funciona com a Política de Grupo para o ajudar a gerir as definições de computador da sua organização. Com a Política de Grupo, você pode definir uma configuração uma vez e, depois, copiá-la para vários computadores. Por exemplo, pode configurar várias definições de segurança num Objeto de Política de Grupo, que está ligado a um domínio e, em seguida, aplicar todas essas definições a todos os pontos finais do domínio.
O Aplicativo Guard usa o isolamento da rede e configurações específicas do aplicativo.
Edição do Windows e requisitos de licenciamento
A tabela seguinte lista as edições do Windows que suportam o Microsoft Defender Application Guard (MDAG) para o modo empresarial do Edge e a gestão empresarial:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Educação do Windows |
|---|---|---|---|
| Não | Sim | Não | Sim |
O Microsoft Defender Application Guard (MDAG) para o modo empresarial edge e os direitos de licença de gestão empresarial são concedidos pelas seguintes licenças:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Educação A5 |
|---|---|---|---|---|
| Não | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Para obter mais informações sobre o Microsoft Defender Application Guard (MDAG) para Microsoft Edge no modo autónomo, consulte Descrição geral do Microsoft Defender Application Guard.
Configurações de isolamento da rede
Estas definições, localizadas em , ajudam-no Computer Configuration\Administrative Templates\Network\Network Isolationa definir e gerir os limites de rede da sua organização. O Application Guard utiliza estas informações para transferir automaticamente quaisquer pedidos para aceder aos recursos não incorporados para o contentor do Application Guard.
Observação
Para o Windows 10, se tiver KB5014666 instalado e para o Windows 11, se tiver KB5014668 instalado, não precisa de configurar a política de isolamento de rede para ativar o Application Guard para Microsoft Edge no modo gerido.
Observação
Você deve configurar os domínios de recursos empresariais hospedados na nuvem ou os intervalos de rede privada das configurações definidas nos dispositivos do funcionário para ativar o Application Guard usando o modo empresarial. Os servidores proxy têm de ser um recurso neutro listado nos Domínios categorizados como política profissional e pessoal .
| Nome da política | Versões com suporte | Descrição |
|---|---|---|
| Intervalos de rede privada dos aplicativos | Pelo menos Windows Server 2012, Windows 8 ou Windows RT | Uma lista dos intervalos de endereços IP da sua rede corporativa, separados por vírgula. Os pontos de extremidade incluídos ou os pontos de extremidade que estão incluídos em um intervalo de endereços IP especificado são renderizados por meio do Microsoft Edge e não poderão ser acessados pelo ambiente do Application Guard. |
| Domínios de recursos empresariais hospedados na nuvem | Pelo menos Windows Server 2012, Windows 8 ou Windows RT | Uma lista separada por pipes (|) dos recursos da cloud do seu domínio. Os pontos de extremidade incluídos são renderizados por meio do Microsoft Edge e não poderão ser acessados no ambiente do Application Guard. Esta lista suporta os carateres universais detalhados na tabela Carateres universais de definições de isolamento de rede. |
| Domínios categorizados como profissional e pessoal | Pelo menos Windows Server 2012, Windows 8 ou Windows RT | Uma lista de nomes de domínio usados como recursos profissionais ou pessoais, separados por vírgula. Os pontos finais incluídos são compostos com o Microsoft Edge e estarão acessíveis a partir do Application Guard e do ambiente normal do Microsoft Edge. Esta lista suporta os carateres universais detalhados na tabela Carateres universais de definições de isolamento de rede. |
Carateres universais de definições de isolamento de rede
| Valor | Número de pontos à esquerda | Significado |
|---|---|---|
contoso.com |
0 | Confie apenas no valor literal de contoso.com. |
www.contoso.com |
0 | Confie apenas no valor literal de www.contoso.com. |
.contoso.com |
1 | Confie em qualquer domínio que termine com o texto contoso.com. Os sites correspondentes incluem spearphishingcontoso.com, contoso.come www.contoso.com. |
..contoso.com |
2 | Confie em todos os níveis da hierarquia de domínio que estão à esquerda do ponto. Os sites correspondentes incluem shop.contoso.com, us.shop.contoso.com, www.us.shop.contoso.com, mas NÃO contoso.com o próprio. |
Configurações específicas de aplicativos
Estas definições, localizadas em Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard, podem ajudá-lo a gerir a implementação do Application Guard na sua organização.
