Application Guard für Office für Administratoren

Gilt für: Word, Excel und PowerPoint for Microsoft 365 Apps, Windows 10 Enterprise, Windows 11 Enterprise

Microsoft Defender Application Guard für Office (Application Guard für Office) verhindert, dass nicht vertrauenswürdige Dateien auf vertrauenswürdige Ressourcen zugreifen, um Ihr Unternehmen vor neuen und neuen Angriffen zu schützen. Dieser Artikel führt Administratoren durch das Einrichten unterstützter Geräte für Application Guard für Office.

Voraussetzungen

Lizenzierungsanforderungen

Hardware-Mindestanforderungen

  • CPU: 64-Bit, 4 Kerne (physisch oder virtuell), Virtualisierungserweiterungen (Intel VT-x oder AMD-V), Core i5-Äquivalent oder höher empfohlen
  • Physischer Arbeitsspeicher: 8 GB RAM
  • Festplatte: 10 GB freier Speicherplatz auf dem Systemlaufwerk (SSD empfohlen)

Mindestanforderungen an die Software

  • Windows: Windows 10 Enterprise Edition, Clientbuildversion 2004 (20H1) Build 19041 oder höher. Alle Versionen von Windows 11 werden unterstützt.
  • Office: Microsoft 365 Apps mit Build 16.0.13530.10000 oder höher. Bei Installationen des aktuellen Kanals und des monatlichen Enterprise-Kanals entspricht dies Version 2011. Für Semi-Annual Enterprise Channel und Semi-Annual Enterprise Channel (Vorschau) ist die Mindestversion 2108 oder höher. Sowohl 32-Bit- als auch 64-Bit-Versionen werden unterstützt.
  • Updatepaket: Windows 10 kumulatives monatliches Sicherheitsupdate KB4571756

Ausführliche Systemanforderungen finden Sie unter Systemanforderungen für Microsoft Defender Application Guard. Lesen Sie auch die Anleitungen ihres Computerherstellers zum Aktivieren der Virtualisierungstechnologie. Weitere Informationen zu Microsoft 365 Apps Updatekanälen finden Sie unter Übersicht über Updatekanäle für Microsoft 365 Apps.

Bereitstellen von Application Guard für Office

Aktivieren von Application Guard für Office

  1. Wenn Sie Windows 10 ausführen, laden Sie Windows 10 kumulativen monatlichen Sicherheitsupdates KB4571756 herunter, und installieren Sie sie. Beachten Sie, dass Sie das Sicherheitsupdate nicht herunterladen und installieren müssen, wenn Sie Windows 11 ausführen. Führen Sie einfach die restlichen Schritte aus.

  2. Wählen Sie unter Windows-Features Microsoft Defender Application Guard und dann OK aus. Wenn Sie das feature Application Guard aktivieren, wird ein Systemneustart ausgeführt. Sie können jetzt oder nach Schritt 3 neu starten.

    Dialogfeld

    Das Feature kann auch durch Ausführen des folgenden PowerShell-Befehls als Administrator aktiviert werden:

    Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
    
  3. Erweitern Sie im Fenster Gruppenrichtlinie-Editor die Option Computerkonfiguration –> Administrative Vorlagen –> Windows-Komponenten –> Microsoft Defender Application Guard. Aktivieren Sie die Einstellung Microsoft Defender Application Guard im verwalteten Modus aktivieren. Legen Sie den Wert unter Optionen auf 2 oder 3 fest.

    Die Option zum Aktivieren der Verfügbarkeitsgruppe im verwalteten Modus

    Alternativ können Sie die entsprechende CSP-Richtlinie festlegen:

    OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard
    Datentyp: Integer
    Wert: 2

  4. Starten Sie das System neu.

Festlegen des Diagnosefeedbacks & zum Senden vollständiger Daten

Hinweis

Dies ist nicht erforderlich. Die Konfiguration optionaler Diagnosedaten hilft jedoch bei der Diagnose gemeldeter Probleme.

