Configurar as políticas do Microsoft Defender Application Guard
Observação
- Microsoft Defender Application Guard, incluindo as APIs do Iniciador de Aplicações Isoladas do Windows, foi preterido para Microsoft Edge para Empresas e deixará de ser atualizado. Para saber mais sobre as capacidades de segurança do Microsoft Edge, consulte Microsoft Edge For Business Security.
- A partir do Windows 11, versão 24H2, Microsoft Defender Application Guard, incluindo as APIs do Iniciador de Aplicações Isoladas do Windows, já não está disponível.
- Uma vez que Application Guard foi preterido, não haverá uma migração para o Manifesto do Edge V3. As extensões de browser correspondentes e a aplicação associada da Loja Windows já não estão disponíveis. Se quiser bloquear browsers desprotegidos até estar pronto para extinguir a utilização do MDAG na sua empresa, recomendamos que utilize as políticas do AppLocker ou o serviço de gestão do Microsoft Edge. Para obter mais informações, consulte Microsoft Edge e Microsoft Defender Application Guard.
Microsoft Defender Application Guard (Application Guard) trabalha com Política de Grupo para o ajudar a gerir as definições de computador da sua organização. Com a Política de Grupo, você pode definir uma configuração uma vez e, depois, copiá-la para vários computadores. Por exemplo, pode configurar várias definições de segurança num Objeto de Política de Grupo, que está ligado a um domínio e, em seguida, aplicar todas essas definições a todos os pontos finais do domínio.
O Aplicativo Guard usa o isolamento da rede e configurações específicas do aplicativo.
Edição do Windows e requisitos de licenciamento
A tabela seguinte lista as edições do Windows que suportam Microsoft Defender Application Guard (MDAG) para o modo empresarial do Edge e a gestão empresarial:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Educação do Windows |
|---|---|---|---|
| Não | Sim | Não | Sim |
Microsoft Defender Application Guard (MDAG) para o modo empresarial edge e os direitos de licença de gestão empresarial são concedidos pelas seguintes licenças:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Educação A5 |
|---|---|---|---|---|
| Não | Sim | Sim | Sim | Sim |
Para obter mais informações sobre o licenciamento do Windows, consulte Visão geral do licenciamento do Windows.
Para obter mais informações sobre Microsoft Defender Application Guard (MDAG) para o Microsoft Edge no modo autónomo, consulte Microsoft Defender Application Guard descrição geral.
Configurações de isolamento da rede
Estas definições, localizadas em , ajudam-no Computer Configuration\Administrative Templates\Network\Network Isolationa definir e gerir os limites de rede da sua organização. Application Guard utiliza estas informações para transferir automaticamente quaisquer pedidos para aceder aos recursos não incorporados para o contentor de Application Guard.
Observação
Por Windows 10, se tiver KB5014666 instalado e, por Windows 11, se tiver KB5014668 instalado, não precisa de configurar a política de isolamento de rede para ativar Application Guard para o Microsoft Edge no modo gerido.
Observação
Você deve configurar os domínios de recursos empresariais hospedados na nuvem ou os intervalos de rede privada das configurações definidas nos dispositivos do funcionário para ativar o Application Guard usando o modo empresarial. Os servidores proxy têm de ser um recurso neutro listado nos Domínios categorizados como política profissional e pessoal .
