Sovellussuoja Officen järjestelmänvalvojille
Koskee seuraavia: Word, Excel ja PowerPoint for Microsoft 365 Apps, Windows 10 Enterprise, Windows 11 Enterprise
Tärkeää
officen Microsoft Defenderin sovellussuoja vanhentuu, eikä sitä enää päivitetä. Tämä vanhentuminen sisältää myös Windows.Security.Isolation-ohjelmointirajapinnat, joita käytetään Officen Microsoft Defenderin sovellussuoja. Suosittelemme siirtymistä hyökkäysalueen vähentämissääntöjen Microsoft Defender for Endpoint yhdessä suojatun näkymän ja Windows Defender sovellusohjausobjektin kanssa.
Microsoft Defenderin sovellussuoja for Office (Sovellussuoja for Office) auttaa estämään epäluotettuja tiedostoja käyttämästä luotettuja resursseja ja pitämään yrityksesi turvassa uusilta ja uusilta hyökkäyksiltä. Tässä artikkelissa kerrotaan järjestelmänvalvojille, miten he voivat määrittää officen Sovellussuoja tuetut laitteet.
Ennakkovaatimukset
Käyttöoikeusvaatimukset
- Microsoft 365 E5 tai Microsoft 365 E5 Security
- Turvalliset asiakirjat Microsoft 365:ssä
Laitteiston vähimmäisvaatimukset
- Suoritin: 64-bittinen, neljä ydintä (fyysinen tai virtuaalinen), virtualisointilaajennukset (Intel VT-x OR AMD-V), Core i5:n vastine tai uudempi suositus.
- Fyysinen muisti: 8 Gt RAM-muistia.
- Kiintolevy: 10 Gt vapaata tilaa järjestelmäasemassa (suositellaan SSD:tä).
Ohjelmistojen vähimmäisvaatimukset
- Windows: Windows 10 Enterprise versio, Client Build 2004 (20H1) -koontiversio 19041 tai uudempi. Kaikkia Windows 11 versioita tuetaan.
- Office: Microsoft 365 -sovellukset koontiversiolla 16.0.13530.10000 tai uudemmassa. Nykyisen kanavan ja kuukausittaisen yrityskanavan asennuksissa tämä versio vastaa versiota 2011. Semi-Annual Enterprise Channelissa ja Semi-Annual Enterprise Channelissa (esikatselu) vähimmäisversio on 2108 tai uudempi. Sekä 32- että 64-bittistä versiota tuetaan.
- Päivityspaketti: kumulatiivisen kuukausittaisen tietoturvapäivityksen Windows 10 KB4571756
Yksityiskohtaiset järjestelmävaatimukset ovat Microsoft Defenderin sovellussuoja järjestelmävaatimuksissa. Katso myös tietokonevalmistajan oppaat virtualisointitekniikan käyttöönotosta. Lisätietoja Microsoft 365 -sovellukset päivityskanavista on artikkelissa yleiskatsaus Microsoft 365 -sovellukset päivityskanavista.
Ota käyttöön Officen Sovellussuoja
Ota officen Sovellussuoja käyttöön
Käyttöjärjestelmävaatimukset:
- Windows 10: Tarkista, että 8. 2020 KB4571756 on asennettu.
- Windows 11: Ei erityisiä vaatimuksia.
Valitse Windowsin ominaisuudet-kohdassa Microsoft Defenderin sovellussuoja ja valitse sitten OK. Sovellussuoja ominaisuuden ottaminen käyttöön kehottaa käynnistämään järjestelmän uudelleen. Voit käynnistää uudelleen nyt tai 3. vaiheen jälkeen.
Voit myös ottaa sovellusoppaan käyttöön Windows PowerShell suorittamalla seuraavan komennon järjestelmänvalvojana:
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
Siirry ryhmäkäytäntö Kirjoitusavustaja kohtaan Tietokoneasetukset>Hallintamallit>Windowsin osat>Microsoft Defenderin sovellussuoja.
