Application Guard für Office für Administratoren

Gilt für: Word, Excel und PowerPoint for Microsoft 365 Apps, Windows 10 Enterprise, Windows 11 Enterprise

Wichtig

Microsoft Defender Application Guard für Office ist veraltet und wird nicht mehr aktualisiert. Diese Einstellung umfasst auch die Windows.Security.Isolation-APIs, die für Microsoft Defender Application Guard für Office verwendet werden. Es wird empfohlen, zu Microsoft Defender for Endpoint Regeln zur Verringerung der Angriffsfläche zusammen mit geschützter Ansicht und Windows Defender Anwendungssteuerung zu wechseln.

Microsoft Defender Application Guard für Office (Application Guard für Office) verhindert, dass nicht vertrauenswürdige Dateien auf vertrauenswürdige Ressourcen zugreifen, um Ihr Unternehmen vor neuen und neuen Angriffen zu schützen. Dieser Artikel führt Administratoren durch das Einrichten unterstützter Geräte für Application Guard für Office.

Voraussetzungen

Lizenzierungsanforderungen

• Microsoft 365 E5 oder Microsoft 365 E5 Security
• Sichere Dokumente in Microsoft 365

Hardware-Mindestanforderungen

• CPU: 64-Bit, vier Kerne (physisch oder virtuell), Virtualisierungserweiterungen (Intel VT-x oder AMD-V), Core i5-Äquivalent oder höher empfohlen.
• Physischer Arbeitsspeicher: 8 GB RAM.
• Festplatte: 10 GB freier Speicherplatz auf dem Systemlaufwerk (SSD empfohlen).

Mindestanforderungen an die Software

• Windows: Windows 10 Enterprise Edition, Clientbuildversion 2004 (20H1) Build 19041 oder höher. Alle Versionen von Windows 11 werden unterstützt.
• Office: Microsoft 365 Apps mit Build 16.0.13530.10000 oder höher. Für Installationen des aktuellen Kanals und des monatlichen Enterprise-Kanals entspricht diese Version 2011. Für Semi-Annual Enterprise Channel und Semi-Annual Enterprise Channel (Vorschau) ist die Mindestversion 2108 oder höher. Sowohl 32-Bit- als auch 64-Bit-Versionen werden unterstützt.
• Updatepaket: Windows 10 kumulatives monatliches Sicherheitsupdate KB4571756

Ausführliche Systemanforderungen finden Sie unter Systemanforderungen für Microsoft Defender Application Guard. Lesen Sie auch die Anleitungen ihres Computerherstellers zum Aktivieren der Virtualisierungstechnologie. Weitere Informationen zu Microsoft 365 Apps Updatekanälen finden Sie unter Übersicht über Updatekanäle für Microsoft 365 Apps.

Bereitstellen von Application Guard für Office

Aktivieren von Application Guard für Office

1. Betriebssystemanforderungen:

   • Windows 10: Überprüfen Sie, ob KB4571756 vom 8. September 2020 installiert ist.
   • Windows 11: Keine spezifischen Anforderungen.

2. Wählen Sie unter Windows-Featuresdie Option Microsoft Defender Application Guard und dann OK aus. Wenn Sie das feature Application Guard aktivieren, werden Sie zu einem Systemneustart aufgefordert. Sie können jetzt oder nach Schritt 3 neu starten.

   

   Sie können das Anwendungshandbuch auch in Windows PowerShell aktivieren, indem Sie den folgenden Befehl als Administrator ausführen:

   Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
   

3. Wechseln Sie Gruppenrichtlinie Editor zu Computerkonfiguration>Administrative Vorlagen>Windows-Komponenten>Microsoft Defender Application Guard.

   Aktivieren Sie die Einstellung Microsoft Defender Application Guard im verwalteten Modus aktivieren. Legen Sie den Wert im Abschnitt Optionen auf einen der folgenden Werte fest:

   • 2: Aktivieren Sie Microsoft Defender Application Guard NUR für isolierte Windows-Umgebungen.
   • 3: Aktivieren sie Microsoft Defender Application Guard für Microsoft Edge UND isolierte Windows-Umgebungen.

