Protection d'application office pour les administrateurs

S’applique à : Word, Excel et PowerPoint pour Microsoft 365 Apps, Windows 10 Entreprise, Windows 11 Entreprise

Importante

Protection d'application Microsoft Defender pour Office est déconseillé et n’est plus mis à jour. Cette dépréciation inclut également les API Windows.Security.Isolation utilisées pour Protection d'application Microsoft Defender pour Office. Nous vous recommandons de passer à Microsoft Defender pour point de terminaison règles de réduction de la surface d’attaque, ainsi qu’au mode protégé et au contrôle d’application Windows Defender.

Protection d'application Microsoft Defender pour Office (Protection d'application pour Office) permet d’empêcher les fichiers non approuvés d’accéder à des ressources approuvées, ce qui protège votre entreprise contre les attaques nouvelles et émergentes. Cet article guide les administrateurs dans la configuration des appareils pris en charge pour Protection d'application pour Office.

Configuration requise

Conditions d'octroi de licence

• Microsoft 365 E5 ou Microsoft 365 E5 Sécurité
• Documents sécurisés dans Microsoft 365

Configuration matérielle minimum requise

• Processeur : 64 bits, quatre cœurs (physiques ou virtuels), extensions de virtualisation (Intel VT-x OU AMD-V), Core i5 équivalent ou supérieur recommandé.
• Mémoire physique : 8 Go de RAM.
• Disque dur : 10 Go d’espace libre sur le lecteur système (SSD recommandé).

Configuration logicielle minimale requise

• Windows : édition Windows 10 Entreprise, build cliente version 2004 (20H1) build 19041 ou ultérieure. Toutes les versions de Windows 11 sont prises en charge.
• Office : Microsoft 365 Apps avec la build 16.0.13530.10000 ou ultérieure. Pour les installations Canal actuel et Canal Entreprise mensuel, cette version est équivalente à 2011. Pour Semi-Annual Canal Entreprise et Semi-Annual Canal Entreprise (préversion), la version minimale est 2108 ou ultérieure. Les versions 32 bits et 64 bits sont prises en charge.
• Package de mise à jour : Windows 10 mise à jour de sécurité mensuelle cumulative KB4571756

Pour plus d’informations sur la configuration requise, reportez-vous à Configuration requise pour Protection d'application Microsoft Defender. Reportez-vous également aux guides du fabricant de votre ordinateur pour savoir comment activer la technologie de virtualisation. Pour en savoir plus sur les canaux de mise à jour Microsoft 365 Apps, consultez Vue d’ensemble des canaux de mise à jour pour Microsoft 365 Apps.

Déployer Protection d'application pour Office

Activer Protection d'application pour Office

1. Configuration requise pour le système d’exploitation :

   • Windows 10 : vérifiez que la KB4571756 du 8 septembre 2020 est installée.
   • Windows 11 : aucune exigence spécifique.

2. Dans Fonctionnalités Windows, sélectionnez Protection d'application Microsoft Defender, puis ok. L’activation de la fonctionnalité Protection d'application demande un redémarrage du système. Vous pouvez redémarrer maintenant ou après l’étape 3.

   

   Vous pouvez également activer le Guide d’application dans Windows PowerShell en exécutant la commande suivante en tant qu’administrateur :

   Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
   

3. Dans stratégie de groupe Rédacteur, accédez à Configuration> ordinateurModèles> d’administrationComposants> Windows Protection d'application Microsoft Defender.

   Activez le paramètre Activer Protection d'application Microsoft Defender en mode managé. Définissez la valeur dans la section Options sur l’une des valeurs suivantes :

   • 2 : Activez Protection d'application Microsoft Defender pour les environnements Windows isolés UNIQUEMENT.
   • 3 : Activez Protection d'application Microsoft Defender pour Microsoft Edge et les environnements Windows isolés.

   

   Vous pouvez également définir la stratégie CSP correspondante :

   OMA-URI : ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Type de données : Valeur entière : 2

4. Redémarrez l’ordinateur, si ce n’est déjà fait.

Définir les commentaires de diagnostic & pour envoyer des données complètes

Remarque

Cette étape n’est pas obligatoire. Toutefois, la configuration de données diagnostics facultatives peut aider à diagnostiquer les problèmes signalés.

Cette étape garantit que les données nécessaires à l’identification et à la résolution des problèmes parviennent à Microsoft. Suivez ces étapes pour activer diagnostics sur votre appareil Windows :

1. Ouvrez Paramètres à partir du menu Démarrer.
2. Dans Paramètres Windows, sélectionnez Confidentialité.
3. Sous Confidentialité, sélectionnez Diagnostics & commentaires , puis sélectionnez Données de diagnostic facultatives.

