Microsoft Edge 对 Microsoft Defender 应用程序防护的支持

重要提示

Microsoft Defender 应用程序防护（包括 Windows 独立应用启动器 API）已弃用Microsoft Edge 商业版，不再更新。 从 Windows 11 版本 24H2 开始，Microsoft Defender 应用程序防护（包括 Windows 独立应用启动器 API）不再可用。

应用程序防护的现有安装

此弃用不会影响 Microsoft Defender 应用程序防护 (MDAG) 的现有安装。 组织可以在当前版本的 Windows 上继续使用应用程序防护，但我们建议安全管理员评估其安全要求。 此功能可能会在将来的 Windows 版本中删除，但将继续为 Windows 上的现有安装维护此功能。

弃用注意事项

弃用包括应用程序防护的以下元素。

• 如果组织需要基于容器的隔离，我们建议Windows 沙盒或 Azure 虚拟桌面 (AVD) 。
• 由于已弃用应用程序防护，因此不会迁移到 Edge 清单 V3。 相应的扩展和关联的 Windows 应用商店应用 在 2024 年 5 月之后将不可用。 这会影响以下浏览器： Chrome 和 Firefox。 如果要阻止未受保护的浏览器，直到准备好在企业中停用 MDAG 使用，我们建议使用 AppLocker 策略或 Microsoft Edge 管理服务。

提示

下载Microsoft Edge 商业版安全白皮书，详细了解使 Edge for Business 成为安全企业浏览器的功能。

Edge 中的其他安全功能使其非常安全，无需应用程序防护。 越来越多的安全功能包括：

• 用于防钓鱼和恶意软件支持的 Defender SmartScreen 以及 URL 扫描和阻止。
• 增强的安全模式，通过禁用实时 JavaScript 编译 (和其他) 保护来防范与内存相关的漏洞。
• 针对拼写错误的网站的网站拼写错误保护。
• 数据丢失防护，用于识别、监视和自动保护敏感项。

概述

本文介绍 Microsoft Edge 如何支持 Microsoft Defender 应用程序防护（应用程序防护）。

企业中的安全架构师必须处理生产力与安全性之间的矛盾。 锁定浏览器并且仅允许加载少数受信任的站点相对简单。 这种方法可改进整体安全状态，但生产力会降低。 如果你为提高生产力而减少限制，则会增加风险。 这很难达到平衡！

在不断变化的威胁形势下，即时了解新出现的威胁变得更加困难。 浏览器仍然是客户端设备上的主要攻击面，因为浏览器的基本任务是让用户访问、下载和打开来自不可信来源的不可信内容。 恶意参与者一直在忙于对浏览器进行新形式的社会工程攻击。 安全事件预防或检测/响应策略不能保证 100% 安全。

要考虑的一个关键安全策略是假设失陷方法，这意味着用户接受无论如何努力地抵御攻击，该攻击总会成功一次的观念。 此思维方式要求建立防御机制来遏制损坏，这可确保企业网络和其他资源在这种情况下得到保护。 为 Microsoft Edge 部署应用程序防护符合此策略。

关于应用程序防护

专为 Windows 10/11 和 Microsoft Edge 设计，应用程序防护使用硬件隔离方法。 这种方法允许在容器中启动不受信任的站点导航。 硬件隔离可帮助企业保护其企业网络和数据，以防用户访问受到威胁或恶意的站点。

企业管理员定义什么是受信任的站点、云资源和内部网络。 不在受信任站点列表中的所有内容都被视为不可信内容。 这些站点与企业网络和用户设备上的数据相隔离。

有关详细信息：

• 观看我们的视频使用应用程序防护实现 Microsoft Edge 浏览器隔离
• 阅读什么是应用程序防护，以及它是如何工作的？

下一个屏幕截图显示应用程序防护的消息示例，它显示用户正在安全空间中浏览。

新增功能

新的 Microsoft Edge 浏览器中的应用程序防护支持具有与 Microsoft Edge 旧版 的功能奇偶校验，并包括多项改进。

启用上传阻止

从 Microsoft Edge 96 开始，管理员现在可以选择在容器中阻止上传，这意味着用户无法将文件从本地设备上传到其应用程序防护实例。 可通过策略控制此支持。 可以更新 Edge 策略 ApplicationGuardUploadBlockingEnabled 以启用或禁用容器中的上传。

在被动模式下启用应用程序防护并正常浏览 Edge

从 Microsoft Edge 94 开始，用户现在可以选择配置被动模式，这意味着应用程序防护忽略站点列表配置，用户可以正常浏览 Edge。 可通过策略控制此支持。 可以更新 Edge 策略 ApplicationGuardPassiveModeEnabled 以启用或禁用被动模式。

注意

此策略仅影响 Edge，因此，如果启用了相应的扩展，则来自其他浏览器的导航可能会重定向到 应用程序防护 容器。

从主机同步到容器的收藏夹

我们的一些客户一直要求在“应用程序防护”中实现主机浏览器和容器之间的收藏夹同步。 从 Microsoft Edge 版本 91 开始，用户现在可以选择配置“应用程序防护”以将其收藏夹从主机同步到容器。 这确保了容器上也可显示新的收藏夹。

可通过策略控制此支持。 可以更新 Edge 策略 ApplicationGuardFavoritesSyncEnabled 以启用或禁用收藏夹同步。

注意

出于安全原因，收藏夹同步仅可从主机同步到容器，而不无法反过来同步。 为了确保在主机和容器之间有一个统一的收藏夹列表，我们已在容器内禁用了收藏夹管理。

标识源自容器的网络流量

多个客户在特定配置中使用 WDAG，他们想要识别来自容器的网络流量。 其中的一些方案包括:

