Microsoft Defender Application Guard 개요
참고
- Windows 격리 앱 시작 관리자 API를 포함한 Microsoft Defender Application Guard 비즈니스용 Microsoft Edge 더 이상 사용되지 않으며 더 이상 업데이트되지 않습니다. Microsoft Edge 보안 기능에 대한 자세한 내용은 비즈니스 보안용 Microsoft Edge를 참조하세요.
- Windows 11 버전 24H2부터 Windows 격리 앱 시작 관리자 API를 포함한 Microsoft Defender Application Guard 더 이상 사용할 수 없습니다.
- Application Guard 더 이상 사용되지 않으므로 Edge 매니페스트 V3으로 마이그레이션하지 않습니다. 해당 브라우저 확장 및 연결된 Windows 스토어 앱을 더 이상 사용할 수 없습니다. 엔터프라이즈에서 MDAG 사용을 중지할 준비가 될 때까지 보호되지 않는 브라우저를 차단하려면 AppLocker 정책 또는 Microsoft Edge 관리 서비스를 사용하는 것이 좋습니다. 자세한 내용은 Microsoft Edge 및 Microsoft Defender Application Guard 참조하세요.
MDAG(Microsoft Defender Application Guard)는 직원의 생산성을 유지하기 위해 이전 및 새로 발생한 공격을 방지하도록 설계되었습니다. 고유한 하드웨어 격리 접근 방식을 사용하여 현재 공격 방법을 더 이상 사용하지 않도록 하여 공격자가 사용하는 플레이북을 삭제하는 것이 목표입니다.
Application Guard란 무엇이며 어떤 방식으로 작동합니까?
Microsoft Edge의 경우 Application Guard 엔터프라이즈 정의 신뢰할 수 없는 사이트를 격리하고 직원이 인터넷을 탐색하는 동안 회사를 보호하는 데 도움이 됩니다. 사용자는 엔터프라이즈 관리자로서 신뢰할 수 있는 웹 사이트, 클라우드 리소스 및 내부 네트워크로 어떤 것이 있는지 정의합니다. 목록에 없는 것은 모두 신뢰할 수 없는 것으로 간주됩니다. 직원이 Microsoft Edge 또는 인터넷 Explorer 통해 신뢰할 수 없는 사이트로 가는 경우 Microsoft Edge는 격리된 Hyper-V 지원 컨테이너에서 사이트를 엽니다.
Microsoft Office의 경우 Application Guard 신뢰할 수 없는 Word, PowerPoint 및 Excel 파일이 신뢰할 수 있는 리소스에 액세스하지 못하도록 방지하는 데 도움이 됩니다. Application Guard 격리된 Hyper-V 사용 컨테이너에서 신뢰할 수 없는 파일을 엽니다. 격리된 Hyper-V 컨테이너는 호스트 운영 체제와 별개입니다. 이 컨테이너 격리는 신뢰할 수 없는 사이트 또는 파일이 악의적인 것으로 판명되면 호스트 디바이스가 보호되고 공격자가 엔터프라이즈 데이터에 액세스할 수 없음을 의미합니다. 예를 들어 이 방법을 사용하면 격리된 컨테이너가 익명이 되기 때문에 공격자가 직원의 엔터프라이즈 자격 증명을 얻을 수 없습니다.
어떤 종류의 장치가 Application Guard을 사용해야 하나요?
여러 유형의 디바이스를 대상으로 하는 Application Guard 만들어졌습니다.
엔터프라이즈 데스크톱. 이러한 데스크톱은 도메인에 가입하고 조직에서 관리합니다. 구성 관리는 주로 Microsoft Configuration Manager 또는 Microsoft Intune 통해 수행됩니다. 직원들은 일반적으로 표준 사용자 권한을 가지고 있으며 고대역폭의 유선 회사 네트워크를 사용합니다.
엔터프라이즈 모바일 노트북. 이러한 랩톱은 도메인에 가입하고 조직에서 관리합니다. 구성 관리는 주로 Microsoft Configuration Manager 또는 Microsoft Intune 통해 수행됩니다. 직원들은 일반적으로 표준 사용자 권한을 가지고 있으며 고대역폭의 무선 회사 네트워크를 사용합니다.
BYOD(사용자 고유의 장치) 모바일 노트북을 가져옵니다. 이러한 개인 소유 노트북은 도메인에 가입되지 않지만 Microsoft Intune 같은 도구를 통해 organization 의해 관리됩니다. 직원은 일반적으로 장치에 대한 관리자 권한을 가지며 회사에서는 고대역폭의 무선 회사 네트워크를, 집에서는 이에 상응하는 개인 네트워크를 사용합니다.
개인 디바이스. 이러한 개인 소유 데스크톱 또는 모바일 노트북은 도메인 가입 또는 organization 의해 관리되지 않습니다. 사용자는 디바이스의 관리자이며 집이나 외부에 있는 비교 가능한 공용 네트워크에 있는 동안 높은 대역폭 무선 개인 네트워크를 사용합니다.
Windows 버전 및 라이선싱 요구 사항
다음 표에는 Edge 독립 실행형 모드에 대한 MDAG(Microsoft Defender Application Guard)를 지원하는 Windows 버전이 나와 있습니다.
Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
---|---|---|---|
예 | 예 | 예 | 예 |
Edge 독립 실행형 모드 라이선스 자격에 대한 MDAG(Microsoft Defender Application Guard)는 다음 라이선스에 의해 부여됩니다.
Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
---|---|---|---|---|
예 | 예 | 예 | 예 | 예 |
Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.
Microsoft Edge 엔터프라이즈 모드용 MDAG(Microsoft Defender Application Guard)에 대한 자세한 내용은 Microsoft Defender Application Guard 정책 설정 구성을 참조하세요.
관련 문서
문서 | 설명 |
---|---|
Microsoft Defender Application Guard 대한 시스템 요구 사항 | Application Guard 설치하고 사용하는 데 필요한 필수 구성 요소를 지정합니다. |
Microsoft Defender Application Guard 준비 및 설치 | 독립 실행형 모드와 엔터프라이즈 관리형 모드 중 어떤 것을 사용할 것인지 선택하는 방법과 조직에서 Application Guard를 설치하는 방법에 대한 지침을 제공합니다. |
Microsoft Defender Application Guard 대한 그룹 정책 설정 구성 | 사용 가능한 그룹 정책 및 MDM 설정에 대한 정보를 제공합니다. |
비즈니스 또는 organization Microsoft Defender Application Guard 사용하여 시나리오 테스트 | organization Application Guard 테스트하는 데 사용할 수 있는 제안된 테스트 시나리오 목록을 제공합니다. |
Microsoft Office용 Microsoft Defender Application Guard | 최소 하드웨어 요구 사항, 구성 및 문제 해결 가이드를 포함하여 Microsoft Office에 대한 Application Guard 설명합니다. |
질문과 대답 - Microsoft Defender Application Guard | Application Guard 기능, Windows 운영 체제와의 통합 및 일반 구성에 대한 질문과 대답을 제공합니다. |
네트워크 경계를 사용하여 Microsoft Intune Windows 디바이스에 신뢰할 수 있는 사이트 추가 | 네트워크 경계는 organization 신뢰할 수 없는 사이트로부터 환경을 보호하는 데 도움이 되는 기능입니다. |