Pour plus d’informations sur la configuration des paramètres de diagnostic Windows, consultez Configuration des données de diagnostic Windows dans votre organization.

Vérifier que Protection d'application pour Office est activé et fonctionne

Avant de confirmer que Protection d'application pour Office est activé, procédez comme suit :

1. Lancez Word, Excel ou PowerPoint sur un appareil sur lequel les stratégies ont été déployées.
2. À partir de l’application que vous avez lancée, accédez à Compte de fichier>. Dans la page Compte , vérifiez que la licence attendue est affichée.

Pour confirmer que Protection d'application pour Office est activé, ouvrez un document non approuvé. Par exemple, vous pouvez ouvrir un document téléchargé à partir d’Internet ou une pièce jointe d’un e-mail provenant d’une personne extérieure à votre organization.

Lorsque vous ouvrez un fichier non approuvé pour la première fois, l’écran de démarrage Office suivant s’affiche. Protection d'application pour Office est en cours d’activation et le fichier est ouvert. Les ouvertures suivantes de fichiers non approuvés sont généralement plus rapides.

Une fois le fichier ouvert, quelques indicateurs visuels indiquent que le fichier est ouvert dans Protection d'application pour Office :

• Légende dans le ruban

  

• Icône d’application avec un bouclier dans la barre des tâches

  

Configurer Protection d'application pour Office

Office prend en charge les stratégies suivantes pour configurer Protection d'application pour Office. Ces stratégies peuvent être configurées via des stratégies de groupe ou via le service de stratégie cloud Office.

Remarque

La configuration de ces stratégies peut désactiver certaines fonctionnalités pour les fichiers ouverts dans Protection d'application pour Office.

Stratégie	Description
N’utilisez pas Protection d'application pour Office	Force Word, Excel et PowerPoint à utiliser le conteneur d’isolation Mode protégé au lieu de Protection d'application pour Office.
Configurer Protection d'application pour la précréation de conteneur Office	Détermine si le conteneur Protection d'application pour Office est précréé pour améliorer les performances d’exécution. Lorsque vous activez cette stratégie, vous pouvez spécifier le nombre de jours pour continuer à précréer un conteneur ou laisser l’heuristique intégrée Office précréer le conteneur.
Configurer le copier-coller à partir de documents Office ouverts dans Protection d'application	Permet de contrôler si les utilisateurs peuvent copier et coller du contenu d’Office vers et à partir de documents ouverts dans Protection d'application, ainsi que les formats autorisés.
Désactiver l’accélération matérielle dans Protection d'application pour Office	Contrôle si Protection d'application pour Office utilise l’accélération matérielle pour afficher les graphiques. Si vous activez ce paramètre, Protection d'application pour Office utilise le rendu logiciel (processeur) et ne charge aucun pilote graphique tiers ni n’interagit avec le matériel graphique connecté.
Désactiver la protection des types de fichiers non pris en charge dans Protection d'application pour Office	Contrôle si Protection d'application pour Office bloque l’ouverture des types de fichiers non pris en charge ou s’il active la redirection vers le mode protégé.
Désactiver l’accès de la caméra et du microphone pour les documents ouverts dans Protection d'application pour Office	L’activation de cette stratégie supprime l’accès Office à la caméra et au microphone à l’intérieur de Protection d'application pour Office.
Restreindre l’impression à partir de documents ouverts dans Protection d'application pour Office	Limite les imprimantes qu’un utilisateur peut imprimer à partir d’un fichier ouvert dans Protection d'application pour Office. Par exemple, vous pouvez utiliser cette stratégie pour restreindre les utilisateurs à imprimer uniquement au format PDF.
Empêcher les utilisateurs de supprimer des Protection d'application de protection Office sur des fichiers	Supprime l’option (dans l’expérience de l’application Office) permettant de désactiver Protection d'application pour la protection Office ou d’ouvrir un fichier en dehors de Protection d'application pour Office. Note: Les utilisateurs peuvent toujours contourner cette stratégie en supprimant manuellement la propriété mark-of-the-web du fichier ou en déplaçant un document vers un emplacement approuvé.

