准备安装 Microsoft Defender 应用程序防护
注意
- Microsoft Defender 应用程序防护(包括 Windows 独立应用启动器 API)已弃用Microsoft Edge 商业版,不再更新。 若要详细了解Microsoft Edge 安全功能,请参阅 Microsoft Edge For Business Security。
- 从 Windows 11 版本 24H2 开始,Microsoft Defender 应用程序防护(包括 Windows 独立应用启动器 API)不再可用。
- 由于已弃用应用程序防护,因此不会迁移到 Edge 清单 V3。 相应的浏览器扩展和关联的 Windows 应用商店应用不再可用。 如果要阻止未受保护的浏览器,直到准备好在企业中停用 MDAG 使用,我们建议使用 AppLocker 策略或 Microsoft Edge 管理服务。 有关详细信息,请参阅 Microsoft Edge 和 Microsoft Defender 应用程序防护。
在继续之前,请查看Microsoft Defender 应用程序防护的系统要求,以查看Microsoft Defender 应用程序防护的硬件和软件安装要求。
注意
Microsoft Defender 应用程序防护在虚拟机和 VDI 环境中不受支持。 对于非生产计算机上的测试和自动化,可以通过在主机上启用嵌入 Hyper-V 的虚拟化,来启用虚拟机上的 WDAG。
准备使用 Microsoft Defender 应用程序防护
在安装和使用 Microsoft Defender 应用程序防护之前,必须确定要通过哪种方式在企业内使用它。 你可以在独立或企业托管模式下使用应用程序防护。
独立模式
员工可以使用硬件隔离会话,无需进行任何管理员或管理策略配置。 在此模式下,你必须安装应用程序防护,然后员工在浏览不受信任的站点时必须手动启动应用程序防护中的 Microsoft Edge。 有关其工作原理的示例,请参阅独立模式下的应用程序防护测试方案。
独立模式适用于:
- Windows 10 企业版 版本 1709 及更高版本
- Windows 10 专业版 版本 1803 及更高版本
- Windows 10 教育版 版本 1809 及更高版本
- Windows 11 企业版、教育版或专业版
企业托管模式
你和你的安全部门可以通过显式添加受信任的域和自定义应用程序防护体验来定义公司边界,以便满足并在员工设备上强制实施相关要求。 企业托管模式还会自动重定向任何浏览器请求,以在容器中添加非企业域 () 。
企业托管模式适用于:
- Windows 10 企业版 版本 1709 及更高版本
- Windows 10 教育版 版本 1809 及更高版本
- Windows 11 企业版或教育版
下图显示主机电脑与隔离容器之间的流。
安装应用程序防护
默认情况下已关闭应用程序防护功能。 但是,你可以通过控制面板、PowerShell 或移动设备管理 (MDM) 解决方案在员工设备上进行快速安装。
从 控制面板 安装
打开控制面板,选择“程序”,然后选择“打开或关闭 Windows 功能”。
选择Microsoft Defender 应用程序防护旁边的检查框,然后选择“确定”以安装应用程序防护及其基础依赖项。
从 PowerShell 安装
注意
在此步骤之前,请确保你的设备满足了所有系统要求。 PowerShell 将直接安装该功能,而不会检查系统要求。 如果你的设备不满足系统要求,则应用程序防护可能无法正常工作。 建议仅针对企业托管情况执行此步骤。
在 Windows 任务栏中选择 “搜索 ”图标,然后键入 PowerShell。
右键单击“Windows PowerShell”,然后选择“以管理员身份运行”以使用管理员凭据打开Windows PowerShell。
键入下列命令:
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
重启设备以安装应用程序防护及其基础依赖项。
从 Intune 安装
重要提示
确保组织的设备满足要求且已注册到 Intune。
选择 “终结点安全>”“攻击面减少>”“创建策略”,并执行以下操作:
- 从“平台”列表中选择 “Windows 10 和更高版本”。
- 在 “配置文件 类型”中,选择“ 应用和浏览器隔离”。
- 选择创建。
在“ 基本信息 ”选项卡中,指定策略 的“名称” 和 “说明 ”。 选择下一步 。
在“配置设置”选项卡中,根据需要配置应用程序防护设置。 选择下一步 。
在“ 范围标记 ”选项卡中,如果组织正在使用范围标记,请选择“ + 选择范围标记”,然后选择要使用的标记。 选择下一步 。
若要详细了解范围标记,请参阅 使用基于角色的访问控制 (RBAC) 和分布式 IT 的范围标记。
在 “分配”页中 ,选择接收策略的用户或组。 选择下一步 。
若要详细了解如何分配策略,请参阅分配Microsoft Intune中的策略。
查看设置,然后选择“ 创建”。
创建策略后,应应用策略的任何设备都将Microsoft Defender 应用程序防护启用。 用户可能必须重新启动其设备,才能进行保护。