建立和部署 Microsoft Defender 應用程式防護 原則
適用於:Configuration Manager (目前的分支)
您可以使用 Configuration Manager 端點保護來建立和部署 Microsoft Defender 應用程式防護 (應用程式防護 ) 原則。 這些原則可在作系統其他部分無法存取的安全隔離容器中開啟不受信任的網站,以協助保護您的使用者。
必要條件
若要建立和部署 Microsoft Defender 應用程式防護 原則,您必須使用 Windows 10 1709 或更新版本。 您部署原則的 Windows 10 或更新版本裝置必須設定網路隔離原則。 如需詳細資訊,請參閱 Microsoft Defender 應用程式防護 概觀。
建立原則,並流覽可用的設定
在 Configuration Manager 控制台中,選擇 [資產與合規性]。
在 [資產與兼容性] 工作區中,選擇 [概觀>Endpoint Protection>Microsoft Defender 應用程式防護。
在 [首頁] 索引標籤的 [建立] 群組中,按兩下 [建立 Microsoft Defender 應用程式防護 原則]。
您可以使用 本文 做為參考,瀏覽及設定可用的設定。 Configuration Manager 可讓您設定特定原則設定:
在 [ 網络定義] 頁面上,指定公司身分識別,並定義您的公司網路界限。
注意事項
Windows 10 或更新版本的計算機只會在用戶端上儲存一個網路隔離清單。 您可以建立兩種不同類型的網路隔離清單,並將其部署至用戶端:
- 一個來自 Windows 資訊保護
- 一個來自 Microsoft Defender 應用程式防護
如果您部署這兩個原則,這些網路隔離清單必須相符。 如果您部署的清單不符合相同的用戶端,部署將會失敗。 如需詳細資訊,請參閱 Windows 資訊保護 檔。
當您完成時,請完成精靈,並將原則部署到一或多個 Windows 10 1709 或更新版本的裝置。
應用程式行為
設定主機裝置與 應用程式防護 容器之間的互動。 在 Configuration Manager 1802 版之前,應用程式行為和主機互動都位於 [設定] 索引標籤底下。
-
剪貼簿 - 在 Configuration Manager 1802 之前的設定下
- 允許的內容類型
- 文字
- 影像
- 允許的內容類型
-
印刷:
- 啟用列印至 XPS
- 啟用列印至 PDF
- 啟用印表到本機印表機
- 啟用列印至網路印表機
-
圖形: (從 Configuration Manager 1802 版開始)
- 虛擬圖形處理器存取
-
檔案: (從 Configuration Manager 1802 版開始)
- 將下載的檔案儲存至主機
-
原則: (從 Configuration Manager 2207 版開始)
- 啟用或停用相機和麥克風
- 將指紋與隔離容器相符的憑證
主機互動設定
設定 應用程式防護工作階段內的應用程式行為。 在 Configuration Manager 1802 版之前,應用程式行為和主機互動都位於 [設定] 索引標籤底下。
-
其他:
- 保留用戶產生的瀏覽器數據
- 稽核隔離應用程式防護會話中的安全性事件
若要編輯 應用程式防護 設定,請展開 [資產與相容性] 工作區中的 [Endpoint Protection],然後按兩下 [Microsoft Defender 應用程式防護] 節點。 以滑鼠右鍵按下您想要編輯的原則,然後選取 [ 屬性]。
已知問題
適用於 2203 版或更早版本
執行 Windows 10 版本 2004 的裝置會顯示 Microsoft Defender 應用程式防護 檔案信任準則的合規性報告失敗。 之所以發生此問題,是因為某些子類別已從 Windows 10 2004 版的 WMI 類別MDM_WindowsDefenderApplicationGuard_Settings01中移除。 所有其他 Microsoft Defender 應用程式防護 設定仍會套用,只有檔案信任準則會失敗。 目前沒有任何因應措施可略過錯誤。
適用於 2207 版或更新版本
啟用原則預設不會安裝 Microsoft Defender 應用程式防護 功能。 透過 ConfigMgr 將PowerShell腳本部署到所有適用的機器。
使用下列命令來啟用功能。 Enable-WindowsOptionalFeature -online -FeatureName “Windows-Defender-ApplicationGuard”
後續步驟
如需 Microsoft Defender 應用程式防護 的詳細資訊,請參閱