Alkalmazásőr rendszergazdáknak készült Office-hoz
A következőkre vonatkozik: Word, Excel és Microsoft 365-höz készült PowerPoint Apps, Windows 10 Enterprise, Windows 11 Nagyvállalati verzió
Fontos
Microsoft Defender alkalmazásőr az Office-hoz elavult, és a továbbiakban nem frissül. Ez az elavulás magában foglalja az Office Microsoft Defender alkalmazásőr használt Windows.Security.Isolation API-kat is. Javasoljuk, hogy váltson Végponthoz készült Microsoft Defender támadásifelület-csökkentési szabályokra, valamint a védett nézetre és Windows Defender alkalmazásvezérlésre.
Microsoft Defender alkalmazásőr az Office-hoz (Alkalmazásőr az Office-hoz) segít megakadályozni, hogy a nem megbízható fájlok hozzáférjenek a megbízható erőforrásokhoz, így a vállalat biztonságban marad az új és a kialakulóban lévő támadásokkal szemben. Ez a cikk végigvezeti a rendszergazdákat a támogatott eszközök beállításán az Office Alkalmazásőr.
Előfeltételek
Licencelési követelmények
- Microsoft 365 E5 vagy Microsoft 365 Biztonság E5 csomag
- Biztonságos dokumentumok a Microsoft 365-ben
Minimális hardverkövetelmények
- CPU: 64 bites, négy mag (fizikai vagy virtuális), virtualizálási bővítmények (Intel VT-x VAGY AMD-V), Core i5 egyenértékű vagy magasabb ajánlott.
- Fizikai memória: 8 GB RAM.
- Merevlemez: 10 GB szabad terület a rendszermeghajtón (SSD ajánlott).
Minimális szoftverkövetelmények
- Windows: Windows 10 Enterprise kiadás, 2004-es (20H1) 19041-es vagy újabb ügyfél build. A Windows 11 minden verziója támogatott.
- Office: Microsoft 365-alkalmazások a 16.0.13530.10000-s vagy újabb builddel. Az Aktuális csatorna és a Havi nagyvállalati csatorna telepítése esetén ez a verzió megegyezik a 2011-es verzióval. Semi-Annual Enterprise Channel és Semi-Annual Enterprise Channel (előzetes verzió) esetén a minimális verzió 2108 vagy újabb. A 32 bites és a 64 bites verziók egyaránt támogatottak.
- Frissítési csomag: Windows 10 havi összesített biztonsági frissítési KB4571756
A részletes rendszerkövetelményekért tekintse meg a Microsoft Defender alkalmazásőr rendszerkövetelményei című témakört. Emellett tekintse meg a számítógép gyártójának útmutatóit a virtualizálási technológia engedélyezéséről. A Microsoft 365-alkalmazások frissítési csatornákról az Microsoft 365-alkalmazások frissítési csatornáinak áttekintése című témakörben olvashat bővebben.
Az Office-hoz készült Alkalmazásőr telepítése
Alkalmazásőr engedélyezése az Office-hoz
Az operációs rendszer követelményei:
- Windows 10: Ellenőrizze, hogy 2020. szeptember 8-án KB4571756 telepítve van-e.
- Windows 11: Nincsenek konkrét követelmények.
A Windows-szolgáltatások területen válassza a Microsoft Defender alkalmazásőr, majd az OK gombot. A Alkalmazásőr funkció engedélyezése a rendszer újraindítását kéri. Most vagy a 3. lépés után újraindulhat.
A következő parancs rendszergazdaként való futtatásával is engedélyezheti az alkalmazás-útmutatót Windows PowerShell:
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
A Csoportházirend Szerkesztő lépjen a Számítógép konfigurációja>Felügyeleti sablonok>Windows-összetevők>elemre Microsoft Defender alkalmazásőr.
Engedélyezze a Microsoft Defender alkalmazásőr bekapcsolása felügyelt módban beállítást. Állítsa a Beállítások szakasz értékét az alábbi értékek egyikére:
- 2: Csak elkülönített Windows-környezetekhez engedélyezze a Microsoft Defender alkalmazásőr.
