WindowsDefenderApplicationGuard CSP
企業會使用 WindowsDefenderApplicationGuard 設定服務提供者 (CSP) ,在 Microsoft Defender 應用程式防護 中設定設定。 此 CSP 已在 Windows 10 1709 版中新增。
Windows 版本和授權需求
下表列出支援透過 MDM 設定 Microsoft Defender 應用程式防護 (MDAG) Windows 版本:
Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
---|---|---|---|
否 | 是 | 否 | 是 |
Microsoft Defender 應用程式防護 (下列授權會授與透過 MDM 授權權利設定的 MDAG) :
Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
---|---|---|---|---|
否 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
下列清單顯示 WindowsDefenderApplicationGuard 設定服務提供者節點:
- ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard
稽核
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Audit
稽核的內部節點。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | node |
存取類型 | [取得] |
Audit/AuditApplicationGuard
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Audit/AuditApplicationGuard
此原則設定可讓您決定是否可以從 應用程式防護 收集稽核事件。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 不會針對 應用程式防護 收集稽核事件記錄檔。 |
1 | 應用程式防護 會從系統繼承其稽核原則,並開始稽核 應用程式防護 容器的安全性事件。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | AppHVSI_AuditApplicationGuardConfig |
易記名稱 | 允許在 Microsoft Defender 應用程式防護 中稽核事件 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 應用程式防護 |
登錄機碼名稱 | SOFTWARE\Policies\Microsoft\AppHVSI |
登錄值名稱 | AuditApplicationGuard |
ADMX 檔案名稱 | AppHVSI.admx |
InstallWindowsDefenderApplicationGuard
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/InstallWindowsDefenderApplicationGuard
起始遠端安裝 應用程式防護 功能。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | Exec、Get |
允許的值:
值 | 描述 |
---|---|
安裝 | 將會起始功能安裝。 |
Uninstall | 將會起始功能卸載。 |
PlatformStatus
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 2004 [10.0.19041] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/PlatformStatus
傳回位掩碼,指出裝置上 應用程式防護 平臺安裝和必要條件的狀態。 位 0 - 當 應用程式防護 啟用為企業管理模式時設定為 1。 位 1 - 當用戶端電腦支援 Hyper-V 時設定為 1。 位 2 - 保留給 Microsoft。 位 3 - 當用戶端電腦上安裝 應用程式防護 時設定為 1。 位 4 - 保留給 Microsoft。 位 5 - 當用戶端電腦符合最低硬體需求時,設定為 1。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | [取得] |
設定
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings
[設定] 的內部節點。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | node |
存取類型 | [取得] |
Settings/AllowCameraMicrophoneRedirection
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowCameraMicrophoneRedirection
此原則設定可讓您判斷當使用者裝置上啟用這些設定時,Microsoft Defender 應用程式防護 內的應用程式是否可以存取裝置的相機和麥克風。
如果您啟用此原則設定,Microsoft Defender 應用程式防護 內的應用程式將能夠存取使用者裝置上的相機和麥克風。
如果您停用或未設定此原則設定,Microsoft Defender 應用程式防護 內的應用程式將無法存取使用者裝置上的相機和麥克風。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | Microsoft Defender 應用程式防護 無法存取裝置的相機和麥克風。 未設定原則時,與停用 (0) 相同。 |
1 | 開啟功能以允許 Microsoft Defender 應用程式防護 存取裝置的相機和麥克風。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | AppHVSI_AllowCameraMicrophoneRedirectionConfig |
易記名稱 | 在 Microsoft Defender 應用程式防護 中允許相機和麥克風存取 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 應用程式防護 |
登錄機碼名稱 | SOFTWARE\Policies\Microsoft\AppHVSI |
登錄值名稱 | AllowCameraMicrophoneRedirection |
ADMX 檔案名稱 | AppHVSI.admx |
Settings/AllowPersistence
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowPersistence
此原則設定可讓您決定數據是否應該保存在 應用程式防護 中的不同會話。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值:
值 | 說明 |
---|---|
