準備安裝 Microsoft Defender 應用程式防護

• 適用於:

  ✅ Windows 11, ✅ Windows 10

注意

• Microsoft Defender 應用程式防護，包括 Windows 隔離應用程式啟動器 API，將會淘汰 商務用 Microsoft Edge，且將不再更新。 請下載 商務用 Microsoft Edge 安全性白皮書 ，以深入瞭解商務用 Edge 安全性功能。
• 因為 應用程式防護 已被取代，所以不會移轉至Edge指令清單 V3。 2024 年 5 月之後將無法使用對應的擴充功能和相關聯的 Windows 市集應用程式 。 這會影響下列瀏覽器：應用程式防護 延伸模組 - Chrome 和 應用程式防護 延伸模組 - Firefox。 如果您想要封鎖未受保護的瀏覽器，直到您準備好淘汰企業中的 MDAG 使用量為止，建議您使用 AppLocker 原則或 Microsoft Edge 管理服務。 如需詳細資訊，請參閱 Microsoft Edge 和 Microsoft Defender 應用程式防護。

繼續之前，請檢閱 Microsoft Defender 應用程式防護 的系統需求，以檢閱 Microsoft Defender 應用程式防護的硬體和軟體安裝需求。

注意

VM 和 VDI 環境中不支援 Microsoft Defender 應用程式防護。 對於非生產電腦上的測試及自動化，您可以啟用主機上的 Hyper-V 巢狀虛擬化，以啟用 VM 上的 WDAG。

準備 Microsoft Defender 應用程式防護

您必須先決定要在企業中使用它的方式，才能安裝和使用 Microsoft Defender 應用程式防護。 您可以以獨立或受企業管理模式使用應用程式防護。

獨立模式

員工可使用硬體隔離的瀏覽工作階段，而不需要任何系統管理員或管理原則設定。 在此模式下，您必須安裝應用程式防護，然後員工必須在瀏覽未受信任的網站時，手動於應用程式防護中開始 Microsoft Edge。 有關此運作方式的範例，請參閱獨立模式中的應用程式防護測試案例。

獨立模式適用於：

• Windows 10 企業版 1709 版和更新版本
• Windows 10 專業版 1803 版和更新版本
• Windows 10 教育版 1809 版和更新版本
• Windows 11 企業版 版、教育版或專業版

企業管理模式

您與您的安全性部門可以透過明確新增受信任的網域的方式定義您的公司範圍，並可自訂應用程式防護體驗以符合並執行您在員工的裝置上的需求。 企業管理模式也會自動重新導向任何瀏覽器要求，以在容器中新增非企業網域 () 。

企業管理模式適用於：

• Windows 10 企業版 1709 版和更新版本
• Windows 10 教育版 1809 版和更新版本
• Windows 11 企業版 或教育版

下圖顯示隔離的容器與主機 PC 之間的流程。

安裝應用程式防護

應用程式防護功能預設為關閉。 不過，您可以透過 控制台、PowerShell 或行動裝置管理 (MDM) 解決方案，在員工的裝置上快速安裝它。

從 控制台 安裝

1. 開啟 控制台，選取 [程式]，然後選取 [開啟或關閉 Windows 功能]。

   

2. 選取 [Microsoft Defender 應用程式防護] 旁的複選框，然後選取 [確定] 以安裝 應用程式防護 及其基礎相依性。

從 PowerShell 安裝

注意

請確定您的裝置在此步驟之前已符合所有系統需求。 PowerShell 會在不檢查系統需求的情況下安裝此功能。 如果您的裝置不符合系統需求，應用程式防護 可能無法運作。 此步驟僅適用於企業受控案例。

1. 選取 Windows 任務列中的 搜尋 圖示，然後輸入 PowerShell。

2. 以滑鼠右鍵按兩下 [Windows PowerShell]，然後選取 [以系統管理員身分執行] 以使用系統管理員認證開啟 Windows PowerShell。

3. 輸入下列命令：

   Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
   

4. 重新啟動裝置以安裝 應用程式防護 及其基礎相依性。

從 Intune 安裝

重要

請確定貴組織的裝置符合需求，並已在 Intune 中註冊。

1. 登入 Microsoft Intune 系統管理中心。

2. 選取 [端點安全>性攻擊面縮小>Create 原則]，然後執行下列動作：

   • 在 [平臺] 清單中，選取 [Windows 10 和更新版本]。
   • 在 [配置檔 類型] 中，選取 [應用程式和瀏覽器隔離]。
   • 選取 [建立]。

3. 在 [ 基本] 索引標籤中 ，指定原則的 [名稱 ] 和 [ 描述 ]。 選取 [下一步]。

4. 在 [組態設定] 索引標籤中，視需要設定 應用程式防護 設定。 選取 [下一步]。

5. 在 [ 範圍卷標] 索引 標籤中，如果您的組織使用範圍卷標，請選擇 [+ 選取範圍標籤]，然後選取您要使用的標籤。 選取 [下一步]。

   若要深入瞭解範圍標籤，請 參閱使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍標籤。

6. 在 [ 指派] 頁面中，選取將接收原則的使用者或群組。 選取 [下一步]。

   若要深入瞭解指派原則，請參閱在 Microsoft Intune 中指派原則。

7. 檢閱您的設定，然後選取 [Create]。

建立原則之後，應該套用原則的任何裝置都會啟用 Microsoft Defender 應用程式防護。 使用者可能必須重新啟動其裝置，才能備妥保護。