Comment utiliser Microsoft Defender Application Guard étape par étape

Si vous travaillez avec des informations sensibles ou si vous consultez quotidiennement des sites web suspects, Protection d'application Microsoft Defender (MDAG) C'est l'une de ces fonctionnalités Windows qui peuvent faire toute la différence entre une simple frayeur et une catastrophe. Il ne s'agit pas d'un antivirus supplémentaire, mais d'une couche de protection additionnelle qui isole les menaces de votre système et de vos données.

Vous verrez clairement dans les lignes qui suivent Qu’est-ce qu’Application Guard exactement, comment fonctionne-t-il en interne, sur quels appareils peut-on l’utiliser et comment le configurer ? Nous aborderons les déploiements simples et les déploiements en entreprise. Nous passerons également en revue les exigences, les stratégies de groupe, les erreurs courantes et diverses questions fréquemment posées lors de la prise en main de cette technologie.

Qu’est-ce que Microsoft Defender Application Guard et comment fonctionne-t-il ?

Microsoft Defender Application Guard est une fonctionnalité de sécurité avancée conçue pour Isolez les sites web et les documents non fiables dans un conteneur virtuel Basé sur Hyper-V. Au lieu de tenter de bloquer chaque attaque une par une, il crée un petit « ordinateur jetable » où il place les éléments suspects.

Ce conteneur s'exécute dans un séparé du système d'exploitation principalAvec sa propre instance Windows sécurisée et sans accès direct aux fichiers, identifiants ou ressources internes de l'entreprise, même si un site malveillant parvient à exploiter une vulnérabilité du navigateur ou d'Office, les dommages restent confinés à cet environnement isolé.

Dans le cas de Microsoft Edge, Application Guard garantit que tout domaine qui n'est pas marqué comme fiable Il s'ouvre automatiquement dans ce conteneur. Pour Office, il en va de même pour les documents Word, Excel et PowerPoint provenant de sources que l'organisation juge non sûres.

L'élément clé est que cette isolation est de type matériel : Hyper-V crée un environnement indépendant depuis l'hôte, ce qui réduit considérablement la possibilité qu'un attaquant passe de la session isolée au système réel, vole des données de l'entreprise ou exploite des identifiants stockés.

De plus, le conteneur est traité comme un environnement anonyme : Il n'hérite pas des cookies, mots de passe ou sessions de l'utilisateur.Cela complique considérablement la vie des attaquants qui utilisent des techniques d'usurpation d'identité ou de vol de session.

Types d'appareils recommandés pour l'utilisation d'Application Guard

Bien qu'Application Guard puisse techniquement fonctionner dans divers scénarios, il est spécialement conçu pour environnements d'entreprise et appareils gérésMicrosoft distingue plusieurs types d'équipements pour lesquels MDAG est le plus pertinent.

Il y a tout d'abord les poste de travail d'entreprise joint à un domaineCes ordinateurs sont généralement gérés par Configuration Manager ou Intune. Ce sont des ordinateurs de bureau classiques, utilisés par des utilisateurs standard et connectés au réseau câblé de l'entreprise, où le risque provient principalement de la navigation internet quotidienne.

Ensuite nous avons le ordinateurs portables d'entrepriseCes appareils sont également connectés à un domaine et gérés de manière centralisée, mais ils se connectent à des réseaux Wi-Fi internes ou externes. Dans ce cas, le risque augmente car l'appareil quitte le réseau contrôlé et est exposé aux réseaux Wi-Fi des hôtels, des aéroports ou des réseaux domestiques.

Un autre groupe est celui des ordinateurs portables BYOD (Bring Your Own Device), matériel personnel qui n'appartient pas à l'entreprise mais qui est géré via des solutions comme Intune. Elles sont généralement entre les mains d'utilisateurs disposant de privilèges d'administrateur local, ce qui augmente la surface d'attaque et rend l'isolation de l'accès aux ressources de l'entreprise plus attrayante.

Enfin, il y a les appareils personnels totalement non gérésIl s'agit de sites web n'appartenant à aucun domaine et sur lesquels l'utilisateur a un contrôle total. Dans ce cas, Application Guard peut être utilisé en mode autonome (notamment pour Edge) afin d'offrir une protection supplémentaire lors de la consultation de sites web potentiellement dangereux.

