應用程式防護測試案例

注意

我們已提供可用來測試組織中硬體隔離的案例清單。

獨立模式中的應用程式防護功能

您可以看到員工會如何使用應用程式防護的獨立模式。

在獨立模式中測試應用程式防護

  1. 安裝應用程式防護

  2. 重新啟動裝置、啟動 Microsoft Edge,然後從功能表中選取 [ 新增應用程式防護] 視窗

    [新增應用程式防護] 視窗設定選項。

  3. 等待應用程式防護設定隔離環境。

    注意

    重新啟動裝置後太快開啟應用程式防護可能導致載入時間變長。 不過,後續的開始應該不會發生任何可預見的延遲。

  4. 移至未受信任但安全的 URL (在此範例中,我們使用 msn.com),並檢視新的 Microsoft Edge 視窗,確定您看到應用程式防護的視覺提示。

    在應用程式防護中執行的不受信任網站。

受企業管理模式中的應用程式防護

如何安裝、設定、開啟,以及為受企業管理模式設定應用程式防護。

安裝,設定,並開啟應用程式防護

您必須先安裝包含功能的 Windows 10 企業版、1709 版和 Windows 11,才能在受控模式中使用應用程式防護。 接著,您必須使用群組原則設定必要設定。

  1. 安裝應用程式防護

  2. 重新啟動裝置,然後啟動 Microsoft Edge。

  3. 於群組原則中設定網路隔離設定:

    1. 選取 Windows 圖示,輸入 Group Policy,然後選取 [編輯組策略]

    2. 移至 \[系統管理範本\網路\網路隔離\裝載於雲端的企業資源網域\] 設定。

    3. 基於此案例的目的,請在 [企業雲端資源] 方塊中輸入 .microsoft.com

      組策略編輯器與企業雲端資源設定。

    4. 移至 \[系統管理範本\網路\網路隔離\同時分類為工作與私人的網域\] 設定。

    5. 基於此案例的目的,請在 [中性資源] 方塊中輸入 bing.com

      組策略編輯器與中性資源設定。

  4. 移至 [ 計算機設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\在受控模式中開啟 Microsoft Defender 應用程式防護 ] 設定。

  5. 取 [已啟用],選擇 [選項 1],然後選取 [ 確定]

    具有 [開啟/關閉] 設定的組策略編輯器。

    注意

    啟用這個設定會驗證所有必要的設定均有正確的於您的員工的裝置上設定,包括稍早在本案例中設定的網路隔離設定。

  6. 開始Microsoft Edge,然後輸入 https://www.microsoft.com

    提交 URL 之後,應用程式防護會判斷 URL 是受信任的,因為它使用您已標示為受信任的網域,並直接在主電腦上顯示網站,而不是在應用程式防護中顯示網站。

    在 Microsoft Edge 上執行的信任網站。

  7. 在相同的Microsoft Edge 瀏覽器中,輸入不屬於受信任或中性網站清單的任何URL。

    您提交 URL 後,應用程式防護會判斷 URL 未受信任,並將要求重新導向至硬體隔離環境。

    在應用程式防護中執行的不受信任網站。

自訂應用程式防護

應用程式防護可讓您指定您的設定,允許您為您的員工建立以隔離為基礎的安全性和生產力之間適當的平衡。

應用程式防護為您的員工提供下列預設行為:

  • 主機 PC 和隔離容器之間不允許複製與貼上。

  • 不允許從隔離容器列印。

  • 從一個隔離容器到另一個隔離容器不允許資料保留。

您可以選擇從群組原則中變更這些設定,以配合您的企業。

適用於:

  • Windows 10 企業版或專業版,版本 1803 或更新版本
  • Windows 11 企業版或專業版

複製並貼上選項

  1. 移至 計算機設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\設定Microsoft Defender 應用程式防護剪貼簿設定

  2. 取 [已啟用 ],然後選取 [ 確定]

    組策略編輯器剪貼簿選項。

  3. 選擇剪貼簿的運作方式:

    • 從隔離工作階段複製和貼上至主機 PC

    • 從主機 PC 複製和貼上至隔離工作階段

    • 雙向複製和貼上

  4. 選擇可以複製的項目:

    • 主電腦與隔離容器之間只能複製文字。

    • 只有映像可以在主計算機與隔離容器之間複製。

    • 文字和影像都可以在主計算機與隔離容器之間複製。

  5. 選取 [確定]

  1. 移至 計算機設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\設定Microsoft Defender 應用程式防護列印 設定。

  2. 取 [已啟用 ],然後選取 [ 確定]

    組策略編輯器 列印選項。

  3. 根據清單提供的設定,選擇最能代表您的員工所需要的列印類型的號碼。 您可以允許任何組合的本機、網路、PDF 及 XPS 列印。

  4. 選取 [確定]

數據持續性選項

  1. 移至 [ 計算機設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\允許 Microsoft Defender 應用程式防護的數據持續性 ] 設定。

  2. 取 [已啟用 ],然後選取 [ 確定]