| Nome da política | Versões com suporte | Descrição |
|---|---|---|
| Intervalos de rede privada dos aplicativos | Pelo menos Windows Server 2012, Windows 8 ou Windows RT | Uma lista dos intervalos de endereços IP da sua rede corporativa, separados por vírgula. Os pontos de extremidade incluídos ou os pontos de extremidade que estão incluídos em um intervalo de endereços IP especificado são renderizados por meio do Microsoft Edge e não poderão ser acessados pelo ambiente do Application Guard. |
| Domínios de recursos empresariais hospedados na nuvem | Pelo menos Windows Server 2012, Windows 8 ou Windows RT | Uma lista separada por pipes (|) dos recursos da cloud do seu domínio. Os pontos de extremidade incluídos são renderizados por meio do Microsoft Edge e não poderão ser acessados no ambiente do Application Guard. Esta lista suporta os carateres universais detalhados na tabela Carateres universais de definições de isolamento de rede. |
| Domínios categorizados como profissional e pessoal | Pelo menos Windows Server 2012, Windows 8 ou Windows RT | Uma lista de nomes de domínio usados como recursos profissionais ou pessoais, separados por vírgula. Os pontos finais incluídos são compostos com o Microsoft Edge e estarão acessíveis a partir do ambiente Application Guard e regular do Microsoft Edge. Esta lista suporta os carateres universais detalhados na tabela Carateres universais de definições de isolamento de rede. |
Carateres universais de definições de isolamento de rede
| Valor | Número de pontos à esquerda | Significado |
|---|---|---|
contoso.com |
0 | Confie apenas no valor literal de contoso.com. |
www.contoso.com |
0 | Confie apenas no valor literal de www.contoso.com. |
.contoso.com |
1 | Confie em qualquer domínio que termine com o texto contoso.com. Os sites correspondentes incluem spearphishingcontoso.com, contoso.come www.contoso.com. |
..contoso.com |
2 | Confie em todos os níveis da hierarquia de domínio que estão à esquerda do ponto. Os sites correspondentes incluem shop.contoso.com, us.shop.contoso.com, www.us.shop.contoso.com, mas NÃO contoso.com o próprio. |
Configurações específicas de aplicativos
Estas definições, localizadas em Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard, podem ajudá-lo a gerir a implementação de Application Guard da sua organização.
| Nome | Versões com suporte | Descrição | Opções |
|---|---|---|---|
| Configurar Microsoft Defender Application Guard definições da área de transferência | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Educação |
Determina se o Application Guard pode usar a funcionalidade de área de transferência. | Habilitado. Isto só é eficaz no modo gerido. Ativa a funcionalidade da área de transferência e permite-lhe escolher se pretende: - Desative completamente a funcionalidade da área de transferência quando a Segurança de Virtualização estiver ativada. - Ativar a cópia de determinados conteúdos de Application Guard para o Microsoft Edge. - Ative a cópia de determinados conteúdos do Microsoft Edge para Application Guard. Importante: Permitir que o conteúdo copiado vá do Microsoft Edge para o Application Guard pode causar potenciais riscos de segurança e não é recomendado. Desabilitado ou não configurado. Desativa completamente a funcionalidade da área de transferência para Application Guard. |
| Configurar Microsoft Defender Application Guard definições de impressão | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Educação |
Determina se o Application Guard pode usar a funcionalidade de impressão. | Habilitado. Isto só é eficaz no modo gerido. Ativa a funcionalidade de impressão e permite-lhe escolher se pretende: - Ative Application Guard para imprimir no formato XPS. - Ative Application Guard para imprimir no formato PDF. - Ative Application Guard imprimir em impressoras ligadas localmente. - Ative Application Guard imprimir a partir de impressoras de rede ligadas anteriormente. Os funcionários não podem procurar outras impressoras. Desabilitado ou não configurado. Desativa completamente a funcionalidade de impressão do Application Guard. |
| Permitir Persistência | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Educação |
Determina se os dados persistem em diferentes sessões no Microsoft Defender Application Guard. | Enabled. Isto só é eficaz no modo gerido. O Application Guard salva os arquivos baixados pelo usuário e outros itens (como cookies, Favoritos etc.) para uso em sessões futuras do Application Guard. Desabilitado ou não configurado. Todos os dados de usuário no Application Guard é redefinido entre as sessões. NOTA: se mais tarde decidir deixar de suportar a persistência de dados para os seus funcionários, pode utilizar o nosso utilitário fornecido pelo Windows para repor o contentor e eliminar quaisquer dados pessoais.