Éditions Windows et licences requises

Avant de commencer toute configuration, il est important de bien comprendre ce point. Dans quelles éditions de Windows pouvez-vous utiliser Microsoft Defender Application Guard ? et avec quels droits de licence.

Pour Mode autonome Edge (c’est-à-dire l’utilisation d’Application Guard uniquement comme un environnement de test pour navigateur sans gestion d’entreprise avancée) est prise en charge sous Windows :

• Windows Pro
• Windows Enterprise
• Windows Pro Éducation / SE
• Windows Education

Dans ce scénario, les droits de licence MDAG sont accordés si vous possédez des licences telles que : Windows Pro / Pro Éducation / SE, Windows Entreprise E3 ou E5 et Windows Éducation A3 ou A5En pratique, sur de nombreux PC professionnels équipés de Windows Pro, cette fonctionnalité peut déjà être activée pour une utilisation de base.

Pour mode entreprise de pointe et administration d'entreprise (lorsque des directives avancées et des scénarios plus complexes entrent en jeu), le soutien est réduit :

• Windows Enterprise y Windows Education Application Guard est pris en charge dans ce mode.
• Windows Pro et Windows Pro Éducation/SE aucune Ils proposent une assistance pour cette variante destinée aux entreprises.

En ce qui concerne les licences, cette utilisation plus avancée en entreprise nécessite Windows Entreprise E3/E5 ou Windows Éducation A3/A5Si votre organisation utilise uniquement la version Pro sans abonnement Enterprise, vous serez limité au mode autonome d'Edge.

Configuration système requise et compatibilité

Outre l'édition Windows, pour qu'Application Guard fonctionne de manière stable, vous devez également respecter les conditions suivantes : une série d'exigences techniques relatif à la version, au matériel et à la prise en charge de la virtualisation.

Concernant le système d'exploitation, son utilisation est obligatoire. Windows 10 1809 ou version ultérieure (Mise à jour d'octobre 2018) ou une version équivalente de Windows 11. Elle n'est pas destinée aux serveurs ni à leurs variantes fortement allégées ; elle est clairement conçue pour les ordinateurs clients.

Au niveau matériel, l'équipement doit avoir la virtualisation matérielle a été activée (Prise en charge d'Intel VT-x/AMD-V et de la traduction d'adresses de second niveau, comme SLAT), car Hyper-V est un composant essentiel à la création du conteneur isolé. Sans cette couche, MDAG ne pourra pas établir son environnement sécurisé.

Il est également essentiel d'avoir mécanismes d'administration compatibles Si vous prévoyez une utilisation centralisée (par exemple, avec Microsoft Intune ou Configuration Manager), comme indiqué dans la configuration logicielle requise pour les entreprises, l'interface de sécurité Windows suffira pour les déploiements simples.

Enfin, notez que Application Guard est en cours de dépréciation. Pour Microsoft Edge Entreprise, certaines API associées aux applications autonomes ne seront plus mises à jour. Malgré cela, cette pratique reste très courante dans les environnements où la maîtrise des risques à court et moyen terme est essentielle.

Cas d'utilisation : sécurité versus productivité

L'un des problèmes classiques de la cybersécurité est de trouver le juste équilibre entre protéger véritablement, et non bloquer l'utilisateurSi vous n'autorisez qu'une poignée de sites web « béni », vous réduisez le risque, mais vous nuisez à la productivité. Si vous assouplissez les restrictions, le niveau d'exposition explose.

Le navigateur est l'un des surfaces d'attaque principales Le but de ce travail est d'ouvrir du contenu non fiable provenant de sources très diverses : sites web inconnus, téléchargements, scripts tiers, publicités agressives, etc. Peu importe les améliorations apportées au moteur, il y aura toujours de nouvelles vulnérabilités que quelqu'un tentera d'exploiter.

Dans ce modèle, l'administrateur définit précisément les domaines, les plages d'adresses IP et les ressources cloud qu'il considère comme dignes de confiance. Tout ce qui ne figure pas sur cette liste est automatiquement placé dans le conteneur.L'utilisateur peut ainsi naviguer sans craindre qu'une panne du navigateur ne mette en péril le reste des systèmes internes.

Il en résulte une navigation relativement flexible pour l'employé, mais avec un frontière fortement gardée entre un monde extérieur peu fiable et un environnement d'entreprise qu'il faut protéger à tout prix.