Ota käyttöön Ota käyttöön Microsoft Defenderin sovellussuoja hallitussa tilassa -asetus. Määritä Asetukset-osan arvoksi jompikumpi seuraavista arvoista:
- 2: Ota Microsoft Defenderin sovellussuoja käyttöön vain eristetyissä Windows-ympäristöissä.
- 3: Ota Microsoft Defenderin sovellussuoja käyttöön Microsoft Edgessä ja eristetyissä Windows-ympäristöissä.
Vaihtoehtoisesti voit määrittää vastaavan CSP-käytännön:
OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Tietotyyppi: KokonaislukuArvo : 2
Käynnistä tietokone uudelleen, jos et ole vielä tehnyt niin.
Määritä diagnostiikka & palaute täydellisten tietojen lähettämiseksi
Huomautus
Tämä vaihe ei ole pakollinen. Valinnaisten diagnostiikkatietojen määrittäminen voi kuitenkin auttaa diagnosoimaan raportoidut ongelmat.
Tämä vaihe varmistaa, että Microsoft saa selville tiedot, joita tarvitaan ongelmien tunnistamiseen ja korjaamiseen. Ota diagnostiikka käyttöön Windows-laitteessa seuraavasti:
- Avaa Asetukset Käynnistä-valikosta.
- Valitse Windowsin asetuksissaTietosuoja.
- Valitse Tietosuoja-kohdasta Diagnostiikka & palautetta ja valitse Valinnaiset diagnostiikkatiedot.
Lisätietoja Windowsin diagnostiikka-asetusten määrittämisestä on kohdassa Windowsin diagnostiikkatietojen määrittäminen organisaatiossasi.
Varmista, että Officen Sovellussuoja on käytössä ja toimii
Ennen kuin vahvistat, että Officen Sovellussuoja on käytössä, toimi seuraavasti:
- Käynnistä Word, Excel tai PowerPoint laitteessa, jossa käytännöt on otettu käyttöön.
- Siirry käynnistämästäsi sovelluksestatiedostotiliin>. Tarkista Tili-sivulla , että odotettu käyttöoikeus näkyy.
Varmista, että Officen Sovellussuoja on käytössä, avaamalla asiakirja, johon ei luoteta. Voit esimerkiksi avata Internetistä ladatun asiakirjan tai organisaation ulkopuolisen henkilön sähköpostiliitteen.
Kun avaat tiedoston, joka ei ole luotettu, näyttöön tulee seuraava Office-käynnistyskuva. Sovellussuoja Officelle aktivoidaan ja tiedostoa avataan. Luottamattomien tiedostojen seuraavat avaamiset ovat yleensä nopeampia.
Tiedoston avaamisen jälkeen on joitakin visuaalisia ilmaisimia, jotka ilmaisevat, että tiedosto on avattu Officen Sovellussuoja sisällä:
Officen Sovellussuoja määrittäminen
Office tukee seuraavia käytäntöjä Officen Sovellussuoja määrittämiseksi. Nämä käytännöt voidaan määrittää ryhmäkäytäntöjen tai Officen pilvikäytäntöpalvelun kautta.
Huomautus
Näiden käytäntöjen määrittäminen voi poistaa käytöstä joitakin toimintoja tiedostoille, jotka on avattu officen Sovellussuoja.
