Jaa


Sovellussuoja Officen järjestelmänvalvojille

Koskee seuraavia: Word, Excel ja PowerPoint for Microsoft 365 Apps, Windows 10 Enterprise, Windows 11 Enterprise

Tärkeää

officen Microsoft Defenderin sovellussuoja vanhentuu, eikä sitä enää päivitetä. Tämä vanhentuminen sisältää myös Windows.Security.Isolation-ohjelmointirajapinnat, joita käytetään Officen Microsoft Defenderin sovellussuoja. Suosittelemme siirtymistä hyökkäysalueen vähentämissääntöjen Microsoft Defender for Endpoint yhdessä suojatun näkymän ja Windows Defender sovellusohjausobjektin kanssa.

Microsoft Defenderin sovellussuoja for Office (Sovellussuoja for Office) auttaa estämään epäluotettuja tiedostoja käyttämästä luotettuja resursseja ja pitämään yrityksesi turvassa uusilta ja uusilta hyökkäyksiltä. Tässä artikkelissa kerrotaan järjestelmänvalvojille, miten he voivat määrittää officen Sovellussuoja tuetut laitteet.

Ennakkovaatimukset

Käyttöoikeusvaatimukset

Laitteiston vähimmäisvaatimukset

  • Suoritin: 64-bittinen, neljä ydintä (fyysinen tai virtuaalinen), virtualisointilaajennukset (Intel VT-x OR AMD-V), Core i5:n vastine tai uudempi suositus.
  • Fyysinen muisti: 8 Gt RAM-muistia.
  • Kiintolevy: 10 Gt vapaata tilaa järjestelmäasemassa (suositellaan SSD:tä).

Ohjelmistojen vähimmäisvaatimukset

  • Windows: Windows 10 Enterprise versio, Client Build 2004 (20H1) -koontiversio 19041 tai uudempi. Kaikkia Windows 11 versioita tuetaan.
  • Office: Microsoft 365 -sovellukset koontiversiolla 16.0.13530.10000 tai uudemmassa. Nykyisen kanavan ja kuukausittaisen yrityskanavan asennuksissa tämä versio vastaa versiota 2011. Semi-Annual Enterprise Channelissa ja Semi-Annual Enterprise Channelissa (esikatselu) vähimmäisversio on 2108 tai uudempi. Sekä 32- että 64-bittistä versiota tuetaan.
  • Päivityspaketti: kumulatiivisen kuukausittaisen tietoturvapäivityksen Windows 10 KB4571756

Yksityiskohtaiset järjestelmävaatimukset ovat Microsoft Defenderin sovellussuoja järjestelmävaatimuksissa. Katso myös tietokonevalmistajan oppaat virtualisointitekniikan käyttöönotosta. Lisätietoja Microsoft 365 -sovellukset päivityskanavista on artikkelissa yleiskatsaus Microsoft 365 -sovellukset päivityskanavista.

Ota käyttöön Officen Sovellussuoja

Ota officen Sovellussuoja käyttöön

  1. Käyttöjärjestelmävaatimukset:

    • Windows 10: Tarkista, että 8. 2020 KB4571756 on asennettu.
    • Windows 11: Ei erityisiä vaatimuksia.
  2. Valitse Windowsin ominaisuudet-kohdassa Microsoft Defenderin sovellussuoja ja valitse sitten OK. Sovellussuoja ominaisuuden ottaminen käyttöön kehottaa käynnistämään järjestelmän uudelleen. Voit käynnistää uudelleen nyt tai 3. vaiheen jälkeen.

    Windowsin ominaisuudet -valintaikkuna, jossa näkyy AG

    Voit myös ottaa sovellusoppaan käyttöön Windows PowerShell suorittamalla seuraavan komennon järjestelmänvalvojana:

    Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
    
  3. Siirry ryhmäkäytäntö Kirjoitusavustaja kohtaan Tietokoneasetukset>Hallintamallit>Windowsin osat>Microsoft Defenderin sovellussuoja.