Fonctionnalités et mises à jour récentes d'Application Guard dans Microsoft Edge

Dans les différentes versions de Microsoft Edge basées sur Chromium, Microsoft a ajouté Améliorations spécifiques pour Application Guard dans le but d'améliorer l'expérience utilisateur et de donner à l'administrateur plus de contrôle.

L'une des nouvelles fonctionnalités importantes est la bloquer les téléchargements de fichiers depuis le conteneurDepuis Edge 96, les organisations peuvent empêcher les utilisateurs de télécharger des documents depuis leur appareil local vers un formulaire ou un service Web au sein d'une session isolée, grâce à la politique de sécurité. ApplicationGuardUploadBlockingEnabledCela réduit le risque de fuites d'informations.

Une autre amélioration très utile est la mode passif, disponible depuis Edge 94. Lorsqu'elle est activée par la politique ApplicationGuardPassiveModeEnabledApplication Guard cesse d'imposer la liste des sites et permet à l'utilisateur de naviguer sur Edge « normalement », même si la fonctionnalité reste installée. C'est une solution pratique pour rendre la technologie opérationnelle sans rediriger le trafic pour le moment.

La possibilité de a également été ajoutée synchroniser les favoris de l'hôte avec le conteneurDe nombreux clients l'avaient demandé afin d'éviter deux expériences de navigation totalement distinctes. Depuis Edge 91, la politique ApplicationGuardFavoritesSyncEnabled Cela permet à de nouveaux marqueurs d'apparaître de manière égale au sein de cet environnement isolé.

Dans le domaine du réseau, Edge 91 intégrait la prise en charge de étiqueter le trafic sortant du conteneur grâce à la directive ApplicationGuardTrafficIdentificationEnabledCela permet aux entreprises d'identifier et de filtrer ce trafic via un proxy, par exemple pour restreindre l'accès à un très petit nombre de sites lors de la navigation depuis MDAG.

Double proxy, extensions et autres scénarios avancés

Certaines organisations utilisent Application Guard dans des déploiements plus complexes où elles ont besoin de Surveillez de près le trafic des conteneurs et les capacités du navigateur au sein de cet environnement isolé.

Dans ces cas, Edge prend en charge double proxy À partir de la version stable 84, configurable via la directive ApplicationGuardContainerProxyL'idée est que le trafic provenant du conteneur est acheminé via un proxy spécifique, différent de celui utilisé par l'hôte, ce qui facilite l'application de règles indépendantes et d'une inspection plus stricte.

Une autre demande récurrente des clients concernait la possibilité de utiliser des extensions à l'intérieur du conteneurDepuis Edge 81, cela est possible : les bloqueurs de publicités, les extensions internes d’entreprise et autres outils peuvent donc être exécutés à condition de respecter les politiques définies. Il est nécessaire de déclarer… updateURL de l'extension dans les politiques d'isolation réseau afin qu'elle soit considérée comme une ressource neutre accessible depuis Application Guard.

Les scénarios acceptés comprennent les installation forcée d'extensions sur l'hôte Ces extensions apparaissent ensuite dans le conteneur, ce qui permet de supprimer certaines extensions ou de bloquer celles jugées indésirables pour des raisons de sécurité. Toutefois, cela ne s'applique pas aux extensions qui utilisent des composants natifs de gestion des messages. Ils ne sont pas compatibles au sein de MDAG.

Pour aider à diagnostiquer les problèmes de configuration ou de comportement, un page de diagnostic spécifique en edge://application-guard-internalsÀ partir de là, vous pouvez vérifier, entre autres, si une URL donnée est considérée comme fiable ou non selon les politiques effectivement appliquées à l'utilisateur.

Enfin, concernant les mises à jour, le nouveau Microsoft Edge sera Il se met également à jour automatiquement au sein du conteneur.Il utilise le même canal et la même version que le navigateur hôte. Il n'est plus dépendant du cycle de mise à jour du système d'exploitation, contrairement à l'ancienne version d'Edge, ce qui simplifie considérablement la maintenance.

Comment activer Microsoft Defender Application Guard sous Windows

Si vous souhaitez l'exécuter sur un appareil compatible, la première étape est activer la fonctionnalité Windows En résumé, le processus est assez simple.

