Создание и развертывание политики Application Guard в Microsoft Defender

Относится к Configuration Manager (Current Branch)

Вы можете создавать и развертывать политики Application Guard в Microsoft Defender (Application Guard) с помощью защиты конечных точек Configuration Manager. Эти политики помогают защитить пользователей, открывая ненадежные веб-сайты в защищенном изолированном контейнере, недоступном другим частям операционной системы.

Предварительные требования

Чтобы создать и развернуть политику Application Guard в Microsoft Defender, необходимо использовать Windows 10 1709 или более поздней версии. Устройства Windows 10 или более поздних версий, на которых развертывается политика, должны быть настроены с помощью политики сетевой изоляции. Дополнительные сведения см. в обзоре Application Guard в Microsoft Defender.

Создание политики и просмотр доступных параметров

1. В консоли Configuration Manager выберите Активы и соответствие.

2. В рабочей области Активы и соответствие выберите Обзор>Endpoint Protection>Application Guard в Microsoft Defender.

3. На вкладке Главная в группе Создать щелкните Создать политику Application Guard в Microsoft Defender.

4. Используя статью в качестве справки, вы можете просматривать и настраивать доступные параметры. Configuration Manager позволяет задать определенные параметры политики:

   • Поведение приложения
   • Параметры взаимодействия с узлом

5. На странице Определение сети укажите корпоративный идентификатор и определите границу корпоративной сети.

   Примечание.

   Windows 10 или более поздних версий на компьютерах хранится только один список сетевой изоляции на клиенте. Вы можете создать два разных типа списков сетевой изоляции и развернуть их на клиенте:

   • один из windows Information Protection
   • один из Application Guard в Microsoft Defender

   При развертывании обеих политик эти списки сетевой изоляции должны совпадать. При развертывании списков, которые не соответствуют одному и тому же клиенту, развертывание завершится ошибкой. Дополнительные сведения см. в документации по Windows Information Protection.

6. По завершении завершите работу мастера и разверните политику на одном или нескольких устройствах Windows 10 1709 или более поздних версий.

Поведение приложения

Настраивает взаимодействие между хост-устройствами и контейнером Application Guard. До Configuration Manager версии 1802 поведение приложения и взаимодействие с узлом находились на вкладке Параметры.

• Буфер обмена — в разделе параметров до Configuration Manager 1802
  • Разрешенный тип контента
    • Текст
    • изображения;
• Печати:
  • Включение печати в XPS
  • Включение печати в PDF
  • Включение печати на локальных принтерах
  • Включение печати на сетевых принтерах
• Графика: (начиная с Configuration Manager версии 1802)
  • Доступ к виртуальному графическому процессору
• Файлы: (начиная с Configuration Manager версии 1802)
  • Сохранение скачанных файлов на размещение
• Политики: (начиная с Configuration Manager версии 2207)
  • Включение или отключение камер и микрофонов
  • Сертификат, соответствующий отпечаткам изолированного контейнера

Параметры взаимодействия с узлом

Настраивает поведение приложения внутри сеанса Application Guard. До Configuration Manager версии 1802 поведение приложения и взаимодействие с узлом находились на вкладке Параметры.

• Других:
  • Сохранение данных браузера, созданных пользователем
  • Аудит событий безопасности в изолированном сеансе Application Guard

Чтобы изменить параметры Application Guard, разверните узел Endpoint Protection в рабочей области Активы и соответствие, а затем щелкните узел Application Guard в Microsoft Defender. Щелкните правой кнопкой мыши политику, которую нужно изменить, а затем выберите Пункт Свойства.

Известные проблемы

Применимо к версии 2203 или более ранней

На устройствах под управлением Windows 10 версии 2004 будут отображаться сбои в отчетах о соответствии для Application Guard в Microsoft Defender условий доверия к файлам. Эта проблема возникает из-за того, что некоторые подклассы были удалены из класса MDM_WindowsDefenderApplicationGuard_Settings01 WMI в Windows 10 версии 2004. Все остальные параметры Application Guard в Microsoft Defender будут по-прежнему применяться, только критерии доверия к файлам завершатся ошибкой. В настоящее время обходных решений для обхода ошибки нет.

Применимо к версии 2207 или более поздней

Включение политики не устанавливает Application Guard в Microsoft Defender компонент по умолчанию. Разверните сценарий PowerShell с помощью ConfigMgr на всех применимых компьютерах.

Чтобы включить функцию, используйте следующие команды. Enable-WindowsOptionalFeature -online -FeatureName "Windows-Defender-ApplicationGuard"

Дальнейшие действия

Дополнительные сведения о Application Guard в Microsoft Defender см. в разделе

• Application Guard в Microsoft Defender обзор.
• Application Guard в Microsoft Defender вопросы и ответы.