Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Platí pro: Word, Excel a aplikace PowerPoint pro Microsoft 365, Windows 10 Enterprise, Windows 11 Enterprise
Důležité
Ochrana Application Guard v programu Microsoft Defender pro Office je zastaralé a už se neaktualizuje. Toto vyřazení zahrnuje také rozhraní API Windows.Security.Isolation, která se používají pro Ochrana Application Guard v programu Microsoft Defender pro Office. Doporučujeme přejít na Microsoft Defender for Endpoint pravidla omezení potenciální oblasti útoku spolu s chráněným zobrazením a řízením aplikací v programu Windows Defender.
Ochrana Application Guard v programu Microsoft Defender pro Office (Ochrana Application Guard pro Office) pomáhá zabránit nedůvěryhodným souborům v přístupu k důvěryhodným prostředkům a udržovat váš podnik v bezpečí před novými a vznikajícími útoky. Tento článek provede správce nastavením podporovaných zařízení pro Ochranu Application Guard pro Office.
Požadavky
Licenční požadavky
- Microsoft 365 E5 nebo Sada služeb Microsoft Defender
- Bezpečné dokumenty v Microsoftu 365
Minimální požadavky na hardware
- Procesor: 64bitová verze, čtyři jádra (fyzická nebo virtuální), rozšíření virtualizace (Intel VT-x NEBO AMD-V), core i5 ekvivalentní nebo vyšší doporučená.
- Fyzická paměť: 8 GB paměti RAM.
- Pevný disk: 10 GB volného místa na systémové jednotce (doporučuje se DISK SSD).
Minimální požadavky na software
- Windows: Windows 10 Enterprise edice, build klienta verze 2004 (20H1) build 19041 nebo novější. Podporují se všechny verze Windows 11.
- Office: Microsoft 365 Apps s buildem 16.0.13530.10000 nebo novějším. V případě instalací aktuálního kanálu a měsíčního podnikového kanálu je tato verze ekvivalentní verzi verze 2011. Pro Semi-Annual Enterprise Channel a Semi-Annual Enterprise Channel (Preview) je minimální verze 2108 nebo novější. Podporují se 32bitová i 64bitová verze.
- Balíček aktualizace: Windows 10 kumulativní měsíční aktualizace zabezpečení KB4571756
Podrobné požadavky na systém najdete v tématu Požadavky na systém pro Ochrana Application Guard v programu Microsoft Defender. Informace o tom, jak povolit technologii virtualizace, najdete také v průvodcích výrobce počítače.
Další informace o Microsoft 365 Apps aktualizačních kanálech najdete v tématu Přehled aktualizačních kanálů pro Microsoft 365 Apps.
Nasazení Ochrany Application Guard pro Office
Povolení ochrany Application Guard pro Office
Požadavky na operační systém:
- Windows 10: Ověřte, že je nainstalovaný KB4571756 8. září 2020.
- Windows 11: Žádné zvláštní požadavky.
V části Funkce systému Windows vyberte Ochrana Application Guard v programu Microsoft Defender a pak vyberte OK. Povolení funkce Application Guard zobrazí výzvu k restartování systému. Restartování můžete provést hned nebo po kroku 3.
Průvodce aplikací můžete povolit také v Windows PowerShell spuštěním následujícího příkazu jako správce:
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuardV editoru Zásady skupiny přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti>systému Windows Ochrana Application Guard v programu Microsoft Defender.
Povolte nastavení Zapnout Ochrana Application Guard v programu Microsoft Defender ve spravovaném režimu. Nastavte hodnotu v části Možnosti na některou z následujících hodnot:
- 2: Povolte Ochrana Application Guard v programu Microsoft Defender POUZE pro izolovaná prostředí Windows.
- 3: Povolte Ochrana Application Guard v programu Microsoft Defender pro Microsoft Edge a izolovaná prostředí Windows.
Případně můžete nastavit odpovídající zásady CSP:
OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Datový typ: Celočíselná hodnota: 2
Restartujte počítač, pokud jste to ještě neudělali.
Nastavení diagnostiky & zpětné vazby pro odesílání úplných dat
Poznámka
Tento krok není povinný. Konfigurace volitelných diagnostických dat ale může pomoct s diagnostikou nahlášených problémů.
Tento krok zajistí, že data potřebná k identifikaci a řešení problémů se dostanou do Microsoftu. Pokud chcete povolit diagnostiku na zařízení s Windows, postupujte takto:
- Otevřete Nastavení z nabídky Start.
- V Nastavení Windows vyberte Ochrana osobních údajů.