La méthode la plus rapide consiste à ouvrir la boîte de dialogue Exécuter avec Win + R, Écrire appwiz.cpl Appuyez ensuite sur Entrée pour accéder directement au panneau « Programmes et fonctionnalités ». Vous y trouverez, sur la gauche, le lien « Activer ou désactiver des fonctionnalités Windows ».

Dans la liste des composants disponibles, vous devrez localiser l'entrée. « Protection des applications Microsoft Defender » Sélectionnez-la. Une fois acceptée, Windows téléchargera ou activera les fichiers binaires nécessaires et vous invitera à redémarrer votre ordinateur pour appliquer les modifications.

Après le redémarrage, sur les appareils compatibles dotés des versions correctes d'Edge, vous devriez pouvoir : Ouvrir de nouvelles fenêtres ou des onglets isolés via les options du navigateur ou, dans les environnements gérés, automatiquement selon la configuration de la liste des sites non fiables.

Si vous ne voyez pas d'options telles que « Nouvelle fenêtre Application Guard » ou si le conteneur ne s'ouvre pas, il est possible que Les instructions que vous suivez sont peut-être obsolètes.Cela peut être dû au fait que votre édition de Windows n'est pas prise en charge, que Hyper-V n'est pas activé ou que la politique de votre organisation a désactivé cette fonctionnalité.

Configuration d'Application Guard avec la stratégie de groupe

En milieu professionnel, chaque équipement n'est pas configuré manuellement ; on utilise un système prédéfini. stratégie de groupe (GPO) ou des profils de configuration dans Intune pour définir les politiques de manière centralisée. Application Guard repose sur deux principaux blocs de configuration : l’isolation du réseau et les paramètres spécifiques à l’application.

Les paramètres d'isolation réseau se trouvent dans Computer Configuration\Administrative Templates\Network\Network IsolationC'est ici que, par exemple, sont définis les éléments suivants : plages de domaines et domaines du réseau interne considérés comme des domaines d'entreprisequi marquera la limite entre ce qui est fiable et ce qui doit être jeté à la poubelle.

L'une des politiques clés est celle de « Intervalles de réseau privé pour les applications »Cette section spécifie, sous forme de liste séparée par des virgules, les plages d'adresses IP appartenant au réseau d'entreprise. Les points de terminaison situés dans ces plages s'ouvriront dans un environnement Edge normal et ne seront pas accessibles depuis l'environnement Application Guard.

Une autre politique importante est celle de « Domaines de ressources d'entreprise hébergés dans le cloud »qui utilise une liste séparée par le caractère | Pour indiquer les domaines SaaS et les services cloud de l'organisation qui doivent être considérés comme internes. Ces éléments seront également affichés en dehors du conteneur, côté Edge.

Enfin, la directive de « Domaines classés comme personnels et professionnels » Il vous permet de déclarer des domaines utilisables à des fins personnelles et professionnelles. Ces sites seront accessibles depuis l'environnement Edge standard et Application Guard, selon le cas.

Utilisation de caractères génériques dans les paramètres d'isolation réseau

Pour éviter d'avoir à écrire chaque sous-domaine un par un, les listes d'isolation réseau prennent en charge caractères génériques dans les noms de domaineCela permet un meilleur contrôle de ce qui est considéré comme fiable.

Si elle est simplement définie contoso.comLe navigateur ne fera confiance qu'à cette valeur précise et non à celles d'autres domaines la contenant. Autrement dit, il considérera uniquement cette valeur littérale comme appartenant à une entreprise. la racine exacte et pas www.contoso.com ni variantes.

Si spécifié www.contoso.com, ensuite uniquement cet hôte spécifique seront considérés comme fiables. D'autres sous-domaines tels que shop.contoso.com Ils seraient laissés de côté et pourraient finir à la benne à ordures.

Avec le format .contoso.com (un point avant) indique que Tout domaine se terminant par « contoso.com » est considéré comme fiable.. Cela comprend de contoso.com jusqu'à www.contoso.com ou même des chaînes comme spearphishingcontoso.comIl faut donc l'utiliser avec précaution.

Enfin, s'il est utilisé ..contoso.com (deux-points initial), tous les niveaux de la hiérarchie situés à gauche du domaine sont considérés comme fiables, par exemple shop.contoso.com o us.shop.contoso.commais Le domaine racine « contoso.com » n'est pas fiable. En soi, c'est une manière plus subtile de contrôler ce qui est considéré comme une ressource de l'entreprise.

