設定 Microsoft Defender 應用程式防護原則設定
注意
- Microsoft Defender 應用程式防護,包括 Windows 隔離式應用程式啟動器 API,將會淘汰Microsoft商務用 Edge,且將 不再更新。 請下載 Microsoft商務用Edge安全性白皮書 ,以深入瞭解商務用Edge安全性功能。
- 因為應用程式防護已被取代,所以不會移轉至Edge指令清單 V3。 對應的瀏覽器延伸模組和相關聯的 Windows 市集應用程式已無法再使用。 如果您想要封鎖未受保護的瀏覽器,直到您準備好淘汰企業中的 MDAG 使用量為止,建議您使用 AppLocker 原則或 Microsoft Edge 管理服務。 如需詳細資訊, 請參閱 Microsoft Edge 和 Microsoft Defender 應用程式防護。
Microsoft Defender 應用程式防護 (應用程式防護) 使用組策略來協助您管理組織的電腦設定。 使用群組原則可讓您在設定原則設定一次後,將該設定複製到多部電腦上。 例如,您可以在連結至網域的組策略對象中設定多個安全性設定,然後將所有這些設定套用至網域中的每個端點。
應用程式防護使用網路隔離和應用程式特定的設定。
Windows 版本和授權需求
下表列出支援 Microsoft Defender 應用程式防護的 Windows 版本 (適用於 Edge 企業模式和企業管理的 MDAG) :
| Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
|---|---|---|---|
| 否 | 是 | 否 | 是 |
Microsoft Defender 應用程式防護 (下列授權會授與適用於 Edge 企業模式和企業管理授權權利的 MDAG) :
| Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 否 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
如需在獨立模式中Microsoft適用於 Microsoft Edge (MDAG) 的詳細資訊,請參閱 Microsoft Defender 應用程式防護概觀。
網路隔離設定
這些設定位於 Computer Configuration\Administrative Templates\Network\Network Isolation,可協助您定義和管理組織的網路界限。 應用程式防護會使用此資訊自動傳送任何要求,以存取非公司資源至應用程式防護容器。
注意
針對 Windows 10,如果您已安裝KB5014666,而針對 Windows 11,如果您已安裝KB5014668,則不需要設定網路隔離原則,即可在受控模式中啟用 Microsoft Edge 的應用程式防護。
注意
您必須在您的員工的裝置上設定雲端裝載的企業資源網域或供應用程式設定的私人網路範圍其中之一,才能成功的使用企業模式開啟應用程式防護。 Proxy 伺服器必須是列在網域中的中性資源,並分類 為工作和個人 原則。
| 原則名稱 | 支援版本 | 描述 |
|---|---|---|
| 供應用程式使用的私人網路範圍 | 至少要是 Windows Server 2012、Windows 8,或 Windows RT | 您的公司網路中的 IP 位址範圍清單,以逗號為分隔。 包含的端點或包含在指定 IP 位址範圍中的端點,會使用 Microsoft Edge 轉譯且無法從應用程式防護環境中存取。 |
| 裝載於雲端的企業資源網域 | 至少要是 Windows Server 2012、Windows 8,或 Windows RT | 管線分隔 (|) 網域雲端資源清單。 包含的端點會使用 Microsoft Edge 轉譯,而且無法從應用程式防護環境存取。 此清單支援 網路隔離設定通配符 數據表中詳述的通配符。 |
| 同時分類為工作與私人的網域 | 至少要是 Windows Server 2012、Windows 8,或 Windows RT | 同時作為工作和私人資源使用的網域名稱清單,以逗號為分隔。 包含的端點會使用 Microsoft Edge 轉譯,並可從應用程式防護和一般Microsoft Edge 環境存取。 此清單支援 網路隔離設定通配符 數據表中詳述的通配符。 |
網路隔離設定通配符
| 值 | 左邊的點數 | 意義 |
|---|---|---|
contoso.com |
0 | 只信任 的 contoso.com常值。 |
