创建和部署Microsoft Defender 应用程序防护策略
适用于: Configuration Manager(current branch)
可以使用Configuration Manager终结点保护创建和部署Microsoft Defender 应用程序防护 (应用程序防护) 策略。 这些策略通过在操作系统的其他部分无法访问的安全隔离容器中打开不受信任的网站来帮助保护用户。
先决条件
若要创建和部署Microsoft Defender 应用程序防护策略,必须使用 Windows 10 1709 或更高版本。 部署策略的Windows 10或更高版本的设备必须使用网络隔离策略进行配置。 有关详细信息,请参阅Microsoft Defender 应用程序防护概述。
创建策略,并浏览可用设置
在Configuration Manager控制台中,选择“资产和符合性”。
在“资产和符合性”工作区中,选择“概述>Endpoint Protection>Microsoft Defender 应用程序防护”。
在“主页”选项卡的“创建”组中,单击“创建Microsoft Defender 应用程序防护策略”。
使用 本文 作为参考,可以浏览和配置可用设置。 Configuration Manager允许设置某些策略设置:
在“ 网络定义 ”页上,指定公司标识,并定义公司网络边界。
注意
Windows 10 或更高版本的电脑在客户端上仅存储一个网络隔离列表。 可以创建两种不同类型的网络隔离列表并将其部署到客户端:
- 一个来自 Windows 信息保护
- 一个来自 Microsoft Defender 应用程序防护
如果部署这两个策略,则这些网络隔离列表必须匹配。 如果部署的列表与同一客户端不匹配,则部署将失败。 有关详细信息,请参阅 Windows 信息保护 文档。
完成后,完成向导,并将策略部署到一个或多个Windows 10 1709 或更高版本的设备。
应用程序行为
配置主机设备和应用程序防护容器之间的交互。 Configuration Manager版本 1802 之前,应用程序行为和主机交互都在“设置”选项卡下。
-
剪贴板 - 在 Configuration Manager 1802 之前的设置下
- 允许的内容类型
- Text
- 图像
- 允许的内容类型
-
印刷:
- 启用打印到 XPS
- 启用 PDF 打印
- 启用打印到本地打印机
- 启用打印到网络打印机
-
图形:从 Configuration Manager 版本 1802) 开始 (
- 虚拟图形处理器访问
-
文件:从 Configuration Manager 版本 1802) 开始 (
- 将下载的文件保存到主机
-
策略:从 Configuration Manager 版本 2207 开始 ()
- 启用或禁用相机和麦克风
- 将指纹与隔离容器匹配的证书
主机交互设置
配置应用程序防护会话中的应用程序行为。 Configuration Manager版本 1802 之前,应用程序行为和主机交互都在“设置”选项卡下。
-
其他:
- 保留用户生成的浏览器数据
- 审核隔离的应用程序防护会话中的安全事件
若要编辑应用程序防护设置,请在“资产和符合性”工作区中展开“Endpoint Protection”,然后单击“Microsoft Defender 应用程序防护”节点。 右键单击要编辑的策略,然后选择“ 属性”。
已知问题
适用于版本 2203 或更低版本
运行 Windows 10 版本 2004 的设备将在Microsoft Defender 应用程序防护文件信任条件的符合性报告中显示失败。 出现此问题的原因是,某些子类已从 Windows 10 版本 2004 中的 WMI 类MDM_WindowsDefenderApplicationGuard_Settings01中删除。 所有其他Microsoft Defender 应用程序防护设置仍将适用,只有文件信任条件会失败。 目前,没有绕过错误的解决方法。
适用于版本 2207 或更高版本
默认情况下,启用策略不会安装Microsoft Defender 应用程序防护功能。 通过 ConfigMgr 将 PowerShell 脚本部署到所有适用的计算机。
使用以下命令启用功能。 Enable-WindowsOptionalFeature -online -FeatureName “Windows-Defender-ApplicationGuard”
后续步骤
有关Microsoft Defender 应用程序防护的详细信息,请参阅