Partilhar via


Application Guard cenários de teste

Observação

Criámos uma lista de cenários que pode utilizar para testar o isolamento baseado em hardware na sua organização.

Application Guard no modo autônomo

Você pode ver como um funcionário usará o modo autônomo com o Application Guard.

Para testar o Application Guard no modo Autônomo

  1. Instale Application Guard.

  2. Reinicie o dispositivo, inicie o Microsoft Edge e, em seguida, selecione Nova janela Application Guard no menu.

    Nova opção de definição da janela de Application Guard.

  3. Aguarde o Application Guard configurar o ambiente isolado.

    Observação

    Se você iniciar o Application Guard rapidamente após reiniciar o dispositivo, ele pode demorar um pouco mais para ser carregado. No entanto, as inicializações subsequentes devem ocorrer sem quaisquer atrasos perceptíveis.

  4. Vá para uma URL não confiável, mas segura (neste exemplo, usamos msn.com) e exiba a nova janela do Microsoft Edge, verificando se estão aparecendo para você as indicações visuais do Application Guard.

    Site não fidedigno em execução no Application Guard.

Application Guard no modo Gerenciado pela empresa

Como instalar, configurar, ativar e configurar o Application Guard para o modo Gerenciado pela empresa.

Instalar, configurar e ativar o Application Guard

Antes de poder utilizar Application Guard no modo gerido, tem de instalar Windows 10 Enterprise edição, versão 1709 e Windows 11, que inclui a funcionalidade. Em seguida, você deve usar a Política de Grupo para definir as configurações necessárias.

  1. Instale Application Guard.

  2. Reinicie o dispositivo e, em seguida, inicie o Microsoft Edge.

  3. Defina as configurações de isolamento de rede na Política de Grupo:

    1. Selecione o ícone do Windows, escreva Group Policye, em seguida, selecione Editar Política de Grupo.

    2. Vá para a configuração Modelos Administrativos\Rede\Isolamento de Rede\Domínios de recursos corporativos hospedados na nuvem.

    3. Para efeitos deste cenário, escreva .microsoft.com na caixa Recursos da cloud empresarial .

      Política de Grupo editor com a definição recursos de cloud enterprise.

    4. Vá para a configuração Modelos Administrativos\Rede\Isolamento de Rede\Domínios categorizada como profissional e pessoal.

    5. Para efeitos deste cenário, escreva bing.com na caixa Recursos neutros .

      Política de Grupo editor com a definição Recursos neutros.

  4. Aceda à definição Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Ativar Microsoft Defender Application Guard no Modo Gerido.

  5. Selecione Ativado, escolha Opção 1 e selecione OK.

    Política de Grupo editor com a definição Ativar/Desativar.

    Observação

    A habilitação dessa configuração verifica se todas as configurações necessárias estão configuradas corretamente nos dispositivos do funcionário, incluindo as configurações de isolamento de rede definidas anteriormente neste cenário.

  6. Inicie o Microsoft Edge e escreva https://www.microsoft.com.

    Depois de submeter o URL, Application Guard determina que o URL é fidedigno porque utiliza o domínio que marcou como fidedigno e mostra o site diretamente no PC anfitrião em vez de no Application Guard.

    Site fidedigno em execução no Microsoft Edge.

  7. No mesmo browser Microsoft Edge, escreva qualquer URL que não faça parte das suas listas de sites fidedignos ou neutros.

    Após enviar a URL, o Application Guard determina que a URL não é confiável e redireciona a solicitação para o ambiente isolado por hardware.

    Site não fidedigno em execução no Application Guard.

Personalizar o Application Guard

O Application Guard permite que você especifique a configuração, permitindo o equilíbrio adequado entre a segurança baseada em isolamento e a produtividade dos funcionários.

O Application Guard fornece o seguinte comportamento padrão aos funcionários:

  • Nenhuma cópia e colagem entre o computador host e o contêiner isolado.

  • Nenhuma impressão no contêiner isolado.

  • Nenhuma persistência de dados de um contêiner isolado para outro.

Você tem a opção de alterar cada uma dessas configurações para trabalhar com a empresa na Política de Grupo.

Aplica-se a:

  • edições Windows 10 Enterprise ou Pro, versão 1803 ou posterior
  • edições Windows 11 Enterprise ou Pro

Opções de copiar e colar

  1. Aceda a Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Configurar Microsoft Defender Application Guard definições da área de transferência.

  2. Selecione Ativado e selecione OK.

    Política de Grupo opções da área de transferência do editor.

  3. Especifique como funcionará a área de transferência:

    • Copiar e colar da sessão isolada para o computador host

    • Copiar e colar do computador host para a sessão isolada

    • Copiar e colar ambas as direções

  4. Especifique o que pode ser copiado:

    • Apenas o texto pode ser copiado entre o PC anfitrião e o contentor isolado.

    • Apenas as imagens podem ser copiadas entre o PC anfitrião e o contentor isolado.

    • O texto e as imagens podem ser copiados entre o PC anfitrião e o contentor isolado.

  5. Clique em OK.

  1. Aceda a Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Configurar Microsoft Defender Application Guard definições de impressão.

  2. Selecione Ativado e selecione OK.

    Política de Grupo editor Opções de impressão.

  3. Com base na lista fornecida na configuração, escolha o número que melhor representa o tipo de impressão que deverá ser disponibilizada para seus funcionários. Você pode permitir qualquer combinação de impressão local, de rede, em PDF e em XPS.

  4. Clique em OK.

Opções de persistência de dados

  1. Aceda à definição Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Permitir persistência de dados para Microsoft Defender Application Guard.

  2. Selecione Ativado e selecione OK.

    Política de Grupo opções de Persistência de Dados do editor.