Politiikan | Kuvaus |
---|---|
Älä käytä Sovellussuoja Officessa | Pakottaa Word, Excelin ja PowerPointin käyttämään Suojatun näkymän eristyssäilöä Officen Sovellussuoja sijaan. |
Määritä Office-säilön esiasteen Sovellussuoja | Määrittää, lisätäänkö Office-säilön Sovellussuoja suorituksenaikaisen suorituskyvyn parantamiseksi. Kun otat tämän käytännön käyttöön, voit määrittää, kuinka monta päivää haluat jatkaa säilön esiasentamista, tai antaa Officen sisäiselle heuristiiselle esiasennustilalle säilön. |
Määritä Sovellussuoja avattujen Office-asiakirjojen kopiointi ja liittäminen | Tämän avulla voit määrittää, voivatko käyttäjät kopioida ja liittää sisältöä Officesta Sovellussuoja avattuihin tiedostoihin ja tiedostoista sekä sallitut muodot. |
Laitteistokiihdytyksen poistaminen käytöstä Officen Sovellussuoja | Määrittää, hahmontavatko Officen Sovellussuoja grafiikkaa laitteistokiihdytyksellä. Jos otat tämän asetuksen käyttöön, Sovellussuoja for Office käyttää ohjelmistopohjaista (suoritin) hahmontamista eikä lataa kolmannen osapuolen grafiikkaohjaimia tai ole vuorovaikutuksessa minkään yhdistetyn grafiikkalaitteiston kanssa. |
Poista ei-tuettujen tiedostotyyppien suojaus käytöstä Officen Sovellussuoja | Määrittää, estääkö Officen Sovellussuoja tukemattomien tiedostotyyppien avaamisen vai mahdollistaako se uudelleenohjauksen suojattuun näkymään. |
Officen Sovellussuoja avattujen tiedostojen kameran ja mikrofonin käytön poistaminen käytöstä | Tämän käytännön ottaminen käyttöön poistaa Officen pääsyn kameraan ja mikrofoniin Officen Sovellussuoja sisällä. |
Officen Sovellussuoja avattujen tiedostojen tulostamisen rajoittaminen | Rajoittaa tulostimia, joihin käyttäjä voi tulostaa Officen Sovellussuoja avatussa tiedostossa. Tämän käytännön avulla voit esimerkiksi rajoittaa käyttäjiä tulostamaan vain PDF-muotoon. |
Estä käyttäjiä poistamasta tiedostojen Office-suojauksen Sovellussuoja | Poistaa Office-suojauksen Sovellussuoja käytöstä tai tiedoston avaamisen Officen Sovellussuoja ulkopuolella. Huomautus: Käyttäjät voivat silti ohittaa tämän käytännön poistamalla mark-of-the-web-ominaisuuden tiedostosta manuaalisesti tai siirtämällä asiakirjan luotettuun sijaintiin. |
Huomautus
Jotta seuraavat käytännöt tulevat voimaan, käyttäjien on kirjauduttava ulos Windowsista ja kirjauduttava uudelleen sisään:
- Määritä Sovellussuoja avattujen Office-tiedostojen kopiointi ja liittäminen.
- Poista laitteistokiihdytys käytöstä Officen Sovellussuoja.
- Rajoita Officen Sovellussuoja avattujen tiedostojen tulostamista.
- Poista officen Sovellussuoja avattujen tiedostojen kameran ja mikrofonin käyttö käytöstä.
Lähetä palautetta
Palautteen lähettäminen palautekeskuksen kautta
Jos kohtaat ongelmia officen Sovellussuoja käynnistämisessä, sinua kehotetaan lähettämään palautteesi Palautekeskuksen kautta:
- Avaa Palautekeskus-sovellus ja kirjaudu sisään.
- Jos näyttöön tulee virhevalintaikkuna käynnistettäessä Sovellussuoja, aloita uuden palautteen lähettäminen valitsemalla Virhe-valintaikkunassa Raportti Microsoftille. Muussa tapauksessa siirry kohtaan https://aka.ms/mdagoffice-fb ja valitse oikea luokka Sovellussuoja ja valitse sitten Lisää uusi palaute lähellä oikeaa yläkulmaa.
- Kirjoita yhteenveto Yhteenveto palautteestasi -ruutuun.
- Kirjoita yksityiskohtainen kuvaus ongelmasta ja virheenkorjausvaiheet Selitä lisätietoja -ruutuun ja valitse sitten Seuraava.
- Valitse Ongelma-kohdan vieressä oleva kupla. Varmista, että valittuna on Suojaus ja tietosuoja > -Microsoft Defenderin sovellussuoja – Office, ja valitse sitten Seuraava.
- Valitse Uusi palaute ja sitten Seuraava.
- Kerää seurantatietoja ongelmasta:
- Laajenna Ongelmasi uudelleen - ruutu.