   

   Alternativ können Sie die entsprechende CSP-Richtlinie festlegen:

   OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Datentyp: Integer Value: 2

4. Starten Sie den Computer neu, sofern noch nicht geschehen.

Festlegen von Diagnose- & Feedback zum Senden vollständiger Daten

Hinweis

Dieser Schritt ist nicht erforderlich. Die Konfiguration optionaler Diagnose Daten kann jedoch helfen, gemeldete Probleme zu diagnostizieren.

Dieser Schritt stellt sicher, dass die zum Identifizieren und Beheben von Problemen erforderlichen Daten Microsoft erreichen. Führen Sie die folgenden Schritte aus, um Diagnose auf Ihrem Windows-Gerät zu aktivieren:

1. Öffnen Sie Einstellungen im Startmenü.
2. Wählen Sie unter Windows-Einstellungen die Option Datenschutz aus.
3. Wählen Sie unter Datenschutz die Option Diagnose & Feedback aus, und wählen Sie Optionale Diagnosedaten aus.

Weitere Informationen zum Konfigurieren von Windows-Diagnoseeinstellungen finden Sie unter Konfigurieren von Windows-Diagnosedaten in Ihrem organization.

Vergewissern Sie sich, dass Application Guard für Office aktiviert ist und funktioniert.

Bevor Sie bestätigen, dass Application Guard für Office aktiviert ist, führen Sie die folgenden Schritte aus:

1. Starten Sie Word, Excel oder PowerPoint auf einem Gerät, auf dem die Richtlinien bereitgestellt wurden.
2. Navigieren Sie in der app, die Sie gestartet haben, zu Dateikonto>. Überprüfen Sie auf der Seite Konto , ob die erwartete Lizenz angezeigt wird.

Um zu bestätigen, dass Application Guard für Office aktiviert ist, öffnen Sie ein nicht vertrauenswürdiges Dokument. Beispielsweise können Sie ein Dokument öffnen, das aus dem Internet heruntergeladen wurde, oder eine E-Mail-Anlage von einer Person außerhalb Ihrer organization.

Wenn Sie zum ersten Mal eine nicht vertrauenswürdige Datei öffnen, wird der folgende Office-Begrüßungsbildschirm angezeigt. Application Guard für Office wird aktiviert, und die Datei wird geöffnet. Nachfolgende Öffnungen von nicht vertrauenswürdigen Dateien sind in der Regel schneller.

Nachdem die Datei geöffnet wurde, gibt es einige visuelle Indikatoren, die signalisieren, dass die Datei in Application Guard für Office geöffnet ist:

• Eine Legende im Menüband

  

• Das Anwendungssymbol mit einem Schild in der Taskleiste

  

Konfigurieren von Application Guard für Office

Office unterstützt die folgenden Richtlinien zum Konfigurieren von Application Guard für Office. Diese Richtlinien können über Gruppenrichtlinien oder über den Office-Cloudrichtliniendienst konfiguriert werden.

Hinweis

Durch das Konfigurieren dieser Richtlinien können einige Funktionen für Dateien deaktiviert werden, die in Application Guard für Office geöffnet wurden.