www.contoso.com |
0 | 只信任 的 www.contoso.com常值。 |
.contoso.com |
1 | 信任任何以文字 contoso.com結尾的網域。 相符的網站包括 spearphishingcontoso.com、 contoso.com與 www.contoso.com。 |
..contoso.com |
2 | 信任點左側的所有網域階層層級。 相符的網站包括 shop.contoso.com、 us.shop.contoso.com、 www.us.shop.contoso.com,但 NOT contoso.com 本身。 |
應用程式特定的設定
這些設定位於 Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard,可協助您管理組織的應用程式防護實作。
| 名稱 | 支援版本 | 說明 | 選項 |
|---|---|---|---|
| 設定 Microsoft Defender 應用程式防護剪貼簿設定 | Windows 10 企業版、1709 或更新版本 Windows 10 教育版,1809 或更新版本 Windows 11 企業版與教育版 |
判斷應用程式防護是否可以使用剪貼簿功能。 | 啟用。 這只有在受控模式中才有效。 開啟剪貼簿功能,並讓您選擇是否要另外: - 啟用虛擬化安全性時,完全停用剪貼簿功能。 - 啟用將特定內容從應用程式防護複製到 Microsoft Edge。 - 啟用將特定內容從 Microsoft Edge 複製到應用程式防護。 重要: 允許複製的內容從 Microsoft Edge 移至應用程式防護,可能會造成潛在的安全性風險,不建議這麼做。 停用或未設定。 完全關閉應用程式防護的剪貼簿功能。 |
| 設定 Microsoft Defender 應用程式防護列印設定 | Windows 10 企業版、1709 或更新版本 Windows 10 教育版,1809 或更新版本 Windows 11 企業版與教育版 |
判斷應用程式防護是否可以使用列印功能。 | 啟用。 這只有在受控模式中才有效。 開啟列印功能,並讓您選擇是否要另外: - 啟用應用程式防護以列印成 XPS 格式。 - 啟用應用程式防護以列印成 PDF 格式。 - 啟用應用程式防護以印表到本機連結的印表機。 - 啟用應用程式防護以從先前連線的網路印表機印表機。 員工無法搜尋其他印表機。 停用或未設定。 完全關閉應用程式防護的列印功能。 |
| 允許保留 | Windows 10 企業版、1709 或更新版本 Windows 10 教育版,1809 或更新版本 Windows 11 企業版與教育版 |
判斷數據是否保存在 Microsoft Defender 應用程式防護中的不同會話。 | 啟用。 這只有在受控模式中才有效。 應用程式防護儲存使用者下載的檔案及其他項目(例如 cookie、我的最愛,以及等等)用於未來的應用程式防護工作階段。 停用或未設定。 應用程式防護中所有的使用者資料於工作階段之間重設。 注意:如果您稍後決定停止支持員工的數據持續性,您可以使用 Windows 提供的公用程式來重設容器,並捨棄任何個人資料。
重設容器: |
| 在受控模式中開啟 Microsoft Defender 應用程式防護 | Windows 10 企業版、1709 或更新版本 Windows 10 教育版,1809 或更新版本 Windows 11 企業版與教育版 |
決定是否要針對 Microsoft Edge 和 Microsoft Office 開啟應用程式防護。 | 啟用。 開啟 Microsoft Edge 和/或 Microsoft Office 的應用程式防護,並接受網路隔離設定,在應用程式防護容器中轉譯不受信任的內容。 除非裝置上已設定必要的必要條件和網路隔離設定,否則不會實際開啟應用程式防護。 可用的選項: - 僅針對 Microsoft Edge 啟用 Microsoft Defender 應用程式防護 - 僅針對 Microsoft Office 啟用 Microsoft Defender 應用程式防護 - 針對 Microsoft Edge 和 Microsoft Office 啟用 Microsoft Defender 應用程式防護 已停用。 關閉應用程式防護,允許所有應用程式在 Microsoft Edge 和 Microsoft Office 中執行。 注意: 針對 Windows 10,如果您已安裝KB5014666,而針對 Windows 11,如果您已安裝KB5014668,則不再需要設定網路隔離原則來啟用 Microsoft Edge 的應用程式防護。 |