Directives spécifiques à l'application principale

Le deuxième ensemble majeur de paramètres se trouve dans Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application GuardLe pays est gouverné d'ici. comportement détaillé du conteneur et ce que l'utilisateur peut ou ne peut pas faire à l'intérieur de celui-ci.

L'une des politiques les plus pertinentes est celle de « Paramètres du presse-papiers »Ce paramètre détermine si la copie et le collage de texte ou d'images entre l'hôte et Application Guard sont possibles. En mode géré, vous pouvez autoriser la copie uniquement depuis le conteneur vers l'extérieur, uniquement dans le sens inverse, ou même désactiver complètement le presse-papiers.

De même, la directive de « Paramètres d’impression » Il détermine si le contenu peut être imprimé à partir du conteneur et dans quels formats. Vous pouvez autoriser l'impression au format PDF, XPS, sur les imprimantes locales connectées ou sur les imprimantes réseau prédéfinies, ou bloquer toutes les fonctions d'impression au sein de MDAG.

Le choix « Reconnaître la persévérance » Ce paramètre détermine si les données utilisateur (fichiers téléchargés, cookies, favoris, etc.) sont conservées entre les sessions Application Guard ou supprimées à chaque arrêt de l'environnement. En mode géré, l'activation de cette option permet au conteneur de conserver ces informations pour les sessions suivantes ; sa désactivation entraîne un environnement quasiment vierge à chaque démarrage.

Si vous décidez ultérieurement de désactiver la persistance des données, vous pouvez utiliser l'outil. wdagtool.exe avec les paramètres cleanup o cleanup RESET_PERSISTENCE_LAYER réinitialiser le conteneur et supprimer les informations générées par l'employé.

Une autre politique clé est « Activer Application Guard en mode géré »Cette section précise si la fonctionnalité s’applique à Microsoft Edge, à Microsoft Office ou aux deux. Cette stratégie ne s’appliquera pas si l’appareil ne remplit pas les conditions préalables ou si l’isolation réseau est configurée (sauf dans certaines versions récentes de Windows où elle n’est plus requise pour Edge si des mises à jour KB spécifiques ont été installées).

Partage de fichiers, certificats, caméra et audit

Outre les politiques mentionnées ci-dessus, il existe d'autres directives qui ont une incidence comment le conteneur interagit avec le système hôte et avec les périphériques.

La politique « Autoriser le téléchargement de fichiers sur le système d'exploitation hôte » Ce paramètre détermine si l'utilisateur peut enregistrer sur l'hôte les fichiers téléchargés depuis l'environnement isolé. Lorsqu'il est activé, il crée une ressource partagée entre les deux environnements, autorisant également certains transferts de l'hôte vers le conteneur ; une fonctionnalité très utile, mais qui doit être évaluée du point de vue de la sécurité.

La configuration de « Activer le rendu accéléré par le matériel » Active l'utilisation du GPU via vGPU pour améliorer les performances graphiques, notamment lors de la lecture de vidéos et de contenus gourmands en ressources. En l'absence de matériel compatible, Application Guard utilisera le rendu CPU. Cependant, l'activation de cette option sur des appareils dont les pilotes sont instables peut accroître les risques pour le système hôte.

Il existe également une directive pour autoriser l'accès à la caméra et au microphone au sein du conteneur. Son activation permet aux applications exécutées sous MDAG d'utiliser ces périphériques, facilitant ainsi les appels vidéo ou les conférences depuis des environnements isolés, mais elle ouvre également la porte au contournement des autorisations standard si le conteneur est compromis.

Une autre politique autorise Application Guard utiliser des autorités de certification racine d'hôte spécifiquesCela transfère au conteneur les certificats dont l'empreinte a été spécifiée. Si cette option est désactivée, le conteneur n'héritera pas de ces certificats, ce qui peut bloquer les connexions à certains services internes s'ils dépendent d'autorités privées.

Enfin, la possibilité de « Autoriser les événements d’audit » Cela permet d'enregistrer les événements système générés dans le conteneur et d'hériter des politiques d'audit des périphériques, afin que l'équipe de sécurité puisse suivre ce qui se passe à l'intérieur d'Application Guard à partir des journaux de l'hôte.

