Partager via


Créer et déployer Protection d'application Microsoft Defender stratégie

S’applique à : Gestionnaire de Configuration (branche actuelle)

Vous pouvez créer et déployer des stratégies Protection d'application Microsoft Defender (Protection d'application) à l’aide de la protection de point de terminaison Configuration Manager. Ces stratégies aident à protéger vos utilisateurs en ouvrant des sites web non approuvés dans un conteneur isolé sécurisé qui n’est pas accessible par d’autres parties du système d’exploitation.

Conditions préalables

Pour créer et déployer une stratégie Protection d'application Microsoft Defender, vous devez utiliser Windows 10 1709 ou une version ultérieure. Les appareils Windows 10 ou ultérieurs sur lesquels vous déployez la stratégie doivent être configurés avec une stratégie d’isolation réseau. Pour plus d’informations, consultez la vue d’ensemble Protection d'application Microsoft Defender.

Créer une stratégie et parcourir les paramètres disponibles

  1. Dans la console Configuration Manager, choisissez Ressources et Conformité.

  2. Dans l’espace de travail Ressources et conformité, choisissez Vue d’ensemble>endpoint Protection>Protection d'application Microsoft Defender.

  3. Sous l’onglet Accueil, dans le groupe Créer, cliquez sur Créer une stratégie Protection d'application Microsoft Defender.

  4. À l’aide de l’article comme référence, vous pouvez parcourir et configurer les paramètres disponibles. Configuration Manager vous permet de définir certains paramètres de stratégie :

  5. Dans la page Définition du réseau , spécifiez l’identité d’entreprise et définissez la limite de votre réseau d’entreprise.

    Remarque

    les PC Windows 10 ou versions ultérieures stockent une seule liste d’isolation réseau sur le client. Vous pouvez créer deux types différents de listes d’isolation réseau et les déployer sur le client :

    • un de Windows Information Protection
    • un de Protection d'application Microsoft Defender

    Si vous déployez les deux stratégies, ces listes d’isolation réseau doivent correspondre. Si vous déployez des listes qui ne correspondent pas au même client, le déploiement échoue. Pour plus d’informations, consultez la documentation windows Information Protection.

  6. Lorsque vous avez terminé, terminez l’Assistant et déployez la stratégie sur un ou plusieurs appareils Windows 10 1709 ou version ultérieure.

Comportement de l’application

Configure les interactions entre les appareils hôtes et le conteneur Protection d'application. Avant Configuration Manager version 1802, le comportement de l’application et l’interaction de l’hôte se trouvaient sous l’onglet Paramètres.

  • Presse-papiers - Sous les paramètres avant Configuration Manager 1802
    • Type de contenu autorisé
      • Text
      • Images
  • Impression:
    • Activer l’impression sur XPS
    • Activer l’impression au format PDF
    • Activer l’impression sur des imprimantes locales
    • Activer l’impression sur les imprimantes réseau
  • Graphiques : (à partir de Configuration Manager version 1802)
    • Accès au processeur graphique virtuel
  • Fichiers : (à compter de Configuration Manager version 1802)
    • Enregistrer les fichiers téléchargés sur l’hôte
  • Stratégies : (à compter de Configuration Manager version 2207)
    • Activer ou désactiver les caméras et les microphones
    • Certificat correspondant aux empreintes numériques au conteneur isolé

Paramètres d’interaction de l’hôte

Configure le comportement de l’application à l’intérieur de la session Protection d'application. Avant Configuration Manager version 1802, le comportement de l’application et l’interaction de l’hôte se trouvaient sous l’onglet Paramètres.

  • Autres:
    • Conserver les données de navigateur générées par l’utilisateur
    • Auditer les événements de sécurité dans la session application guard isolée

Pour modifier Protection d'application paramètres, développez Endpoint Protection dans l’espace de travail Ressources et conformité, puis cliquez sur le nœud Protection d'application Microsoft Defender. Cliquez avec le bouton droit sur la stratégie à modifier, puis sélectionnez Propriétés.

Problèmes connus

S’applique à la version 2203 ou antérieure

Les appareils exécutant Windows 10 version 2004 affichent des échecs dans les rapports de conformité pour Protection d'application Microsoft Defender critères d’approbation de fichiers. Ce problème se produit parce que certaines sous-classes ont été supprimées de la classe MDM_WindowsDefenderApplicationGuard_Settings01 WMI dans Windows 10, version 2004. Tous les autres paramètres Protection d'application Microsoft Defender s’appliquent toujours, seuls les critères d’approbation de fichier échouent. Actuellement, il n’existe aucune solution de contournement pour contourner l’erreur.

S’applique à la version 2207 ou ultérieure

L’activation de la stratégie n’installe pas Protection d'application Microsoft Defender fonctionnalité par défaut. Déployez un script PowerShell via ConfigMgr sur toutes les machines applicables.

Utilisez les commandes suivantes pour activer la fonctionnalité. Enable-WindowsOptionalFeature -online -FeatureName « Windows-Defender-ApplicationGuard »

Prochaines étapes

Pour plus d’informations sur Protection d'application Microsoft Defender, consultez