scenari di test Application Guard

• Si applica a:

  ✅ Windows 11, ✅ Windows 10

Nota

• Microsoft Defender Application Guard, incluse le API di avvio delle app isolate di Windows, è deprecata per Microsoft Edge for Business e non verrà più aggiornata. Per altre informazioni sulle funzionalità di sicurezza di Microsoft Edge, vedere Sicurezza di Microsoft Edge for Business.
• A partire da Windows 11, versione 24H2, Microsoft Defender Application Guard, incluse le API di avvio delle app isolate di Windows, non è più disponibile.
• Poiché Application Guard è deprecato, non verrà eseguita una migrazione al manifesto edge V3. Le estensioni del browser corrispondenti e l'app di Windows Store associata non sono più disponibili. Se si vuole bloccare i browser non protetti fino a quando non si è pronti per ritirare l'utilizzo di MDAG nell'organizzazione, è consigliabile usare i criteri di AppLocker o il servizio di gestione Di Microsoft Edge. Per altre informazioni, vedere Microsoft Edge e Microsoft Defender Application Guard.

È stato creato un elenco di scenari che è possibile usare per testare l'isolamento basato su hardware nell'organizzazione.

Application Guard in modalità autonoma

Puoi scoprire come un dipendente utilizzerà la modalità autonoma con Application Guard.

Per testare Application Guard in modalità autonoma

1. Installare Application Guard.

2. Riavviare il dispositivo, avviare Microsoft Edge e quindi selezionare Nuova finestra Application Guard dal menu.

   

3. Attendi la configurazione dell'ambiente isolato da parte di Application Guard.

   Nota

   Un avvio di Application Guard troppo rapido dopo il riavvio del dispositivo potrebbe causare tempi di caricamento più lunghi. Tuttavia, gli avvii successivi verranno eseguiti senza ritardi percepibili.

4. Accedi a un URL non attendibile, ma sicuro (in questo esempio è stato usato msn.com) e visualizza la nuova finestra di Microsoft Edge, assicurandoti di vedere i segnali visivi di Application Guard.

   

Application Guard in modalità gestita dall'organizzazione

Come installare, impostare, attivare e configurare Application Guard per la modalità gestita dall'organizzazione.

Installare, impostare e attivare Application Guard

Prima di poter usare Application Guard in modalità gestita, è necessario installare Windows 10 Enterprise edition, versione 1709 e Windows 11, che include la funzionalità. Successivamente, è necessario utilizzare Criteri di gruppo per configurare le impostazioni richieste.

1. Installare Application Guard.

2. Riavviare il dispositivo e quindi avviare Microsoft Edge.

3. Configura le impostazioni di Isolamento rete in Criteri di gruppo:

   1. Selezionare l'icona di Windows, digitare Group Policye quindi selezionare Modifica Criteri di gruppo.

   2. Vai all'impostazione Modelli amministrativi\Rete\Isolamento rete\Domini di risorse aziendali ospitati nel cloud.

   3. Ai fini di questo scenario, digitare .microsoft.com nella casella Risorse cloud aziendali .

      

   4. Vai all'impostazione Modelli amministrativi\Rete\Isolamento rete\Domini categorizzati sia come aziendali che come personali.

   5. Ai fini di questo scenario, digitare bing.com nella casella Risorse neutre .

      

4. Passare all'impostazione Configurazione computer\Modelli amministrativi\Componenti di Windows\Microsoft Defender Application Guard\Attiva Microsoft Defender Application Guard in modalità gestita.

5. Selezionare Abilitato, scegliere Opzione 1 e selezionare OK.

   

   Nota

   Se si abilita questa impostazione è possibile verificare se tutte le impostazioni necessarie sono configurate correttamente nei dispositivi dei dipendenti, incluse le impostazioni di Isolamento rete impostate precedentemente in questo scenario.

6. Avviare Microsoft Edge e digitare https://www.microsoft.com.

   Dopo aver inviato l'URL, Application Guard determina che l'URL è attendibile perché usa il dominio contrassegnato come attendibile e mostra il sito direttamente nel PC host anziché in Application Guard.

   

7. Nello stesso browser Microsoft Edge digitare qualsiasi URL che non fa parte degli elenchi di siti attendibili o neutrali.

