Vytvoření a nasazení zásad Ochrana Application Guard v programu Microsoft Defender

Platí pro: Configuration Manager (Current Branch)

Zásady Ochrana Application Guard v programu Microsoft Defender (Ochrana Application Guard) můžete vytvářet a nasazovat pomocí ochrany koncových bodů Configuration Manager. Tyto zásady pomáhají chránit uživatele tím, že otevírají nedůvěryhodné weby v zabezpečeném izolovaném kontejneru, který není přístupný pro jiné části operačního systému.

Požadavky

Pokud chcete vytvořit a nasadit zásady Ochrana Application Guard v programu Microsoft Defender, musíte použít Windows 10 1709 nebo novější. Windows 10 nebo novějších zařízeních, na která zásady nasazujete, musí být nakonfigurované se zásadami izolace sítě. Další informace najdete v přehledu Ochrana Application Guard v programu Microsoft Defender.

Vytvoření zásady a procházení dostupných nastavení

1. V konzole Configuration Manager zvolte Prostředky a kompatibilita.

2. V pracovním prostoru Prostředky a kompatibilita zvolte Přehled>služby Endpoint Protection>Ochrana Application Guard v programu Microsoft Defender.

3. Na kartě Domů ve skupině Vytvořit klikněte na Vytvořit Ochrana Application Guard v programu Microsoft Defender zásady.

4. Pomocí odkazu na tento článek můžete procházet a konfigurovat dostupná nastavení. Configuration Manager umožňuje nastavit určitá nastavení zásad:

   • Chování aplikace
   • Nastavení interakce s hostitelem

5. Na stránce Definice sítě zadejte podnikovou identitu a definujte hranici podnikové sítě.

   Poznámka

   Windows 10 nebo novějších počítačích jsou v klientovi uložen pouze jeden seznam izolace sítě. Můžete vytvořit dva různé druhy seznamů izolace sítě a nasadit je do klienta:

   • one z Windows Information Protection
   • jednu z Ochrana Application Guard v programu Microsoft Defender

   Pokud nasadíte obě zásady, musí se tyto seznamy izolace sítě shodovat. Pokud nasadíte seznamy, které neodpovídají stejnému klientovi, nasazení selže. Další informace najdete v dokumentaci k windows Information Protection.

6. Až budete hotovi, dokončete průvodce a nasaďte zásadu na jedno nebo více Windows 10 zařízeních 1709 nebo novějších.

Chování aplikace

Konfiguruje interakce mezi hostitelskými zařízeními a kontejnerem Ochrana Application Guard. Před Configuration Manager verze 1802 se na kartě Nastavení nacházelo chování aplikace i interakce s hostitelem.

• Schránka – v nastaveních před Configuration Manager 1802
  • Povolený typ obsahu
    • Text
    • Obrázky
• Tisk:
  • Povolit tisk na XPS
  • Povolení tisku do PDF
  • Povolení tisku na místních tiskárnách
  • Povolení tisku na síťových tiskárnách
• Grafika: (počínaje Configuration Manager verzí 1802)
  • Přístup k virtuálním grafickým procesorům
• Soubory: (počínaje Configuration Manager verzí 1802)
  • Uložení stažených souborů do hostitele
• Zásady: (počínaje Configuration Manager verzí 2207)
  • Povolení nebo zakázání kamer a mikrofonů
  • Certifikát odpovídající kryptografickým otiskům izolovanému kontejneru

Nastavení interakce s hostitelem

Konfiguruje chování aplikace uvnitř relace Ochrana Application Guard. Před Configuration Manager verze 1802 se na kartě Nastavení nacházelo chování aplikace i interakce s hostitelem.

• Další:
  • Zachování dat vygenerovaných uživatelem v prohlížeči
  • Auditování událostí zabezpečení v izolované relaci ochrany Application Guard

Pokud chcete upravit nastavení Ochrana Application Guard, rozbalte položku Endpoint Protection v pracovním prostoru Prostředky a kompatibilita a klikněte na uzel Ochrana Application Guard v programu Microsoft Defender. Klikněte pravým tlačítkem na zásadu, kterou chcete upravit, a pak vyberte Vlastnosti.

Známé problémy

Platí pro verzi 2203 nebo starší.

Zařízení se systémem Windows 10 verze 2004 budou zobrazovat chyby ve generování sestav dodržování předpisů pro Ochrana Application Guard v programu Microsoft Defender kritéria důvěryhodnosti souborů. K tomuto problému dochází, protože některé podtřídy byly odebrány z třídy MDM_WindowsDefenderApplicationGuard_Settings01 WMI v Windows 10 verze 2004. Všechna ostatní nastavení Ochrana Application Guard v programu Microsoft Defender budou dál platit, pouze kritéria důvěryhodnosti souborů selžou. V současné době neexistují žádná alternativní řešení, jak tuto chybu obejít.

Platí pro verzi 2207 nebo novější.

Povolením zásady se ve výchozím nastavení nenainstaluje funkce Ochrana Application Guard v programu Microsoft Defender. Nasaďte skript PowerShellu prostřednictvím nástroje ConfigMgr na všechny příslušné počítače.

K povolení funkce použijte následující příkazy. Enable-WindowsOptionalFeature -online -FeatureName "Windows-Defender-ApplicationGuard"

Další kroky

Další informace o Ochrana Application Guard v programu Microsoft Defender najdete v tématu

• Ochrana Application Guard v programu Microsoft Defender přehled.
• Ochrana Application Guard v programu Microsoft Defender nejčastější dotazy.