Dieser Schritt stellt sicher, dass die zum Identifizieren und Beheben von Problemen erforderlichen Daten Microsoft erreichen. Führen Sie die folgenden Schritte aus, um die Diagnose auf Ihrem Windows-Gerät zu aktivieren:

  1. Öffnen Sie Einstellungen im Startmenü.

  2. Wählen Sie unter Windows-Einstellungen die Option Datenschutz aus.

  3. Wählen Sie unter Datenschutz die Option Diagnosefeedback & und dann Optionale Diagnosedaten aus.

Weitere Informationen zum Konfigurieren von Windows-Diagnoseeinstellungen finden Sie unter Konfigurieren von Windows-Diagnosedaten in Ihrer Organisation.

Vergewissern Sie sich, dass Application Guard für Office aktiviert ist und funktioniert.

Bevor Sie bestätigen, dass Application Guard für Office aktiviert ist:

  1. Starten Sie Word, Excel oder PowerPoint auf einem Gerät, auf dem die Richtlinien bereitgestellt wurden.

  2. Wechseln Sie in der app, die Sie gestartet haben, zu Datei –> Konto. Überprüfen Sie auf der Seite Konto, ob die erwartete Lizenz angezeigt wird.

Um zu bestätigen, dass Application Guard für Office aktiviert ist, öffnen Sie ein nicht vertrauenswürdiges Dokument. Beispielsweise können Sie ein Dokument öffnen, das aus dem Internet heruntergeladen wurde, oder eine E-Mail-Anlage von einer Person außerhalb Ihrer Organisation.

Wenn Sie zum ersten Mal eine nicht vertrauenswürdige Datei öffnen, wird ein Office-Begrüßungsbildschirm wie im folgenden Beispiel angezeigt. Application Guard für Office wird aktiviert, und die Datei wird geöffnet. Nachfolgende Öffnungen von nicht vertrauenswürdigen Dateien sind in der Regel schneller.

Die Begrüßungsseite der Office-App

Nachdem die Datei geöffnet wurde, gibt es einige visuelle Indikatoren, die signalisieren, dass die Datei in Application Guard für Office geöffnet ist:

  • Eine Legende im Menüband

    Die Doc-Datei mit einer kleinen App Guard-Notiz

  • Das Anwendungssymbol mit einem Schild in der Taskleiste

    Symbol in der Taskleiste.

Konfigurieren von Application Guard für Office

Office unterstützt die folgenden Richtlinien zum Konfigurieren von Application Guard für Office. Diese Richtlinien können über Gruppenrichtlinien oder über den Office-Cloudrichtliniendienst konfiguriert werden.

Hinweis

Durch das Konfigurieren dieser Richtlinien können einige Funktionen für Dateien deaktiviert werden, die in Application Guard für Office geöffnet wurden.

Richtlinie Beschreibung
Verwenden Sie keine Application Guard für Office. Das Aktivieren dieser Richtlinie erzwingt, dass Word, Excel und PowerPoint den Isolationscontainer für geschützte Ansicht anstelle von Application Guard für Office verwenden.
Konfigurieren von Application Guard für die Voraberstellung von Office-Containern Diese Richtlinie bestimmt, ob der Application Guard für Office-Container vorab erstellt wurde, um die Laufzeitleistung zu verbessern. Wenn Sie diese Richtlinie aktivieren, können Sie die Anzahl der Tage angeben, für die die Voraberstellung eines Containers fortgesetzt werden soll, oder die integrierte Heuristik von Office vor der Erstellung des Containers zulassen.
Konfigurieren des Kopierens und Einfügens aus Office-Dokumenten, die in Application Guard Mit dieser Richtlinieneinstellung können Sie steuern, ob Benutzer Inhalte aus Office in dokumente kopieren und einfügen können, die in Application Guard geöffnet wurden, sowie die zulässigen Formate.
Deaktivieren der Hardwarebeschleunigung in Application Guard für Office Diese Richtlinie steuert, ob Application Guard für Office die Hardwarebeschleunigung zum Rendern von Grafiken verwendet. Wenn Sie diese Einstellung aktivieren, verwendet Application Guard für Office softwarebasiertes Rendering (CPU) und lädt keine Grafiktreiber von Drittanbietern und interagiert nicht mit angeschlossener Grafikhardware.
Deaktivieren des Schutzes von nicht unterstützten Dateitypen in Application Guard für Office Diese Richtlinie steuert, ob Application Guard für Office das Öffnen nicht unterstützter Dateitypen blockiert oder ob die Umleitung zur geschützten Ansicht aktiviert wird.
Deaktivieren des Kamera- und Mikrofonzugriffs für Dokumente, die in Application Guard für Office geöffnet wurden Wenn Sie diese Richtlinie aktivieren, wird der Zugriff von Office auf die Kamera und das Mikrofon in Application Guard für Office entfernt.
Beschränken des Druckens von Dokumenten, die in Application Guard für Office geöffnet wurden Das Aktivieren dieser Richtlinie schränkt die Drucker ein, auf denen ein Benutzer aus einer Datei drucken kann, die in Application Guard für Office geöffnet wurde. Sie können diese Richtlinie z. B. verwenden, um Benutzer zu beschränken, nur als PDF zu drucken.
Verhindern, dass Benutzer Application Guard für Office Protection für Dateien entfernen Wenn Sie diese Richtlinie aktivieren, wird die Option (innerhalb der Office-Anwendungsoberfläche) entfernt, Application Guard für Den Office-Schutz zu deaktivieren oder eine Datei außerhalb Application Guard für Office zu öffnen.

