Ochrana Application Guard pro Office pro správce

Platí pro: Word, Excel a aplikace PowerPoint pro Microsoft 365, Windows 10 Enterprise, Windows 11 Enterprise

Důležité

Ochrana Application Guard v programu Microsoft Defender pro Office je zastaralé a už se neaktualizuje. Toto vyřazení zahrnuje také rozhraní API Windows.Security.Isolation, která se používají pro Ochrana Application Guard v programu Microsoft Defender pro Office. Doporučujeme přejít na Microsoft Defender for Endpoint pravidla omezení potenciální oblasti útoku spolu s chráněným zobrazením a Windows Defender řízení aplikací.

Ochrana Application Guard v programu Microsoft Defender for Office (Ochrana Application Guard for Office) pomáhá zabránit nedůvěryhodným souborům v přístupu k důvěryhodným prostředkům a chránit váš podnik před novými a vznikajícími útoky. Tento článek provede správce nastavením podporovaných zařízení pro Ochrana Application Guard pro Office.

Požadavky

Licenční požadavky

• Microsoft 365 E5 nebo Microsoft 365 E5 Security
• Bezpečné dokumenty v Microsoftu 365

Minimální požadavky na hardware

• Procesor: 64bitová verze, čtyři jádra (fyzická nebo virtuální), rozšíření virtualizace (Intel VT-x NEBO AMD-V), core i5 ekvivalentní nebo vyšší doporučená.
• Fyzická paměť: 8 GB paměti RAM.
• Pevný disk: 10 GB volného místa na systémové jednotce (doporučuje se DISK SSD).

Minimální požadavky na software

• Windows: Windows 10 Enterprise edice, build klienta verze 2004 (20H1) build 19041 nebo novější. Podporují se všechny verze Windows 11.
• Office: Microsoft 365 Apps s buildem 16.0.13530.10000 nebo novějším. V případě instalací aktuálního kanálu a měsíčního podnikového kanálu je tato verze ekvivalentní verzi verze 2011. Pro Semi-Annual Enterprise Channel a Semi-Annual Enterprise Channel (Preview) je minimální verze 2108 nebo novější. Podporují se 32bitová i 64bitová verze.
• Balíček aktualizace: Windows 10 kumulativní měsíční aktualizace zabezpečení KB4571756

Podrobné požadavky na systém najdete v tématu Požadavky na systém pro Ochrana Application Guard v programu Microsoft Defender. Informace o tom, jak povolit technologii virtualizace, najdete také v průvodcích výrobce počítače. Další informace o Microsoft 365 Apps aktualizačních kanálech najdete v tématu Přehled aktualizačních kanálů pro Microsoft 365 Apps.

Nasazení Ochrana Application Guard pro Office

Povolení Ochrana Application Guard pro Office

1. Požadavky na operační systém:

   • Windows 10: Ověřte, že je nainstalovaný KB4571756 8. září 2020.
   • Windows 11: Žádné zvláštní požadavky.

2. V části Funkce systému Windows vyberte Ochrana Application Guard v programu Microsoft Defender a pak vyberte OK. Povolení funkce Ochrana Application Guard zobrazí výzvu k restartování systému. Restartování můžete provést hned nebo po kroku 3.

   

   Průvodce aplikací můžete povolit také v Windows PowerShell spuštěním následujícího příkazu jako správce:

   Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
   

3. V Zásady skupiny Editor přejděte na Konfigurace> počítačeŠablony pro> správuSoučásti systému> Windows Ochrana Application Guard v programu Microsoft Defender.

   Povolte nastavení Zapnout Ochrana Application Guard v programu Microsoft Defender ve spravovaném režimu. Nastavte hodnotu v části Možnosti na některou z následujících hodnot:

   • 2: Povolte Ochrana Application Guard v programu Microsoft Defender POUZE pro izolovaná prostředí Windows.
   • 3: Povolte Ochrana Application Guard v programu Microsoft Defender pro Microsoft Edge a izolovaná prostředí Windows.

   

   Případně můžete nastavit odpovídající zásady CSP:

   OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Datový typ: Celočíselná hodnota: 2

4. Restartujte počítač, pokud jste to ještě neudělali.

Nastavení diagnostiky & zpětné vazby pro odesílání úplných dat

Poznámka

Tento krok není povinný. Konfigurace volitelných diagnostických dat ale může pomoct s diagnostikou nahlášených problémů.

Tento krok zajistí, že data potřebná k identifikaci a řešení problémů se dostanou do Microsoftu. Pokud chcete povolit diagnostiku na zařízení s Windows, postupujte takto:

1. Otevřete Nastavení z nabídky Start.
2. V Nastavení Windows vyberte Ochrana osobních údajů.
3. V části Ochrana osobních údajů vyberte Diagnostika & zpětnou vazbu a vyberte Volitelná diagnostická data.