- 3: Engedélyezze a Microsoft Defender alkalmazásőr a Microsoft Edge ÉS az elkülönített Windows-környezetek esetében.
Másik lehetőségként beállíthatja a megfelelő CSP-szabályzatot:
OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Adattípus: Egész szám : 2
Ha még nem tette meg, indítsa újra a számítógépet.
A Diagnosztika beállítása & visszajelzés küldése teljes adatok küldéséhez
Megjegyzés:
Ez a lépés nem szükséges. A nem kötelező diagnosztikai adatok konfigurálása azonban segíthet a jelentett problémák diagnosztizálásában.
Ez a lépés biztosítja, hogy a problémák azonosításához és kijavításához szükséges adatok eljussanak a Microsofthoz. Kövesse az alábbi lépéseket a windowsos eszköz diagnosztikájának engedélyezéséhez:
- Nyissa meg a Beállítások elemet a Start menüből.
- A Windows beállításai között válassza az Adatvédelem lehetőséget.
- Az Adatvédelem területen válassza a Diagnosztika & visszajelzés , majd a Választható diagnosztikai adatok lehetőséget.
A Windows diagnosztikai beállításainak konfigurálásáról további információt a Windows diagnosztikai adatok konfigurálása a szervezetben című témakörben olvashat.
Ellenőrizze, hogy az Office Alkalmazásőr engedélyezve van-e és működik-e
Mielőtt meggyőződött arról, hogy az Office Alkalmazásőr engedélyezve van, hajtsa végre a következő lépéseket:
- Indítsa el Word, Excel vagy PowerPoint alkalmazást egy olyan eszközön, amelyen a házirendek telepítve vannak.
- Az elindított alkalmazásból lépjen a Fájlfiók>elemre. A Fiók lapon ellenőrizze, hogy a várt licenc megjelenik-e.
Ha ellenőrizni szeretné, hogy az Office Alkalmazásőr engedélyezve van-e, nyisson meg egy nem megbízható dokumentumot. Megnyithat például egy, az internetről letöltött dokumentumot vagy a szervezeten kívüli személytől származó e-mail-mellékletet.
Amikor először nyit meg egy nem megbízható fájlt, a következő Office-kezdőképernyő jelenik meg. Alkalmazásőr Az Office aktiválása folyamatban van, és a fájl megnyitása folyamatban van. A nem megbízható fájlok későbbi megnyitása általában gyorsabb.
A fájl megnyitása után néhány vizuális jelzés jelzi, hogy a fájl az Office Alkalmazásőr belül van megnyitva:
Alkalmazásőr konfigurálása az Office-hoz
Az Office az alábbi házirendeket támogatja az Office Alkalmazásőr konfigurálásához. Ezek a szabályzatok csoportházirendeken vagy az Office felhőszabályzat-szolgáltatásán keresztül konfigurálhatók.
Megjegyzés:
Ezeknek a házirendeknek a konfigurálásával letilthatja az Office Alkalmazásőr-ben megnyitott fájlok bizonyos funkcióit.
