Préparer l’installation de Microsoft Defender Application Guard
Remarque
- Microsoft Defender Application Guard, y compris les API windows du lanceur d’applications isolées, sera déconseillé pour Microsoft Edge pour les entreprises et ne sera plus mis à jour. Téléchargez le livre blanc sur la sécurité de Microsoft Edge Entreprise pour en savoir plus sur les fonctionnalités de sécurité d’Edge pour entreprises.
- Comme Application Guard est déconseillé, il n’y aura pas de migration vers Edge Manifest V3. Les extensions de navigateur correspondantes et l’application Windows Store associée ne sont plus disponibles. Si vous souhaitez bloquer les navigateurs non protégés jusqu’à ce que vous soyez prêt à mettre hors service l’utilisation de MDAG dans votre entreprise, nous vous recommandons d’utiliser des stratégies AppLocker ou le service de gestion Microsoft Edge. Pour plus d’informations, consultez Microsoft Edge et Microsoft Defender Application Guard.
Avant de continuer, consultez Configuration système requise pour Microsoft Defender Application Guard pour passer en revue la configuration requise pour l’installation matérielle et logicielle de Microsoft Defender Application Guard.
Remarque
Microsoft Defender Application Guard n’est pas pris en charge sur les ordinateurs virtuels et l’environnement VDI. Pour les tests et l’automatisation sur les ordinateurs hors production, vous pouvez activer WDAG sur un ordinateur virtuel en activant la virtualisation imbriquée Hyper-V sur l’ordinateur hôte.
Préparatifs pour Windows Defender Application Guard
Avant de pouvoir installer et utiliser Microsoft Defender Application Guard, vous devez déterminer la façon dont vous souhaitez l’utiliser dans votre entreprise. Vous pouvez utiliser Application Guard en mode Autonome ou Géré par l’entreprise.
Mode autonome ;
Les employés peuvent utiliser des sessions de navigation isolées du matériel sans administrateur ou configuration de stratégie de gestion. Dans ce mode, vous devez installer Application Guard et l’employé doit démarrer manuellement Microsoft Edge dans Application Guard lors de la recherche de sites non approuvés. Pour obtenir un exemple de fonctionnement, reportez-vous au scénario de test d’Application Guard en mode autonome..
Le mode autonome s’applique aux cas suivants :
- Windows 10 Édition Entreprise, version 1709 et ultérieure
- Édition Windows 10 Professionnel, version 1803 et ultérieure
- Édition Windows 10 Éducation, version 1809 et ultérieure
- Windows 11 Éditions Entreprise, Éducation ou Professionnel
Mode Géré par l’entreprise.
Vous et votre service de sécurité pouvez définir les limites de votre entreprise en ajoutant explicitement des domaines approuvés et en personnalisant l’expérience Application Guard pour répondre à vos besoins sur les appareils des employés et les appliquer sur ces derniers. Le mode géré par l’entreprise redirige également automatiquement toutes les demandes du navigateur pour ajouter des domaines non-entreprises dans le conteneur.
Le mode géré par l’entreprise s’applique à :
- Windows 10 Édition Entreprise, version 1709 et ultérieure
- Édition Windows 10 Éducation, version 1809 et ultérieure
- Éditions Windows 11 Entreprise ou Éducation
Le diagramme suivant illustre le flux entre l’ordinateur hôte et le conteneur isolé.
Installer Application Guard
La fonctionnalité Application Guard est désactivée par défaut. Toutefois, vous pouvez rapidement l’installer sur les appareils des employés par le biais du Panneau de configuration, de PowerShell ou de votre solution de gestion des périphériques mobiles (MDM).
Installer à partir du Panneau de configuration
Ouvrez le Panneau de configuration, sélectionnez Programmes, puis activer ou désactiver les fonctionnalités Windows.
Cochez la case en regard de Microsoft Defender Application Guard , puis sélectionnez OK pour installer Application Guard et ses dépendances sous-jacentes.
Installer à partir de PowerShell
Remarque
Assurez-vous que vos appareils ont atteint la configuration système requise avant cette étape. PowerShell installe la fonctionnalité sans vérifier la configuration système requise. Si vos appareils ne respectent pas la configuration système requise, l’application Guard peut ne pas fonctionner. Cette étape est recommandée pour les scénarios géré dans l’entreprise uniquement.
Sélectionnez l’icône Rechercher dans la barre des tâches Windows et tapez PowerShell.
Cliquez avec le bouton droit sur Windows PowerShell, puis sélectionnez Exécuter en tant qu’administrateur pour ouvrir Windows PowerShell avec les informations d’identification de l’administrateur.
Tapez la commande suivante :
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuardRedémarrez l’appareil pour installer Application Guard et ses dépendances sous-jacentes.
Installer à partir d’Intune
Important
Assurez-vous que les appareils de votre organisation répondent aux exigences et sont inscrits dans Intune.
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Réductionde lasurface> d’attaque de sécurité > du point de terminaisonCréer une stratégie, puis procédez comme suit :
- Dans la liste Plateforme, sélectionnez Windows 10 et versions ultérieures.
- Dans Type de profil , sélectionnez Isolation de l’application et du navigateur.
- Sélectionnez Créer.
Sous l’onglet Informations de base , spécifiez le nom et la description de la stratégie. Sélectionnez Suivant.
Sous l’onglet Paramètres de configuration , configurez les paramètres Application Guard , comme vous le souhaitez. Sélectionnez Suivant.
Sous l’onglet Balises d’étendue , si votre organisation utilise des balises d’étendue, choisissez + Sélectionner des balises d’étendue, puis sélectionnez les balises que vous souhaitez utiliser. Sélectionnez Suivant.
Pour en savoir plus sur les balises d’étendue, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.
Dans la page Affectations , sélectionnez les utilisateurs ou les groupes qui reçoivent la stratégie. Sélectionnez Suivant.
Pour en savoir plus sur l’attribution de stratégies, consultez Attribuer des stratégies dans Microsoft Intune.
Passez en revue vos paramètres, puis sélectionnez Créer.
Une fois la stratégie créée, Microsoft Defender Application Guard est activé pour tous les appareils auxquels elle doit s’appliquer. Les utilisateurs devront peut-être redémarrer leurs appareils pour que la protection soit en place.