Intégration avec les frameworks de support et de personnalisation

Lorsqu'un problème survient dans Application Guard, l'utilisateur voit un boîte de dialogue d'erreur Par défaut, cette interface ne comprend qu'une description du problème et un bouton permettant de le signaler à Microsoft via le Hub de commentaires. Toutefois, elle peut être personnalisée pour faciliter le support interne.

Sur le parcours Administrative Templates\Windows Components\Windows Security\Enterprise Customization Il existe une politique que l'administrateur peut utiliser Ajouter les coordonnées du service d'assistanceDes liens internes ou des instructions brèves. Ainsi, lorsqu'un employé constate l'erreur, il saura immédiatement qui contacter ou quelles mesures prendre.

Questions fréquentes et problèmes courants liés à Application Guard

L'utilisation d'Application Guard génère un bon nombre de questions récurrentes dans des déploiements réels, notamment en ce qui concerne les performances, la compatibilité et le comportement du réseau.

L'une des premières questions est de savoir si cela peut être activé dans appareils dotés de seulement 4 Go de RAMBien que cela puisse fonctionner dans certains cas, en pratique, les performances sont généralement fortement dégradées, car le conteneur est pratiquement un autre système d'exploitation fonctionnant en parallèle.

Un autre point sensible est l'intégration avec proxys réseau et scripts PACLes messages tels que « Impossible de résoudre les URL externes depuis le navigateur MDAG : ERR_CONNECTION_REFUSED » ou « ERR_NAME_NOT_RESOLVED » lors de l’échec d’accès au fichier PAC indiquent généralement des problèmes de configuration entre le conteneur, le proxy et les règles d’isolation.

Il existe également des problèmes liés à Les éditeurs de méthode de saisie (IME) ne sont pas pris en charge. Dans certaines versions de Windows, des conflits avec les pilotes de chiffrement de disque ou les solutions de contrôle des périphériques empêchent le conteneur de terminer son chargement.

Certains administrateurs rencontrent des erreurs telles que : « ERREUR_LIMITATION_DISQUE_VIRTUEL » En cas de limitations liées aux disques virtuels, ou d'échecs de désactivation de technologies telles que l'hyperthreading qui affectent indirectement Hyper-V et, par extension, MDAG.

Des questions se posent également sur la manière dont Ne faites confiance qu'à certains sous-domaines, concernant les limites de taille de la liste des domaines ou comment désactiver le comportement selon lequel l'onglet hôte se ferme automatiquement lors de la navigation vers un site qui s'ouvre dans le conteneur.

Application Guard, mode IE, Chrome et Office

Dans les environnements où le Mode IE dans Microsoft EdgeApplication Guard est pris en charge, mais Microsoft ne prévoit pas une utilisation généralisée de cette fonctionnalité dans ce mode. Il est recommandé de réserver le mode IE à des applications ou usages spécifiques. sites internes de confiance et n'utilisez MDAG que pour les sites web considérés comme externes et non fiables.

Il est important de s'assurer que tous les sites configurés en mode IELe réseau, ainsi que ses adresses IP associées, doivent également être inclus dans les politiques d'isolation du réseau en tant que ressources de confiance. Dans le cas contraire, un comportement inattendu pourrait survenir lors de la combinaison de ces deux fonctions.

Concernant Chrome, de nombreux utilisateurs se demandent si c'est nécessaire. installer une extension Application GuardLa réponse est non : cette fonctionnalité est intégrée nativement à Microsoft Edge, et l’ancienne extension Chrome n’est pas une configuration prise en charge lors de l’utilisation d’Edge.

Pour les documents Office, Application Guard permet Ouvrez les fichiers Word, Excel et PowerPoint dans un conteneur isolé. Lorsque des fichiers sont jugés non fiables, cette protection empêche les macros malveillantes et autres vecteurs d'attaque d'atteindre l'hôte. Elle peut être combinée avec d'autres fonctionnalités de Defender et des stratégies de confiance des fichiers.

Il existe même une option de stratégie de groupe permettant aux utilisateurs d'« approuver » certains fichiers ouverts dans Application Guard, afin qu'ils soient considérés comme sûrs et quittent le conteneur. Cette fonctionnalité doit être gérée avec précaution pour ne pas compromettre l'isolation.