Politika | Leírás |
---|---|
Az Office-hoz készült Alkalmazásőr mellőzve | Kényszeríti a Word, az Excel és a PowerPoint számára, hogy az Office Alkalmazásőr helyett a Védett nézet elkülönítési tárolót használja. |
Alkalmazásőr konfigurálása az Office-tárolók előtelepítéséhez | Meghatározza, hogy az Office-tároló Alkalmazásőr előre lett-e hozva a jobb futásidejű teljesítmény érdekében. Ha engedélyezi ezt a házirendet, megadhatja, hogy hány napig folytassa a tároló előlétrehozását, vagy hagyja, hogy az Office beépített heurisztikusan hozza létre a tárolót. |
A Alkalmazásőr megnyitott Office-dokumentumok másolásának és beillesztésének konfigurálása | Lehetővé teszi annak szabályozását, hogy a felhasználók másolhatnak és beilleszthetnek-e tartalmat az Office-ból a Alkalmazásőr megnyitott dokumentumokba és azokból, valamint az engedélyezett formátumokat. |
Hardveres gyorsítás letiltása az Office Alkalmazásőr-ben | Azt szabályozza, hogy az Office-hoz készült Alkalmazásőr hardveres gyorsítást használ-e a grafikus elemek megjelenítéséhez. Ha engedélyezi ezt a beállítást, Alkalmazásőr az Office-hoz szoftveralapú (CPU-) renderelést használ, és nem tölt be külső grafikus illesztőprogramokat, és nem használ csatlakoztatott grafikus hardvereket. |
A nem támogatott fájltípusok védelmének letiltása az Office Alkalmazásőr-ben | Azt határozza meg, hogy az Office Alkalmazásőr blokkolja-e a nem támogatott fájltípusok megnyitását, vagy engedélyezi-e a védett nézetre való átirányítást. |
Az Office Alkalmazásőr-ban megnyitott dokumentumok kamerához és mikrofonhoz való hozzáférésének kikapcsolása | A házirend engedélyezése eltávolítja az Office-nak a kamerához és a mikrofonhoz való hozzáférést az Office Alkalmazásőr belül. |
Nyomtatás korlátozása az Office Alkalmazásőr-ban megnyitott dokumentumokból | Korlátozza azokat a nyomtatókat, amelyekre a felhasználó nyomtathat az Office-Alkalmazásőr megnyitott fájlból. Ezzel a házirenddel például korlátozhatja, hogy a felhasználók csak PDF-fájlba nyomtatjanak. |
Az Office-védelem Alkalmazásőr fájlokon való eltávolításának megakadályozása a felhasználók számára | Eltávolítja az Office-alkalmazások felületén az Office-védelem Alkalmazásőr letiltására vagy az Office-Alkalmazásőr kívüli fájlok megnyitására szolgáló beállítást. Megjegyzés: A felhasználók továbbra is megkerülhetik ezt a házirendet, ha manuálisan eltávolítják a webjel tulajdonságot a fájlból, vagy áthelyeznek egy dokumentumot egy megbízható helyre. |
Megjegyzés:
A következő szabályzatok érvénybe léptetéséhez a felhasználóknak ki kell jelentkezniük a Windowsból, és újra be kell jelentkezniük:
- A Alkalmazásőr megnyitott Office-dokumentumok másolásának és beillesztésének konfigurálása.
- Tiltsa le a hardveres gyorsítást az Office-Alkalmazásőr.
- Az Office Alkalmazásőr megnyitott dokumentumok nyomtatásának korlátozása.
- Kapcsolja ki a kamerához és a mikrofonhoz való hozzáférést az Office-Alkalmazásőr megnyitott dokumentumokhoz.
Visszajelzés küldése
Visszajelzés küldése a Visszajelzési központon keresztül
Ha problémákba ütközik az Office-Alkalmazásőr indításakor, javasoljuk, hogy küldjön visszajelzést a Visszajelzési központon keresztül:
- Nyissa meg a Visszajelzési központ alkalmazást , és jelentkezzen be.
- Ha hibaüzenet jelenik meg Alkalmazásőr indításakor, a hiba párbeszédpanelen válassza a Jelentés a Microsoftnak lehetőséget egy új visszajelzés elküldéséhez. Ellenkező esetben válassza https://aka.ms/mdagoffice-fb ki a megfelelő kategóriát Alkalmazásőr, majd válassza az Új visszajelzés hozzáadása lehetőséget a jobb felső sarokban.
- Írjon be egy összegzést a Visszajelzés összegzése mezőbe.
- Adja meg a probléma részletes leírását és a hibakereséshez szükséges lépéseket a További részletek magyarázata mezőben, majd válassza a Tovább gombot.
- Válassza a Probléma melletti buborékot. Győződjön meg arról, hogy a kiválasztott kategória a Biztonság és adatvédelem > Microsoft Defender alkalmazásőr – Office, majd válassza a Tovább gombot.
- Válassza az Új visszajelzés, majd a Tovább lehetőséget.
- Gyűjtsön nyomkövetéseket a problémáról:
- Bontsa ki a Probléma újbóli létrehozása csempét.