| Nome | Versões com suporte | Descrição | Opções |
|---|---|---|---|
| Configurar as definições da área de transferência do Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Education |
Determina se o Application Guard pode usar a funcionalidade de área de transferência. | Habilitado. Isto só é eficaz no modo gerido. Ativa a funcionalidade da área de transferência e permite-lhe escolher se pretende: - Desative completamente a funcionalidade da área de transferência quando a Segurança de Virtualização estiver ativada. - Ative a cópia de determinados conteúdos do Application Guard para o Microsoft Edge. - Ative a cópia de determinados conteúdos do Microsoft Edge para o Application Guard. Importante: Permitir que o conteúdo copiado vá do Microsoft Edge para o Application Guard pode causar potenciais riscos de segurança e não é recomendado. Desabilitado ou não configurado. Desativa completamente a funcionalidade da área de transferência do Application Guard. |
| Configurar as definições de impressão do Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Education |
Determina se o Application Guard pode usar a funcionalidade de impressão. | Habilitado. Isto só é eficaz no modo gerido. Ativa a funcionalidade de impressão e permite-lhe escolher se pretende: - Ative o Application Guard para imprimir no formato XPS. - Ative o Application Guard para imprimir no formato PDF. - Ative o Application Guard para imprimir em impressoras ligadas localmente. - Ative o Application Guard para imprimir a partir de impressoras de rede ligadas anteriormente. Os funcionários não podem procurar outras impressoras. Desabilitado ou não configurado. Desativa completamente a funcionalidade de impressão do Application Guard. |
| Permitir Persistência | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Education |
Determina se os dados persistem em diferentes sessões no Microsoft Defender Application Guard. | Enabled. Isto só é eficaz no modo gerido. O Application Guard salva os arquivos baixados pelo usuário e outros itens (como cookies, Favoritos etc.) para uso em sessões futuras do Application Guard. Desabilitado ou não configurado. Todos os dados de usuário no Application Guard é redefinido entre as sessões. NOTA: se mais tarde decidir deixar de suportar a persistência de dados para os seus funcionários, pode utilizar o nosso utilitário fornecido pelo Windows para repor o contentor e eliminar quaisquer dados pessoais.
Para redefinir o contêiner: |
| Ativar o Microsoft Defender Application Guard no Modo Gerido | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Education |
Determina se deve ativar o Application Guard para o Microsoft Edge e o Microsoft Office. | Enabled. Ativa o Application Guard para Microsoft Edge e/ou Microsoft Office, honrando as definições de isolamento de rede, compor conteúdo não fidedigno no contentor do Application Guard. O Application Guard só será ativado se os pré-requisitos necessários e as definições de isolamento de rede já estiverem definidos no dispositivo. Opções disponíveis: - Ativar o Microsoft Defender Application Guard apenas para o Microsoft Edge - Ativar o Microsoft Defender Application Guard apenas para o Microsoft Office - Ativar o Microsoft Defender Application Guard para o Microsoft Edge e o Microsoft Office Desabilitado. Desativa o Application Guard, permitindo que todas as aplicações sejam executadas no Microsoft Edge e no Microsoft Office. Nota: Para o Windows 10, se tiver KB5014666 instalado e para o Windows 11, se tiver KB5014668 instalado, já não terá de configurar a política de isolamento de rede para ativar o Application Guard para o Microsoft Edge. |
| Permitir a transferência de ficheiros para o sistema operativo anfitrião | Windows 10 Enterprise ou Pro, 1803 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise, Pro ou Education |