- V části Ochrana osobních údajů vyberte Diagnostika & zpětnou vazbu a vyberte Volitelná diagnostická data.
Další informace o konfiguraci nastavení diagnostiky Windows najdete v tématu Konfigurace diagnostických dat Windows ve vaší organizaci.
Ověřte, že je ochrana Application Guard pro Office povolená a funkční.
Před potvrzením, že je ochrana Application Guard pro Office povolená, proveďte následující kroky:
- Spusťte Word, Excel nebo PowerPoint na zařízení, na kterém jsou nasazené zásady.
- V aplikaci, kterou jste spustili, přejděte na Účet souboru>. Na stránce Účet ověřte, že se zobrazí očekávaná licence.
Pokud chcete ověřit, že je ochrana Application Guard pro Office povolená, otevřete nedůvěryhodný dokument. Můžete například otevřít dokument stažený z internetu nebo přílohu e-mailu od někoho mimo vaši organizaci.
Při prvním otevření nedůvěryhodného souboru se zobrazí následující úvodní obrazovka Office. Ochrana Application Guard pro Office se právě aktivuje a soubor se otevírá. Následné otevírání nedůvěryhodných souborů je obvykle rychlejší.
Po otevření souboru existuje několik vizuálních indikátorů, které signalizují, že je soubor otevřený v Ochraně Application Guard pro Office:
Bublinový popisek na pásu karet
Ikona aplikace se štítem na hlavním panelu
Konfigurace Ochrany Application Guard pro Office
Office podporuje následující zásady pro konfiguraci Ochrany Application Guard pro Office. Tyto zásady je možné konfigurovat prostřednictvím zásad skupiny nebo prostřednictvím cloudové služby zásad Office.
Poznámka
Konfigurace těchto zásad může zakázat některé funkce souborů otevřených v Ochraně Application Guard pro Office.
| Politika | Popis |
|---|---|
| Nepoužívejte Ochranu Application Guard pro Office. | Vynutí, aby Word, Excel a PowerPoint místo ochrany Application Guard pro Office používaly kontejner izolace chráněného zobrazení. |
| Konfigurace ochrany Application Guard pro předběžné vytvoření kontejneru Office | Určuje, jestli je kontejner Ochrany Application Guard pro Office předem vytvořený kvůli lepšímu výkonu za běhu. Když tuto zásadu povolíte, můžete určit počet dní, za které se má pokračovat v předběžném vytváření kontejneru, nebo nechat předdefinovaný heuristický systém Office kontejner předem vytvořit. |
| Konfigurace kopírování a vkládání z dokumentů Office otevřených v Ochraně Application Guard | Umožňuje řídit, jestli uživatelé můžou kopírovat a vkládat obsah z Office do a z dokumentů otevřených v Ochraně Application Guard a také povolené formáty. |
| Zakázání hardwarové akcelerace v Ochraně Application Guard pro Office | Určuje, jestli Application Guard pro Office používá hardwarovou akceleraci k vykreslení grafiky. Pokud toto nastavení povolíte, Ochrana Application Guard pro Office používá softwarové vykreslování (CPU) a nenačítá žádné ovladače grafiky od jiných výrobců než Microsoft, ani nekomuaguje s žádným připojeným grafickým hardwarem. |
| Zakázání ochrany nepodporovaných typů souborů v Ochraně Application Guard pro Office | Určuje, jestli Ochrana Application Guard pro Office blokuje otevření nepodporovaných typů souborů nebo jestli umožňuje přesměrování do chráněného zobrazení. |
| Vypnutí přístupu ke kameře a mikrofonu pro dokumenty otevřené v Ochraně Application Guard pro Office | Povolením této zásady odeberete Office přístup ke kameře a mikrofonu v ochraně Application Guard pro Office. |
| Omezení tisku z dokumentů otevřených v Ochraně Application Guard pro Office | Omezuje tiskárny, na které může uživatel tisknout ze souboru otevřeného v Ochraně Application Guard pro Office. Tuto zásadu můžete například použít k omezení, aby uživatelé mohli tisknout jenom ve formátu PDF. |
| Zabránit uživatelům v odebrání ochrany Application Guard pro ochranu office u souborů | Odebere možnost (v prostředí aplikace Office) zakázat ochranu Application Guard pro ochranu Office nebo otevřít soubor mimo Application Guard pro Office. Poznámka: Uživatelé můžou tyto zásady obejít ručním odebráním vlastnosti mark-of-the-web ze souboru nebo přesunutím dokumentu do důvěryhodného umístění. |
Poznámka
Aby se následující zásady projevily, musí se uživatelé odhlásit z Windows a znovu se přihlásit:
- Nakonfigurujte kopírování a vkládání z dokumentů Office otevřených v Ochraně Application Guard.
