準備安裝 Microsoft Defender 應用程式防護
注意
- Microsoft Defender 應用程式防護,包括 Windows 隔離式應用程式啟動器 API,將會淘汰Microsoft商務用 Edge,且將 不再更新。 請下載 Microsoft商務用Edge安全性白皮書 ,以深入瞭解商務用Edge安全性功能。
- 因為應用程式防護已被取代,所以不會移轉至Edge指令清單 V3。 對應的瀏覽器延伸模組和相關聯的 Windows 市集應用程式已無法再使用。 如果您想要封鎖未受保護的瀏覽器,直到您準備好淘汰企業中的 MDAG 使用量為止,建議您使用 AppLocker 原則或 Microsoft Edge 管理服務。 如需詳細資訊, 請參閱 Microsoft Edge 和 Microsoft Defender 應用程式防護。
繼續之前,請檢閱 Microsoft Defender 應用程式防護的系統 需求,以檢閱 Microsoft Defender 應用程式防護的硬體和軟體安裝需求。
注意
Microsoft VM 和 VDI 環境中不支援 Defender 應用程式防護。 對於非生產電腦上的測試及自動化,您可以啟用主機上的 Hyper-V 巢狀虛擬化,以啟用 VM 上的 WDAG。
準備 Microsoft Defender 應用程式防護
您必須先決定要在企業中使用它的方式,才能安裝和使用 Microsoft Defender 應用程式防護。 您可以以獨立或受企業管理模式使用應用程式防護。
獨立模式
員工可使用硬體隔離的瀏覽工作階段,而不需要任何系統管理員或管理原則設定。 在此模式下,您必須安裝應用程式防護,然後員工必須在瀏覽未受信任的網站時,手動於應用程式防護中開始 Microsoft Edge。 有關此運作方式的範例,請參閱獨立模式中的應用程式防護測試案例。
獨立模式適用於:
- Windows 10 企業版,版本 1709 和更新版本
- Windows 10 專業版,版本 1803 和更新版本
- Windows 10 教育版,版本 1809 和更新版本
- Windows 11 企業版、教育版或專業版
企業管理模式
您與您的安全性部門可以透過明確新增受信任的網域的方式定義您的公司範圍,並可自訂應用程式防護體驗以符合並執行您在員工的裝置上的需求。 企業管理模式也會自動重新導向任何瀏覽器要求,以在容器中新增非企業網域 () 。
企業管理模式適用於:
- Windows 10 企業版,版本 1709 和更新版本
- Windows 10 教育版,版本 1809 和更新版本
- Windows 11 企業版或教育版
下圖顯示隔離的容器與主機 PC 之間的流程。
安裝應用程式防護
應用程式防護功能預設為關閉。 不過,您可以透過控制面板、PowerShell 或行動裝置管理 (MDM) 解決方案,在員工的裝置上快速安裝它。
從控制面板安裝
開啟 [控制面板],選取 [ 程式], 然後選取 [ 開啟或關閉 Windows 功能]。
選取 [Microsoft Defender 應用程式防護 ] 旁的複選框,然後選取 [ 確定 ] 以安裝應用程式防護及其基礎相依性。
從 PowerShell 安裝
注意
請確定您的裝置在此步驟之前已符合所有系統需求。 PowerShell 會在不檢查系統需求的情況下安裝此功能。 如果您的裝置不符合系統需求,應用程式防護可能無法運作。 此步驟僅適用於企業受控案例。
選取 Windows 任務欄中的 [搜尋 ] 圖示,然後輸入 PowerShell。
以滑鼠右鍵按兩下 [Windows PowerShell],然後選取 [ 以系統管理員身分 執行] 以使用系統管理員認證開啟 Windows PowerShell。
輸入下列命令:
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
重新啟動裝置以安裝應用程式防護及其基礎相依性。
從 Intune 安裝
重要
請確定貴組織的裝置符合 需求 ,並已 在 Intune 中註冊。
選 取 [端點安全>性攻擊表面縮小>建立原則],然後執行下列動作:
- 在 [ 平臺] 列表中,選取 [Windows 10 和更新版本]。
- 在 [配置檔 類型] 中,選取 [應用程式和瀏覽器隔離]。
- 選取 [建立]。
在 [ 基本] 索引標籤中 ,指定原則的 [名稱 ] 和 [ 描述 ]。 選取 [下一步]。
在 [ 組態設定] 索引標籤中 ,視需要設定 應用程式防護 設定。 選取 [下一步]。
在 [ 範圍卷標] 索引 標籤中,如果您的組織使用範圍卷標,請選擇 [+ 選取範圍標籤],然後選取您要使用的標籤。 選取 [下一步]。
若要深入瞭解範圍標籤,請 參閱使用角色型訪問控制 (RBAC) 和分散式 IT 的範圍標籤。
在 [ 指派] 頁面中,選取接收原則的使用者或群組。 選取 [下一步]。
若要深入瞭解指派原則,請參閱 在 Microsoft Intune 中指派原則。
檢閱您的設定,然後選取 [ 建立]。
建立原則之後,應該套用原則的任何裝置都會啟用Microsoft Defender 應用程式防護。 使用者可能必須重新啟動其裝置,才能備妥保護。