Téléchargements, presse-papiers, favoris et extensions : expérience utilisateur

Du point de vue de l'utilisateur, certaines des questions les plus pratiques tournent autour de Ce qui est possible et ce qui ne l'est pas à l'intérieur du conteneurnotamment en ce qui concerne les téléchargements, le copier-coller et les extensions.

Sous Windows 10 Entreprise 1803 et versions ultérieures (avec quelques nuances selon l'édition), il est possible autoriser le téléchargement de documents du conteneur vers l'hôte Cette option n'était pas disponible dans les versions précédentes ni dans certaines versions d'éditions comme la Pro, même s'il était possible d'imprimer au format PDF ou XPS et d'enregistrer le résultat sur le périphérique hôte.

Concernant le presse-papiers, la politique de l'entreprise peut l'autoriser. Les images au format BMP et le texte sont copiés. vers et depuis l'environnement isolé. Si des employés se plaignent de ne pas pouvoir copier de contenu, ces politiques devront généralement être réexaminées.

De nombreux utilisateurs se demandent également pourquoi Ils ne voient ni leurs favoris ni leurs extensions Dans la session Edge sous Application Guard, ce problème survient généralement lorsque la synchronisation des favoris est désactivée ou que la stratégie d'extensions dans MDAG n'est pas activée. Une fois ces options ajustées, le navigateur conteneur peut hériter des favoris et de certaines extensions, toujours avec les limitations mentionnées précédemment.

Il arrive même qu'une extension apparaisse mais « ne fonctionne pas ». Si elle repose sur des composants natifs de gestion des messages, cette fonctionnalité ne sera pas disponible dans le conteneur, et l'extension aura un comportement limité, voire totalement inopérant.

Performances graphiques, HDR et accélération matérielle

Un autre sujet qui revient fréquemment est celui de Lecture vidéo et fonctionnalités avancées telles que le HDR Au sein d'Application Guard. Lorsqu'il s'exécute sur Hyper-V, le conteneur n'a pas toujours un accès direct aux capacités du GPU.

Pour que la lecture HDR fonctionne correctement dans un environnement isolé, il est nécessaire que L'accélération matérielle vGPU est activée via la politique de rendu accéléré. Sinon, le système s'appuiera sur le processeur et certaines options comme le HDR ne seront pas disponibles dans les paramètres du lecteur ou du site web.

Même avec l'accélération activée, si le matériel graphique n'est pas jugé suffisamment sécurisé ou compatible, Application Guard peut retour automatique au rendu logicielce qui influe sur la fluidité et la consommation de la batterie des ordinateurs portables.

Certains déploiements ont présenté des problèmes de fragmentation TCP et des conflits avec Des VPN qui ne semblent jamais fonctionner. Lorsque le trafic transite par le conteneur, il est généralement nécessaire de revoir les politiques réseau, la MTU, la configuration du proxy et parfois d'ajuster l'intégration de MDAG avec les autres composants de sécurité déjà installés.

Assistance, diagnostic et signalement des incidents

Lorsque, malgré tout, des problèmes surviennent et ne peuvent être résolus en interne, Microsoft recommande ouvrir un ticket de support spécifique pour Microsoft Defender Application Guard. Il est important de recueillir au préalable des informations sur la page de diagnostic, les journaux d'événements associés et les détails de la configuration appliquée à l'appareil.

L'utilisation de la page edge://application-guard-internals, combiné avec le événements d'audit activés et la mise à disposition d'outils tels que wdagtool.exeElle fournit généralement à l'équipe d'assistance suffisamment de données pour localiser la source du problème, qu'il s'agisse d'une politique mal définie, d'un conflit avec un autre produit de sécurité ou d'une limitation matérielle.

En plus de tout cela, les utilisateurs peuvent personnaliser les messages d'erreur et les informations de contact dans la boîte de dialogue d'assistance technique de sécurité Windows, ce qui leur permet de trouver plus facilement la solution appropriée. Ne restez pas bloqué sans savoir vers qui vous tourner. lorsque le conteneur ne démarre pas ou ne s'ouvre pas comme prévu.

Globalement, Microsoft Defender Application Guard offre une puissante combinaison d'isolation matérielle, de contrôle précis des stratégies et d'outils de diagnostic qui, lorsqu'ils sont utilisés correctement, peuvent réduire considérablement les risques liés à la navigation sur des sites non fiables ou à l'ouverture de documents provenant de sources douteuses, sans compromettre la productivité quotidienne.