Hinweis: Benutzer können diese Richtlinie weiterhin umgehen, indem sie die Mark-of-the-Web-Eigenschaft manuell aus der Datei entfernen oder ein Dokument an einen vertrauenswürdigen Speicherort verschieben.

Hinweis

Damit die folgenden Richtlinien wirksam werden, müssen sich Benutzer abmelden und sich erneut bei Windows anmelden:

  • Konfigurieren des Kopierens und Einfügens aus Office-Dokumenten, die in Application Guard
  • Deaktivieren der Hardwarebeschleunigung in Application Guard für Office
  • Einschränken des Druckens für Dokumente, die in Application Guard für Office geöffnet wurden
  • Deaktivieren des Kamera- und Mikrofonzugriffs auf Dokumente, die in Application Guard für Office geöffnet wurden

Feedback senden

Senden von Feedback über den Feedback-Hub

Wenn beim Starten von Application Guard für Office Probleme auftreten, wird empfohlen, Ihr Feedback über den Feedback-Hub zu übermitteln:

  1. Öffnen Sie die Feedback-Hub-App , und melden Sie sich an.

  2. Wenn beim Starten von Application Guard ein Fehlerdialogfeld angezeigt wird, wählen Sie Im Fehlerdialogfeld die Option An Microsoft melden aus, um eine neue Feedbackübermittlung zu starten. Navigieren Sie andernfalls zu https://aka.ms/mdagoffice-fb , um die richtige Kategorie für Application Guard auszuwählen, und wählen Sie dann rechts oben + Neues Feedback hinzufügen aus.

  3. Geben Sie im Feld Feedback zusammenfassen eine Zusammenfassung ein.

  4. Geben Sie eine ausführliche Beschreibung des Problems und der schritte, die Sie zum Debuggen ausgeführt haben, in das Feld Ausführlichere Erläuterung ein, und wählen Sie dann Weiter aus.

  5. Wählen Sie die Blase neben Problem aus. Stellen Sie sicher, dass die Kategorie Sicherheit und Datenschutz > Microsoft Defender Application Guard – Office ausgewählt ist, und wählen Sie dann Weiter aus.

  6. Wählen Sie Neues Feedback und dann Weiter aus.

  7. Sammeln von Ablaufverfolgungen zum Problem:

    1. Erweitern Sie die Kachel Mein Problem neu erstellen .

    2. Wenn das Problem auftritt, während Application Guard ausgeführt wird, öffnen Sie eine Application Guard-Instanz. Durch das Öffnen einer Instanz können zusätzliche Ablaufverfolgungen innerhalb des Application Guard Containers gesammelt werden.

    3. Wählen Sie Aufzeichnung starten aus, und warten Sie, bis sich die Kachel nicht mehr dreht, und sagen Sie Aufzeichnung beenden.

