Application Guard für Office für Administratoren

Gilt für: Word, Excel und PowerPoint for Microsoft 365 Apps, Windows 10 Enterprise, Windows 11 Enterprise

Microsoft Defender Application Guard für Office (Application Guard für Office) verhindert, dass nicht vertrauenswürdige Dateien auf vertrauenswürdige Ressourcen zugreifen, sodass Ihr Unternehmen vor neuen und aufkommenden Angriffen geschützt ist. In diesem Artikel werden Administratoren durch das Einrichten unterstützter Geräte für Application Guard für Office geführt.

Voraussetzungen

Lizenzierungsanforderungen

Hardware-Mindestanforderungen

  • CPU: 64-Bit, 4 Kerne (physisch oder virtuell), Virtualisierungserweiterungen (Intel VT-x ODER AMD-V), Core i5-Äquivalent oder höher empfohlen
  • Physischer Speicher: 8 GB RAM
  • Festplatte: 10 GB freier Speicherplatz auf dem Systemlaufwerk (SSD empfohlen)

Mindestanforderungen an die Software

  • Windows: Windows 10 Enterprise Edition, Client Build Version 2004 (20H1) Build 19041 oder höher. Alle Versionen von Windows 11 werden unterstützt.
  • Office: Microsoft 365 Apps mit Build 16.0.13530.10000 oder höher. Bei Installationen des aktuellen Kanals und des monatlichen Enterprise-Kanals entspricht dies Version 2011. Für Semi-Annual Enterprise-Kanal und Semi-Annual Enterprise-Kanal (Vorschau) ist die Mindestversion 2108 oder höher. 32-Bit- und 64-Bit-Versionen werden unterstützt.
  • Updatepaket: Windows 10 kumulatives monatliches Sicherheitsupdate KB4571756

Ausführliche Systemanforderungen finden Sie in den Systemanforderungen für Microsoft Defender Application Guard. Lesen Sie auch die Anleitungen Ihres Computerherstellers zur Aktivierung der Virtualisierungstechnologie. Weitere Informationen zu Microsoft 365 Apps Updatekanälen finden Sie in der Übersicht über die Updatekanäle für Microsoft 365 Apps.

Bereitstellen von Application Guard für Office

Aktivieren von Application Guard für Office

  1. (nur Windows 10) Laden Sie Windows 10 kumulative monatliche Sicherheitsupdates KB4571756 herunter, und installieren Sie sie.

  2. Wählen Sie unter "Windows-Features" Microsoft Defender Application Guard und dann "OK" aus. Wenn Sie das Feature Application Guard aktivieren, wird ein Systemneustart erzwungen. Sie können jetzt oder nach Schritt 3 einen Neustart durchführen.

    Das Dialogfeld

    Das Feature kann auch durch Ausführen des folgenden PowerShell-Befehls als Administrator aktiviert werden:

    Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
    
  3. Erweitern Sie im Fenster Gruppenrichtlinie-Editor computerkonfiguration –> Administrative Vorlagen –> Windows-Komponenten –> Microsoft Defender Application Guard. Aktivieren Sie die Einstellung "Microsoft Defender Application Guard im verwalteten Modus aktivieren". Legen Sie den Wert unter "Optionen" auf "2 " oder "3" fest.

    Die Option zum Aktivieren von AG im verwalteten Modus

    Alternativ können Sie die entsprechende CSP-Richtlinie festlegen:

    OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard
    Datentyp: Integer
    Wert: 2

  4. Starten Sie das System neu.

Festlegen von Diagnosefeedback & zum Senden vollständiger Daten

Hinweis

Dies ist nicht erforderlich. Das Konfigurieren optionaler Diagnosedaten hilft jedoch bei der Diagnose gemeldeter Probleme.

Mit diesem Schritt wird sichergestellt, dass die zum Identifizieren und Beheben von Problemen erforderlichen Daten Microsoft erreichen. Führen Sie die folgenden Schritte aus, um die Diagnose auf Ihrem Windows-Gerät zu aktivieren:

  1. Öffnen Sie "Einstellungen" im Startmenü.

