共用方式為


WindowsDefenderApplicationGuard CSP

企業會使用 WindowsDefenderApplicationGuard 設定服務提供者 (CSP) ,在 Microsoft Defender 應用程式防護 中設定設定。 此 CSP 已在 Windows 10 1709 版中新增。

Windows 版本和授權需求

下表列出支援透過 MDM 設定 Microsoft Defender 應用程式防護 (MDAG) Windows 版本:

Windows 專業版 Windows 企業版 Windows 專業教育版/SE Windows 教育版

Microsoft Defender 應用程式防護 (下列授權會授與透過 MDM 授權權利設定的 MDAG) :

Windows 專業版/專業教育版/SE Windows 企業版 E3 Windows 企業版 E5 Windows 教育版 A3 Windows 教育版 A5

如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀

下列清單顯示 WindowsDefenderApplicationGuard 設定服務提供者節點:

稽核

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Audit

稽核的內部節點。

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]

Audit/AuditApplicationGuard

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Audit/AuditApplicationGuard

此原則設定可讓您決定是否可以從 應用程式防護 收集稽核事件。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 不會針對 應用程式防護 收集稽核事件記錄檔。
1 應用程式防護 會從系統繼承其稽核原則,並開始稽核 應用程式防護 容器的安全性事件。

群組原則對應:

名稱
名稱 AppHVSI_AuditApplicationGuardConfig
易記名稱 允許在 Microsoft Defender 應用程式防護 中稽核事件
位置 [電腦設定]
路徑 Windows 元件 > Microsoft Defender 應用程式防護
登錄機碼名稱 SOFTWARE\Policies\Microsoft\AppHVSI
登錄值名稱 AuditApplicationGuard
ADMX 檔案名稱 AppHVSI.admx

InstallWindowsDefenderApplicationGuard

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/InstallWindowsDefenderApplicationGuard

起始遠端安裝 應用程式防護 功能。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 Exec、Get

允許的值:

描述
安裝 將會起始功能安裝。
Uninstall 將會起始功能卸載。

PlatformStatus

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 2004 [10.0.19041] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/PlatformStatus

傳回位掩碼,指出裝置上 應用程式防護 平臺安裝和必要條件的狀態。 位 0 - 當 應用程式防護 啟用為企業管理模式時設定為 1。 位 1 - 當用戶端電腦支援 Hyper-V 時設定為 1。 位 2 - 保留給 Microsoft。 位 3 - 當用戶端電腦上安裝 應用程式防護 時設定為 1。 位 4 - 保留給 Microsoft。 位 5 - 當用戶端電腦符合最低硬體需求時,設定為 1。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 [取得]

設定

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings

[設定] 的內部節點。

描述架構屬性:

屬性名稱 屬性值
格式 node
存取類型 [取得]

Settings/AllowCameraMicrophoneRedirection

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowCameraMicrophoneRedirection

此原則設定可讓您判斷當使用者裝置上啟用這些設定時,Microsoft Defender 應用程式防護 內的應用程式是否可以存取裝置的相機和麥克風。

  • 如果您啟用此原則設定,Microsoft Defender 應用程式防護 內的應用程式將能夠存取使用者裝置上的相機和麥克風。

  • 如果您停用或未設定此原則設定,Microsoft Defender 應用程式防護 內的應用程式將無法存取使用者裝置上的相機和麥克風。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) Microsoft Defender 應用程式防護 無法存取裝置的相機和麥克風。 未設定原則時,與停用 (0) 相同。
1 開啟功能以允許 Microsoft Defender 應用程式防護 存取裝置的相機和麥克風。

群組原則對應:

名稱
名稱 AppHVSI_AllowCameraMicrophoneRedirectionConfig
易記名稱 在 Microsoft Defender 應用程式防護 中允許相機和麥克風存取
位置 [電腦設定]
路徑 Windows 元件 > Microsoft Defender 應用程式防護
登錄機碼名稱 SOFTWARE\Policies\Microsoft\AppHVSI
登錄值名稱 AllowCameraMicrophoneRedirection
ADMX 檔案名稱 AppHVSI.admx

Settings/AllowPersistence

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowPersistence

此原則設定可讓您決定數據是否應該保存在 應用程式防護 中的不同會話。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代

允許的值:

說明
0 應用程式防護 會在電腦重新啟動或使用者註銷期間,捨棄使用者下載的檔案和其他 (專案,例如 Cookie、我的最愛等) 。
1 應用程式防護儲存使用者下載的檔案及其他項目(例如 cookie、我的最愛,以及等等)用於未來的應用程式防護工作階段。

群組原則對應:

名稱
名稱 AppHVSI_AllowPersistence
易記名稱 允許 Microsoft Defender 應用程式防護 的數據持續性
位置 [電腦設定]
路徑 Windows 元件 > Microsoft Defender 應用程式防護
登錄機碼名稱 SOFTWARE\Policies\Microsoft\AppHVSI
登錄值名稱 AllowPersistence
ADMX 檔案名稱 AppHVSI.admx