Determina se pretende guardar ficheiros transferidos no sistema operativo anfitrião a partir do contentor do Microsoft Defender Application Guard. | Enabled. Permite que os utilizadores guardem ficheiros transferidos do contentor do Microsoft Defender Application Guard para o sistema operativo anfitrião. Esta ação cria uma partilha entre o anfitrião e o contentor que também permite carregamentos do anfitrião para o contentor do Application Guard. Desabilitado ou não configurado. Os utilizadores não conseguem guardar os ficheiros transferidos do Application Guard para o sistema operativo anfitrião. |
| Permitir a composição acelerada por hardware para o Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Education |
Determina se o Microsoft Defender Application Guard compõe gráficos com aceleração de hardware ou software. | Enabled. Isto só é eficaz no modo gerido. O Microsoft Defender Application Guard utiliza o Hyper-V para aceder a GPUs (hardware de gráficos de composição de alta segurança) suportado. Estas GPUs melhoram o desempenho da composição e a duração da bateria ao utilizar o Microsoft Defender Application Guard, especialmente para reprodução de vídeo e outros casos de utilização intensiva de gráficos. Se esta definição estiver ativada sem ligar qualquer hardware gráfico de composição de alta segurança, o Microsoft Defender Application Guard reverterá automaticamente para a composição baseada em software (CPU).
Importante: Ativar esta definição com dispositivos gráficos potencialmente comprometidos ou controladores pode representar um risco para o dispositivo anfitrião. Desabilitado ou não configurado. O Microsoft Defender Application Guard utiliza a composição baseada em software (CPU) e não carrega controladores gráficos de terceiros nem interage com qualquer hardware gráfico ligado. |
| Permitir o acesso à câmara e ao microfone no Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Education |
Determina se pretende permitir o acesso à câmara e ao microfone dentro do Microsoft Defender Application Guard. | Enabled. Isto só é eficaz no modo gerido. As aplicações dentro do Microsoft Defender Application Guard conseguem aceder à câmara e ao microfone no dispositivo do utilizador.
Importante: Ativar esta política com um contentor potencialmente comprometido pode ignorar as permissões da câmara e do microfone e aceder à câmara e ao microfone sem o conhecimento do utilizador. Desabilitado ou não configurado. As aplicações dentro do Microsoft Defender Application Guard não conseguem aceder à câmara e ao microfone no dispositivo do utilizador. |
| Permitir que o Microsoft Defender Application Guard utilize As Autoridades de Certificação de Raiz a partir do dispositivo de um utilizador | Windows 10 Enterprise ou Pro, 1809 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise ou Pro |
Determina se os Certificados de Raiz são partilhados com o Microsoft Defender Application Guard. | Enabled. Os certificados que correspondem ao thumbprint especificado são transferidos para o contentor. Utilize uma vírgula para separar vários certificados. Desabilitado ou não configurado. Os certificados não são partilhados com o Microsoft Defender Application Guard. |
| Permitir eventos de auditoria no Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Education |
Esta definição de política permite-lhe decidir se os eventos de auditoria podem ser recolhidos a partir do Microsoft Defender Application Guard. | Enabled. Isto só é eficaz no modo gerido. O Application Guard herda políticas de auditoria do seu dispositivo e regista eventos do sistema do contentor do Application Guard para o seu anfitrião. Desabilitado ou não configurado. Os registos de eventos não são recolhidos do contentor do Application Guard. |
Definições da caixa de diálogo de suporte do Application Guard
Estas definições estão localizadas em Administrative Templates\Windows Components\Windows Security\Enterprise Customization. Se for encontrado um erro, é-lhe apresentada uma caixa de diálogo. Por predefinição, esta caixa de diálogo contém apenas as informações de erro e um botão para comunicar à Microsoft através do hub de comentários. No entanto, é possível fornecer informações adicionais na caixa de diálogo.
Utilize a Política de Grupo para ativar e personalizar as informações de contacto.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários