注意
- Microsoft Defender 應用程式防護,包括 Windows 獨立應用程式啟動器 API,已不再用於 商務用 Microsoft Edge,將不再更新。 欲了解更多 Microsoft Edge 安全功能,請參閱 Microsoft Edge 企業安全指南。
- 從 Windows 11 版本 24H2 起,Microsoft Defender 應用程式防護,包括 Windows 隔離應用程式啟動器 API,已不再提供。
- 由於 Application Guard 已被棄用,將不會遷移到 Edge Manifest V3。 相應的瀏覽器擴充功能及相關的 Windows Store 應用程式已不再可用。 如果你想封鎖未受保護的瀏覽器,直到準備好在企業中停用 MDAG,我們建議使用 AppLocker 政策或 Microsoft Edge 管理服務。 欲了解更多資訊,請參閱 Microsoft Edge 與 Microsoft Defender 應用程式防護。
Microsoft Defender 應用程式防護 (MDAG) 旨在防止舊有及新興攻擊,以維持員工的生產力。 利用我們獨特的硬體隔離方法,目標是摧毀攻擊者所使用的操作手冊,讓現有攻擊手法變得過時。
什麼是應用程式防護?如何運作?
對於 Microsoft Edge,Application Guard 幫助隔離企業定義的不受信任網站,保護您的公司,同時員工也能瀏覽網路。 作為企業的系統管理員,您可以定義受信任的網站、雲端資源,和內部網路。 所有不在您的清單上的項目都被視為不受信任。 若員工透過 Microsoft Edge 或 Internet Explorer 造訪不受信任的網站,Microsoft Edge 會以獨立的 Hyper-V 容器開啟該網站。
對於 Microsoft Office,Application Guard 有助於防止不受信任的 Word、PowerPoint 和 Excel 檔案存取受信任資源。 Application Guard 會開啟位於隔離 Hyper-V 容器中的不受信任檔案。 隔離的 Hyper-V 容器與主機作業系統是分開的。 這種容器隔離意味著,如果不信任的網站或檔案被證實是惡意的,主機裝置會受到保護,攻擊者無法取得你的企業資料。 例如,這種方式使隔離容器為匿名,所以攻擊者無法取得您的員工的企業認證。
有哪些類型的裝置應該使用應用程式防護?
Application Guard 是為了針對多種裝置類型而設計的:
企業桌機。 這些桌面加入網域且由您的組織所管理。 組態管理主要透過 Microsoft Configuration Manager 或 Microsoft Intune 進行。 員工通常有標準使用者權限,並使用高頻寬有線、公司網路。
企業行動筆電。 這些膝上型電腦加入網域且由您的組織所管理。 組態管理主要透過 Microsoft Configuration Manager 或 Microsoft Intune 進行。 員工通常有標準使用者權限,並使用高頻寬無線、公司網路。
帶自己的裝置 (BYOD) 行動筆電。 這些個人擁有的筆電並非網域連結,而是由你的組織透過工具管理,例如Microsoft Intune。 員工通常是裝置上的系統管理員,並且在工作時使用高頻寬無限的公司網路,在家時則使用類似的私人網路。
個人裝置。 這些個人擁有的桌機或行動筆電並非由任何組織管理或網域加入。 使用者是裝置上的管理員,在家時使用高頻寬的無線個人網路,或在外使用相當的公共網路。
Windows 版本和授權需求
下表列出支援 Microsoft Defender 應用程式防護 (Mag) 用於 Edge 獨立模式的 Windows 版本:
| Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
|---|---|---|---|
| 是 | 是 | 是 | 是 |
Microsoft Defender 應用程式防護 (Edge 獨立模式的 MDAG) 授權由以下授權授予:
| Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。
欲了解更多關於 Microsoft Defender 應用程式防護 (Microsoft Edge 企業模式的 MDAG) ,請設定 Microsoft Defender 應用程式防護 政策設定。
相關文章
| 文章 | 描述 |
|---|---|
| Microsoft Defender 應用程式防護系統需求 | 規定安裝及使用 Application Guard 所需的前置條件。 |
| 準備並安裝 Microsoft Defender 應用程式防護 | 提供有關判斷該使用何種模式,獨立或受企業管理其中之一,以及如何在您的組織中安裝應用程式防護的指示。 |
| 設定 Microsoft Defender 應用程式防護的群組原則設定 | 提供可用的群組原則和 MDM 設定的相關資訊。 |
| 在您的企業或組織中使用 Microsoft Defender 應用程式防護的測試情境 | 提供建議的測試場景清單,供你在組織中測試 Application Guard。 |
| Microsoft Defender 應用程式防護 for Microsoft Office | 說明 Microsoft Office 應用程式守護,包括最低硬體需求、設定及故障排除指南 |
| 常見問答集─Microsoft Defender 應用程式防護 | 提供關於 Application Guard 功能、與 Windows 作業系統整合及一般設定的常見問題解答。 |
| 在 Microsoft Intune 中,使用網路邊界在 Windows 裝置上新增受信任的網站 | 網路邊界是一項功能,幫助你保護環境免受組織不信任的網站侵害。 |