Settings/AllowVirtualGPU

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1803 [10.0.17134] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowVirtualGPU

此原則設定可讓您判斷 應用程式防護 是否可以使用虛擬圖形處理器 (GPU) 來處理圖形。 如果您啟用此設定,Microsoft Defender 應用程式防護 會使用 Hyper-V 來存取 GPU) (支援的高安全性轉譯圖形硬體。 這些 GPU 可改善使用 Microsoft Defender 應用程式防護 時的轉譯效能和電池使用時間,特別是針對視訊播放和其他需要大量圖形的使用案例。 如果您在不連接任何高安全性轉譯圖形硬體的情況下啟用此設定,Microsoft Defender 應用程式防護 會自動還原為軟體型 (CPU) 轉譯。

警告

使用可能遭到入侵的圖形裝置或驅動程式啟用此設定,可能會對主機裝置造成風險。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 無法存取 vGPU,並使用 CPU 來支援轉譯圖形。 未設定原則時,與停用 (0) 相同。
1 開啟功能以存取從 CPU 轉譯的 vGPU 卸除圖形。 這在使用圖形密集的網站或觀看容器內的影片時,可以建立更快速的體驗。

群組原則對應:

名稱
名稱 AppHVSI_AllowVirtualGPU
易記名稱 允許硬體加速轉譯 Microsoft Defender 應用程式防護
位置 [電腦設定]
路徑 Windows 元件 > Microsoft Defender 應用程式防護
登錄機碼名稱 SOFTWARE\Policies\Microsoft\AppHVSI
登錄值名稱 AllowVirtualGPU
ADMX 檔案名稱 AppHVSI.admx

Settings/AllowWindowsDefenderApplicationGuard

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard

在企業模式中開啟 Microsoft Defender 應用程式防護。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代

允許的值:

說明
0 停用 Microsoft Defender 應用程式防護。
1 僅針對 Microsoft Edge 啟用 Microsoft Defender 應用程式防護。
2 僅針對隔離的 Windows 環境啟用 Microsoft Defender 應用程式防護。
3 針對 Microsoft Edge 和隔離的 Windows 環境啟用 Microsoft Defender 應用程式防護。

群組原則對應:

名稱
名稱 AllowAppHVSI
路徑 Windows 元件 > Microsoft Defender 應用程式防護

Settings/BlockNonEnterpriseContent

注意

此原則已被取代,並可能在未來的版本中移除。

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/BlockNonEnterpriseContent

此原則設定可讓您決定網站是否可以在 Microsoft Edge 和 Internet Explorer 中載入非企業內容。

注意

新的 Microsoft Edge 瀏覽器不再支援此原則設定。 在未來的版本中,原則將會被取代並移除。 如果啟用此功能,包含混合內容的網頁可能會不正確載入,或完全失敗。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 內嵌在企業網站中的非企業內容,可以直接在 Internet Explorer 和 Microsoft Edge 中開啟 Microsoft Defender 應用程式防護 容器外部。
1 內嵌在企業網站上的非企業內容會停止在 Internet Explorer 或 Microsoft Edge Microsoft Defender 應用程式防護 外開啟。

群組原則對應:

名稱
名稱 AppHVSI_BlockNonEnterpriseContentConfig
易記名稱 防止企業網站在 Microsoft Edge 和 Internet Explorer 中載入非企業內容
位置 [電腦設定]
路徑 Windows 元件 > Microsoft Defender 應用程式防護
登錄機碼名稱 SOFTWARE\Policies\Microsoft\AppHVSI
登錄值名稱 BlockNonEnterpriseContent
ADMX 檔案名稱 AppHVSI.admx

Settings/CertificateThumbprints

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1809 [10.0.17763] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/CertificateThumbprints

此原則設定可讓特定裝置層級跟證書與 Microsoft Defender 應用程式防護 容器共用。

  • 如果啟用此設定,指紋符合指定憑證的憑證將會傳輸到容器中。 您可以使用逗號來指定多個憑證,以分隔您想要傳輸之每個憑證的指紋。 范例如下:b4e72779a8a362c860c36a6461f31e3aa7e58c14,1b1d49f06d2a697a544a1059bd59a7b058cda924。

  • 如果您停用或未設定此設定,則憑證不會與 Microsoft Defender 應用程式防護 容器共用。

注意

若要強制執行此原則,必須重新啟動裝置或使用者登入/註銷。

描述架構屬性:

屬性名稱 屬性值
格式 chr (字串)
存取類型 新增、刪除、取得、取代
允許的值 列出 (分隔符: ,)

群組原則對應:

名稱
名稱 AppHVSI_CertificateThumbprints
易記名稱 允許 Microsoft Defender 應用程式防護 從用戶的裝置使用跟證書授權單位
位置 [電腦設定]
路徑 Windows 元件 > Microsoft Defender 應用程式防護
登錄機碼名稱 SOFTWARE\Policies\Microsoft\AppHVSI
ADMX 檔案名稱 AppHVSI.admx