  3. Abra o Microsoft Edge e navegue até uma URL não confiável, mas segura.

    O site é aberto na sessão isolada.

  4. Adicione o site à lista Favoritos e feche a sessão isolada.

  5. Termine sessão e volte a iniciar sessão no seu dispositivo, abrindo o Microsoft Edge no Application Guard novamente.

    O site adicionado anteriormente ainda aparecerá na lista Favoritos.

    Observação

    A partir de Windows 11, versão 22H2, a persistência de dados está desativada por predefinição. Se não permitir ou desativar a persistência de dados, reiniciar um dispositivo ou iniciar e terminar sessão no contentor isolado aciona um evento de reciclagem. Esta ação elimina todos os dados gerados, como cookies de sessão e Favoritos, e remove os dados de Application Guard. Se você ativar a persistência de dados, todos os artefatos gerados pelo funcionário serão preservados entre os eventos de reciclagem de contêiner. No entanto, estes artefactos só existem no contentor isolado e não são partilhados com o PC anfitrião. Estes dados persistem após reinícios e até mesmo através de atualizações de Windows 10 e Windows 11.

    Se você ativar a persistência de dados, mas decidir interromper posteriormente o suporte a ela para seus funcionários, use o utilitário fornecido pelo Windows para redefinir o contêiner e descartar quaisquer dados pessoais.

    Para repor o contentor, siga estes passos:
    1. Abra um programa de linha de comandos e navegue para Windows/System32.
    2. Escreva wdagtool.exe cleanup. O ambiente do contêiner é redefinido, mantendo somente os dados gerados pelo funcionário.
    3. Escreva wdagtool.exe cleanup RESET_PERSISTENCE_LAYER. O ambiente do contêiner é redefinido, incluindo o descarte de todos os dados gerados pelo funcionário.

    O Microsoft Edge versão 90 ou posterior já não suporta RESET_PERSISTENCE_LAYER.

Aplica-se a:

  • edições Windows 10 Enterprise ou Pro, versão 1803
  • Windows 11 Enterprise ou edições Pro, versão 21H2. A persistência de dados está desativada por predefinição no Windows 11, versão 22H2 e posterior.

Opções de download

  1. Aceda a Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Permitir que os ficheiros transfiram e guardem no sistema operativo anfitrião a partir Microsoft Defender Application Guard definição.

  2. Selecione Ativado e selecione OK.

    Política de Grupo editor Transferir opções.

  3. Termine sessão e volte a iniciar sessão no seu dispositivo, abrindo o Microsoft Edge no Application Guard novamente.

  4. Transfira um ficheiro a partir de Microsoft Defender Application Guard.

  5. Verifique se o ficheiro foi transferido para Este PC > Transfere ficheiros > não fidedignos.

Opções de aceleração de hardware

  1. Aceda à definição Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Permitir composição acelerada por hardware para Microsoft Defender Application Guard.

  2. Selecione Ativado e Selecione OK.

    Política de Grupo opções de aceleração de hardware do editor.

  3. Depois de ativar esta funcionalidade, abra o Microsoft Edge e navegue para um URL não fidedigno, mas seguro, com vídeo, 3D ou outros conteúdos com utilização intensiva de gráficos. O site é aberto numa sessão isolada.

  4. Avalie a experiência visual e o desempenho da bateria.

Opções de câmara e microfone

  1. Aceda à definição Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Permitir acesso à câmara e ao microfone na definição Microsoft Defender Application Guard.

  2. Selecione Ativado e selecione OK.

    Política de Grupo opções de câmara e microfone do editor.

  3. Termine sessão e volte a iniciar sessão no seu dispositivo, abrindo o Microsoft Edge no Application Guard novamente.

  4. Abra uma aplicação com capacidade de vídeo ou áudio no Microsoft Edge.

  5. Verifique se a câmara e o microfone funcionam conforme esperado.

Opções de partilha de certificados de raiz

  1. Aceda a Configuração do Computador\Modelos Administrativos\Componentes do Windows\Microsoft Defender Application Guard\Permitir que Microsoft Defender Application Guard utilize as Autoridades de Certificação de Raiz a partir da definição do dispositivo do utilizador.

  2. Selecione Ativado, copie o thumbprint de cada certificado para partilhar, separado por uma vírgula e selecione OK.

    Política de Grupo opções de certificado de raiz do editor.

  3. Termine sessão e volte a iniciar sessão no seu dispositivo, abrindo o Microsoft Edge no Application Guard novamente.

Extensão Application Guard para browsers de terceiros

A Extensão de Application Guard disponível para o Chrome e o Firefox permite que Application Guard protejam os utilizadores mesmo quando estão a executar um browser diferente do Microsoft Edge ou Explorer da Internet.

Assim que um utilizador tiver a extensão e a respetiva aplicação complementar instaladas no respetivo dispositivo empresarial, pode executar os seguintes cenários.

  1. Abra o Firefox ou o Chrome, seja qual for o browser onde tiver a extensão instalada.

  2. Navegue para um site organizacional. Por outras palavras, um site interno mantido pela sua organização. Poderá ver esta página de avaliação por um instante antes de o site ser totalmente carregado.

    A página de avaliação apresentada enquanto a página está a ser carregada, explicando que o utilizador tem de esperar.

  3. Navegue para um site de web site externo, como www.bing.com. O site deve ser redirecionado para o Microsoft Defender Application Guard Edge.

    Um site não empresarial a ser redirecionado para um contentor de Application Guard - o texto apresentado explica que a página está a ser aberta no Application Guard para o Microsoft Edge.

  4. Abra uma nova janela de Application Guard ao selecionar o ícone de Microsoft Defender Application Guard e, em seguida, Nova Janela de Application Guard.

    A opção