  2. Wählen Sie unter "Windows-Einstellungen" die Option "Datenschutz" aus.

  3. Wählen Sie unter "Datenschutz" die Option "Diagnosefeedback&" und dann "Optionale Diagnosedaten" aus.

Weitere Informationen zum Konfigurieren von Windows-Diagnoseeinstellungen finden Sie unter Konfigurieren von Windows-Diagnosedaten in Ihrer Organisation.

Vergewissern Sie sich, dass Application Guard für Office aktiviert ist und funktioniert

Bevor Sie bestätigen, dass Application Guard für Office aktiviert ist:

  1. Starten Sie Word, Excel oder PowerPoint auf einem Gerät, auf dem die Richtlinien bereitgestellt wurden.
  2. Wechseln Sie in der gestarteten App zu "Datei –> Konto". Überprüfen Sie auf der Seite "Konto", ob die erwartete Lizenz angezeigt wird.

Um zu bestätigen, dass Application Guard für Office aktiviert ist, öffnen Sie ein nicht vertrauenswürdiges Dokument. Sie können z. B. ein Dokument öffnen, das aus dem Internet heruntergeladen wurde, oder eine E-Mail-Anlage von einer Person außerhalb Ihrer Organisation.

Wenn Sie eine nicht vertrauenswürdige Datei zum ersten Mal öffnen, wird ein Office-Begrüßungsbildschirm wie im folgenden Beispiel angezeigt. Application Guard für Office wird aktiviert, und die Datei wird geöffnet. Nachfolgende Öffnen von nicht vertrauenswürdigen Dateien sind in der Regel schneller.

Die Begrüßungsseite der Office-App

Nachdem die Datei geöffnet wurde, gibt es einige visuelle Indikatoren, die signalisieren, dass die Datei in Application Guard für Office geöffnet ist:

  • Eine Legende im Menüband

    Die Dokumentdatei mit kleiner App Guard-Notiz

  • Das Anwendungssymbol mit einem Schild in der Taskleiste

    Symbol in der Taskleiste.

Konfigurieren von Application Guard für Office

Office unterstützt die folgenden Richtlinien zum Konfigurieren von Application Guard für Office. Diese Richtlinien können über Gruppenrichtlinien oder über den Office-Cloudrichtliniendienst konfiguriert werden.

Hinweis

Durch das Konfigurieren dieser Richtlinien können einige Funktionen für Dateien deaktiviert werden, die in Application Guard für Office geöffnet wurden.

Richtlinie Beschreibung
Verwenden Sie nicht Application Guard für Office Durch aktivieren dieser Richtlinie werden Word, Excel und PowerPoint dazu zwingt, den Isolationscontainer für geschützte Ansicht anstelle von Application Guard für Office zu verwenden.
Konfigurieren von Application Guard für die Vorerstellung von Office-Containern Diese Richtlinie bestimmt, ob die Application Guard für Office-Container zur Verbesserung der Laufzeitleistung vorab erstellt wurde. Wenn Sie diese Richtlinie aktivieren, können Sie die Anzahl der Tage angeben, um mit dem Voraberstellungsvorgang eines Containers fortzufahren, oder die in Office integrierte heuristische Voraberstellung des Containers zulassen.
Kopieren/Einfügen für Office-Dokumente, die in Application Guard für Office geöffnet wurden, nicht zulassen Durch Aktivieren dieser Richtlinie wird verhindert, dass Ein Benutzer Inhalte aus einem Dokument kopieren und einfügen, das in Application Guard für Office in ein Dokument geöffnet wurde, das außerhalb des Containers geöffnet ist.
Deaktivieren der Hardwarebeschleunigung in Application Guard für Office Diese Richtlinie steuert, ob Application Guard für Office die Hardwarebeschleunigung zum Rendern von Grafiken verwendet. Wenn Sie diese Einstellung aktivieren, verwendet Application Guard für Office softwarebasiertes Rendering (CPU) und lädt keine Grafiktreiber von Drittanbietern oder interagiert mit angeschlossener Grafikhardware.
Deaktivieren des Schutzes nicht unterstützter Dateitypen in Application Guard für Office Diese Richtlinie steuert, ob Application Guard für Office das Öffnen nicht unterstützter Dateitypen blockiert oder ob die Umleitung zur geschützten Ansicht aktiviert wird.
Deaktivieren des Kamera- und Mikrofonzugriffs für Dokumente, die in Application Guard für Office geöffnet wurden Durch Aktivieren dieser Richtlinie wird der Office-Zugriff auf die Kamera und das Mikrofon in Application Guard für Office entfernt.
Einschränken des Druckens von Dokumenten, die in Application Guard für Office geöffnet sind Durch aktivieren dieser Richtlinie werden die Drucker beschränkt, auf die ein Benutzer aus einer in Application Guard für Office geöffneten Datei drucken kann. Sie können diese Richtlinie beispielsweise verwenden, um Benutzer so zu beschränken, dass sie nur als PDF drucken.
Verhindern, dass Benutzer Application Guard für Office-Schutz auf Dateien entfernen Durch Aktivieren dieser Richtlinie wird die Option (innerhalb der Office-Anwendungsumgebung) entfernt, um Application Guard für Office-Schutz zu deaktivieren oder eine Datei außerhalb Application Guard für Office zu öffnen.