    Ota käyttöön Ota käyttöön Microsoft Defenderin sovellussuoja hallitussa tilassa -asetus. Määritä Asetukset-osan arvoksi jompikumpi seuraavista arvoista:

    • 2: Ota Microsoft Defenderin sovellussuoja käyttöön vain eristetyissä Windows-ympäristöissä.
    • 3: Ota Microsoft Defenderin sovellussuoja käyttöön Microsoft Edgessä ja eristetyissä Windows-ympäristöissä.

    Mahdollisuus ottaa ag käyttöön hallitussa tilassa

    Vaihtoehtoisesti voit määrittää vastaavan CSP-käytännön:

    OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Tietotyyppi: KokonaislukuArvo : 2

  4. Käynnistä tietokone uudelleen, jos et ole vielä tehnyt niin.

Määritä diagnostiikka & palaute täydellisten tietojen lähettämiseksi

Huomautus

Tämä vaihe ei ole pakollinen. Valinnaisten diagnostiikkatietojen määrittäminen voi kuitenkin auttaa diagnosoimaan raportoidut ongelmat.

Tämä vaihe varmistaa, että Microsoft saa selville tiedot, joita tarvitaan ongelmien tunnistamiseen ja korjaamiseen. Ota diagnostiikka käyttöön Windows-laitteessa seuraavasti:

  1. Avaa Asetukset Käynnistä-valikosta.
  2. Valitse Windowsin asetuksissaTietosuoja.
  3. Valitse Tietosuoja-kohdasta Diagnostiikka & palautetta ja valitse Valinnaiset diagnostiikkatiedot.

Lisätietoja Windowsin diagnostiikka-asetusten määrittämisestä on kohdassa Windowsin diagnostiikkatietojen määrittäminen organisaatiossasi.

Varmista, että Officen Sovellussuoja on käytössä ja toimii

Ennen kuin vahvistat, että Officen Sovellussuoja on käytössä, toimi seuraavasti:

  1. Käynnistä Word, Excel tai PowerPoint laitteessa, jossa käytännöt on otettu käyttöön.
  2. Siirry käynnistämästäsi sovelluksestatiedostotiliin>. Tarkista Tili-sivulla , että odotettu käyttöoikeus näkyy.

Varmista, että Officen Sovellussuoja on käytössä, avaamalla asiakirja, johon ei luoteta. Voit esimerkiksi avata Internetistä ladatun asiakirjan tai organisaation ulkopuolisen henkilön sähköpostiliitteen.

Kun avaat tiedoston, joka ei ole luotettu, näyttöön tulee seuraava Office-käynnistyskuva. Sovellussuoja Officelle aktivoidaan ja tiedostoa avataan. Luottamattomien tiedostojen seuraavat avaamiset ovat yleensä nopeampia.

Office-sovelluksen käynnistyssivu

Tiedoston avaamisen jälkeen on joitakin visuaalisia ilmaisimia, jotka ilmaisevat, että tiedosto on avattu Officen Sovellussuoja sisällä:

  • Kuvateksti valintanauhassa

    Doc-tiedosto, jossa näkyy pieni App Guard -muistiinpano

  • Tehtäväpalkissa oleva sovelluskuvake, jossa on suojaus

Officen Sovellussuoja määrittäminen

Office tukee seuraavia käytäntöjä Officen Sovellussuoja määrittämiseksi. Nämä käytännöt voidaan määrittää ryhmäkäytäntöjen tai Officen pilvikäytäntöpalvelun kautta.

Huomautus

Näiden käytäntöjen määrittäminen voi poistaa käytöstä joitakin toimintoja tiedostoille, jotka on avattu officen Sovellussuoja.

