共用方式為


Microsoft Edge 對 Microsoft Defender 應用程式防護的支援

重要

Microsoft Defender 應用程式防護,包括 Windows 隔離應用程式啟動器 API,已淘汰 商務用 Microsoft Edge,將不再更新。 從 Windows 11 開始,Microsoft Defender 應用程式防護 版本 24H2,包括 Windows 隔離式應用程式啟動器 API 已無法再使用。

現有的 應用程式防護 安裝

此淘汰不會影響現有的 Microsoft Defender 應用程式防護 (MDAG) 安裝。 組織可以在目前版本的 Windows 上繼續使用 應用程式防護,但建議安全性系統管理員評估其未來的安全性需求。 這項功能可能會在未來的 Windows 版本中移除,但會繼續針對 Windows 上的現有安裝進行維護。

淘汰考慮

取代包含下列 應用程式防護 元素。

  • 如果您的組織需要容器型隔離,建議您 Windows 沙箱Azure 虛擬桌面 (AVD)
  • 因為 應用程式防護 已被取代,所以不會移轉至Edge指令清單 V3。 2024 年 5 月之後將無法使用對應的擴充功能和相關聯的 Windows 市集應用程式 。 這會影響下列瀏覽器: ChromeFirefox。 如果您想要封鎖未受保護的瀏覽器,直到您準備好淘汰企業中的 MDAG 使用量為止,建議您使用 AppLocker 原則或 Microsoft Edge 管理服務

提示

下載 商務用 Microsoft Edge 安全性白皮書,以深入瞭解讓商務用Edge成為安全企業瀏覽器的功能。

Edge 中的其他安全性功能使其非常安全,而不需要 應用程式防護。 不斷成長的安全性功能清單包括:

  • 適用於反網路釣魚和惡意代碼支援的 Defender SmartScreen,以及 URL 掃描和封鎖。
  • 藉由停用 Just-In-Time JavaScript 編譯 (和其他保護) ,來增強保護記憶體相關弱點的安全性模式。
  • 拼錯網站的網站錯字保護。
  • 數據外洩防護可識別、監視及自動保護敏感性專案。

概觀

本文說明 Microsoft Edge 如何支援 Microsoft Defender 應用程式防護 (應用程式防護)。

企業中的安全性架構師必須處理生產力與安全性之間的張力。 您可相當容易地鎖定瀏覽器,且只允許載入少數受信任的網站。 這種方法可改善整體安全性狀態,但其生產力可能會降低。 如果您降低限制以提高生產力,則會提高風險度。 這是難以達到的平衡!

在此不斷變化的威脅形勢中,我們更加難以掌握新興的威脅。 瀏覽器依舊是用戶端裝置上的主要受攻擊面,因為瀏覽器的基本任務是要讓使用者存取、下載和開啟不受信任來源中不受信任的內容。 惡意行動者不斷鑽研針對瀏覽器的新型社交工程攻擊。 安全性事件預防或偵測/回應策略無法保證 100% 安全。

所要考量的重要安全戰略就是採用破壞方法,這表示不論如何防範,都接受攻擊最少會成功一次。 此種思維需要建立防禦措施來遏制損害,以確保在此情況下公司網路和其他資源仍然受到保護。 為 Microsoft Edge 部署應用程式防護正好符合此策略。

關於應用程式防護

專為 Windows 10/11 和 Microsoft Edge 而設計,應用程式防護 使用硬體隔離方法。 這種方法可讓不受信任的網站導覽在容器內啟動。 硬體隔離可協助企業保護企業網路和資料,以防使用者造訪遭入侵或惡意的網站。

企業系統管理員可定義受信任的網站、雲端資源和內部網路。 不在受信任的網站清單中的所有項目都會被視為不受信任。 這些網站會與使用者裝置上的公司網路和資料隔離。

如需詳細資訊:

