Skapa och distribuera Microsoft Defender Application Guard princip

Gäller för: Konfigurationshanteraren (current branch)

Du kan skapa och distribuera Microsoft Defender Application Guard principer (Application Guard) med hjälp av Configuration Manager slutpunktsskydd. Dessa principer skyddar dina användare genom att öppna ej betrodda webbplatser i en säker isolerad container som inte är tillgänglig för andra delar av operativsystemet.

Förhandskrav

Om du vill skapa och distribuera en Microsoft Defender Application Guard princip måste du använda Windows 10 1709 eller senare. De Windows 10 eller senare enheter som du distribuerar principen till måste konfigureras med en nätverksisoleringsprincip. Mer information finns i översikten över Microsoft Defender Application Guard.

Skapa en princip och bläddra bland de tillgängliga inställningarna

1. I Configuration Manager-konsolen väljer du Tillgångar och efterlevnad.

2. På arbetsytan Tillgångar och efterlevnad väljer du ÖversiktSlutpunktsskydd>>Microsoft Defender Application Guard.

3. Klicka på Skapa Microsoft Defender Application Guard princip i gruppen Skapa på fliken Start.

4. Med hjälp av artikeln som referens kan du bläddra bland och konfigurera de tillgängliga inställningarna. Configuration Manager kan du ange vissa principinställningar:

   • Programbeteende
   • Inställningar för värdinteraktion

5. På sidan Nätverksdefinition anger du företagsidentiteten och definierar företagets nätverksgräns.

   Obs!

   Windows 10 eller senare lagrar datorer endast en lista över nätverksisolering på klienten. Du kan skapa två olika typer av nätverksisoleringslistor och distribuera dem till klienten:

   • en från Windows Information Protection
   • en från Microsoft Defender Application Guard

   Om du distribuerar båda principerna måste dessa nätverksisoleringslistor matcha. Om du distribuerar listor som inte matchar samma klient misslyckas distributionen. Mer information finns i dokumentationen för Windows Information Protection.

6. När du är klar slutför du guiden och distribuerar principen till en eller flera Windows 10 1709 eller senare enheter.

Programbeteende

Konfigurerar interaktioner mellan värdenheter och Application Guard container. Före Configuration Manager version 1802 fanns både programbeteende och värdinteraktion under fliken Inställningar.

• Urklipp – Under inställningar före Configuration Manager 1802
  • Tillåten innehållstyp
    • Text
    • Bilder
• Utskrift:
  • Aktivera utskrift till XPS
  • Aktivera utskrift till PDF
  • Aktivera utskrift till lokala skrivare
  • Aktivera utskrift till nätverksskrivare
• Grafik: (från och med Configuration Manager version 1802)
  • Åtkomst till virtuell grafikprocessor
• Filer: (från och med Configuration Manager version 1802)
  • Spara nedladdade filer som värd
• Principer: (från och med Configuration Manager version 2207)
  • Aktivera eller inaktivera kameror och mikrofoner
  • Certifikat som matchar tumavtrycken till den isolerade containern

Inställningar för värdinteraktion

Konfigurerar programbeteendet i Application Guard-sessionen. Före Configuration Manager version 1802 fanns både programbeteende och värdinteraktion under fliken Inställningar.

• Andra:
  • Behåll användargenererade webbläsardata
  • Granska säkerhetshändelser i den isolerade Application Guard-sessionen

Om du vill redigera Application Guard inställningar expanderar du Endpoint Protection på arbetsytan Tillgångar och efterlevnad och klickar sedan på noden Microsoft Defender Application Guard. Högerklicka på principen som du vill redigera och välj sedan Egenskaper.

Kända problem

Gäller för version 2203 eller tidigare

Enheter som kör Windows 10 version 2004 visar fel i efterlevnadsrapportering för Microsoft Defender Application Guard kriterier för filförtroende. Det här problemet beror på att vissa underklasser har tagits bort från WMI-klassen MDM_WindowsDefenderApplicationGuard_Settings01 i Windows 10 version 2004. Alla andra Microsoft Defender Application Guard inställningar gäller fortfarande. Endast kriterier för filförtroende misslyckas. För närvarande finns det inga lösningar för att kringgå felet.

Gäller för version 2207 eller senare

Om du aktiverar principen installeras inte Microsoft Defender Application Guard funktion som standard. Distribuera ett PowerShell-skript via ConfigMgr till alla tillämpliga datorer.

Använd följande kommandon för att aktivera funktionen. Enable-WindowsOptionalFeature -online -FeatureName "Windows-Defender-ApplicationGuard"

Nästa steg

Mer information om Microsoft Defender Application Guard finns i

• Microsoft Defender Application Guard översikt.
• Microsoft Defender Application Guard vanliga frågor och svar.