Politiikan Kuvaus
Älä käytä Sovellussuoja Officessa Pakottaa Word, Excelin ja PowerPointin käyttämään Suojatun näkymän eristyssäilöä Officen Sovellussuoja sijaan.
Määritä Office-säilön esiasteen Sovellussuoja Määrittää, lisätäänkö Office-säilön Sovellussuoja suorituksenaikaisen suorituskyvyn parantamiseksi. Kun otat tämän käytännön käyttöön, voit määrittää, kuinka monta päivää haluat jatkaa säilön esiasentamista, tai antaa Officen sisäiselle heuristiiselle esiasennustilalle säilön.
Määritä Sovellussuoja avattujen Office-asiakirjojen kopiointi ja liittäminen Tämän avulla voit määrittää, voivatko käyttäjät kopioida ja liittää sisältöä Officesta Sovellussuoja avattuihin tiedostoihin ja tiedostoista sekä sallitut muodot.
Laitteistokiihdytyksen poistaminen käytöstä Officen Sovellussuoja Määrittää, hahmontavatko Officen Sovellussuoja grafiikkaa laitteistokiihdytyksellä. Jos otat tämän asetuksen käyttöön, Sovellussuoja for Office käyttää ohjelmistopohjaista (suoritin) hahmontamista eikä lataa kolmannen osapuolen grafiikkaohjaimia tai ole vuorovaikutuksessa minkään yhdistetyn grafiikkalaitteiston kanssa.
Poista ei-tuettujen tiedostotyyppien suojaus käytöstä Officen Sovellussuoja Määrittää, estääkö Officen Sovellussuoja tukemattomien tiedostotyyppien avaamisen vai mahdollistaako se uudelleenohjauksen suojattuun näkymään.
Officen Sovellussuoja avattujen tiedostojen kameran ja mikrofonin käytön poistaminen käytöstä Tämän käytännön ottaminen käyttöön poistaa Officen pääsyn kameraan ja mikrofoniin Officen Sovellussuoja sisällä.
Officen Sovellussuoja avattujen tiedostojen tulostamisen rajoittaminen Rajoittaa tulostimia, joihin käyttäjä voi tulostaa Officen Sovellussuoja avatussa tiedostossa. Tämän käytännön avulla voit esimerkiksi rajoittaa käyttäjiä tulostamaan vain PDF-muotoon.
Estä käyttäjiä poistamasta tiedostojen Office-suojauksen Sovellussuoja Poistaa Office-suojauksen Sovellussuoja käytöstä tai tiedoston avaamisen Officen Sovellussuoja ulkopuolella.

Huomautus: Käyttäjät voivat silti ohittaa tämän käytännön poistamalla mark-of-the-web-ominaisuuden tiedostosta manuaalisesti tai siirtämällä asiakirjan luotettuun sijaintiin.

Huomautus

Jotta seuraavat käytännöt tulevat voimaan, käyttäjien on kirjauduttava ulos Windowsista ja kirjauduttava uudelleen sisään:

  • Määritä Sovellussuoja avattujen Office-tiedostojen kopiointi ja liittäminen.
  • Poista laitteistokiihdytys käytöstä Officen Sovellussuoja.
  • Rajoita Officen Sovellussuoja avattujen tiedostojen tulostamista.
  • Poista officen Sovellussuoja avattujen tiedostojen kameran ja mikrofonin käyttö käytöstä.

Lähetä palautetta

Palautteen lähettäminen palautekeskuksen kautta

Jos kohtaat ongelmia officen Sovellussuoja käynnistämisessä, sinua kehotetaan lähettämään palautteesi Palautekeskuksen kautta:

  1. Avaa Palautekeskus-sovellus ja kirjaudu sisään.
  2. Jos näyttöön tulee virhevalintaikkuna käynnistettäessä Sovellussuoja, aloita uuden palautteen lähettäminen valitsemalla Virhe-valintaikkunassa Raportti Microsoftille. Muussa tapauksessa siirry kohtaan https://aka.ms/mdagoffice-fb ja valitse oikea luokka Sovellussuoja ja valitse sitten Lisää uusi palaute lähellä oikeaa yläkulmaa.
  3. Kirjoita yhteenveto Yhteenveto palautteestasi -ruutuun.
  4. Kirjoita yksityiskohtainen kuvaus ongelmasta ja virheenkorjausvaiheet Selitä lisätietoja -ruutuun ja valitse sitten Seuraava.
  5. Valitse Ongelma-kohdan vieressä oleva kupla. Varmista, että valittuna on Suojaus ja tietosuoja > -Microsoft Defenderin sovellussuoja – Office, ja valitse sitten Seuraava.
  6. Valitse Uusi palaute ja sitten Seuraava.
  7. Kerää seurantatietoja ongelmasta:
    1. Laajenna Ongelmasi uudelleen - ruutu.
    2. Jos kohtaat ongelman, kun Sovellussuoja on käynnissä, avaa Sovellussuoja esiintymä. Esiintymän avaaminen mahdollistaa lisäjäljitysten keräämisen Sovellussuoja säilöstä.
    3. Valitse Aloita tallennus ja odota, kunnes ruutu lakkaa pyörimästä, ja sano Lopeta tallennus.
    4. Toista ongelma täysin Sovellussuoja kanssa. Toistamiseen voi kuulua yritys käynnistää Sovellussuoja esiintymä ja odottaa, kunnes se epäonnistuu, tai ongelman toistaminen käynnissä olevassa Sovellussuoja esiintymässä.
    5. Valitse Lopeta tallennus -ruutu.
    6. Pidä käynnissä olevat Sovellussuoja esiintymät avoinna jopa muutaman minuutin ajan lähettämisen jälkeen, jotta myös säilödiagnostiikka voidaan kerätä.
  8. Liitä mahdolliset ongelmaan liittyvät näyttökuvat tai tiedostot.
  9. Valitse Lähetä.

