Erstellen und Bereitstellen Microsoft Defender Application Guard Richtlinie

Gilt für: Configuration Manager (Current Branch)

Sie können Microsoft Defender Application Guard -Richtlinien (Application Guard) mithilfe des Configuration Manager Endpoint Protection erstellen und bereitstellen. Diese Richtlinien tragen zum Schutz Ihrer Benutzer bei, indem sie nicht vertrauenswürdige Websites in einem sicheren isolierten Container öffnen, auf den andere Teile des Betriebssystems nicht zugreifen können.

Voraussetzungen

Zum Erstellen und Bereitstellen einer Microsoft Defender Application Guard Richtlinie müssen Sie Windows 10 1709 oder höher verwenden. Die Windows 10 oder höherer Geräte, auf denen Sie die Richtlinie bereitstellen, müssen mit einer Netzwerkisolationsrichtlinie konfiguriert werden. Weitere Informationen finden Sie in der Übersicht über Microsoft Defender Application Guard.

Erstellen einer Richtlinie und Durchsuchen der verfügbaren Einstellungen

  1. Wählen Sie in der Configuration Manager-Konsole Bestand und Kompatibilität aus.

  2. Wählen Sie im Arbeitsbereich Bestand und Compliancedie Option Übersicht>Endpoint Protection>Microsoft Defender Application Guard aus.

  3. Klicken Sie auf der Registerkarte Start in der Gruppe Erstellen auf Microsoft Defender Application Guard Richtlinie erstellen.

  4. Anhand des Artikels als Referenz können Sie die verfügbaren Einstellungen durchsuchen und konfigurieren. Configuration Manager können Sie bestimmte Richtlinieneinstellungen festlegen:

  5. Geben Sie auf der Seite Netzwerkdefinition die Unternehmensidentität an, und definieren Sie ihre Unternehmensnetzwerkgrenze.

    Hinweis

    Windows 10 oder höher speichern PCs nur eine Netzwerkisolationsliste auf dem Client. Sie können zwei verschiedene Arten von Netzwerkisolationslisten erstellen und auf dem Client bereitstellen:

    • eine aus Windows Information Protection
    • eine aus Microsoft Defender Application Guard

    Wenn Sie beide Richtlinien bereitstellen, müssen diese Netzwerkisolationslisten übereinstimmen. Wenn Sie Listen bereitstellen, die nicht mit demselben Client übereinstimmen, tritt bei der Bereitstellung ein Fehler auf. Weitere Informationen finden Sie in der Dokumentation zu Windows Information Protection.

  6. Wenn Sie fertig sind, schließen Sie den Assistenten ab, und stellen Sie die Richtlinie auf mindestens einem Windows 10 1709-Geräten bereit.

Anwendungsverhalten

Konfiguriert Interaktionen zwischen Hostgeräten und dem Application Guard Container. Vor Configuration Manager Version 1802 befanden sich sowohl das Anwendungsverhalten als auch die Hostinteraktion auf der Registerkarte Einstellungen.

  • Zwischenablage: Unter Einstellungen vor Configuration Manager 1802
    • Zulässiger Inhaltstyp
      • Text
      • Bilder
  • Drucken:
    • Aktivieren des Druckens in XPS
    • Aktivieren des Druckens in PDF
    • Aktivieren des Druckens auf lokalen Druckern
    • Aktivieren des Druckens auf Netzwerkdruckern
  • Grafiken: (ab Configuration Manager Version 1802)
    • Zugriff auf virtuelle Grafikprozessoren
  • Dateien: (ab Configuration Manager Version 1802)
    • Speichern heruntergeladener Dateien auf dem Host
  • Richtlinien: (ab Configuration Manager Version 2207)
    • Aktivieren oder Deaktivieren von Kameras und Mikrofonen
    • Zertifikat, das die Fingerabdrücke mit dem isolierten Container abgleicht

Hostinteraktionseinstellungen

Konfiguriert das Anwendungsverhalten innerhalb der Application Guard-Sitzung. Vor Configuration Manager Version 1802 befanden sich sowohl das Anwendungsverhalten als auch die Hostinteraktion auf der Registerkarte Einstellungen.

  • Andere:
    • Beibehalten von benutzergenerierten Browserdaten
    • Überwachen von Sicherheitsereignissen in der isolierten Application Guard-Sitzung

Um Application Guard Einstellungen zu bearbeiten, erweitern Sie Endpoint Protection im Arbeitsbereich Bestand und Kompatibilität, und klicken Sie dann auf den Knoten Microsoft Defender Application Guard. Klicken Sie mit der rechten Maustaste auf die Richtlinie, die Sie bearbeiten möchten, und wählen Sie dann Eigenschaften aus.

Bekannte Probleme

Gilt für Version 2203 oder früher

Geräte mit Windows 10 Version 2004 zeigen Fehler in der Konformitätsberichterstellung für Microsoft Defender Application Guard Dateivertrauenskriterien an. Dieses Problem tritt auf, weil einige Unterklassen in Windows 10 Version 2004 aus der WMI-Klasse MDM_WindowsDefenderApplicationGuard_Settings01 entfernt wurden. Alle anderen Microsoft Defender Application Guard Einstellungen gelten weiterhin, nur Dateivertrauenskriterien schlagen fehl. Derzeit gibt es keine Problemumgehungen, um den Fehler zu umgehen.

Gilt für Version 2207 oder höher

Wenn Sie die Richtlinie aktivieren, wird Microsoft Defender Application Guard Feature nicht standardmäßig installiert. Stellen Sie ein PowerShell-Skript über ConfigMgr auf allen anwendbaren Computern bereit.

Verwenden Sie die folgenden Befehle, um das Feature zu aktivieren. Enable-WindowsOptionalFeature -online -FeatureName "Windows-Defender-ApplicationGuard"

Nächste Schritte

Weitere Informationen zu Microsoft Defender Application Guard finden Sie unter