- Jos kohtaat ongelman, kun Sovellussuoja on käynnissä, avaa Sovellussuoja esiintymä. Esiintymän avaaminen mahdollistaa lisäjäljitysten keräämisen Sovellussuoja säilöstä.
- Valitse Aloita tallennus ja odota, kunnes ruutu lakkaa pyörimästä, ja sano Lopeta tallennus.
- Toista ongelma täysin Sovellussuoja kanssa. Toistamiseen voi kuulua yritys käynnistää Sovellussuoja esiintymä ja odottaa, kunnes se epäonnistuu, tai ongelman toistaminen käynnissä olevassa Sovellussuoja esiintymässä.
- Valitse Lopeta tallennus -ruutu.
- Pidä käynnissä olevat Sovellussuoja esiintymät avoinna jopa muutaman minuutin ajan lähettämisen jälkeen, jotta myös säilödiagnostiikka voidaan kerätä.
- Liitä mahdolliset ongelmaan liittyvät näyttökuvat tai tiedostot.
- Valitse Lähetä.
Lähetä palautetta One Customer Voicen kautta
Voit myös lähettää palautetta Word, Excelistä ja PowerPointista, jos ongelma ilmenee, kun tiedostot avataan Sovellussuoja. Katso tarkat ohjeet kohdasta Anna palautetta .
Integrointi Microsoft Defender for Endpoint ja Microsoft Defender for Office 365 kanssa
Sovellussuoja For Office on integroitu Microsoft Defender for Endpoint avulla eristetyssä ympäristössä tapahtuvan haitallisen toiminnan seurantaan ja hälytykseen.
Microsoft E365 E5:n Turvalliset asiakirjat -toiminto käyttää Microsoft Defender for Endpoint Officen Sovellussuoja avattujen tiedostojen tarkistamiseen. Lisäsuojausta varten käyttäjät eivät voi poistua Officen Sovellussuoja, ennen kuin tarkistuksen tulokset on määritetty.
Rajoitukset ja huomioitavat seikat
Sovellussuoja Office on suojattu tila, joka eristää ei-luotetut asiakirjat, jotta he eivät voi käyttää luotettuja yrityksen resursseja. Esimerkiksi intranet, käyttäjän käyttäjätiedot ja satunnaiset tiedostot tietokoneessa. Jos käyttäjä yrittää toimintoa, joka edellyttää luotettujen resurssien käyttöä (esimerkiksi paikallisen kuvatiedoston lisäämistä), toiminto epäonnistuu ja näyttää seuraavan esimerkin kaltaisen kehotteen. Jotta luotettuja resursseja voidaan käyttää ei-luotetuissa tiedostoissa, käyttäjien on poistettava Sovellussuoja suojaus asiakirjasta.
Huomautus
Kehottaa käyttäjiä poistamaan suojauksen vain, jos he luottavat tiedostoon ja tiedoston lähteeseen.
Aktiivinen sisältö, kuten makrot ja ActiveX-komponentit, on poistettu käytöstä Officen Sovellussuoja. Jos haluat ottaa aktiivisen sisällön käyttöön, Sovellussuoja suojaus on poistettava.
OneDrivesta, OneDrive for Business tai SharePoint Onlinesta jaetuista verkkoresurssien jaetuista tiedostoista tai tiedostoista jaetut tiedostot avautuvat vain luku -tilassa Sovellussuoja. Käyttäjät voivat tallentaa tällaisista tiedostoista paikallisen kopion jatkaakseen työskentelyä säilössä tai poistaa suojauksen käsitelläkseen alkuperäistä tiedostoa suoraan.
Sisältöoikeuksien hallinnan (IRM) suojaamat tiedostot on oletusarvoisesti estetty. Jos käyttäjät haluavat avata tällaisia tiedostoja suojatussa näkymässä, järjestelmänvalvojan on määritettävä käytäntöasetukset organisaatiolle tiedostotyypeille, joita ei tueta.
Office-Sovellussuoja office-sovellusten mukautukset eivät säily sen jälkeen, kun käyttäjä kirjautuu ulos ja kirjautuu sisään uudelleen tai laitteen käynnistymisen jälkeen.