Lähetä palautetta One Customer Voicen kautta

Voit myös lähettää palautetta Word, Excelistä ja PowerPointista, jos ongelma ilmenee, kun tiedostot avataan Sovellussuoja. Katso tarkat ohjeet kohdasta Anna palautetta .

Integrointi Microsoft Defender for Endpoint ja Microsoft Defender for Office 365 kanssa

Sovellussuoja For Office on integroitu Microsoft Defender for Endpoint avulla eristetyssä ympäristössä tapahtuvan haitallisen toiminnan seurantaan ja hälytykseen.

Microsoft E365 E5:n Turvalliset asiakirjat -toiminto käyttää Microsoft Defender for Endpoint Officen Sovellussuoja avattujen tiedostojen tarkistamiseen. Lisäsuojausta varten käyttäjät eivät voi poistua Officen Sovellussuoja, ennen kuin tarkistuksen tulokset on määritetty.

Rajoitukset ja huomioitavat seikat

  • Sovellussuoja Office on suojattu tila, joka eristää ei-luotetut asiakirjat, jotta he eivät voi käyttää luotettuja yrityksen resursseja. Esimerkiksi intranet, käyttäjän käyttäjätiedot ja satunnaiset tiedostot tietokoneessa. Jos käyttäjä yrittää toimintoa, joka edellyttää luotettujen resurssien käyttöä (esimerkiksi paikallisen kuvatiedoston lisäämistä), toiminto epäonnistuu ja näyttää seuraavan esimerkin kaltaisen kehotteen. Jotta luotettuja resursseja voidaan käyttää ei-luotetuissa tiedostoissa, käyttäjien on poistettava Sovellussuoja suojaus asiakirjasta.

    Valintaikkuna, jossa ilmoitetaan turvaviesti ja ominaisuuden tila

    Huomautus

    Kehottaa käyttäjiä poistamaan suojauksen vain, jos he luottavat tiedostoon ja tiedoston lähteeseen.

  • Aktiivinen sisältö, kuten makrot ja ActiveX-komponentit, on poistettu käytöstä Officen Sovellussuoja. Jos haluat ottaa aktiivisen sisällön käyttöön, Sovellussuoja suojaus on poistettava.

  • OneDrivesta, OneDrive for Business tai SharePoint Onlinesta jaetuista verkkoresurssien jaetuista tiedostoista tai tiedostoista jaetut tiedostot avautuvat vain luku -tilassa Sovellussuoja. Käyttäjät voivat tallentaa tällaisista tiedostoista paikallisen kopion jatkaakseen työskentelyä säilössä tai poistaa suojauksen käsitelläkseen alkuperäistä tiedostoa suoraan.

  • Sisältöoikeuksien hallinnan (IRM) suojaamat tiedostot on oletusarvoisesti estetty. Jos käyttäjät haluavat avata tällaisia tiedostoja suojatussa näkymässä, järjestelmänvalvojan on määritettävä käytäntöasetukset organisaatiolle tiedostotyypeille, joita ei tueta.

  • Office-Sovellussuoja office-sovellusten mukautukset eivät säily sen jälkeen, kun käyttäjä kirjautuu ulos ja kirjautuu sisään uudelleen tai laitteen käynnistymisen jälkeen.