Richtlinie	Beschreibung
Verwenden Sie keine Application Guard für Office.	Erzwingt, dass Word, Excel und PowerPoint den Isolationscontainer für geschützte Ansicht anstelle von Application Guard für Office verwenden.
Konfigurieren Application Guard für die Office-Containervorbereitung	Bestimmt, ob der Application Guard für Office-Container für eine verbesserte Laufzeitleistung vorkonfiguriert wird. Wenn Sie diese Richtlinie aktivieren, können Sie die Anzahl der Tage angeben, für die die Vorerstellung eines Containers fortgesetzt werden soll, oder die integrierte Heuristik von Office den Container vorab erstellen lassen.
Konfigurieren des Kopierens und Einfügens aus Office-Dokumenten, die in Application Guard	Hiermit können Sie steuern, ob Benutzer Inhalte aus Office in dokumente kopieren und einfügen können, die in Application Guard geöffnet wurden, sowie die zulässigen Formate.
Deaktivieren der Hardwarebeschleunigung in Application Guard für Office	Steuert, ob Application Guard für Office die Hardwarebeschleunigung zum Rendern von Grafiken verwendet. Wenn Sie diese Einstellung aktivieren, verwendet Application Guard für Office softwarebasiertes Rendering (CPU) und lädt keine Grafiktreiber von Drittanbietern und interagiert nicht mit angeschlossener Grafikhardware.
Deaktivieren des Schutzes von nicht unterstützten Dateitypen in Application Guard für Office	Steuert, ob Application Guard für Office das Öffnen nicht unterstützter Dateitypen blockiert oder ob die Umleitung zur geschützten Ansicht aktiviert wird.
Deaktivieren des Kamera- und Mikrofonzugriffs für Dokumente, die in Application Guard für Office geöffnet wurden	Wenn Sie diese Richtlinie aktivieren, wird der Zugriff von Office auf die Kamera und das Mikrofon in Application Guard für Office entfernt.
Beschränken des Druckens von Dokumenten, die in Application Guard für Office geöffnet wurden	Schränkt die Drucker ein, auf denen ein Benutzer drucken kann, aus einer Datei, die in Application Guard für Office geöffnet wurde. Sie können diese Richtlinie z. B. verwenden, um Benutzer zu beschränken, nur in PDF zu drucken.
Verhindern, dass Benutzer Application Guard für Office Protection für Dateien entfernen	Entfernt die Option (innerhalb der Office-Anwendungsoberfläche), Application Guard für Office-Schutz zu deaktivieren oder eine Datei außerhalb Application Guard für Office zu öffnen. Hinweis: Benutzer können diese Richtlinie weiterhin umgehen, indem sie die Eigenschaft mark-of-the-web manuell aus der Datei entfernen oder ein Dokument an einen vertrauenswürdigen Speicherort verschieben.

Hinweis

Damit die folgenden Richtlinien wirksam werden, müssen sich Benutzer von Windows abmelden und sich erneut anmelden:

• Konfigurieren Sie das Kopieren und Einfügen von Office-Dokumenten, die in Application Guard geöffnet wurden.
• Deaktivieren Sie die Hardwarebeschleunigung in Application Guard für Office.
• Schränken Sie den Druck auf Dokumente ein, die in Application Guard für Office geöffnet wurden.
• Deaktivieren Sie den Kamera- und Mikrofonzugriff auf Dokumente, die in Application Guard für Office geöffnet wurden.

Feedback senden

Senden von Feedback über den Feedback-Hub

Wenn beim Starten von Application Guard für Office Probleme auftreten, wird empfohlen, Ihr Feedback über den Feedback-Hub zu übermitteln:

1. Öffnen Sie die Feedback-Hub-App , und melden Sie sich an.
2. Wenn beim Starten von Application Guard ein Fehlerdialogfeld angezeigt wird, wählen Sie Im Fehlerdialogfeld die Option An Microsoft melden aus, um eine neue Feedbackübermittlung zu starten. Navigieren Sie andernfalls zu https://aka.ms/mdagoffice-fb , um die richtige Kategorie für Application Guard auszuwählen, und wählen Sie dann neues Feedback hinzufügen oben rechts aus.
3. Geben Sie im Feld Feedback zusammenfassen eine Zusammenfassung ein.
4. Geben Sie eine ausführliche Beschreibung des Problems und der Schritte, die Sie zum Debuggen ausgeführt haben, in das Feld Ausführlichere Erläuterung ein, und wählen Sie dann Weiter aus.
5. Wählen Sie die Blase neben Problem aus. Stellen Sie sicher, dass die kategorie Security and Privacy > Microsoft Defender Application Guard – Office ausgewählt ist, und wählen Sie dann Weiter aus.
6. Wählen Sie Neues Feedback und dann Weiter aus.
7. Sammeln von Ablaufverfolgungen zum Problem:
   1. Erweitern Sie die Kachel Mein Problem neu erstellen .
   2. Wenn das Problem auftritt, während Application Guard ausgeführt wird, öffnen Sie eine Application Guard instance. Wenn Sie eine instance öffnen, können zusätzliche Ablaufverfolgungen innerhalb des Application Guard Containers gesammelt werden.
   3. Wählen Sie Aufzeichnung starten aus, und warten Sie, bis sich die Kachel nicht mehr dreht, und sagen Sie Aufzeichnung beenden.
   4. Reproduzieren Sie das Problem vollständig mit Application Guard. Die Reproduktion kann den Versuch umfassen, eine Application Guard instance zu starten und zu warten, bis sie fehlschlägt, oder das Reproduzieren eines Problems in einem ausgeführten Application Guard instance.
   5. Wählen Sie die Kachel Aufzeichnung beenden aus.
   6. Lassen Sie alle ausgeführten Application Guard instance auch einige Minuten nach der Übermittlung geöffnet, damit auch container Diagnose gesammelt werden können.
8. Fügen Sie alle relevanten Screenshots oder Dateien im Zusammenhang mit dem Problem an.
9. Wählen Sie Senden aus.