下一個螢幕擷取畫面顯示應用程式防護的訊息範例,其中顯示使用者正在安全的空間中瀏覽。

應用程式防護的安全瀏覽訊息

新增功能

新Microsoft Edge 瀏覽器中的 應用程式防護 支援具有與 舊版 Microsoft Edge 的功能同位,並包含數個改善。

啟用上傳封鎖

從 Microsoft Edge 96 開始,系統管理員現在可以選擇在容器中封鎖上傳,這表示使用者無法將檔案從本機裝置上傳至其 應用程式防護 實例。 可透過原則控制這項支援。 您可以更新 Edge 原則 ApplicationGuardUploadBlockingEnabled 以啟用或停用容器中的上傳。

在被動模式中啟用 應用程式防護,並正常流覽 Edge

從 Microsoft Edge 94 開始,用戶現在可以選擇設定被動模式,這表示 應用程式防護 會忽略網站清單設定,而使用者可以正常流覽 Edge。 可透過原則控制這項支援。 您可以更新 Edge 原則 ApplicationGuardPassiveModeEnabled 以啟用或停用被動模式。

注意

此原則只會影響Edge,因此如果您已啟用對應的擴充功能,其他瀏覽器的流覽可能會重新導向至 應用程式防護容器。

將 [我的最愛] 從主機同步處理至容器

我們的部分客戶一直要求在應用程式防護中的主機瀏覽器和容器之間同步 [我的最愛]。 從 Microsoft Edge 91 開始,使用者現在可以選擇設定應用程式防護,以將 [我的最愛] 從主機同步處理至容器。 這可確保容器上也會出現新的 [我的最愛]。

可透過原則控制這項支援。 您可以更新 Edge 原則 ApplicationGuardFavoritesSyncEnabled 以啟用或停用 [我的最愛] 同步處理。

注意

基於安全性考量,[我的最愛] 同步處理僅能從主機同步處理到容器,且不能為相反的方式。 若要確保跨主機和容器的 [我的最愛] 整合清單,我們已停用容器內的 [我的最愛] 管理。

識別源自容器的流量

數個客戶正在特定組態中使用 WDAG,以便識別來自容器的流量。 此情況的其中一些案例為:

  • 若要限制僅存取少數的未受信任網站
  • 若允許僅從容器存取網際網路

從 Microsoft Edge 版本 91 開始,已內建支援標記源自 應用程式防護 容器的網路流量,讓企業能夠使用 Proxy 來篩選出流量並套用特定原則。 您可以使用標頭以識別哪些流量是透過容器或主機使用 ApplicationGuardTrafficIdentificationEnabled

容器內的延伸支援

容器內的延伸支援曾經是來自客戶的最熱門要求之一。 案例包含從想要在容器內執行廣告封鎖程式來提升瀏覽器效能,以至能夠在容器內執行自產的自訂延伸。

現在支援在容器中安裝延伸 (從 Microsoft Edge 版本 81 開始)。 可透過原則控制這項支援。 在 ExtensionInstallForcelist 原則中使用的 updateURL,應新增為應用程式防護所用網路隔離原則中的中性資源。

有些容器支援範例包含下列案例:

  • 在主機上強制安裝延伸
  • 從主機移除延伸
  • 主機上封鎖的延伸

注意

您也可從延伸存放區,在容器內手動安裝個別的延伸。 啟用 [允許保留] 原則後,只有手動安裝的延伸才會保留在容器中。

透過雙 Proxy 識別應用程式防護流量

部分企業客戶正在部署適用于特定案例的應用程式防護,以便識別來自 Microsoft Defender 應用程式防護容器的 proxy 等級網路流量。 從穩定通道版本 84 開始,Microsoft Edge 將支援雙 proxy 來滿足這一需求。 您可以使用 ApplicationGuardContainerProxy 原則來設定此功能。