- Ha a probléma Alkalmazásőr futása közben jelentkezik, nyisson meg egy Alkalmazásőr-példányt. A példányok megnyitása lehetővé teszi további nyomkövetések gyűjtését a Alkalmazásőr tárolóból.
- Válassza a Rögzítés indítása lehetőséget, és várja meg, amíg a csempe leáll, és mondja ki a Rögzítés leállítása parancsot.
- A probléma teljes reprodukálása a Alkalmazásőr. A reprodukálás magában foglalhatja egy Alkalmazásőr példány indítását, és a sikertelen várakozást, vagy egy futó Alkalmazásőr példány hibájának reprodukálását.
- Válassza a Rögzítés leállítása csempét.
- A tárolódiagnosztikák gyűjtéséhez tartsa nyitva a futó Alkalmazásőr példány(oka)t, még a beküldést követő néhány percig is.
- Csatolja a problémához kapcsolódó releváns képernyőképeket vagy fájlokat.
- Válassza a Küldés lehetőséget.
Visszajelzés küldése a One Customer Voice-on keresztül
A Word, az Excel és a PowerPoint alkalmazásból is küldhet visszajelzést, ha a probléma a fájlok Alkalmazásőr való megnyitásakor jelentkezik. Részletes útmutatásért tekintse meg a Visszajelzés küldése című témakört.
Integráció Végponthoz készült Microsoft Defender és Office 365-höz készült Microsoft Defender
Alkalmazásőr az Office integrálva van a Végponthoz készült Microsoft Defender, hogy figyelést és riasztást biztosítson az elkülönített környezetben előforduló rosszindulatú tevékenységekről.
A Biztonságos dokumentumok a Microsoft E365 E5-ben egy olyan szolgáltatás, amely Végponthoz készült Microsoft Defender használ az Office-Alkalmazásőr megnyitott dokumentumok vizsgálatára. További védelmi réteg esetén a felhasználók nem hagyhatják el Alkalmazásőr az Office-t, amíg meg nem határozták a vizsgálat eredményeit.
Korlátozások és szempontok
Alkalmazásőr az Office egy védett mód, amely elkülöníti a nem megbízható dokumentumokat, hogy ne férhessenek hozzá a megbízható vállalati erőforrásokhoz. Például egy intranet, a felhasználó identitása és tetszőleges fájlok a számítógépen. Ha egy felhasználó olyan műveletet próbál meg végrehajtani, amely hozzáférést igényel a megbízható erőforrásokhoz (például egy helyi képfájl beszúrása), a művelet sikertelen lesz, és az alábbi példához hasonló üzenetet jelenít meg. Ahhoz, hogy egy nem megbízható dokumentum hozzáférhessen a megbízható erőforrásokhoz, a felhasználóknak el kell távolítaniuk Alkalmazásőr védelmet a dokumentumból.
Megjegyzés:
Javasolja a felhasználóknak, hogy csak akkor távolítsák el a védelmet, ha megbíznak a fájlban és a fájl forrásában.
Az Office-hoz készült Alkalmazásőr letiltja az aktív tartalmakat, például a makrókat és az ActiveX-vezérlőket. Az aktív tartalom engedélyezéséhez el kell távolítani a Alkalmazásőr védelmet.
A hálózati megosztásokból származó nem megbízható fájlok, illetve a OneDrive-ról, OneDrive Vállalati verzió vagy SharePoint Online-ból megosztott fájlok írásvédettként nyílnak meg a Alkalmazásőr. A felhasználók menthetik az ilyen fájlok helyi másolatát, hogy folytatják a munkát a tárolóban, vagy eltávolítsák a védelmet, hogy közvetlenül működjenek az eredeti fájllal.
A Tartalomvédelmi szolgáltatás (IRM) által védett fájlok alapértelmezés szerint le vannak tiltva. Ha a felhasználók védett nézetben szeretnék megnyitni ezeket a fájlokat, a rendszergazdának konfigurálnia kell a szervezet nem támogatott fájltípusainak házirend-beállításait.
