Freigeben über

Vorbereiten der Installation von Windows Defender Application Guard

Hinweis

Bevor Sie fortfahren, lesen Sie Systemanforderungen für Microsoft Defender Application Guard, um die Hardware- und Softwareinstallationsanforderungen für Microsoft Defender Application Guard zu überprüfen.

Hinweis

Microsoft Defender Application Guard wird auf VMs und in der VDI-Umgebung nicht unterstützt. Zum Testen und Automatisieren auf Computern, die nicht für die Produktion gedacht sind, können Sie WDAG auf einer virtuellen Maschine durch Aktivieren der geschachtelten Hyper-V-Virtualisierung auf dem Host ermöglichen.

Vorbereiten auf Microsoft Defender Application Guard

Bevor Sie Microsoft Defender Application Guard installieren und verwenden können, müssen Sie bestimmen, auf welche Weise es in Ihrem Unternehmen verwendet werden soll. Sie können Application Guard im Modus Eigenständig oder Unternehmensverwaltet verwenden.

Eigenständiger Modus

Mitarbeiter können hardwareisolierte Browsersitzungen ohne Administrator- oder Verwaltungsrichtlinienkonfiguration verwenden. In diesem Modus müssen Sie Application Guard installieren. Anschließend muss der jeweilige Mitarbeiter Microsoft Edge in Application Guard manuell starten, während er auf nicht vertrauenswürdigen Websites surft. Ein Beispiel zur Funktionsweise finden Sie im Testszenario Application Guard im eigenständigen Modus.

Der eigenständige Modus gilt für:

  • Windows 10 Enterprise Edition, Version 1709 und höher
  • Windows 10 Pro Edition, Version 1803 und höher
  • Windows 10 Education Edition, Version 1809 und höher
  • Windows 11 Enterprise-, Education- oder Pro-Editionen

Unternehmensverwalteter Modus

Sie und Ihre Sicherheitsabteilung können Ihre Unternehmensgrenzen definieren, indem Sie vertrauenswürdige Domänen explizit hinzufügen und die Application Guard-Funktionen so anpassen, dass sie Ihre Anforderungen erfüllen bzw. dass Ihre Anforderungen auf den Mitarbeitergeräten erzwungen werden. Der vom Unternehmen verwaltete Modus leitet auch alle Browseranforderungen automatisch um, um dem Container Domänen hinzuzufügen, die keine Unternehmensdomänen sind.

Der vom Unternehmen verwaltete Modus gilt für:

  • Windows 10 Enterprise Edition, Version 1709 und höher
  • Windows 10 Education Edition, Version 1809 und höher
  • Windows 11 Enterprise- oder Education-Editionen

Im folgenden Diagramm wird der Datenfluss zwischen dem Host-PC und dem isolierten Container gezeigt.

Flussdiagramm für die Bewegung zwischen Microsoft Edge und Application Guard.

Installieren von Application Guard

Die Application Guard-Funktion ist standardmäßig deaktiviert. Sie können die Funktion jedoch schnell über die Systemsteuerung, PowerShell oder über die mobile Geräteverwaltung (Mobile Device Management, MDM) auf den Geräten Ihrer Mitarbeiter installieren.

Installieren von Systemsteuerung

  1. Öffnen Sie die Systemsteuerung, wählen Sie Programme und dann Windows-Features aktivieren oder deaktivieren aus.

    Windows-Features, Aktivierung von Windows Defender Application Guard.

  2. Aktivieren Sie das Kontrollkästchen neben Microsoft Defender Application Guard, und wählen Sie dann OK aus, um Application Guard und die zugrunde liegenden Abhängigkeiten zu installieren.

Installieren über PowerShell

Hinweis

Stellen Sie vor diesem Schritt sicher, dass Ihre Geräte alle Systemanforderungen erfüllen. PowerShell installiert das Feature, ohne die Systemanforderungen zu prüfen. Wenn Ihre Geräte die Systemanforderungen nicht erfüllen, funktioniert Application Guard möglicherweise nicht. Dieser Schritt wird nur für unternehmensverwaltete Szenarien empfohlen.

  1. Wählen Sie das Suchsymbol in der Windows-Taskleiste aus, und geben Sie PowerShell ein.

  2. Klicken Sie mit der rechten Maustaste auf Windows PowerShell, und wählen Sie dann Als Administrator ausführen aus, um Windows PowerShell mit Administratoranmeldeinformationen zu öffnen.

  3. Geben Sie den folgenden Befehl ein:

    Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard

  4. Starten Sie das Gerät neu, um Application Guard und die zugrunde liegenden Abhängigkeiten zu installieren.

Installieren von Intune

Wichtig

Vergewissern Sie sich, dass die Geräte Ihrer Organisation die Anforderungen erfüllen und in Intune registriert sind.

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Wählen Sie Endpunktsicherheit>Verringerung der> AngriffsflächeRichtlinie erstellen aus, und gehen Sie wie folgt vor:

    • Wählen Sie Windows 10 und höher aus der Liste Plattform aus.
    • Wählen Sie unter Profiltyp die Option App- und Browserisolation aus.
    • Wählen Sie Erstellen aus.

  3. Geben Sie auf der Registerkarte Grundlagen den Namen und die Beschreibung für die Richtlinie an. Wählen Sie Weiter aus.

  4. Konfigurieren Sie auf der Registerkarte Konfigurationseinstellungen die Application Guard Einstellungen wie gewünscht. Wählen Sie Weiter aus.

  5. Wählen Sie auf der Registerkarte Bereichstags die Option + Bereichstags auswählen aus, wenn Ihr organization Bereichstags verwendet, und wählen Sie dann die tags aus, die Sie verwenden möchten. Wählen Sie Weiter aus.

    Weitere Informationen zu Bereichstags finden Sie unter Verwenden der rollenbasierten Zugriffssteuerung (Role-Based Access Control, RBAC) und Bereichstags für verteilte IT.

  6. Wählen Sie auf der Seite Zuweisungen die Benutzer oder Gruppen aus, die die Richtlinie erhalten. Wählen Sie Weiter aus.

    Weitere Informationen zum Zuweisen von Richtlinien finden Sie unter Zuweisen von Richtlinien in Microsoft Intune.

  7. Überprüfen Sie Ihre Einstellungen, und wählen Sie dann Erstellen aus.

Nachdem die Richtlinie erstellt wurde, ist für alle Geräte, auf die die Richtlinie angewendet werden soll, Microsoft Defender Application Guard aktiviert. Möglicherweise müssen die Benutzer ihre Geräte neu starten, damit der Schutz wirksam wird.