• 若要限制仅访问少数几个不受信任的网站
• 仅允许从容器中访问 Internet

从 Microsoft Edge 版本 91 开始，内置支持标记源自应用程序防护容器的网络流量，允许企业使用代理筛选流量并应用特定策略。 可以使用标头来标识哪些流量通过容器或主机使用 ApplicationGuardTrafficIdentificationEnabled。

容器内的扩展支持

容器内的扩展支持是客户的首要请求之一。 场景范围从希望在容器内运行广告拦截器以提高浏览器性能，到能够在容器内运行自定义的本地扩展。

从 Microsoft Edge 版本 81 开始，现在支持在容器中安装扩展。 可通过策略控制此支持。 在 ExtensionInstallForcelist 策略中使用的 updateURL 应作为中性资源添加到应用程序防护使用的网络隔离策略中。

容器支持的一些示例包括以下场景：

• 强制在主机上安装扩展
• 从主机中删除扩展
• 主机上阻止的扩展

注意

也可以从扩展存储区中手动将单个扩展安装在容器内。 手动安装的扩展仅在启用“允许持久性”策略时才保留在容器中。

通过双代理识别应用程序防护流量

一些企业客户正在部署适用于特定用例的应用程序防护，他们需要识别来自 Microsoft Defender 应用程序防护容器的代理级别 web 流量。 从稳定渠道版本 84 开始，Microsoft Edge 将支持双代理来满足这一要求。 可使用 ApplicationGuardContainerProxy 策略配置此功能。

下图显示了 Microsoft Edge 双代理的体系结构。

用于故障排除的诊断页面

用户的另一个痛点是在报告问题后对设备上的应用程序防护配置进行故障排除。 Microsoft Edge 有一个诊断页面 (edge://application-guard-internals)，用于对用户问题进行故障排除。 其中一个诊断功能是可以根据用户设备上的配置检查 URL 信任。

下一个屏幕截图显示了多选项卡诊断页面，用于帮助诊断用户在设备上报告的问题。

容器中的 Microsoft Edge 更新

容器中的 Microsoft Edge 旧版更新是 Windows 操作系统更新周期的一部分。 由于新版本的 Microsoft Edge 更新独立于 Windows 操作系统，因此不再依赖于容器更新。 主机 Microsoft Edge 的频道和版本可在容器内复制。

必备条件

以下要求适用于将 应用程序防护 与 Microsoft Edge 配合使用的设备：

• Windows 10 1809 (Windows 10 2018 年 10 月更新) 及更高版本。

• 仅 Windows 客户端 SKU

  注意

  应用程序防护仅在 Windows 10/11 Pro 和 Windows 10/11 企业 SKU 上受支持。

• 软件要求中介绍的管理解决方案之一

如何安装应用程序防护

以下文章提供了使用 Microsoft Edge 安装、配置和测试应用程序防护所需的信息。

• 系统要求
• 安装 Microsoft Defender 应用程序防护
• 配置应用程序防护组策略设置
• 测试应用程序防护

常见问题

是否弃用应用程序防护？

是的，Microsoft Defender 应用程序防护（包括 Windows 独立应用启动器 API）将弃用Microsoft Edge 商业版，并且将不再更新。

应用程序防护是否可在 IE 模式下工作？

IE 模式支持应用程序防护功能，但我们预计不会在 IE 模式下过多地使用此功能。 建议为受信任的内部站点列表部署 IE 模式，而应用程序保护仅针对不受信任的站点。 确保所有 IE 模式站点或 IP 地址也添加到网络隔离策略中，以便应用程序防护被视为受信任资源。

是否需要安装应用程序防护 Chrome 扩展？

否，Microsoft Edge 本身支持应用程序防护功能。 实际上，应用程序防护 Chrome 扩展配置在 Microsoft Edge 中不受支持。

员工是否可以将应用程序防护 Edge 会话中的文档下载到主机设备上？

在 Windows 10 企业版 版本 1803 中，用户能够将文档从隔离的应用程序防护容器下载到主机电脑。 此功能由策略管理。

在 Windows 10 企业版 版本 1709 或 Windows 10 专业版版本 1803 中，无法将文件从隔离的 应用程序防护 容器下载到主计算机。 但是，员工可以使用打印为 PDF 或打印为 XPS 选项并将这些文件保存至主机设备。

员工是否可以在主机设备与应用程序防护 Edge 会话之间进行复制和粘帖操作？

根据组织的设置，员工可以在隔离容器中复制和粘贴图像 (.bmp) 和文本。

为什么员工在 应用程序防护 Edge 会话中看不到其收藏夹？

根据组织的设置，可能已关闭收藏夹同步。 若要管理策略，请参阅：Microsoft Edge 和 Microsoft Defender 应用程序防护 |Microsoft Docs。

为什么员工无法在 应用程序防护 Edge 会话中查看其扩展？

请确保在应用程序防护配置上启用扩展策略。

我的扩展似乎在 Edge 应用程序防护中不起作用？

如果在配置中为 MDAG 启用了扩展策略，检查扩展是否需要本机消息处理组件，应用程序防护容器中不支持这些扩展。

我尝试使用 HDR watch播放视频，为什么缺少 HDR 选项？

为了使 HDR 视频播放在容器中正常工作，需要在 应用程序防护 中启用 vGPU 硬件加速。

是否有其他与平台相关的常见问题？

是。 常见问题 - Microsoft Defender 应用程序防护

另请参阅

• Microsoft Edge Enterprise 登录页面
• Microsoft Defender 高级威胁防护
• 视频：使用应用程序防护实现 Microsoft Edge 浏览器隔离