0 | 應用程式防護 會在電腦重新啟動或使用者註銷期間,捨棄使用者下載的檔案和其他 (專案,例如 Cookie、我的最愛等) 。 |
1 | 應用程式防護儲存使用者下載的檔案及其他項目(例如 cookie、我的最愛,以及等等)用於未來的應用程式防護工作階段。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | AppHVSI_AllowPersistence |
易記名稱 | 允許 Microsoft Defender 應用程式防護 的數據持續性 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 應用程式防護 |
登錄機碼名稱 | SOFTWARE\Policies\Microsoft\AppHVSI |
登錄值名稱 | AllowPersistence |
ADMX 檔案名稱 | AppHVSI.admx |
Settings/AllowVirtualGPU
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowVirtualGPU
此原則設定可讓您判斷 應用程式防護 是否可以使用虛擬圖形處理器 (GPU) 來處理圖形。 如果您啟用此設定,Microsoft Defender 應用程式防護 會使用 Hyper-V 來存取 GPU) (支援的高安全性轉譯圖形硬體。 這些 GPU 可改善使用 Microsoft Defender 應用程式防護 時的轉譯效能和電池使用時間,特別是針對視訊播放和其他需要大量圖形的使用案例。 如果您在不連接任何高安全性轉譯圖形硬體的情況下啟用此設定,Microsoft Defender 應用程式防護 會自動還原為軟體型 (CPU) 轉譯。
警告
使用可能遭到入侵的圖形裝置或驅動程式啟用此設定,可能會對主機裝置造成風險。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 無法存取 vGPU,並使用 CPU 來支援轉譯圖形。 未設定原則時,與停用 (0) 相同。 |
1 | 開啟功能以存取從 CPU 轉譯的 vGPU 卸除圖形。 這在使用圖形密集的網站或觀看容器內的影片時,可以建立更快速的體驗。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | AppHVSI_AllowVirtualGPU |
易記名稱 | 允許硬體加速轉譯 Microsoft Defender 應用程式防護 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 應用程式防護 |
登錄機碼名稱 | SOFTWARE\Policies\Microsoft\AppHVSI |
登錄值名稱 | AllowVirtualGPU |
ADMX 檔案名稱 | AppHVSI.admx |
Settings/AllowWindowsDefenderApplicationGuard
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard
在企業模式中開啟 Microsoft Defender 應用程式防護。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值:
值 | 說明 |
---|---|
0 | 停用 Microsoft Defender 應用程式防護。 |
1 | 僅針對 Microsoft Edge 啟用 Microsoft Defender 應用程式防護。 |
2 | 僅針對隔離的 Windows 環境啟用 Microsoft Defender 應用程式防護。 |
3 | 針對 Microsoft Edge 和隔離的 Windows 環境啟用 Microsoft Defender 應用程式防護。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | AllowAppHVSI |
路徑 | Windows 元件 > Microsoft Defender 應用程式防護 |
Settings/BlockNonEnterpriseContent
注意
此原則已被取代,並可能在未來的版本中移除。
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/BlockNonEnterpriseContent
此原則設定可讓您決定網站是否可以在 Microsoft Edge 和 Internet Explorer 中載入非企業內容。
注意
新的 Microsoft Edge 瀏覽器不再支援此原則設定。 在未來的版本中,原則將會被取代並移除。 如果啟用此功能,包含混合內容的網頁可能會不正確載入,或完全失敗。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 內嵌在企業網站中的非企業內容,可以直接在 Internet Explorer 和 Microsoft Edge 中開啟 Microsoft Defender 應用程式防護 容器外部。 |
1 | 內嵌在企業網站上的非企業內容會停止在 Internet Explorer 或 Microsoft Edge Microsoft Defender 應用程式防護 外開啟。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | AppHVSI_BlockNonEnterpriseContentConfig |
易記名稱 | 防止企業網站在 Microsoft Edge 和 Internet Explorer 中載入非企業內容 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 應用程式防護 |
登錄機碼名稱 | SOFTWARE\Policies\Microsoft\AppHVSI |
登錄值名稱 | BlockNonEnterpriseContent |
ADMX 檔案名稱 | AppHVSI.admx |
Settings/CertificateThumbprints
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1809 [10.0.17763] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/CertificateThumbprints
此原則設定可讓特定裝置層級跟證書與 Microsoft Defender 應用程式防護 容器共用。
如果啟用此設定,指紋符合指定憑證的憑證將會傳輸到容器中。 您可以使用逗號來指定多個憑證,以分隔您想要傳輸之每個憑證的指紋。 范例如下:b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924。
如果您停用或未設定此設定,則憑證不會與 Microsoft Defender 應用程式防護 容器共用。
注意
若要強制執行此原則,必須重新啟動裝置或使用者登入/註銷。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 |
chr (字串) |
存取類型 | 新增、刪除、取得、取代 |
允許的值 | 列出 (分隔符: , ) |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | AppHVSI_CertificateThumbprints |