    4. Reproduzieren Sie das Problem vollständig mit Application Guard. Die Reproduktion kann den Versuch umfassen, eine Application Guard-Instanz zu starten und zu warten, bis sie fehlschlägt, oder das Reproduzieren eines Problems in einer ausgeführten Application Guard-Instanz.

    5. Wählen Sie die Kachel Aufzeichnung beenden aus.

    6. Lassen Sie alle ausgeführten Application Guard Instanzen auch einige Minuten nach der Übermittlung geöffnet, damit die Containerdiagnose ebenfalls gesammelt werden kann.

  8. Fügen Sie alle relevanten Screenshots oder Dateien im Zusammenhang mit dem Problem an.

  9. Wählen Sie Senden aus.

Übermitteln von Feedback über One Customer Voice

Sie können auch Feedback aus Word, Excel und PowerPoint senden, wenn das Problem auftritt, wenn Dateien in Application Guard geöffnet werden. Ausführliche Anleitungen finden Sie unter Bereitstellen von Feedback .

Integration in Microsoft Defender for Endpoint und Microsoft Defender for Office 365

Application Guard für Office ist in Microsoft Defender for Endpoint integriert, um Überwachung und Warnungen bei schädlichen Aktivitäten bereitzustellen, die in der isolierten Umgebung auftreten.

Sichere Dokumente in Microsoft E365 E5 ist ein Feature, das Microsoft Defender for Endpoint verwendet, um Dokumente zu scannen, die in Application Guard für Office geöffnet wurden. Für eine zusätzliche Schutzebene können Benutzer Application Guard für Office erst verlassen, wenn die Ergebnisse der Überprüfung ermittelt wurden.

Einschränkungen und Überlegungen

  • Application Guard für Office ist ein geschützter Modus, der nicht vertrauenswürdige Dokumente isoliert, sodass sie nicht auf vertrauenswürdige Unternehmensressourcen, ein Intranet, die Identität des Benutzers und beliebige Dateien auf dem Computer zugreifen können. Wenn ein Benutzer daher versucht, auf ein Feature zuzugreifen, das von einem solchen Zugriff abhängig ist , z. B. beim Einfügen eines Bilds aus einer lokalen Datei auf dem Datenträger, schlägt der Zugriff fehl und zeigt eine Eingabeaufforderung wie im folgenden Beispiel an. Damit ein nicht vertrauenswürdiges Dokument auf vertrauenswürdige Ressourcen zugreifen kann, müssen Benutzer Application Guard Schutz aus dem Dokument entfernen.

    Dialogfeld mit Sicherheitsmeldung und Featurestatus

    Hinweis

    Empfehlen Sie Benutzern, den Schutz nur zu entfernen, wenn sie der Datei und der Quelle der Datei vertrauen.

  • Aktive Inhalte wie Makros und ActiveX-Steuerelemente sind in Application Guard für Office deaktiviert. Um aktive Inhalte zu aktivieren, muss der Application Guard-Schutz entfernt werden.

  • Nicht vertrauenswürdige Dateien aus Netzwerkfreigaben oder dateien, die von OneDrive, OneDrive for Business oder SharePoint Online freigegeben wurden, werden in Application Guard schreibgeschützt geöffnet. Benutzer können eine lokale Kopie dieser Dateien speichern, um weiterhin im Container zu arbeiten, oder den Schutz entfernen, um direkt mit der ursprünglichen Datei zu arbeiten.

  • Dateien, die durch Information Rights Management (IRM) geschützt sind, werden standardmäßig blockiert. Wenn Benutzer solche Dateien in der geschützten Ansicht öffnen möchten, muss ein Administrator Richtlinieneinstellungen für nicht unterstützte Dateitypen für die Organisation konfigurieren.

  • Alle Anpassungen an Office-Anwendungen in Application Guard für Office bleiben nicht erhalten, nachdem sich ein Benutzer abmeldet und sich erneut anmeldet oder nachdem das Gerät neu gestartet wurde.