Další informace o konfiguraci nastavení diagnostiky Windows najdete v tématu Konfigurace diagnostických dat Windows ve vaší organizaci.

Ověřte, že je Ochrana Application Guard pro Office povolený a funkční.

Před potvrzením, že je povolená Ochrana Application Guard pro Office, proveďte následující kroky:

1. Spusťte Word, Excel nebo PowerPoint na zařízení, na kterém jsou nasazené zásady.
2. V aplikaci, kterou jste spustili, přejděte na Účet souboru>. Na stránce Účet ověřte, že se zobrazí očekávaná licence.

Pokud chcete ověřit, že je povolená Ochrana Application Guard pro Office, otevřete nedůvěryhodný dokument. Můžete například otevřít dokument stažený z internetu nebo přílohu e-mailu od někoho mimo vaši organizaci.

Při prvním otevření nedůvěryhodného souboru se zobrazí následující úvodní obrazovka Office. Ochrana Application Guard pro Office se aktivuje a soubor se otevírá. Následné otevírání nedůvěryhodných souborů je obvykle rychlejší.

Po otevření souboru existuje několik vizuálních indikátorů, které signalizují, že je soubor otevřený uvnitř Ochrana Application Guard pro Office:

• Bublinový popisek na pásu karet

  

• Ikona aplikace se štítem na hlavním panelu

  

Konfigurace Ochrana Application Guard pro Office

Office podporuje následující zásady pro konfiguraci Ochrana Application Guard pro Office. Tyto zásady je možné konfigurovat prostřednictvím zásad skupiny nebo prostřednictvím cloudové služby zásad Office.

Poznámka

Konfigurace těchto zásad může zakázat některé funkce souborů otevřených v Ochrana Application Guard pro Office.

Zásad	Popis
Nepoužívejte Ochrana Application Guard pro Office	Vynutí, aby Word, Excel a PowerPoint místo Ochrana Application Guard pro Office používaly kontejner izolace chráněného zobrazení.
Konfigurace Ochrana Application Guard pro předběžné vytvoření kontejneru Office	Určuje, jestli je Ochrana Application Guard pro kontejner Office předem vytvořený kvůli lepšímu výkonu za běhu. Když tuto zásadu povolíte, můžete určit počet dní, za které se má pokračovat v předběžném vytváření kontejneru, nebo nechat předdefinovaný heuristický systém Office kontejner předem vytvořit.
Konfigurace kopírování a vkládání z dokumentů Office otevřených v Ochrana Application Guard	Umožňuje řídit, jestli uživatelé můžou kopírovat a vkládat obsah z Office do a z dokumentů otevřených v Ochrana Application Guard, a také povolené formáty.
Zakázání hardwarové akcelerace v Ochrana Application Guard pro Office	Určuje, jestli Ochrana Application Guard for Office používá k vykreslení grafiky hardwarovou akceleraci. Pokud toto nastavení povolíte, Ochrana Application Guard pro Office používá softwarové vykreslování (CPU) a nenačítá žádné ovladače grafiky jiných výrobců ani nekomuaguje s žádným připojeným grafickým hardwarem.
Zákaz ochrany nepodporovaných typů souborů v Ochrana Application Guard pro Office	Určuje, jestli Ochrana Application Guard for Office blokuje otevření nepodporovaných typů souborů nebo jestli umožňuje přesměrování do chráněného zobrazení.
Vypnutí přístupu ke kameře a mikrofonu u dokumentů otevřených v Ochrana Application Guard pro Office	Povolením této zásady odeberete Office přístup ke kameře a mikrofonu uvnitř Ochrana Application Guard pro Office.
Omezení tisku z dokumentů otevřených v Ochrana Application Guard pro Office	Omezuje tiskárny, na které může uživatel tisknout ze souboru otevřeného v Ochrana Application Guard pro Office. Tuto zásadu můžete například použít k omezení, aby uživatelé mohli tisknout jenom ve formátu PDF.
Zabránit uživatelům v odebírání Ochrana Application Guard pro ochranu souborů Office	Odebere možnost (v prostředí aplikace Office) zakázat Ochrana Application Guard pro ochranu Office nebo otevřít soubor mimo Ochrana Application Guard pro Office. Poznámka: Uživatelé můžou tyto zásady obejít ručním odebráním vlastnosti mark-of-the-web ze souboru nebo přesunutím dokumentu do důvěryhodného umístění.