易記名稱 | 允許 Microsoft Defender 應用程式防護 從用戶的裝置使用跟證書授權單位 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 應用程式防護 |
登錄機碼名稱 | SOFTWARE\Policies\Microsoft\AppHVSI |
ADMX 檔案名稱 | AppHVSI.admx |
Settings/ClipboardFileType
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/ClipboardFileType
決定可從主機複製到 應用程式防護 環境的內容類型,反之亦然。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
允許的值:
值 | 描述 |
---|---|
1 | 允許文字複製。 |
2 | 允許影像複製。 |
3 | 允許文字和影像複製。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | AppHVSI_ClipboardConfig |
易記名稱 | 設定 Microsoft Defender 應用程式防護 剪貼簿設定 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 應用程式防護 |
登錄機碼名稱 | SOFTWARE\Policies\Microsoft\AppHVSI |
ADMX 檔案名稱 | AppHVSI.admx |
Settings/ClipboardSettings
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/ClipboardSettings
此原則設定可讓您決定剪貼簿在 應用程式防護 時的運作方式。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 完全關閉 應用程式防護的剪貼簿功能。 |
1 | 開啟從隔離會話到主機的剪貼簿作業。 |
2 | 開啟從主機到隔離會話的剪貼簿作業。 |
3 | 開啟雙向剪貼簿作業。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | AppHVSI_ClipboardConfig |
易記名稱 | 設定 Microsoft Defender 應用程式防護 剪貼簿設定 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 應用程式防護 |
登錄機碼名稱 | SOFTWARE\Policies\Microsoft\AppHVSI |
ADMX 檔案名稱 | AppHVSI.admx |
Settings/PrintingSettings
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/PrintingSettings
此原則設定可讓您決定列印功能在 應用程式防護 時的運作方式。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 停用所有列印功能。 |
1 | 只啟用 XPS 列印。 |
2 | 只啟用 PDF 列印。 |
3 | 同時啟用 PDF 和 XPS 列印。 |
4 | 只啟用本機印表。 |
5 | 同時啟用本機和 XPS 印表。 |
6 | 同時啟用本機和 PDF 印表。 |
7 | 啟用本機、PDF 和 XPS 印表。 |
8 | 只啟用網路列印。 |
9 | 同時啟用網路和 XPS 列印。 |
10 | 同時啟用網路和 PDF 列印。 |
11 | 啟用網路、PDF 和 XPS 列印。 |
12 | 同時啟用網路和本機印表。 |
13 | 啟用網路、本機和 XPS 印表。 |
14 | 啟用網路、本機和 PDF 印表。 |
15 | 啟用所有列印。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | AppHVSI_PrintingConfig |
易記名稱 | 設定 Microsoft Defender 應用程式防護 列印設定 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 應用程式防護 |
登錄機碼名稱 | SOFTWARE\Policies\Microsoft\AppHVSI |
ADMX 檔案名稱 | AppHVSI.admx |
Settings/SaveFilesToHost
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10 版本 1803 [10.0.17134] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/SaveFilesToHost
此原則設定可讓您判斷使用者是否可選擇從容器中的Edge下載檔,並將檔案從容器保存到主機操作系統。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | 新增、刪除、取得、取代 |
預設值 | 0 |
允許的值:
值 | 描述 |
---|---|
0 (預設值) | 用戶無法從容器中的Edge將檔案下載到主機檔系統。 未設定原則時,與停用 (0) 相同。 |
1 | 開啟功能,讓使用者從容器中的Edge將檔案下載到主機文件系統。 |
群組原則對應:
名稱 | 值 |
---|---|
名稱 | AppHVSI_SaveFilesToHost |
易記名稱 | 允許檔案從 Microsoft Defender 應用程式防護 下載並儲存至主機操作系統 |
位置 | [電腦設定] |
路徑 | Windows 元件 > Microsoft Defender 應用程式防護 |
登錄機碼名稱 | SOFTWARE\Policies\Microsoft\AppHVSI |
登錄值名稱 | SaveFilesToHost |
ADMX 檔案名稱 | AppHVSI.admx |
狀態
領域 | 版本 | 適用的作業系統 |
---|---|---|
✅ 裝置 ❌ 使用者 |
✅ 專業版 ✅ 企業版 ✅ 教育版 ✅ Windows SE ✅ IoT 企業版 / IoT 企業版 LTSC |
✅Windows 10,版本 1709 [10.0.16299] 和更新版本 |
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Status
傳回位掩碼,指出裝置上 應用程式防護 安裝和必要條件的狀態。 位 0 - 當 應用程式防護 啟用為企業管理模式時,設定為 1。 位 1 - 當用戶端電腦支援 Hyper-V 時設定為 1。 位 2 - 當用戶端電腦具有有效的 OS 授權和 SKU 時,設定為 1。 位 3 - 在用戶端電腦上安裝 應用程式防護 時設定為 1。 位 4 - 設定必要的網路隔離原則時設定為 1。 位 5 - 當用戶端電腦符合最低硬體需求時,設定為 1。 位 6 - 在需要系統重新啟動時設定為 1。
描述架構屬性:
屬性名稱 | 屬性值 |
---|---|
格式 | int |
存取類型 | [取得] |