Hinweis: Benutzer können diese Richtlinie weiterhin umgehen, indem sie die Mark-of-the-Web-Eigenschaft manuell aus der Datei entfernen oder ein Dokument an einen vertrauenswürdigen Speicherort verschieben.

Hinweis

Damit die folgenden Richtlinien wirksam werden, müssen sich Benutzer abmelden und sich erneut bei Windows anmelden:

  • Deaktivieren des Kopierens/Einfügens für Dokumente, die in Application Guard für Office geöffnet sind
  • Einschränken des Druckens für Dokumente, die in Application Guard für Office geöffnet sind
  • Deaktivieren des Kamera- und Mikrofonzugriffs auf Dokumente, die in Application Guard für Office geöffnet wurden

Feedback senden

Senden von Feedback über den Feedback-Hub

Wenn beim Starten von Application Guard für Office Probleme auftreten, sollten Sie Ihr Feedback über den Feedback-Hub übermitteln:

  1. Öffnen Sie die Feedback-Hub-App , und melden Sie sich an.

  2. Wenn beim Starten Application Guard ein Fehlerdialogfeld angezeigt wird, wählen Sie im Fehlerdialogfeld "An Microsoft melden" aus, um eine neue Feedbackübermittlung zu starten. Navigieren Sie andernfalls zu https://aka.ms/mdagoffice-fb der richtigen Kategorie für Application Guard, und wählen Sie dann oben rechts +Neues Feedback hinzufügen aus.

  3. Geben Sie im Feld "Feedback zusammenfassen" eine Zusammenfassung ein.

  4. Geben Sie eine detaillierte Beschreibung des Problems und die Schritte zum Debuggen in das Feld "Ausführlichere Erläuterungen " ein, und wählen Sie dann "Weiter" aus.

  5. Wählen Sie die Blase neben "Problem" aus. Stellen Sie sicher, dass die ausgewählte Kategorie "Sicherheit und Datenschutz > Microsoft Defender Application Guard – Office" lautet, und wählen Sie dann "Weiter" aus.

  6. Wählen Sie "Neues Feedback" und dann "Weiter" aus.

  7. Sammeln von Ablaufverfolgungen zu dem Problem:

    1. Erweitern Sie die Kachel " Mein Problem neu erstellen ".

    2. Wenn das Problem auftritt, das auftritt, während Application Guard ausgeführt wird, öffnen Sie eine Application Guard Instanz. Beim Öffnen einer Instanz können zusätzliche Ablaufverfolgungen aus dem Application Guard Container erfasst werden.

