建立和部署Microsoft Defender 應用程式防護原則

文章
04/04/2023

適用於：Configuration Manager (目前的分支)

您可以使用Configuration Manager端點保護來建立和部署Microsoft Defender 應用程式防護 (應用程式防護) 原則。這些原則可在作業系統其他部分無法存取的安全隔離容器中開啟不受信任的網站，以協助保護您的使用者。

先決條件

若要建立和部署Microsoft Defender 應用程式防護原則，您必須使用 Windows 10 1709 或更新版本。您部署原則的Windows 10或更新版本裝置必須設定網路隔離原則。如需詳細資訊，請參閱Microsoft Defender 應用程式防護概觀。

建立原則，並流覽可用的設定

在Configuration Manager主控台中，選擇 [資產與合規性]。
在 [資產與相容性] 工作區中，選擇 [概觀>Endpoint Protection>Microsoft Defender 應用程式防護。
在 [首頁]索引標籤的 [建立]群組中，按一下 [建立Microsoft Defender 應用程式防護原則]。
您可以使用本文做為參考，流覽和設定可用的設定。 Configuration Manager可讓您設定特定原則設定：
- 應用程式行為
- 主機互動設定
在 [ 網路定義] 頁面上，指定公司身分識別，並定義您的公司網路界限。
注意事項

Windows 10或更新版本的電腦只會在用戶端上儲存一個網路隔離清單。您可以建立兩種不同類型的網路隔離清單，並將其部署至用戶端：
- 一個來自 Windows 資訊保護
- 一個來自Microsoft Defender 應用程式防護
如果您部署這兩個原則，這些網路隔離清單必須相符。如果您部署的清單不符合相同的用戶端，部署將會失敗。如需詳細資訊，請參閱Windows 資訊保護檔。
當您完成時，請完成精靈，並將原則部署到一或多個Windows 10 1709 或更新版本的裝置。

應用程式行為

設定主機裝置與應用程式防護容器之間的互動。在 Configuration Manager 1802 版之前，應用程式行為和主機互動都位於 [設定] 索引卷標底下。

剪貼簿- 在 Configuration Manager 1802 之前的設定下
- 允許的內容類型
  - 文字
  - 影像
印刷：
- 啟用列印至 XPS
- 啟用列印至 PDF
- 啟用列印到本機印表機
- 啟用列印至網路印表機
圖形： (從 Configuration Manager 1802 版開始)
- 虛擬圖形處理器存取
檔案： (從 Configuration Manager 1802 版開始)
- 將下載的檔案儲存至主機
原則： (從 Configuration Manager 2207 版開始)
- 啟用或停用相機和麥克風
- 將指紋與隔離容器相符的憑證

主機互動設定

在應用程式防護會話內設定應用程式行為。在 Configuration Manager 1802 版之前，應用程式行為和主機互動都位於 [設定] 索引卷標底下。

其他：
- 保留使用者產生的瀏覽器資料
- 稽核隔離應用程式防護會話中的安全性事件

若要編輯應用程式防護設定，請展開 [資產與相容性] 工作區中的[Endpoint Protection]，然後按一下Microsoft Defender 應用程式防護節點。以滑鼠右鍵按一下您想要編輯的原則，然後選取 [ 屬性]。

已知問題

適用于 2203 版或更早版本

執行 Windows 10 2004 版的裝置會顯示Microsoft Defender 應用程式防護檔案信任準則的合規性報告失敗。發生此問題的原因是在 Windows 10 2004 版中，某些子類別已從 WMI 類別 MDM_WindowsDefenderApplicationGuard_Settings01 中移除。所有其他Microsoft Defender 應用程式防護設定仍會套用，只有檔案信任準則會失敗。目前沒有任何因應措施可略過錯誤。

適用于 2207 版或更新版本

啟用原則預設不會安裝Microsoft Defender 應用程式防護功能。透過 ConfigMgr 將 PowerShell 腳本部署至所有適用的機器。

使用下列命令來啟用功能。 Enable-WindowsOptionalFeature -online -FeatureName 「Windows-Defender-ApplicationGuard」

後續步驟

如需Microsoft Defender 應用程式防護的詳細資訊，請參閱