    組策略編輯器數據持續性選項。

  3. 打開 Microsoft Edge 並瀏覽至未受信任但安全的 URL。

    網站於隔離工作階段中開啟。

  4. 將網站加到您的 \[我的最愛\] 清單,然後關閉隔離工作階段。

  5. 註銷並重新登入您的裝置,再次在應用程式防護中開啟 Microsoft Edge。

    先前新增的網站應該仍會出現在您的 \[我的最愛\] 清單中。

    注意

    從 Windows 11 版本 22H2 開始,預設會停用數據持續性。 如果您不允許或關閉數據持續性,重新啟動裝置或登入和註銷隔離容器會觸發回收事件。 此動作會捨棄所有產生的數據,例如會話 Cookie 和我的最愛,並從應用程式防護移除數據。 如果您開啟資料保留,所有員工產生的成品會跨容器回收事件保留。 不過,這些成品只存在於隔離的容器中,而且不會與主計算機共用。 這項數據會在重新啟動之後保存,甚至是透過 Windows 10 和 Windows 11 的組建對組建升級來保存。

    如果您開啟資料保留,但之後決定停止支援您的員工此項功能,您可以使用 Windows 提供的公用程式來重置容器並捨棄任何私人資料。

    若要重設容器,請遵循下列步驟:
    1.開啟命令行程式並流覽至 Windows/System32。
    2.鍵入 wdagtool.exe cleanup。 容器環境已重設,只保留員工產生的資料。
    3.鍵入 wdagtool.exe cleanup RESET_PERSISTENCE_LAYER。 容器環境已重設,包括捨棄所有員工產生的資料。

    Microsoft Edge 90 版或更新版本不再支援 RESET_PERSISTENCE_LAYER

適用於:

  • Windows 10 企業版或專業版,版本 1803
  • Windows 11 企業版或專業版 21H2 版。 Windows 11 版本 22H2 和更新版本中預設會停用數據持續性。

下載選項

  1. 移至 計算機設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\允許檔案從 Microsoft Defender 應用程式防護設定下載並儲存至主機操作系統

  2. 取 [已啟用 ],然後選取 [ 確定]

    組策略編輯器 下載選項。

  3. 註銷並重新登入您的裝置,再次在應用程式防護中開啟 Microsoft Edge。

  4. 從 Microsoft Defender 應用程式防護下載檔。

  5. 檢查檔案是否已下載到此電腦 > 下載未受信任的 > 檔案。

硬體加速選項

  1. 移至 [ 計算機設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\允許硬體加速轉譯Microsoft Defender 應用程式防護 設定。

  2. 取 [已啟用 ],然後選取 [ 確定]

    組策略編輯器硬體加速選項。

  3. 啟用此功能之後,請開啟 Microsoft Edge 並流覽至不受信任但具有視訊、3D 或其他需要大量圖形內容的安全 URL。 網站會在隔離的會話中開啟。

  4. 評估視覺體驗和電池效能。

相機和麥克風選項

  1. 移至 [ 計算機設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\允許 Microsoft Defender 應用程式防護] 設定中的相機和麥克風存取

  2. 取 [已啟用 ],然後選取 [ 確定]

    組策略編輯器相機和麥克風選項。

  3. 註銷並重新登入您的裝置,再次在應用程式防護中開啟 Microsoft Edge。

  4. 在 Microsoft Edge 中開啟具有視訊或音訊功能的應用程式。

  5. 檢查相機和麥克風是否如預期般運作。

跟證書共享選項

  1. 移至 計算機設定\系統管理範本\Windows 元件\Microsoft Defender 應用程式防護\允許 Microsoft Defender 應用程式防護從使用者的裝置設定使用跟證書授權 單位。

  2. 取 [已啟用],複製要共用之每個憑證的指紋,並以逗號分隔,然後選取 [ 確定]

    組策略編輯器跟證書選項。

  3. 註銷並重新登入您的裝置,再次在應用程式防護中開啟 Microsoft Edge。

第三方網頁瀏覽器的應用程式防護擴充功能

適用於 Chrome 和 Firefox 的應用程式 防護擴 充功能可讓應用程式防護保護使用者,即使他們執行的是 Microsoft Edge 或 Internet Explorer 以外的網頁瀏覽器。

一旦使用者在其企業裝置上安裝擴充功能及其隨附應用程式,您就可以執行下列案例。

  1. 開啟 Firefox 或 Chrome,無論您安裝擴充功能的瀏覽器為何。

  2. 流覽至組織網站。 換句話說,組織所維護的內部網站。 您可能會在網站完全載入之前立即看到此評估頁面。

    載入頁面時顯示的評估頁面,說明用戶必須等候。

  3. 流覽至非企業外部網站,例如 www.bing.com。 月臺應該重新導向至 Microsoft Defender 應用程式防護 Edge。

    要重新導向至應用程式防護容器的非企業網站 -- 顯示的文字說明頁面正在 Microsoft Edge 的應用程式防護中開啟。

  4. 選取 [Microsoft Defender 應用程式防護] 圖示,然後選取 [新增應用程式防護] 視窗,以開啟新的 [ 應用程式防護] 視窗

    [新增應用程式防護視窗] 選項會以紅色醒目提示