Übermitteln von Feedback über One Customer Voice

Sie können auch Feedback aus Word, Excel und PowerPoint übermitteln, wenn das Problem auftritt, wenn Dateien in Application Guard geöffnet werden. Ausführliche Anleitungen finden Sie unter Bereitstellen von Feedback .

Integration in Microsoft Defender for Endpoint und Microsoft Defender for Office 365

Application Guard für Office ist in Microsoft Defender for Endpoint integriert, um Überwachung und Warnungen bei schädlichen Aktivitäten bereitzustellen, die in der isolierten Umgebung auftreten.

Sichere Dokumente in Microsoft E365 E5 ist ein Feature, das Microsoft Defender for Endpoint verwendet, um Dokumente zu scannen, die in Application Guard für Office geöffnet wurden. Für eine zusätzliche Schutzebene können Benutzer Application Guard für Office erst verlassen, wenn die Ergebnisse der Überprüfung ermittelt wurden.

Einschränkungen und Überlegungen

• Application Guard für Office ist ein geschützter Modus, der nicht vertrauenswürdige Dokumente isoliert, sodass sie nicht auf vertrauenswürdige Unternehmensressourcen zugreifen können. Beispielsweise ein Intranet, die Identität des Benutzers und beliebige Dateien auf dem Computer. Wenn ein Benutzer eine Aktion versucht, die Zugriff auf vertrauenswürdige Ressourcen erfordert (z. B. einfügen einer lokalen Bilddatei), schlägt die Aktion fehl und zeigt eine Eingabeaufforderung wie im folgenden Beispiel an. Damit ein nicht vertrauenswürdiges Dokument auf vertrauenswürdige Ressourcen zugreifen kann, müssen Benutzer Application Guard Schutz aus dem Dokument entfernen.

  

  Hinweis

  Empfehlen Sie Benutzern, den Schutz nur dann zu entfernen, wenn sie der Datei und der Quelle der Datei vertrauen.

• Aktive Inhalte wie Makros und ActiveX-Steuerelemente sind in Application Guard für Office deaktiviert. Um aktive Inhalte zu aktivieren, muss der Application Guard-Schutz entfernt werden.

• Nicht vertrauenswürdige Dateien aus Netzwerkfreigaben oder dateien, die von OneDrive, OneDrive for Business oder SharePoint Online freigegeben wurden, werden in Application Guard schreibgeschützt geöffnet. Benutzer können eine lokale Kopie dieser Dateien speichern, um weiterhin im Container zu arbeiten, oder den Schutz entfernen, um direkt mit der ursprünglichen Datei zu arbeiten.

• Dateien, die durch Information Rights Management (IRM) geschützt sind, werden standardmäßig blockiert. Wenn Benutzer solche Dateien in der geschützten Ansicht öffnen möchten, muss ein Administrator Richtlinieneinstellungen für nicht unterstützte Dateitypen für die organization konfigurieren.

• Alle Anpassungen an Office-Anwendungen in Application Guard für Office werden nicht beibehalten, nachdem sich ein Benutzer abmeldet und sich erneut anmeldet oder nachdem das Gerät neu gestartet wurde.