Poznámka

Aby se následující zásady projevily, musí se uživatelé odhlásit z Windows a znovu se přihlásit:

• Nakonfigurujte kopírování a vkládání z dokumentů Office otevřených v Ochrana Application Guard.
• Zakažte hardwarovou akceleraci v Ochrana Application Guard pro Office.
• Omezte tisk dokumentů otevřených v Ochrana Application Guard pro Office.
• Vypněte přístup ke kameře a mikrofonu k dokumentům otevřeným v Ochrana Application Guard pro Office.

Odeslat zpětnou vazbu

Odeslání zpětné vazby přes Centrum Feedback

Pokud při spouštění Ochrana Application Guard pro Office narazíte na nějaké problémy, doporučujeme odeslat zpětnou vazbu prostřednictvím Centra Feedback:

1. Otevřete aplikaci Centrum Feedback a přihlaste se.
2. Pokud se při spuštění Ochrana Application Guard zobrazí dialogové okno s chybou, vyberte v chybovém dialogovém okně Nahlásit microsoftu a zahajte odesílání nové zpětné vazby. V opačném případě přejděte na https://aka.ms/mdagoffice-fb adresu a vyberte správnou kategorii pro Ochrana Application Guard a pak vpravo nahoře vyberte Přidat novou zpětnou vazbu.
3. Do pole Shrnout svůj názor zadejte souhrn.
4. Do pole Vysvětlit podrobněji zadejte podrobný popis problému a kroky, které jste provedli k ladění, a pak vyberte Další.
5. Vyberte bublinu vedle položky Problém. Ujistěte se, že vybraná kategorie je Zabezpečení a ochrana osobních údajů > Ochrana Application Guard v programu Microsoft Defender – Office, a pak vyberte Další.
6. Vyberte Nová zpětná vazba a pak Další.
7. Shromážděte trasování problému:
   1. Rozbalte dlaždici Znovu vytvořit můj problém .
   2. Pokud k problému dochází při spuštění Ochrana Application Guard, otevřete instanci Ochrana Application Guard. Otevření instance umožňuje shromažďovat další trasování z kontejneru Ochrana Application Guard.
   3. Vyberte Spustit nahrávání a počkejte, až se dlaždice přestane otáčet, a řekněte Zastavit nahrávání.
   4. Plně reprodukujte problém pomocí Ochrana Application Guard. Reprodukce může zahrnovat pokus o spuštění instance Ochrana Application Guard a čekání na selhání nebo reprodukci problému ve spuštěné instanci Ochrana Application Guard.
   5. Vyberte dlaždici Zastavit nahrávání .
   6. Všechny spuštěné Ochrana Application Guard instance nechte otevřené, a to i několik minut po odeslání, aby bylo možné shromažďovat také diagnostiku kontejnerů.
8. Připojte všechny relevantní snímky obrazovky nebo soubory související s problémem.
9. Vyberte Odeslat.

Odeslání zpětné vazby prostřednictvím funkce One Customer Voice

Pokud k problému dochází při otevření souborů v Ochrana Application Guard, můžete také odeslat zpětnou vazbu z Word, Excelu a PowerPointu. Podrobné pokyny najdete v tématu Poskytnutí zpětné vazby .

Integrace s Microsoft Defender for Endpoint a Microsoft Defender pro Office 365

Ochrana Application Guard for Office je integrovaný s Microsoft Defender for Endpoint, který poskytuje monitorování a upozorňování na škodlivé aktivity, ke kterým dochází v izolovaném prostředí.

Bezpečné dokumenty v Microsoft E365 E5 je funkce, která používá Microsoft Defender for Endpoint ke skenování dokumentů otevřených v Ochrana Application Guard pro Office. V případě další vrstvy ochrany nemůžou uživatelé opustit Ochrana Application Guard pro Office, dokud nebudou zjištěny výsledky kontroly.

Omezení a důležité informace

• Ochrana Application Guard pro Office je chráněný režim, který izoluje nedůvěryhodné dokumenty, aby nemohly získat přístup k důvěryhodným podnikovým prostředkům. Například intranet, identita uživatele a libovolné soubory v počítači. Pokud se uživatel pokusí o akci, která vyžaduje přístup k důvěryhodným prostředkům (například vložení souboru s místním obrázkem), akce se nezdaří a zobrazí výzvu jako v následujícím příkladu. Pokud chtějí uživatelé povolit přístup k nedůvěryhodnému dokumentu pro přístup k důvěryhodným prostředkům, musí z dokumentu odebrat ochranu Ochrana Application Guard.

  

  Poznámka

  Doporučte uživatelům, aby ochranu odebrali jenom v případě, že souboru a zdroji souboru důvěřují.