- Zakažte hardwarovou akceleraci v Ochraně Application Guard pro Office.
- Omezte tisk dokumentů otevřených v Ochraně Application Guard pro Office.
- Vypněte přístup kamery a mikrofonu k dokumentům otevřeným v Ochraně Application Guard pro Office.
Odeslat zpětnou vazbu
Odeslání zpětné vazby přes Centrum Feedback
Pokud při spuštění ochrany Application Guard pro Office narazíte na nějaké problémy, doporučujeme odeslat zpětnou vazbu prostřednictvím Centra Feedback:
- Otevřete aplikaci Centrum Feedback a přihlaste se.
- Pokud se při spuštění ochrany Application Guard zobrazí dialogové okno s chybou, vyberte v chybovém dialogovém okně možnost Ohlásit microsoftu a zahajte odesílání nové zpětné vazby. V opačném případě přejděte na https://aka.ms/mdagoffice-fb adresu a vyberte správnou kategorii pro Ochranu Application Guard a pak vpravo nahoře vyberte Přidat novou zpětnou vazbu .
- Do pole Shrnout svůj názor zadejte souhrn.
- Do pole Vysvětlit podrobněji zadejte podrobný popis problému a kroky, které jste provedli k ladění, a pak vyberte Další.
- Vyberte bublinu vedle položky Problém. Ujistěte se, že vybraná kategorie je Zabezpečení a ochrana osobních údajů > Ochrana Application Guard v programu Microsoft Defender – Office, a pak vyberte Další.
- Vyberte Nová zpětná vazba a pak Další.
- Shromážděte trasování problému:
- Rozbalte dlaždici Znovu vytvořit můj problém .
- Pokud k problému dochází, když je ochrana Application Guard spuštěná, otevřete instanci Ochrany Application Guard. Otevření instance umožňuje shromažďovat další trasování z kontejneru Ochrany Application Guard.
- Vyberte Spustit nahrávání a počkejte, až se dlaždice přestane otáčet, a řekněte Zastavit nahrávání.
- Plně reprodukujte problém s gardou Application Guard. Reprodukce může zahrnovat pokus o spuštění instance ochrany Application Guard a čekání na selhání nebo reprodukci problému ve spuštěné instanci Ochrany Application Guard.
- Vyberte dlaždici Zastavit nahrávání .
- Všechny spuštěné instance Ochrany Application Guard nechte otevřené, a to i několik minut po odeslání, aby bylo možné shromáždit také diagnostiku kontejneru.
- Připojte všechny relevantní snímky obrazovky nebo soubory související s problémem.
- Vyberte Odeslat.
Odeslání zpětné vazby prostřednictvím funkce One Customer Voice
Pokud k problému dochází při otevření souborů v Ochraně Application Guard, můžete také odeslat zpětnou vazbu z Word, Excelu a PowerPointu. Podrobné pokyny najdete v tématu Poskytnutí zpětné vazby .
Integrace s Microsoft Defender for Endpoint a Microsoft Defender pro Office 365
Ochrana Application Guard pro Office je integrovaná s Microsoft Defender for Endpoint a poskytuje monitorování a upozorňování na škodlivé aktivity, ke kterým dochází v izolovaném prostředí.
Bezpečné dokumenty v Microsoft E365 E5 je funkce, která používá Microsoft Defender for Endpoint ke skenování dokumentů otevřených v Ochraně Application Guard pro Office. V případě další vrstvy ochrany nemůžou uživatelé opustit Ochranu Application Guard pro Office, dokud nebudou zjištěny výsledky kontroly.
Omezení a důležité informace
Ochrana Application Guard pro Office je chráněný režim, který izoluje nedůvěryhodné dokumenty, aby nemohly získat přístup k důvěryhodným podnikovým prostředkům. Například intranet, identita uživatele a libovolné soubory v počítači. Pokud se uživatel pokusí o akci, která vyžaduje přístup k důvěryhodným prostředkům (například vložení souboru s místním obrázkem), akce se nezdaří a zobrazí výzvu jako v následujícím příkladu. Pokud chtějí uživatelé povolit přístup k důvěryhodným prostředkům nedůvěryhodnému dokumentu, musí z dokumentu odebrat ochranu Application Guard.
Poznámka
Doporučte uživatelům, aby ochranu odebrali jenom v případě, že souboru a zdroji souboru důvěřují.