下圖顯示 Microsoft Edge 的雙 proxy 架構。

應用程式防護的雙 proxy 架構

用於疑難排解的診斷頁面

另一個使用者痛點就是在問題回報後,針對裝置上的應用程式防護設定進行疑難排解。 Microsoft Edge 有診斷頁面 (edge://application-guard-internals) 可針對使用者問題進行疑難排解。 其中一項診斷可根據使用者裝置上的設定來檢查 URL 信任。

下一個螢幕擷取畫面顯示多個索引標籤診斷頁面,以協助診斷使用者回報告的裝置問題。

應用程式防護診斷頁面

容器中的 Microsoft Edge 更新

容器中的舊版 Microsoft Edge 更新是 Windows OS 更新週期的一部分。 由於新版 Microsoft Edge 更新本身與 Windows OS 無關,因此不再相依於容器更新。 主機 Microsoft Edge 的通道和版本會在容器內複寫。

必要條件

下列需求適用於使用 應用程式防護 搭配 Microsoft Edge 的裝置:

  • Windows 10 1809 (Windows 10 2018 年 10 月更新) 和更新版本。

  • 僅限 Windows 用戶端 SKU

    注意

    只有 Windows 10/11 專業版和 Windows 10/11 企業版 SKU 才支援 應用程式防護。

  • 軟體需求所述的其中一個管理解決方案

如何安裝應用程式防護

下列文章提供透過 Microsoft Edge 安裝、設定及測試應用程式防護所需的資訊。

常見問題集

應用程式防護 是否已被取代?

是,Microsoft Defender 應用程式防護,包括 Windows 隔離應用程式啟動器 API,將會淘汰 商務用 Microsoft Edge,且將不再更新。

應用程式防護是否可在 IE 模式中運作?

IE 模式支援應用程式防護功能,但我們不期望在 IE 模式中經常使用此功能。 建議針對一些受信任的內部網站部署 IE 模式,而應用程式防護只適用於不受信任的網站。 請確定所有 IE 模式網站或 IP 位址也已新增至網路隔離原則,讓 應用程式防護 視為受信任的資源。

我需要安裝應用程式防護 Chrome 延伸嗎?

否,Microsoft Edge 本身就支援應用程式防護功能。 事實上,應用程式防護 Chrome 延伸不是 Microsoft Edge 中支援的設定。

員工可從應用程式防護 Edge 工作階段下載文件至主機裝置嗎?

在 Windows 10 企業版 版本 1803 中,使用者可以將檔從隔離 應用程式防護 容器下載到主計算機。 這項功能是由原則所管理。

在 Windows 10 企業版 版本 1709 或 Windows 10 Professional 版本 1803 中,無法將檔案從隔離的 應用程式防護 容器下載到主計算機。 不過,員工可以使用以 PDF 列印或以 XPS 列印選項,並將這些檔案儲存至主機裝置。

員工可以在主機裝置和應用程式防護 Edge 工作階段之間複製與貼上嗎?

根據貴組織的設定,員工可以將影像 (.bmp) 和文字複製並貼到隔離的容器,以及從隔離的容器貼上。

為什麼員工在 應用程式防護Edge會話中看不到他們的最愛?

視貴組織的設定而定,我的最愛同步處理可能已關閉。 若要管理原則,請參閱:Microsoft Edge 和 Microsoft Defender 應用程式防護 |Microsoft Docs。

為什麼員工無法在 應用程式防護 Edge 會話中看到他們的擴充功能?

請務必在您的 應用程式防護 設定上啟用擴充原則。

我的擴充功能似乎無法在Edge應用程式防護 中運作?

如果在組態中為 MDAG 啟用擴充原則,請檢查您的擴充功能是否需要原生訊息處理元件,應用程式防護 容器中不支援這些擴充功能。

我正嘗試使用 HDR watch 播放影片,為什麼缺少 HDR 選項?

若要讓 HDR 視訊播放在容器中運作,必須在 應用程式防護 中啟用 vGPU 硬體加速。

是。 常見問答集─Microsoft Defender 應用程式防護

請參閱