   Dopo aver inviato l'URL, Application Guard ne determina l'eventuale non attendibilità e reindirizza la richiesta all'ambiente con isolamento hardware.

   

Personalizzare Application Guard

Application Guard consente di specificare la configurazione, permettendo di creare il giusto equilibrio tra sicurezza basata su isolamento e produttività per i dipendenti.

Application Guard fornisce il comportamento predefinito seguente per i dipendenti:

• Nessuna operazione di copia e incolla tra il PC host e il contenitore isolato.

• Nessuna stampa dal contenitore isolato.

• Nessuna persistenza dei dati da un contenitore isolato a un altro.

Hai la possibilità di modificare ognuna di queste impostazioni per gestire l'organizzazione da Criteri di gruppo.

Si applica a:

• edizioni Windows 10 Enterprise o Pro, versione 1803 o successiva
• edizioni Windows 11 Enterprise o Pro

Opzioni copia e incolla

1. Passare alle impostazioni Configurazione computer\Modelli amministrativi\Componenti di Windows\Microsoft Defender Application Guard\Configura Microsoft Defender Application Guard Appunti.

2. Selezionare Abilitato e selezionare OK.

   

3. Scegli il funzionamento degli Appunti:

   • Copiare e incollare dalla sessione isolata al PC host

   • Copiare e incollare dal PC host alla sessione isolata

   • Copiare e incollare in entrambe le direzioni

4. Scegli gli elementi che possono essere copiati:

   • Solo il testo può essere copiato tra il PC host e il contenitore isolato.

   • Solo le immagini possono essere copiate tra il PC host e il contenitore isolato.

   • Sia il testo che le immagini possono essere copiati tra il PC host e il contenitore isolato.

5. Selezionare OK.

Opzioni di stampa

1. Passare a Configurazione computer\Modelli amministrativi\Componenti di Windows\Microsoft Defender Application Guard\Configura impostazioni di stampa Microsoft Defender Application Guard.

2. Selezionare Abilitato e selezionare OK.

   

3. In base all'elenco fornito nell'impostazione, scegli il numero che meglio rappresenta il tipo di stampa che deve essere disponibile per i dipendenti. Puoi consentire qualsiasi combinazione di stampa locale, di rete, PDF e XPS.

4. Selezionare OK.

Opzioni di persistenza dei dati

1. Passare all'impostazione Configurazione computer\Modelli amministrativi\Componenti di Windows\Microsoft Defender Application Guard\Consenti la persistenza dei dati per Microsoft Defender Application Guard.

2. Selezionare Abilitato e selezionare OK.

   

3. Apri Microsoft Edge e passa a un URL non attendibile, ma sicuro.

   Il sito Web viene aperto nella sessione isolata.

4. Aggiungi il sito all'elenco Preferiti, quindi chiudi la sessione isolata.

5. Disconnettersi e tornare al dispositivo, aprendo di nuovo Microsoft Edge in Application Guard.

   Il sito aggiunto in precedenza dovrebbe ancora essere visualizzato nell'elenco Preferiti.

   Nota

   A partire da Windows 11 versione 22H2, la persistenza dei dati è disabilitata per impostazione predefinita. Se non si consente o si disattiva la persistenza dei dati, il riavvio di un dispositivo o l'accesso e l'uscita dal contenitore isolato attivano un evento di riciclo. Questa azione elimina tutti i dati generati, ad esempio cookie di sessione e Preferiti, e rimuove i dati da Application Guard. Se attivi la persistenza dei dati, tutti gli elementi generati dal dipendente vengono mantenuti negli eventi di riciclo contenitore. Tuttavia, questi artefatti esistono solo nel contenitore isolato e non sono condivisi con il PC host. Questi dati vengono mantenuti dopo il riavvio e anche tramite gli aggiornamenti da build a build di Windows 10 e Windows 11.

   Se attivi la persistenza dei dati, ma successivamente decidi di arrestare il supporto per i dipendenti, puoi utilizzare l'utilità fornita da Windows per reimpostare il contenitore e per eliminare tutti i dati personali.