Vain helppokäyttöisyystyökalut, jotka käyttävät UIA-kehystä, voivat tarjota helppokäyttöisen käyttökokemuksen tiedostoille, jotka on avattu officen Sovellussuoja.
Verkkoyhteys vaaditaan ensimmäiseen Sovellussuoja käynnistämiseen asennuksen jälkeen.
Asiakirjan tieto-osiossa Viimeisin muokkaaja - ominaisuus saattaa näyttää WDAGUtilityAccount-kohteen käyttäjänä. WDAGUtilityAccount on Sovellussuoja käyttämä anonyymi tili. Työpöydän käyttäjän käyttäjätiedot eivät ole käytettävissä Sovellussuoja säilössä.
Officen Sovellussuoja suorituskyvyn optimoinnit
Sovellussuoja käyttää näennäiskoneen kaltaista virtualisoitua säilöä epäluotettamattomien asiakirjojen eristämiseen pois järjestelmästä. Säilön luominen ja Sovellussuoja-säilön määrittäminen Office-asiakirjojen avaamista varten aiheuttaa suorituskykykustannuksia, jotka saattavat vaikuttaa kielteisesti käyttökokemukseen, kun käyttäjät avaavat tiedoston, johon ei luoteta.
Jotta käyttäjät saavat odotetun tiedoston avaamiskokemuksen, Sovellussuoja käyttää logiikkaa säilön esivalmisteluun, kun järjestelmä täyttää seuraavan heuristiikan: Käyttäjä on avannut tiedoston joko suojatussa näkymässä tai Sovellussuoja viimeisen 28 päivän aikana.
Kun tämä heuristiikko täyttyy, Office luo Sovellussuoja säilön käyttäjälle Windowsiin kirjautumisen jälkeen. Kun tämä esiluontitoiminto on käynnissä, järjestelmän suorituskyky saattaa hidastua, mutta vaikutus ratkeaa heti, kun toiminto on valmis.
Huomautus
Office-sovellukset luovat säilön esiluontiin tarvittavat vihjeet, kun käyttäjä käyttää niitä. Jos käyttäjä asentaa Officen uuteen järjestelmään, jossa Sovellussuoja on käytössä, Office luo säilön valmiiksi vasta, kun käyttäjä avaa järjestelmään epäluotettavan asiakirjan ensimmäisen kerran. Ensimmäisen tiedoston avaaminen Sovellussuoja kestää kauemmin.
Tunnetut ongelmat
- Tukemattomien tiedostotyyppien suojauskäytännön oletusasetus on estää epäluotettavia, tukemattomia tiedostotyyppejä, jotka on salattu tai joihin on määritetty sisältöoikeuksien hallinta (IRM). Tämä asetus sisältää tiedostoja, jotka salataan Microsoft Purview Information Protection luottamuksellisuustunnisteilla.
- HTML-tiedostoja ei tueta tällä hetkellä.
- Sovellussuoja For Office ei tällä hetkellä toimi NTFS-pakattujen asemien kanssa. Jos näyttöön tulee virhesanoma "ERROR_VIRTUAL_DISK_LIMITATION", yritä purkaa äänenvoimakkuus.
- Jos näyttöön tulee virhesanoma, jossa mainitaan, että hypervisor ei ehkä ole käytössä, tarkista seuraavat kohteet:
- Virtualisointi on käytössä BIOSissa.
- Hyper-V on käytössä.
- Isäntäverkkopalvelu on käynnissä.
- .NET-Päivitykset saattaa aiheuttaa tiedostojen avaamisen Sovellussuoja. Voit ratkaista tämän ongelman käynnistämällä tietokoneen uudelleen.
- Sovellussuoja edellyttää, että Näennäiskoneet on kirjautuminen palveluna -käyttöoikeus, eikä wdagutilityaccount-arvoa saa lisätä Estä kirjautuminen palveluna -suojauskäytäntöasetukseen.
- Lisätietoja on kohdassa Usein kysytyt kysymykset – Microsoft Defenderin sovellussuoja lisätietoja.