| 允許檔案下載至主機作業系統 | Windows 10 企業版或專業版、1803 或更新版本 Windows 10 教育版,1809 或更新版本 Windows 11 企業版或專業版或教育版 |
決定是否要從 Microsoft Defender 應用程式防護容器將下載的檔案儲存至主機作業系統。 | 啟用。 允許使用者將下載的檔案從 Microsoft Defender 應用程式防護容器儲存到主機作業系統。 此動作會在主機和容器之間建立共用,也允許從主機上傳至應用程式防護容器。 停用或未設定。 用戶無法將下載的檔案從應用程式防護儲存到主機作業系統。 |
| 允許適用於 Microsoft Defender 應用程式防護的硬體加速轉譯 | Windows 10 企業版、1709 或更新版本 Windows 10 教育版,1809 或更新版本 Windows 11 企業版與教育版 |
判斷Microsoft Defender 應用程式防護是否使用硬體或軟體加速轉譯圖形。 | 啟用。 這只有在受控模式中才有效。 Microsoft Defender 應用程式防護會使用 Hyper-V 來存取支援的高安全性轉譯圖形硬體, (GPU) 。 這些 GPU 可改善使用 Microsoft Defender 應用程式防護時的轉譯效能和電池使用時間,特別是針對視訊播放和其他需要大量圖形的使用案例。 如果啟用此設定而不連接任何高安全性轉譯圖形硬體,Microsoft Defender 應用程式防護會自動還原為軟體型 (CPU) 轉譯。
重要: 使用可能遭到入侵的圖形裝置或驅動程式啟用此設定,可能會對主機裝置造成風險。 停用或未設定。 Microsoft Defender 應用程式防護會使用軟體型 (CPU) 轉譯,且不會載入任何第三方圖形驅動程式或與任何已連線的圖形硬體互動。 |
| 在 Microsoft Defender 應用程式防護中允許相機和麥克風存取 | Windows 10 企業版、1709 或更新版本 Windows 10 教育版,1809 或更新版本 Windows 11 企業版與教育版 |
決定是否允許在Defender應用程式防護Microsoft記憶體取相機和麥克風。 | 啟用。 這只有在受控模式中才有效。 Microsoft Defender 應用程式防護內的應用程式能夠存取使用者裝置上的相機和麥克風。
重要: 使用可能遭到入侵的容器啟用此原則,可能會略過相機和麥克風許可權,並在使用者不知情的情況下存取相機和麥克風。 停用或未設定。 Microsoft Defender 應用程式防護內的應用程式無法存取使用者裝置上的相機和麥克風。 |
| 允許Microsoft Defender 應用程式防護從用戶的裝置使用跟證書授權單位 | Windows 10 企業版或專業版、1809 或更新版本 Windows 10 教育版,1809 或更新版本 Windows 11 企業版或專業版 |
判斷跟證書是否與 Microsoft Defender 應用程式防護共用。 | 啟用。 符合指定指紋的憑證會傳輸到容器中。 使用逗號分隔多個憑證。 停用或未設定。 憑證不會與 Microsoft Defender 應用程式防護共用。 |
| 允許在 Microsoft Defender 應用程式防護中稽核事件 | Windows 10 企業版、1709 或更新版本 Windows 10 教育版,1809 或更新版本 Windows 11 企業版與教育版 |
此原則設定可讓您決定是否可以從 Defender 應用程式防護Microsoft收集稽核事件。 | 啟用。 這只有在受控模式中才有效。 應用程式防護會從您的裝置繼承稽核原則,並將系統事件從應用程式防護容器記錄到您的主機。 停用或未設定。 不會從您的應用程式防護容器收集事件記錄檔。 |
應用程式防護支援對話框設定
這些設定位於 Administrative Templates\Windows Components\Windows Security\Enterprise Customization。 如果發生錯誤,您會看到對話方塊。 根據預設,此對話框只包含錯誤資訊和按鈕,可讓您透過意見反應中樞向Microsoft回報。 不過,可以在對話框中提供其他資訊。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應