   Per reimpostare il contenitore, seguire questa procedura:
   1. Aprire un programma da riga di comando e passare a Windows/System32.
   2. Digitare wdagtool.exe cleanup. L'ambiente contenitore viene reimpostato, mantenendo solo i dati generati dal dipendente.
   3. Digitare wdagtool.exe cleanup RESET_PERSISTENCE_LAYER. L'ambiente contenitore viene reimpostato, inclusa la rimozione di tutti i dati generati dal dipendente.

   Microsoft Edge versione 90 o successiva non supporta RESET_PERSISTENCE_LAYERpiù .

Si applica a:

• edizioni Windows 10 Enterprise o Pro, versione 1803
• edizioni Windows 11 Enterprise o Pro, versione 21H2. La persistenza dei dati è disabilitata per impostazione predefinita in Windows 11 versione 22H2 e successive.

Opzioni di download

1. Passare all'impostazione Configurazione computer\Modelli amministrativi\Componenti di Windows\Microsoft Defender Application Guard\Consenti il download e il salvataggio dei file nel sistema operativo host da Microsoft Defender Application Guard.

2. Selezionare Abilitato e selezionare OK.

   

3. Disconnettersi e tornare al dispositivo, aprendo di nuovo Microsoft Edge in Application Guard.

4. Scaricare un file da Microsoft Defender Application Guard.

5. Verificare che il file sia stato scaricato in Questo PC > scarica > i file non attendibili.

Opzioni di accelerazione hardware

1. Passare all'impostazione Configurazione computer\Modelli amministrativi\Componenti di Windows\Microsoft Defender Application Guard\Consenti rendering con accelerazione hardware per Microsoft Defender Application Guard.

2. Selezionare Abilitato e selezionare OK.

   

3. Dopo aver abilitato questa funzionalità, aprire Microsoft Edge e passare a un URL non attendibile, ma sicuro, con video, 3D o altri contenuti a elevato utilizzo di grafica. Il sito Web viene aperto in una sessione isolata.

4. Valutare l'esperienza visiva e le prestazioni della batteria.

Opzioni della fotocamera e del microfono

1. Passare all'impostazione Configurazione computer\Modelli amministrativi\Componenti di Windows\Microsoft Defender Application Guard\Consenti l'accesso alla fotocamera e al microfono in Microsoft Defender Application Guard.

2. Selezionare Abilitato e selezionare OK.

   

3. Disconnettersi e tornare al dispositivo, aprendo di nuovo Microsoft Edge in Application Guard.

4. Aprire un'applicazione con funzionalità video o audio in Microsoft Edge.

5. Verificare che la fotocamera e il microfono funzionino come previsto.

Opzioni di condivisione del certificato radice

1. Passare all'impostazione Configurazione computer\Modelli amministrativi\Componenti di Windows\Microsoft Defender Application Guard\Consenti Microsoft Defender Application Guard l'uso delle autorità di certificazione radice dall'impostazione del dispositivo dell'utente.

2. Selezionare Abilitato, copiare l'identificazione personale di ogni certificato da condividere, separati da una virgola e selezionare OK.

   

3. Disconnettersi e tornare al dispositivo, aprendo di nuovo Microsoft Edge in Application Guard.

Estensione Application Guard per Web browser di terze parti

L'estensione Application Guard disponibile per Chrome e Firefox consente Application Guard di proteggere gli utenti anche quando eseguono un Web browser diverso da Microsoft Edge o Internet Explorer.

Dopo che un utente ha installato l'estensione e l'app complementare nel dispositivo aziendale, è possibile eseguire gli scenari seguenti.

1. Aprire Firefox o Chrome, a seconda del browser in cui è installata l'estensione.

2. Passare a un sito Web aziendale. In altre parole, un sito Web interno gestito dall'organizzazione. Questa pagina di valutazione potrebbe essere visualizzata per un istante prima del caricamento completo del sito.

   

3. Passare a un sito Web esterno non aziendale, ad esempio www.bing.com. Il sito deve essere reindirizzato a Microsoft Defender Application Guard Edge.

   

4. Aprire una nuova finestra di Application Guard, selezionando l'icona Microsoft Defender Application Guard, quindi Nuova finestra Application Guard.