다음을 통해 공유


관리자용 Office용 Application Guard

적용 대상: Word, Excel 및 Microsoft 365용 PowerPoint 앱, Windows 10 Enterprise, Windows 11 Enterprise

중요

Office용 Microsoft Defender Application Guard 더 이상 사용되지 않으며 더 이상 업데이트되지 않습니다. 이 사용 중단에는 Office용 Microsoft Defender Application Guard 사용되는 Windows.Security.Isolation API도 포함됩니다. 보호된 보기 및 Windows Defender 애플리케이션 제어와 함께 엔드포인트용 Microsoft Defender 공격 표면 감소 규칙으로 전환하는 것이 좋습니다.

Office용 Microsoft Defender Application Guard(Office용 Application Guard)는 신뢰할 수 없는 파일이 신뢰할 수 있는 리소스에 액세스하지 못하도록 방지하여 새로운 공격 및 새로운 공격으로부터 엔터프라이즈를 안전하게 보호합니다. 이 문서에서는 관리자가 Office용 Application Guard 지원되는 디바이스를 설정하는 방법에 대해 설명합니다.

필수 구성 요소

라이선스 요구사항

최소 하드웨어 요구 사항

  • CPU: 64비트, 4개의 코어(물리적 또는 가상), 가상화 확장(Intel VT-x OR AMD-V), 코어 i5 등가 또는 그 이상 권장.
  • 실제 메모리: 8GB RAM.
  • 하드 디스크: 시스템 드라이브에서 10GB의 여유 공간(SSD 권장).

최소 소프트웨어 요구 사항

  • Windows: Windows 10 Enterprise 버전, 클라이언트 빌드 버전 2004(20H1) 빌드 19041 이상. 모든 버전의 Windows 11 지원됩니다.
  • Office: 빌드 16.0.13530.10000 이상에서 Microsoft 365 앱. 현재 채널 및 월간 엔터프라이즈 채널 설치의 경우 이 버전은 2011년과 동일합니다. Semi-Annual Enterprise 채널 및 Semi-Annual Enterprise 채널(미리 보기)의 경우 최소 버전은 2108 이상입니다. 32비트 및 64비트 버전이 모두 지원됩니다.
  • 업데이트 패키지: 월별 누적 보안 업데이트 KB4571756 Windows 10

자세한 시스템 요구 사항은 Microsoft Defender Application Guard 대한 시스템 요구 사항을 참조하세요. 또한 가상화 기술을 사용하도록 설정하는 방법에 대한 컴퓨터 제조업체의 가이드를 참조하세요. Microsoft 365 앱 업데이트 채널에 대한 자세한 내용은 Microsoft 365 앱 대한 업데이트 채널 개요를 참조하세요.

Office용 Application Guard 배포

Office에 Application Guard 사용

  1. 운영 체제 요구 사항:

  2. Windows 기능에서 Microsoft Defender Application Guard 선택한 다음 확인을 선택합니다. Application Guard 기능을 사용하도록 설정하면 시스템 재부팅이 표시됩니다. 지금 또는 3단계 후에 다시 부팅할 수 있습니다.

    AG를 보여 주는 Windows 기능 대화 상자

    관리자 권한으로 다음 명령을 실행하여 Windows PowerShell 애플리케이션 가이드를 사용하도록 설정할 수도 있습니다.

    Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
    
  3. 그룹 정책 편집기컴퓨터 구성>관리 템플릿>Windows 구성 요소>Microsoft Defender Application Guard 이동합니다.

    관리 모드에서 Microsoft Defender Application Guard 켜기 설정을 사용하도록 설정합니다. 옵션 섹션의 값을 다음 값 중 하나로 설정합니다.

    • 2: 격리된 Windows 환경에만 Microsoft Defender Application Guard 사용하도록 설정합니다.
    • 3: Microsoft Edge 및 격리된 Windows 환경에 Microsoft Defender Application Guard 사용하도록 설정합니다.

    관리 모드에서 AG를 켜는 옵션

    또는 해당 CSP 정책을 설정할 수 있습니다.

    OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard 데이터 형식: 정수 값: 2

  4. 아직 컴퓨터를 다시 시작하지 않은 경우 컴퓨터를 다시 시작합니다.

진단 & 피드백을 설정하여 전체 데이터 보내기

참고

이 단계는 필요하지 않습니다. 그러나 선택적 진단 데이터를 구성하면 보고된 문제를 진단하는 데 도움이 될 수 있습니다.