• Nur Barrierefreiheitstools, die das UIA-Framework verwenden, können eine barrierefreie Oberfläche für Dateien bereitstellen, die in Application Guard für Office geöffnet wurden.

• Netzwerkkonnektivität ist für den ersten Start von Application Guard nach der Installation erforderlich.

• Im Informationsabschnitt des Dokuments zeigt die Eigenschaft Zuletzt geändert von möglicherweise WDAGUtilityAccount als Benutzer an. WDAGUtilityAccount ist das anonyme Konto, das von Application Guard verwendet wird. Die Identität des Desktopbenutzers ist innerhalb des Application Guard Containers nicht verfügbar.

Leistungsoptimierungen für Application Guard für Office

Application Guard verwendet einen virtualisierten Container, ähnlich einem virtuellen Computer, um nicht vertrauenswürdige Dokumente vom System zu isolieren. Das Erstellen eines Containers und das Einrichten des Application Guard Containers zum Öffnen von Office-Dokumenten hat einen Leistungsaufwand, der sich negativ auf die Benutzererfahrung auswirken kann, wenn Benutzer ein nicht vertrauenswürdiges Dokument öffnen.

Um Benutzern die erwartete Erfahrung beim Öffnen von Dateien zu bieten, verwendet Application Guard Logik, um einen Container zu erstellen, wenn die folgende Heuristik auf einem System erfüllt ist: Ein Benutzer hat in den letzten 28 Tagen eine Datei entweder in der geschützten Ansicht oder in Application Guard geöffnet.

Wenn diese Heuristik erfüllt ist, erstellt Office einen Application Guard Container für den Benutzer, nachdem er sich bei Windows angemeldet hat. Während dieser Voraberstellenvorgang ausgeführt wird, kann die Leistung des Systems langsam sein, aber der Effekt wird behoben, sobald der Vorgang abgeschlossen ist.

Hinweis

Die Hinweise, die für die Heuristik erforderlich sind, um den Container vorab zu erstellen, werden von Office-Anwendungen generiert, wenn ein Benutzer sie verwendet. Wenn ein Benutzer Office auf einem neuen System installiert, auf dem Application Guard aktiviert ist, erstellt Office den Container erst vorab, nachdem ein Benutzer ein nicht vertrauenswürdiges Dokument auf dem System zum ersten Mal öffnet. Das Öffnen dieser ersten Datei in Application Guard dauert länger.

Bekannte Probleme

• Die Standardeinstellung für die Schutzrichtlinie für nicht unterstützte Dateitypen besteht darin, das Öffnen nicht vertrauenswürdiger, nicht unterstützter Dateitypen zu blockieren, die verschlüsselt sind oder die IrM (Information Rights Management) festgelegt haben. Diese Einstellung umfasst Dateien, die mit Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection verschlüsselt werden.
• HTML-Dateien werden derzeit nicht unterstützt.
• Application Guard für Office funktioniert derzeit nicht mit komprimierten NTFS-Volumes. Wenn der Fehler "ERROR_VIRTUAL_DISK_LIMITATION" angezeigt wird, versuchen Sie, das Volume zu dekomprimieren.
• Wenn ein Fehler angezeigt wird, der darauf hinweist, dass der Hypervisor möglicherweise nicht aktiviert ist, überprüfen Sie folgendes:
  • Virtualisierung ist im BIOS aktiviert.
  • Hyper-V ist aktiviert.
  • Der Hostnetzwerkdienst wird ausgeführt.
• Updates zu .NET kann dazu führen, dass Dateien in Application Guard nicht geöffnet werden. Sie können dieses Problem beheben, indem Sie den Computer neu starten.
• Application Guard erfordert, dass "Virtual Machines" die Berechtigung "Anmeldung als Dienst" erhält, und "wdagutilityaccount" darf der Sicherheitsrichtlinieneinstellung "Anmeldung als Dienst verweigern" nicht hinzugefügt werden.
• Weitere Informationen finden Sie unter Häufig gestellte Fragen – Microsoft Defender Application Guard für weitere Informationen.