    3. Wählen Sie "Aufzeichnung starten" aus, und warten Sie, bis die Kachel nicht mehr gedreht wird, und sagen Sie " Aufzeichnung beenden".

    4. Reproduzieren Sie das Problem vollständig mit Application Guard. Die Wiedergabe kann das Starten einer Application Guard Instanz und das Warten bis zu einem Fehler oder das Reproduzieren eines Problems in einer ausgeführten Application Guard Instanz umfassen.

    5. Wählen Sie die Kachel "Aufzeichnung beenden " aus.

    6. Lassen Sie alle ausgeführten Application Guard Instanzen auch einige Minuten nach der Übermittlung geöffnet, damit auch containerdiagnosen erfasst werden können.

  8. Fügen Sie alle relevanten Screenshots oder Dateien im Zusammenhang mit dem Problem an.

  9. Wählen Sie Senden aus.

Übermitteln von Feedback über One Customer Voice

Sie können auch Feedback aus Word, Excel und PowerPoint senden, wenn das Problem auftritt, wenn Dateien in Application Guard geöffnet werden. Ausführliche Anleitungen finden Sie unter Feedback.

Integration in Microsoft Defender for Endpoint und Microsoft Defender for Office 365

Application Guard für Office ist in Microsoft Defender for Endpoint integriert, um Überwachung und Warnungen zu böswilligen Aktivitäten bereitzustellen, die in der isolierten Umgebung auftreten.

Sichere Dokumente in Microsoft E365 E5 ist ein Feature, das Microsoft Defender for Endpoint zum Scannen von Dokumenten verwendet, die in Application Guard für Office geöffnet wurden. Für eine zusätzliche Schutzebene können Benutzer Application Guard für Office erst verlassen, wenn die Ergebnisse der Überprüfung ermittelt wurden.

Einschränkungen und Überlegungen

  • Application Guard für Office ist ein geschützter Modus, der nicht vertrauenswürdige Dokumente isoliert, sodass sie nicht auf vertrauenswürdige Unternehmensressourcen, ein Intranet, die Identität des Benutzers und beliebige Dateien auf dem Computer zugreifen können. Wenn ein Benutzer daher versucht, auf ein Feature zuzugreifen, das von einem solchen Zugriff abhängig ist , z. B. das Einfügen eines Bilds aus einer lokalen Datei auf dem Datenträger, schlägt der Zugriff fehl und zeigt eine Eingabeaufforderung wie im folgenden Beispiel an. Damit ein nicht vertrauenswürdiges Dokument auf vertrauenswürdige Ressourcen zugreifen kann, müssen Benutzer Application Guard Schutz aus dem Dokument entfernen.

    Das Dialogfeld mit der Sicherheitsmeldung und dem Featurestatus

    Hinweis

    Empfehlen Sie Benutzern, den Schutz nur zu entfernen, wenn sie der Datei und der Quelle der Datei vertrauen.

  • Aktive Inhalte wie Makros und ActiveX-Steuerelemente sind in Application Guard für Office deaktiviert. Um aktive Inhalte zu aktivieren, muss der Application Guard-Schutz entfernt werden.

  • Nicht vertrauenswürdige Dateien aus Netzwerkfreigaben oder Von OneDrive, OneDrive for Business oder SharePoint Online freigegebene Dateien werden in Application Guard schreibgeschützt geöffnet. Benutzer können eine lokale Kopie dieser Dateien speichern, um weiterhin im Container zu arbeiten, oder den Schutz entfernen, um direkt mit der Originaldatei zu arbeiten.

  • Dateien, die durch Information Rights Management (IRM) geschützt sind, werden standardmäßig blockiert. Wenn Benutzer solche Dateien in der geschützten Ansicht öffnen möchten, muss ein Administrator Richtlinieneinstellungen für nicht unterstützte Dateitypen für die Organisation konfigurieren.

  • Alle Anpassungen an Office-Anwendungen in Application Guard für Office bleiben nicht erhalten, nachdem sich ein Benutzer abmeldet und sich erneut anmeldet oder nach dem Neustart des Geräts.