Az Office-alkalmazások testreszabása az Alkalmazásőr for Office-ban nem marad meg, miután egy felhasználó kijelentkezik, és újra bejelentkezik, vagy az eszköz újraindulása után.
Csak az UIA-keretrendszert használó akadálymentességi eszközök biztosíthatnak akadálymentességet az Office Alkalmazásőr-ben megnyitott fájlok számára.
A telepítés után a Alkalmazásőr első indításához hálózati kapcsolat szükséges.
A dokumentum információs szakaszában az Utolsó módosítás által tulajdonság a WDAGUtilityAccount értéket jelenítheti meg felhasználóként. A WDAGUtilityAccount a Alkalmazásőr által használt névtelen fiók. Az asztali felhasználó identitása nem érhető el a Alkalmazásőr tárolóban.
Az Office Alkalmazásőr teljesítményoptimalizálásai
Alkalmazásőr egy virtuális géphez hasonló virtualizált tárolót használ a nem megbízható dokumentumok rendszertől való elkülönítéséhez. A tároló létrehozása és a Alkalmazásőr tároló beállítása az Office-dokumentumok megnyitására olyan teljesítménybeli többletterheléssel jár, amely negatív hatással lehet a felhasználói élményre, amikor a felhasználók nem megbízható dokumentumokat nyitnak meg.
A várt fájlmegnyitási élmény biztosítása érdekében Alkalmazásőr logikával előre hozza létre a tárolót, amikor a rendszer a következő heurisztikus műveletet hajtja végre: Egy felhasználó védett nézetben vagy Alkalmazásőr nyitott meg egy fájlt az elmúlt 28 napban.
Ha ez a heurisztikus beállítás teljesül, az Office előre hoz létre egy Alkalmazásőr tárolót a felhasználó számára, miután bejelentkezett a Windowsba. Amíg ez az előlétrehozási művelet folyamatban van, előfordulhat, hogy a rendszer lassú teljesítményt tapasztal, de a hatás a művelet befejeződése után azonnal megszűnik.
Megjegyzés:
A tároló előzetes létrehozásához szükséges heurisztikus tippeket az Office-alkalmazások generálják, amikor a felhasználó használja őket. Ha egy felhasználó olyan új rendszerre telepíti az Office-t, amelyen engedélyezve van a Alkalmazásőr, az Office csak akkor hozza létre előre a tárolót, ha a felhasználó először nyit meg egy nem megbízható dokumentumot a rendszeren. Az első fájl megnyitása hosszabb időt vesz igénybe Alkalmazásőr.
Ismert problémák
- A nem támogatott fájltípusok védelmi házirendjének alapértelmezett beállítása a nem megbízható, nem támogatott, titkosított vagy tartalomvédelmi szolgáltatással (IRM) rendelkező fájltípusok megnyitásának letiltása. Ez a beállítás az Microsoft Purview információvédelem bizalmassági címkéivel titkosított fájlokat is tartalmaz.
- A HTML-fájlok jelenleg nem támogatottak.
- Alkalmazásőr az Office-hoz jelenleg nem működik NTFS tömörített kötetekkel. Ha a következő hibaüzenet jelenik meg: "ERROR_VIRTUAL_DISK_LIMITATION" próbálja meg feloldani a kötet kibontását.
- Ha hibaüzenet jelenik meg, amely szerint a hipervizor nincs engedélyezve, ellenőrizze a következő elemeket:
- A virtualizálás engedélyezve van a BIOS-ban.
- A Hyper-V be van kapcsolva.
- A gazdagép hálózati szolgáltatása fut.
- A .NET-be Frissítések a fájlok nem nyílhatnak meg a Alkalmazásőr-ben. Ezt a problémát a gép újraindításával oldhatja meg.
- Alkalmazásőr megköveteli, hogy a "Virtual Machines" megkapja a "Bejelentkezés szolgáltatásként" engedélyt, és a "wdagutilityaccount" nem adható hozzá a "Szolgáltatásként való bejelentkezés megtagadása" biztonsági házirend-beállításhoz.
- További információt a Gyakori kérdések – Microsoft Defender alkalmazásőr című témakörben talál.