Aktivní obsah, jako jsou makra a ovládací prvky ActiveX, je v Ochraně Application Guard pro Office zakázaný. Pokud chcete povolit aktivní obsah, musí se odebrat ochrana Application Guard.
Nedůvěryhodné soubory ze sdílených síťových složek nebo soubory sdílené z OneDrivu nebo SharePointu se otevírají jen pro čtení v Ochraně Application Guard. Uživatelé si můžou uložit místní kopii takových souborů, aby mohli pokračovat v práci v kontejneru, nebo odebrat ochranu, aby mohli přímo pracovat s původním souborem.
Soubory chráněné technologií IRM (Správa přístupových práv k informacím) jsou ve výchozím nastavení blokované. Pokud uživatelé chtějí takové soubory otevřít v chráněném zobrazení, musí správce nakonfigurovat nastavení zásad pro nepodporované typy souborů pro organizaci.
Veškerá přizpůsobení aplikací Office v Ochraně Application Guard pro Office se nezachovávají po odhlášení uživatele a opětovném přihlášení nebo po restartování zařízení.
Přístup k souborům otevřeným v Application Guard pro Office můžou poskytovat jenom nástroje pro usnadnění přístupu, které používají architekturu UIA.
K prvnímu spuštění ochrany Application Guard po instalaci se vyžaduje připojení k síti.
V části s informacemi o dokumentu se vlastnost Naposledy upravila jako uživatel může zobrazit WDAGUtilityAccount . WDAGUtilityAccount je anonymní účet, který používá Ochrana Application Guard. Identita desktopového uživatele není v kontejneru Application Guard k dispozici.
Optimalizace výkonu pro Ochranu Application Guard pro Office
Application Guard používá virtualizovaný kontejner podobný virtuálnímu počítači k izolaci nedůvěryhodných dokumentů od systému. Proces vytvoření kontejneru a nastavení kontejneru Ochrany Application Guard pro otevírání dokumentů Office má režii na výkon, která může negativně ovlivnit uživatelské prostředí, když uživatelé otevřou nedůvěryhodný dokument.
Aby byla uživatelům zajištěna očekávaná možnost otevírání souborů, application Guard používá logiku k předběžnému vytvoření kontejneru, pokud je v systému splněna následující heuristická funkce: Uživatel během posledních 28 dnů otevřel soubor buď v chráněném zobrazení, nebo v Ochraně Application Guard.
Když je tato heuristika splněna, Office po přihlášení k Windows předem vytvoří kontejner Ochrany Application Guard pro uživatele. Zatímco tato operace předběžného vytvoření probíhá, může dojít k pomalému výkonu systému, ale efekt se vyřeší, jakmile se operace dokončí.
Poznámka
Nápovědy potřebné k heuristickému vytvoření kontejneru jsou generovány aplikacemi Office tak, jak je uživatel používá. Pokud uživatel nainstaluje Office do nového systému, ve kterém je povolená ochrana Application Guard, Office kontejner předem nevytvoří, dokud uživatel poprvé neotevře nedůvěryhodný dokument v systému. Otevření tohoto prvního souboru v Ochraně Application Guard trvá déle.
Známé problémy
- Výchozí nastavení zásad ochrany nepodporovaných typů souborů je blokovat otevírání nedůvěryhodných nepodporovaných typů souborů, které jsou šifrované nebo mají nastavenou technologii IRM (Správa přístupových práv k informacím). Toto nastavení zahrnuje soubory, které jsou šifrované pomocí popisků citlivosti z Microsoft Purview Information Protection.
- Soubory HTML se v tuto chvíli nepodporují.
- Ochrana Application Guard pro Office v současné době nefunguje s komprimovanými svazky NTFS. Pokud se zobrazí chyba "ERROR_VIRTUAL_DISK_LIMITATION", zkuste svazek dekomprimovat.
- Pokud se zobrazí chyba, která uvádí, že hypervisor možná není povolený, zkontrolujte následující položky:
- V systému BIOS je povolená virtualizace.
- Technologie Hyper-V je zapnutá.
- Hostitelská síťová služba je spuštěná.
- Aktualizace do .NET může způsobit selhání otevření souborů v Ochraně Application Guard. Tento problém můžete vyřešit restartováním počítače.
- Application Guard vyžaduje, aby "Virtual Machines" měl udělené oprávnění "Přihlášení jako služba" a "wdagutilityaccount" nesmí být přidán do nastavení zásad zabezpečení "Odepřít přihlášení jako službu".
- Další informace najdete v tématu Nejčastější dotazy – Ochrana Application Guard v programu Microsoft Defender.