Remarque

Pour que les stratégies suivantes prennent effet, les utilisateurs doivent se déconnecter de Windows et se reconnecter :

• Configurez le copier-coller à partir de documents Office ouverts dans Protection d'application.
• Désactivez l’accélération matérielle dans Protection d'application pour Office.
• Restreindre l’impression des documents ouverts dans Protection d'application pour Office.
• Désactivez l’accès de la caméra et du microphone aux documents ouverts dans Protection d'application pour Office.

Envoyer les commentaires

Envoyer des commentaires via le Hub de commentaires

Si vous rencontrez des problèmes lors du lancement de Protection d'application pour Office, nous vous encourageons à envoyer vos commentaires via le Hub de commentaires :

1. Ouvrez l’application Hub de commentaires et connectez-vous.
2. Si vous obtenez une boîte de dialogue d’erreur lors du lancement de Protection d'application, sélectionnez Signaler à Microsoft dans la boîte de dialogue d’erreur pour démarrer une nouvelle soumission de commentaires. Sinon, accédez à https://aka.ms/mdagoffice-fb pour sélectionner la catégorie appropriée pour Protection d'application, puis sélectionnez Ajouter de nouveaux commentaires en haut à droite.
3. Entrez un résumé dans la zone Résumer vos commentaires .
4. Entrez une description détaillée du problème et les étapes que vous avez effectuées pour déboguer dans la zone Expliquer plus en détail , puis sélectionnez Suivant.
5. Sélectionnez la bulle en regard de Problème. Vérifiez que la catégorie sélectionnée est Sécurité et confidentialité > Protection d'application Microsoft Defender – Office, puis sélectionnez Suivant.
6. Sélectionnez Nouveau commentaire, puis Suivant.
7. Collectez des traces sur le problème :
   1. Développez la vignette Recréer mon problème .
   2. Si le problème que vous rencontrez se produit pendant l’exécution de Protection d'application, ouvrez un Protection d'application instance. L’ouverture d’un instance permet de collecter des traces supplémentaires à partir du conteneur Protection d'application.
   3. Sélectionnez Démarrer l’enregistrement, attendez que la vignette cesse de tourner et indiquez Arrêter l’enregistrement.
   4. Reproduisez entièrement le problème avec Protection d'application. La reproduction peut inclure la tentative de lancement d’une Protection d'application instance et l’attente de son échec, ou la reproduction d’un problème dans un Protection d'application instance en cours d’exécution.
   5. Sélectionnez la vignette Arrêter l’enregistrement .
   6. Conservez toutes les Protection d'application instance en cours d’exécution ouvertes, même pendant quelques minutes après la soumission, afin que les diagnostics de conteneur puissent également être collectés.
8. Joignez toutes les captures d’écran ou fichiers pertinents liés au problème.
9. Sélectionnez Envoyer.

Envoyer des commentaires via One Customer Voice

Vous pouvez également envoyer des commentaires à partir de Word, Excel et PowerPoint si le problème se produit lorsque des fichiers sont ouverts dans Protection d'application. Reportez-vous à Fournir des commentaires pour obtenir des instructions détaillées.

Intégration à Microsoft Defender pour point de terminaison et Microsoft Defender pour Office 365

Protection d'application pour Office est intégré à Microsoft Defender pour point de terminaison pour fournir une surveillance et des alertes sur les activités malveillantes qui se produisent dans l’environnement isolé.

Documents sécurisés dans Microsoft E365 E5 est une fonctionnalité qui utilise Microsoft Defender pour point de terminaison pour analyser les documents ouverts dans Protection d'application pour Office. Pour une couche supplémentaire de protection, les utilisateurs ne peuvent pas quitter Protection d'application pour Office tant que les résultats de l’analyse n’ont pas été déterminés.

Limitations et considérations

• Protection d'application pour Office est un mode protégé qui isole les documents non approuvés afin qu’ils ne puissent pas accéder aux ressources d’entreprise approuvées. Par exemple, un intranet, l’identité de l’utilisateur et des fichiers arbitraires sur l’ordinateur. Si un utilisateur tente une action qui nécessite l’accès à des ressources approuvées (par exemple, l’insertion d’un fichier image local), l’action échoue et affiche une invite comme dans l’exemple suivant. Pour permettre à un document non approuvé d’accéder à des ressources approuvées, les utilisateurs doivent supprimer Protection d'application protection du document.

  

  Remarque

  Conseillez aux utilisateurs de supprimer la protection uniquement s’ils approuvent le fichier et la source du fichier.

• Le contenu actif, comme les macros et les contrôles ActiveX, est désactivé dans Protection d'application pour Office. Pour activer le contenu actif, la protection Protection d'application doit être supprimée.