• Aktivní obsah, jako jsou makra a ovládací prvky ActiveX, je v Ochrana Application Guard pro Office zakázaný. Pokud chcete povolit aktivní obsah, musí se odebrat ochrana Ochrana Application Guard.

• Nedůvěryhodné soubory ze sdílených síťových složek nebo soubory sdílené z OneDrivu, OneDrive pro firmy nebo SharePointu Online se otevírají jen pro čtení v Ochrana Application Guard. Uživatelé si můžou uložit místní kopii takových souborů, aby mohli pokračovat v práci v kontejneru, nebo odebrat ochranu, aby mohli přímo pracovat s původním souborem.

• Soubory chráněné technologií IRM (Správa přístupových práv k informacím) jsou ve výchozím nastavení blokované. Pokud uživatelé chtějí takové soubory otevřít v chráněném zobrazení, musí správce nakonfigurovat nastavení zásad pro nepodporované typy souborů pro organizaci.

• Veškerá přizpůsobení aplikací Office v Ochrana Application Guard for Office se nezachovávají po odhlášení uživatele a opětovném přihlášení nebo po restartování zařízení.

• Přístupné pro soubory otevřené v Ochrana Application Guard pro Office můžou poskytovat jenom nástroje pro usnadnění přístupu, které používají architekturu UIA.

• K prvnímu spuštění Ochrana Application Guard po instalaci se vyžaduje připojení k síti.

• V části s informacemi o dokumentu se vlastnost Naposledy upravila jako uživatel může zobrazit WDAGUtilityAccount . WDAGUtilityAccount je anonymní účet používaný Ochrana Application Guard. Identita desktopového uživatele není v kontejneru Ochrana Application Guard k dispozici.

Optimalizace výkonu pro Ochrana Application Guard pro Office

Ochrana Application Guard používá virtualizovaný kontejner podobný virtuálnímu počítači k izolaci nedůvěryhodných dokumentů od systému. Proces vytvoření kontejneru a nastavení kontejneru Ochrana Application Guard pro otevírání dokumentů Office má režii na výkon, která může negativně ovlivnit uživatelské prostředí, když uživatelé otevřou nedůvěryhodný dokument.

Aby Ochrana Application Guard uživatelům poskytl očekávané prostředí pro otevírání souborů, použije Ochrana Application Guard logiku k předběžnému vytvoření kontejneru v případě, že je v systému splněna následující heuristika: Uživatel během posledních 28 dnů otevřel soubor v chráněném zobrazení nebo Ochrana Application Guard.

Když je tato heuristika splněna, Office po přihlášení k Windows předem vytvoří kontejner Ochrana Application Guard pro uživatele. Zatímco tato operace předběžného vytvoření probíhá, může dojít k pomalému výkonu systému, ale efekt se vyřeší, jakmile se operace dokončí.

Poznámka

Nápovědy potřebné k heuristickému vytvoření kontejneru jsou generovány aplikacemi Office tak, jak je uživatel používá. Pokud uživatel nainstaluje Office do nového systému, ve kterém je povolená Ochrana Application Guard, Office kontejner předem nevytvoří, dokud uživatel poprvé neotevře nedůvěryhodný dokument v systému. Otevření tohoto prvního souboru v Ochrana Application Guard trvá déle.

Známé problémy

• Výchozí nastavení zásad ochrany nepodporovaných typů souborů je blokovat otevírání nedůvěryhodných nepodporovaných typů souborů, které jsou šifrované nebo mají nastavenou technologii IRM (Správa přístupových práv k informacím). Toto nastavení zahrnuje soubory, které jsou šifrované pomocí popisků citlivosti z Microsoft Purview Information Protection.
• Soubory HTML se v tuto chvíli nepodporují.
• Ochrana Application Guard pro Office v současné době nefunguje se svazky komprimovanými systémem souborů NTFS. Pokud se zobrazí chyba "ERROR_VIRTUAL_DISK_LIMITATION", zkuste svazek dekomprimovat.
• Pokud se zobrazí chyba, která uvádí, že hypervisor možná není povolený, zkontrolujte následující položky:
  • V systému BIOS je povolená virtualizace.
  • Technologie Hyper-V je zapnutá.
  • Hostitelská síťová služba je spuštěná.
• Aktualizace do .NET může způsobit selhání otevření souborů v Ochrana Application Guard. Tento problém můžete vyřešit restartováním počítače.
• Ochrana Application Guard vyžaduje, aby "Virtual Machines" měl udělené oprávnění "Přihlášení jako služba" a "wdagutilityaccount" nesmí být přidán do nastavení zásad zabezpečení "Odepřít přihlášení jako služba".
• Další informace najdete v tématu Nejčastější dotazy – Ochrana Application Guard v programu Microsoft Defender.