  • Nur Barrierefreiheitstools, die das UIA-Framework verwenden, können eine barrierefreie Oberfläche für Dateien bereitstellen, die in Application Guard für Office geöffnet werden.

  • Netzwerkkonnektivität ist für den ersten Start von Application Guard nach der Installation erforderlich.

  • Im Infoabschnitt des Dokuments kann die Eigenschaft "Zuletzt geändert von " WDAGUtilityAccount als Benutzer anzeigen. WDAGUtilityAccount ist das anonyme Konto, das von Application Guard verwendet wird. Die Identität des Desktopbenutzers ist im container Application Guard nicht verfügbar.

Leistungsoptimierungen für Application Guard für Office

Application Guard verwendet einen virtualisierten Container, ähnlich einem virtuellen Computer, um nicht vertrauenswürdige Dokumente vom System zu isolieren. Das Erstellen eines Containers und das Einrichten des Application Guard Containers zum Öffnen von Office-Dokumenten hat einen Leistungsaufwand, der sich negativ auf die Benutzerfreundlichkeit auswirken kann, wenn Benutzer ein nicht vertrauenswürdiges Dokument öffnen.

Um Benutzern die erwartete Dateiöffnungsumgebung bereitzustellen, verwendet Application Guard Logik, um einen Container vorab zu erstellen, wenn die folgende Heuristik auf einem System erfüllt ist: Ein Benutzer hat eine Datei in der geschützten Ansicht oder Application Guard in den letzten 28 Tagen geöffnet.

Wenn diese Heuristik erfüllt ist, erstellt Office vorab einen Application Guard Container für den Benutzer, nachdem er sich bei Windows angemeldet hat. Während dieser Voraberstellungsvorgang ausgeführt wird, kann es zu einer langsamen Leistung des Systems kommen, aber der Effekt wird aufgelöst, sobald der Vorgang abgeschlossen ist.

Hinweis

Die Hinweise, die für die Heuristik erforderlich sind, um den Container vorab zu erstellen, werden von Office-Anwendungen generiert, wenn sie von einem Benutzer verwendet werden. Wenn ein Benutzer Office auf einem neuen System installiert, auf dem Application Guard aktiviert ist, erstellt Office den Container erst vorab, wenn ein Benutzer ein nicht vertrauenswürdiges Dokument auf dem System öffnet. Der Benutzer wird feststellen, dass das Öffnen dieser ersten Datei in Application Guard länger dauert.

Bekannte Probleme

  • Durch auswählen von Weblinks (http oder https) wird der Browser nicht geöffnet.
  • Die Standardeinstellung für die Kopier-Einfügeschutzrichtlinie besteht darin, nur den Zugriff auf Text in der Zwischenablage zu aktivieren.
  • Die Standardeinstellung für die Schutzrichtlinie für nicht unterstützte Dateitypen besteht darin, das Öffnen nicht vertrauenswürdiger, nicht unterstützter Dateitypen zu blockieren, die verschlüsselt sind oder die IrM (Information Rights Management) festgelegt haben. Dazu gehören Dateien, die mithilfe von Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection verschlüsselt werden.
  • CSV- und HTML-Dateien werden zurzeit nicht unterstützt.
  • Application Guard für Office funktioniert derzeit nicht mit NTFS-komprimierten Volumes. Wenn die Fehlermeldung "ERROR_VIRTUAL_DISK_LIMITATION" angezeigt wird, versuchen Sie, die Lautstärke zu dekomprimieren.
  • Aktualisierungen zu .NET kann dazu führen, dass Dateien in Application Guard nicht geöffnet werden. Als Problemumgehung können Benutzer ihr Gerät neu starten, wenn sie auf diesen Fehler stoßen. Erfahren Sie mehr über das Problem beim Empfangen einer Fehlermeldung, wenn Sie versuchen, Windows Defender Application Guard oder Windows-Sandbox zu öffnen.
  • Weitere Informationen finden Sie unter Häufig gestellte Fragen – Microsoft Defender Application Guard.