Creare e distribuire criteri di Microsoft Defender Application Guard
Si applica a: Configuration Manager (Current Branch)
È possibile creare e distribuire criteri di Microsoft Defender Application Guard (Application Guard) usando Configuration Manager endpoint protection. Questi criteri consentono di proteggere gli utenti aprendo siti Web non attendibili in un contenitore isolato sicuro che non è accessibile da altre parti del sistema operativo.
Prerequisiti
Per creare e distribuire un criterio di Microsoft Defender Application Guard, è necessario usare Windows 10 1709 o versione successiva. I dispositivi Windows 10 o successivi in cui si distribuiscono i criteri devono essere configurati con un criterio di isolamento della rete. Per altre informazioni, vedere panoramica Microsoft Defender Application Guard.
Creare un criterio e visualizzare le impostazioni disponibili
Nella console Configuration Manager scegliere Asset e conformità.
Nell'area di lavoro Asset e conformità scegliere Panoramica>Endpoint Protection>Microsoft Defender Application Guard.
Nel gruppo Crea della scheda Home fare clic su Crea criteri Microsoft Defender Application Guard.
Usando l'articolo come riferimento, è possibile esplorare e configurare le impostazioni disponibili. Configuration Manager consente di impostare determinate impostazioni dei criteri:
Nella pagina Definizione di rete specificare l'identità aziendale e definire il limite di rete aziendale.
Nota
Windows 10 pc o versioni successive archivia un solo elenco di isolamento di rete nel client. È possibile creare due diversi tipi di elenchi di isolamento di rete e distribuirli nel client:
- uno da Windows Information Protection
- uno da Microsoft Defender Application Guard
Se si distribuiscono entrambi i criteri, questi elenchi di isolamento di rete devono corrispondere. Se si distribuiscono elenchi che non corrispondono allo stesso client, la distribuzione avrà esito negativo. Per altre informazioni, vedere la documentazione di Windows Information Protection.
Al termine, completare la procedura guidata e distribuire i criteri in uno o più dispositivi Windows 10 1709 o versioni successive.
Comportamento dell'applicazione
Configura le interazioni tra i dispositivi host e il contenitore application guard. Prima Configuration Manager versione 1802, sia il comportamento dell'applicazione che l'interazione con l'host erano nella scheda Impostazioni.
-
Appunti: nelle impostazioni precedenti a Configuration Manager 1802
- Tipo di contenuto consentito
- Testo
- Immagini
- Tipo di contenuto consentito
-
Stampa:
- Abilitare la stampa in XPS
- Abilitare la stampa in FORMATO PDF
- Abilitare la stampa nelle stampanti locali
- Abilitare la stampa in stampanti di rete
-
Grafica: (a partire da Configuration Manager versione 1802)
- Accesso al processore di grafica virtuale
-
File: (a partire da Configuration Manager versione 1802)
- Salvare i file scaricati nell'host
-
Criteri: (a partire da Configuration Manager versione 2207)
- Abilitare o disabilitare fotocamere e microfoni
- Certificato che corrisponde alle identificazioni personali al contenitore isolato
Impostazioni di interazione host
Configura il comportamento dell'applicazione all'interno della sessione di Application Guard. Prima Configuration Manager versione 1802, sia il comportamento dell'applicazione che l'interazione con l'host erano nella scheda Impostazioni.
-
Altro:
- Conservare i dati del browser generati dall'utente
- Controllare gli eventi di sicurezza nella sessione di application guard isolata
Per modificare le impostazioni di Application Guard, espandere Endpoint Protection nell'area di lavoro Asset e conformità, quindi fare clic sul nodo Microsoft Defender Application Guard. Fare clic con il pulsante destro del mouse sul criterio da modificare e quindi scegliere Proprietà.
Problemi noti
Si applica alla versione 2203 o precedente
I dispositivi che eseguono Windows 10 versione 2004 mostreranno errori nella creazione di report di conformità per Microsoft Defender Application Guard criteri di attendibilità dei file. Questo problema si verifica perché alcune sottoclassi sono state rimosse dalla classe MDM_WindowsDefenderApplicationGuard_Settings01
WMI in Windows 10 versione 2004. Verranno comunque applicate tutte le altre impostazioni Microsoft Defender Application Guard, ma solo i criteri di attendibilità file avranno esito negativo. Attualmente, non esistono soluzioni alternative per ignorare l'errore.
Si applica alla versione 2207 o successiva
L'abilitazione del criterio non installa Microsoft Defender Application Guard funzionalità per impostazione predefinita. Distribuire uno script di PowerShell tramite ConfigMgr in tutti i computer applicabili.
Usare i comandi seguenti per abilitare la funzionalità. Enable-WindowsOptionalFeature -online -FeatureName "Windows-Defender-ApplicationGuard"
Passaggi successivi
Per altre informazioni su Microsoft Defender Application Guard, vedere