Settings/ClipboardFileType

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/ClipboardFileType

決定可從主機複製到 應用程式防護 環境的內容類型,反之亦然。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代

允許的值:

描述
1 允許文字複製。
2 允許影像複製。
3 允許文字和影像複製。

群組原則對應:

名稱
名稱 AppHVSI_ClipboardConfig
易記名稱 設定 Microsoft Defender 應用程式防護 剪貼簿設定
位置 [電腦設定]
路徑 Windows 元件 > Microsoft Defender 應用程式防護
登錄機碼名稱 SOFTWARE\Policies\Microsoft\AppHVSI
ADMX 檔案名稱 AppHVSI.admx

Settings/ClipboardSettings

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/ClipboardSettings

此原則設定可讓您決定剪貼簿在 應用程式防護 時的運作方式。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 完全關閉 應用程式防護的剪貼簿功能。
1 開啟從隔離會話到主機的剪貼簿作業。
2 開啟從主機到隔離會話的剪貼簿作業。
3 開啟雙向剪貼簿作業。

群組原則對應:

名稱
名稱 AppHVSI_ClipboardConfig
易記名稱 設定 Microsoft Defender 應用程式防護 剪貼簿設定
位置 [電腦設定]
路徑 Windows 元件 > Microsoft Defender 應用程式防護
登錄機碼名稱 SOFTWARE\Policies\Microsoft\AppHVSI
ADMX 檔案名稱 AppHVSI.admx

Settings/PrintingSettings

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/PrintingSettings

此原則設定可讓您決定列印功能在 應用程式防護 時的運作方式。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 停用所有列印功能。
1 只啟用 XPS 列印。
2 只啟用 PDF 列印。
3 同時啟用 PDF 和 XPS 列印。
4 只啟用本機印表。
5 同時啟用本機和 XPS 印表。
6 同時啟用本機和 PDF 印表。
7 啟用本機、PDF 和 XPS 印表。
8 只啟用網路列印。
9 同時啟用網路和 XPS 列印。
10 同時啟用網路和 PDF 列印。
11 啟用網路、PDF 和 XPS 列印。
12 同時啟用網路和本機印表。
13 啟用網路、本機和 XPS 印表。
14 啟用網路、本機和 PDF 印表。
15 啟用所有列印。

群組原則對應:

名稱
名稱 AppHVSI_PrintingConfig
易記名稱 設定 Microsoft Defender 應用程式防護 列印設定
位置 [電腦設定]
路徑 Windows 元件 > Microsoft Defender 應用程式防護
登錄機碼名稱 SOFTWARE\Policies\Microsoft\AppHVSI
ADMX 檔案名稱 AppHVSI.admx

Settings/SaveFilesToHost

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10 版本 1803 [10.0.17134] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/SaveFilesToHost

此原則設定可讓您判斷使用者是否可選擇從容器中的Edge下載檔,並將檔案從容器保存到主機操作系統。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 新增、刪除、取得、取代
預設值 0

允許的值:

描述
0 (預設值) 用戶無法從容器中的Edge將檔案下載到主機檔系統。 未設定原則時,與停用 (0) 相同。
1 開啟功能,讓使用者從容器中的Edge將檔案下載到主機文件系統。

群組原則對應:

名稱
名稱 AppHVSI_SaveFilesToHost
易記名稱 允許檔案從 Microsoft Defender 應用程式防護 下載並儲存至主機操作系統
位置 [電腦設定]
路徑 Windows 元件 > Microsoft Defender 應用程式防護
登錄機碼名稱 SOFTWARE\Policies\Microsoft\AppHVSI
登錄值名稱 SaveFilesToHost
ADMX 檔案名稱 AppHVSI.admx

狀態

領域 版本 適用的作業系統
✅ 裝置
❌ 使用者
✅ 專業版
✅ 企業版
✅ 教育版
✅ Windows SE
✅ IoT 企業版 / IoT 企業版 LTSC
✅Windows 10,版本 1709 [10.0.16299] 和更新版本
./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Status

傳回位掩碼,指出裝置上 應用程式防護 安裝和必要條件的狀態。 位 0 - 當 應用程式防護 啟用為企業管理模式時,設定為 1。 位 1 - 當用戶端電腦支援 Hyper-V 時設定為 1。 位 2 - 當用戶端電腦具有有效的 OS 授權和 SKU 時,設定為 1。 位 3 - 在用戶端電腦上安裝 應用程式防護 時設定為 1。 位 4 - 設定必要的網路隔離原則時設定為 1。 位 5 - 當用戶端電腦符合最低硬體需求時,設定為 1。 位 6 - 在需要系統重新啟動時設定為 1。

描述架構屬性:

屬性名稱 屬性值
格式 int
存取類型 [取得]

設定服務提供者參考