• Les fichiers non approuvés provenant de partages réseau ou de fichiers partagés à partir de OneDrive, OneDrive Entreprise ou SharePoint Online s’ouvrent en lecture seule dans Protection d'application. Les utilisateurs peuvent enregistrer une copie locale de ces fichiers pour continuer à travailler dans le conteneur ou supprimer la protection pour travailler directement avec le fichier d’origine.

• Les fichiers protégés par la gestion des droits relatifs à l’information (IRM) sont bloqués par défaut. Si les utilisateurs souhaitent ouvrir ces fichiers en mode protégé, un administrateur doit configurer les paramètres de stratégie pour les types de fichiers non pris en charge pour le organization.

• Les personnalisations des applications Office dans Protection d'application pour Office ne sont pas conservées une fois qu’un utilisateur se déconnecte et se reconnecte ou après le redémarrage de l’appareil.

• Seuls les outils d’accessibilité qui utilisent l’infrastructure UIA peuvent fournir une expérience accessible pour les fichiers ouverts dans Protection d'application pour Office.

• La connectivité réseau est requise pour le premier lancement de Protection d'application après l’installation.

• Dans la section d’informations du document, la propriété Last Modified By peut afficher WDAGUtilityAccount en tant qu’utilisateur. WDAGUtilityAccount est le compte anonyme utilisé par Protection d'application. L’identité de l’utilisateur de bureau n’est pas disponible dans le conteneur Protection d'application.

Optimisations des performances pour Protection d'application pour Office

Protection d'application utilise un conteneur virtualisé, similaire à une machine virtuelle, pour isoler les documents non approuvés du système. Le processus de création d’un conteneur et de configuration du conteneur Protection d'application pour ouvrir des documents Office entraîne une surcharge de performances qui peut affecter négativement l’expérience utilisateur lorsque les utilisateurs ouvrent un document non approuvé.

Pour fournir aux utilisateurs l’expérience d’ouverture de fichier attendue, Protection d'application utilise la logique pour précréer un conteneur lorsque l’heuristique suivante est satisfaite sur un système : Un utilisateur a ouvert un fichier en mode protégé ou Protection d'application au cours des 28 derniers jours.

Lorsque cette heuristique est satisfaite, Office précrée un conteneur Protection d'application pour l’utilisateur après s’être connecté à Windows. Pendant que cette opération de précréation est en cours, le système peut connaître des performances lentes, mais l’effet se résout dès que l’opération est terminée.

Remarque

Les indicateurs nécessaires à l’heuristique pour précréer le conteneur sont générés par les applications Office à mesure qu’un utilisateur les utilise. Si un utilisateur installe Office sur un nouveau système où Protection d'application est activé, Office ne précrée pas le conteneur avant la première fois qu’un utilisateur a ouvert un document non approuvé sur le système. L’ouverture de ce premier fichier dans Protection d'application prend plus de temps.

Problèmes connus

• Le paramètre par défaut pour la stratégie de protection des types de fichiers non pris en charge consiste à bloquer l’ouverture des types de fichiers non approuvés, non pris en charge qui sont chiffrés ou dont la gestion des droits relatifs à l’information (IRM) est définie. Ce paramètre inclut les fichiers chiffrés à l’aide d’étiquettes de confidentialité de Protection des données Microsoft Purview.
• Les fichiers HTML ne sont pas pris en charge pour l’instant.
• Protection d'application pour Office ne fonctionne actuellement pas avec les volumes compressés NTFS. Si vous voyez l’erreur « ERROR_VIRTUAL_DISK_LIMITATION », essayez de décompresser le volume.
• Si vous voyez une erreur indiquant que l’hyperviseur n’est peut-être pas activé, case activée les éléments suivants :
  • La virtualisation est activée dans le BIOS.
  • Hyper-V est activé.
  • Le service réseau hôte est en cours d’exécution.
• Mises à jour à .NET peut entraîner l’échec de l’ouverture des fichiers dans Protection d'application. Vous pouvez résoudre ce problème en redémarrant l’ordinateur.
• Protection d'application nécessite que « Machines Virtuelles » soit accordée à l’autorisation « Ouverture de session en tant que service », et « wdagutilityaccount » ne doit pas être ajouté au paramètre de stratégie de sécurité « Refuser l’ouverture de session en tant que service ».
• Pour plus d’informations, consultez Forum aux questions - Protection d'application Microsoft Defender pour plus d’informations.