Para redefinir o contêiner: |
| Ativar Microsoft Defender Application Guard no Modo Gerido | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Educação |
Determina se deve ativar Application Guard para o Microsoft Edge e o Microsoft Office. | Enabled. Ativa Application Guard para o Microsoft Edge e/ou Microsoft Office, honrando as definições de isolamento de rede, compor conteúdos não fidedignos no contentor Application Guard. Application Guard não será ativado, a menos que os pré-requisitos necessários e as definições de isolamento de rede já estejam definidos no dispositivo. Opções disponíveis: - Ativar Microsoft Defender Application Guard apenas para o Microsoft Edge - Ativar Microsoft Defender Application Guard apenas para o Microsoft Office - Ativar Microsoft Defender Application Guard para o Microsoft Edge e o Microsoft Office Desabilitado. Desativa Application Guard, permitindo que todas as aplicações sejam executadas no Microsoft Edge e no Microsoft Office. Nota: Por Windows 10, se tiver KB5014666 instalado e, por Windows 11, se tiver KB5014668 instalado, já não terá de configurar a política de isolamento de rede para ativar Application Guard para o Microsoft Edge. |
| Permitir a transferência de ficheiros para o sistema operativo anfitrião | Windows 10 Enterprise ou Pro, 1803 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise ou Pro ou Education |
Determina se pretende guardar ficheiros transferidos no sistema operativo anfitrião a partir do contentor Microsoft Defender Application Guard. | Enabled. Permite que os utilizadores guardem ficheiros transferidos do contentor Microsoft Defender Application Guard para o sistema operativo anfitrião. Esta ação cria uma partilha entre o anfitrião e o contentor que também permite carregamentos do anfitrião para o contentor de Application Guard. Desabilitado ou não configurado. Os utilizadores não conseguem guardar ficheiros transferidos de Application Guard para o sistema operativo anfitrião. |
| Permitir composição acelerada por hardware para Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Educação |
Determina se Microsoft Defender Application Guard compõe gráficos através de aceleração de hardware ou software. | Enabled. Isto só é eficaz no modo gerido. Microsoft Defender Application Guard utiliza o Hyper-V para aceder a GPUs (hardware de gráficos de composição de alta segurança) suportado. Estas GPUs melhoram o desempenho da composição e a duração da bateria ao utilizar Microsoft Defender Application Guard, especialmente para reprodução de vídeo e outros casos de utilização intensiva de gráficos. Se esta definição estiver ativada sem ligar qualquer hardware gráfico de composição de alta segurança, Microsoft Defender Application Guard reverter automaticamente à composição baseada em software (CPU).
Importante: Ativar esta definição com dispositivos gráficos potencialmente comprometidos ou controladores pode representar um risco para o dispositivo anfitrião. Desabilitado ou não configurado. Microsoft Defender Application Guard utiliza composição baseada em software (CPU) e não carrega controladores gráficos de terceiros nem interage com qualquer hardware gráfico ligado. |
| Permitir o acesso à câmara e ao microfone no Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Educação |
Determina se deve permitir o acesso à câmara e ao microfone dentro de Microsoft Defender Application Guard. | Enabled. Isto só é eficaz no modo gerido. As aplicações dentro Microsoft Defender Application Guard conseguem aceder à câmara e ao microfone no dispositivo do utilizador.
Importante: Ativar esta política com um contentor potencialmente comprometido pode ignorar as permissões da câmara e do microfone e aceder à câmara e ao microfone sem o conhecimento do utilizador. Desabilitado ou não configurado. As aplicações dentro de Microsoft Defender Application Guard não conseguem aceder à câmara e ao microfone no dispositivo do utilizador. |
| Permitir que Microsoft Defender Application Guard utilizem As Autoridades de Certificação de Raiz a partir do dispositivo de um utilizador | Windows 10 Enterprise ou Pro, 1809 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise ou Pro |
Determina se os Certificados de Raiz são partilhados com Microsoft Defender Application Guard. | Enabled. Os certificados que correspondem ao thumbprint especificado são transferidos para o contentor. Utilize uma vírgula para separar vários certificados. Desabilitado ou não configurado. Os certificados não são partilhados com Microsoft Defender Application Guard. |
| Permitir eventos de auditoria no Microsoft Defender Application Guard | Windows 10 Enterprise, 1709 ou superior Windows 10 Education, 1809 ou superior Windows 11 Enterprise e Educação |
Esta definição de política permite-lhe decidir se os eventos de auditoria podem ser recolhidos a partir de Microsoft Defender Application Guard. | Enabled. Isto só é eficaz no modo gerido. Application Guard herda políticas de auditoria do seu dispositivo e regista eventos do sistema do Application Guard contentor para o seu anfitrião. Desabilitado ou não configurado. Os registos de eventos não são recolhidos do contentor Application Guard. |
Application Guard definições de caixa de diálogo de suporte
Estas definições estão localizadas em Administrative Templates\Windows Components\Windows Security\Enterprise Customization. Se for encontrado um erro, é-lhe apresentada uma caixa de diálogo. Por predefinição, esta caixa de diálogo contém apenas as informações de erro e um botão para comunicar à Microsoft através do hub de comentários. No entanto, é possível fornecer informações adicionais na caixa de diálogo.
Utilize Política de Grupo para ativar e personalizar as informações de contacto.