  • Nur Barrierefreiheitstools, die das UIA-Framework verwenden, können eine barrierefreie Oberfläche für Dateien bereitstellen, die in Application Guard für Office geöffnet wurden.

  • Netzwerkkonnektivität ist für den ersten Start von Application Guard nach der Installation erforderlich.

  • Im Informationsabschnitt des Dokuments zeigt die Eigenschaft Zuletzt geändert von möglicherweise WDAGUtilityAccount als Benutzer an. WDAGUtilityAccount ist das anonyme Konto, das von Application Guard verwendet wird. Die Identität des Desktopbenutzers ist innerhalb des Application Guard Containers nicht verfügbar.

Leistungsoptimierungen für Application Guard für Office

Application Guard verwendet einen virtualisierten Container, ähnlich einem virtuellen Computer, um nicht vertrauenswürdige Dokumente vom System zu isolieren. Das Erstellen eines Containers und das Einrichten des Application Guard Containers zum Öffnen von Office-Dokumenten hat einen Leistungsaufwand, der sich negativ auf die Benutzererfahrung auswirken kann, wenn Benutzer ein nicht vertrauenswürdiges Dokument öffnen.

Um Benutzern die erwartete Benutzeroberfläche zum Öffnen von Dateien zu bieten, verwendet Application Guard Logik, um einen Container vorab zu erstellen, wenn die folgende Heuristik auf einem System erfüllt ist: Ein Benutzer hat eine Datei in den letzten 28 Tagen entweder in der geschützten Ansicht oder in Application Guard geöffnet.

Wenn diese Heuristik erfüllt ist, erstellt Office nach der Anmeldung bei Windows vorab einen Application Guard Container für den Benutzer. Während dieser Voraberstellungsvorgang ausgeführt wird, kann die Leistung des Systems langsam sein, aber der Effekt wird behoben, sobald der Vorgang abgeschlossen ist.

Hinweis

Die Hinweise, die für die Heuristik erforderlich sind, um den Container vorab zu erstellen, werden von Office-Anwendungen generiert, wenn ein Benutzer sie verwendet. Wenn ein Benutzer Office auf einem neuen System installiert, auf dem Application Guard aktiviert ist, erstellt Office den Container erst nach dem ersten Öffnen eines nicht vertrauenswürdigen Dokuments im System. Der Benutzer wird feststellen, dass das Öffnen dieser ersten Datei in Application Guard länger dauert.

Bekannte Probleme

  • Die Standardeinstellung für die Schutzrichtlinie für nicht unterstützte Dateitypen besteht darin, das Öffnen nicht vertrauenswürdiger, nicht unterstützter Dateitypen zu blockieren, die verschlüsselt sind oder für die Die Verwaltung von Informationsrechten (Information Rights Management, IRM) festgelegt ist. Dies schließt Dateien ein, die mithilfe von Vertraulichkeitsbezeichnungen aus Microsoft Purview Information Protection verschlüsselt werden.
  • HTML-Dateien werden derzeit nicht unterstützt.
  • Application Guard für Office funktioniert derzeit nicht mit komprimierten NTFS-Volumes. Wenn der Fehler "ERROR_VIRTUAL_DISK_LIMITATION" angezeigt wird, entpacken Sie das Volume.
  • Wenn ein Fehler mit dem Hinweis angezeigt wird, dass der Hypervisor möglicherweise nicht aktiviert ist, überprüfen Sie Folgendes:
    • Virtualisierung ist im BIOS aktiviert
    • Hyper-V ist aktiviert
    • Der Hostnetzwerkdienst wird ausgeführt.
  • Aktualisierungen zu .NET kann dazu führen, dass Dateien in Application Guard nicht geöffnet werden. Dies kann behoben werden, indem Sie den Computer neu starten.
  • Application Guard erfordert, dass "Virtual Machines" die Berechtigung "Anmeldung als Dienst" erhält, und "wdagutilityaccount" darf der Sicherheitsrichtlinieneinstellung "Anmeldung als Dienst verweigern" nicht hinzugefügt werden. 
  • Weitere Informationen finden Sie unter Häufig gestellte Fragen – Microsoft Defender Application Guard.