  • Vain helppokäyttöisyystyökalut, jotka käyttävät UIA-kehystä, voivat tarjota helppokäyttöisen käyttökokemuksen tiedostoille, jotka on avattu officen Sovellussuoja.

  • Verkkoyhteys vaaditaan ensimmäiseen Sovellussuoja käynnistämiseen asennuksen jälkeen.

  • Asiakirjan tieto-osiossa Viimeisin muokkaaja - ominaisuus saattaa näyttää WDAGUtilityAccount-kohteen käyttäjänä. WDAGUtilityAccount on Sovellussuoja käyttämä anonyymi tili. Työpöydän käyttäjän käyttäjätiedot eivät ole käytettävissä Sovellussuoja säilössä.

Officen Sovellussuoja suorituskyvyn optimoinnit

Sovellussuoja käyttää näennäiskoneen kaltaista virtualisoitua säilöä epäluotettamattomien asiakirjojen eristämiseen pois järjestelmästä. Säilön luominen ja Sovellussuoja-säilön määrittäminen Office-asiakirjojen avaamista varten aiheuttaa suorituskykykustannuksia, jotka saattavat vaikuttaa kielteisesti käyttökokemukseen, kun käyttäjät avaavat tiedoston, johon ei luoteta.

Jotta käyttäjät saavat odotetun tiedoston avaamiskokemuksen, Sovellussuoja käyttää logiikkaa säilön esivalmisteluun, kun järjestelmä täyttää seuraavan heuristiikan: Käyttäjä on avannut tiedoston joko suojatussa näkymässä tai Sovellussuoja viimeisen 28 päivän aikana.

Kun tämä heuristiikko täyttyy, Office luo Sovellussuoja säilön käyttäjälle Windowsiin kirjautumisen jälkeen. Kun tämä esiluontitoiminto on käynnissä, järjestelmän suorituskyky saattaa hidastua, mutta vaikutus ratkeaa heti, kun toiminto on valmis.

Huomautus

Office-sovellukset luovat säilön esiluontiin tarvittavat vihjeet, kun käyttäjä käyttää niitä. Jos käyttäjä asentaa Officen uuteen järjestelmään, jossa Sovellussuoja on käytössä, Office luo säilön valmiiksi vasta, kun käyttäjä avaa järjestelmään epäluotettavan asiakirjan ensimmäisen kerran. Ensimmäisen tiedoston avaaminen Sovellussuoja kestää kauemmin.

Tunnetut ongelmat

  • Tukemattomien tiedostotyyppien suojauskäytännön oletusasetus on estää epäluotettavia, tukemattomia tiedostotyyppejä, jotka on salattu tai joihin on määritetty sisältöoikeuksien hallinta (IRM). Tämä asetus sisältää tiedostoja, jotka salataan Microsoft Purview Information Protection luottamuksellisuustunnisteilla.
  • HTML-tiedostoja ei tueta tällä hetkellä.
  • Sovellussuoja For Office ei tällä hetkellä toimi NTFS-pakattujen asemien kanssa. Jos näyttöön tulee virhesanoma "ERROR_VIRTUAL_DISK_LIMITATION", yritä purkaa äänenvoimakkuus.
  • Jos näyttöön tulee virhesanoma, jossa mainitaan, että hypervisor ei ehkä ole käytössä, tarkista seuraavat kohteet:
    • Virtualisointi on käytössä BIOSissa.
    • Hyper-V on käytössä.
    • Isäntäverkkopalvelu on käynnissä.
  • .NET-Päivitykset saattaa aiheuttaa tiedostojen avaamisen Sovellussuoja. Voit ratkaista tämän ongelman käynnistämällä tietokoneen uudelleen.
  • Sovellussuoja edellyttää, että Näennäiskoneet on kirjautuminen palveluna -käyttöoikeus, eikä wdagutilityaccount-arvoa saa lisätä Estä kirjautuminen palveluna -suojauskäytäntöasetukseen.
  • Lisätietoja on kohdassa Usein kysytyt kysymykset – Microsoft Defenderin sovellussuoja lisätietoja.