이 단계에서는 문제를 식별하고 해결하는 데 필요한 데이터가 Microsoft에 도달하도록 합니다. 다음 단계에 따라 Windows 디바이스에서 진단 사용하도록 설정합니다.

  1. 시작 메뉴에서 설정을 엽니다.
  2. Windows 설정에서 개인 정보를 선택합니다.
  3. 개인 정보 보호에서 진단 & 피드백을 선택하고 선택적 진단 데이터를 선택합니다.

Windows 진단 설정 구성에 대한 자세한 내용은 organization Windows 진단 데이터 구성을 참조하세요.

Office용 Application Guard 사용 및 작동 중인지 확인

Office용 Application Guard 사용하도록 설정되어 있는지 확인하기 전에 다음 단계를 수행합니다.

  1. 정책이 배포된 디바이스에서 Word, Excel 또는 PowerPoint를 시작합니다.
  2. 시작한 앱에서 파일>계정으로 이동합니다. 계정 페이지에서 예상 라이선스가 표시되는지 확인합니다.

Office용 Application Guard 사용하도록 설정되어 있는지 확인하려면 신뢰할 수 없는 문서를 엽니다. 예를 들어 인터넷에서 다운로드한 문서 또는 organization 외부 사용자의 전자 메일 첨부 파일을 열 수 있습니다.

신뢰할 수 없는 파일을 처음 열면 다음 Office 시작 화면이 표시됩니다. Office용 Application Guard 활성화되고 파일이 열리고 있습니다. 신뢰할 수 없는 파일의 후속 열기는 일반적으로 더 빠릅니다.

Office 앱 시작 페이지

파일이 열리면 Office용 Application Guard 내에서 파일이 열려 있음을 알리는 몇 가지 시각적 표시기가 있습니다.

  • 리본 메뉴의 콜아웃

    작은 App Guard 노트를 보여 주는 Doc 파일

  • 작업 표시줄에 방패가 있는 애플리케이션 아이콘

Office용 Application Guard 구성

Office는 Office에 대한 Application Guard 구성하기 위해 다음 정책을 지원합니다. 이러한 정책은 그룹 정책 또는 Office 클라우드 정책 서비스를 통해 구성할 수 있습니다.

참고

이러한 정책을 구성하면 Office용 Application Guard 열린 파일에 대한 일부 기능을 사용하지 않도록 설정할 수 있습니다.

정책 설명
Office에 Application Guard 사용하지 마세요. Word, Excel 및 PowerPoint에서 Office용 Application Guard 대신 보호된 보기 격리 컨테이너를 사용하도록 강제 적용합니다.
Office 컨테이너 사전 생성에 대한 Application Guard 구성 런타임 성능 향상을 위해 Office 컨테이너에 대한 Application Guard 미리 생성되었는지 확인합니다. 이 정책을 사용하도록 설정하면 컨테이너를 계속 미리 만들 일 수를 지정하거나 Office 기본 제공 추론으로 컨테이너를 미리 만들 수 있습니다.
Application Guard 열린 Office 문서의 복사 및 붙여넣기 구성 사용자가 office에서 Application Guard 열린 문서와 허용되는 형식으로 콘텐츠를 복사하여 붙여넣을 수 있는지 여부를 제어할 수 있습니다.
Office용 Application Guard 하드웨어 가속 사용 안 함 Office용 Application Guard 하드웨어 가속을 사용하여 그래픽을 렌더링하는지 여부를 제어합니다. 이 설정을 사용하도록 설정하면 office용 Application Guard 소프트웨어 기반(CPU) 렌더링을 사용하며 타사 그래픽 드라이버를 로드하거나 연결된 그래픽 하드웨어와 상호 작용하지 않습니다.
Office용 Application Guard 지원되지 않는 파일 형식 보호 사용 안 함 Office용 Application Guard 지원되지 않는 파일 형식이 열리지 못하도록 차단하는지 또는 보호된 보기로 리디렉션할 수 있는지 여부를 제어합니다.
Office용 Application Guard 열린 문서에 대한 카메라 및 마이크 액세스 끄기 이 정책을 사용하도록 설정하면 Office용 Application Guard 내부의 카메라 및 마이크에 대한 Office 액세스 권한이 제거됩니다.
Office용 Application Guard 열린 문서에서 인쇄 제한 사용자가 Office용 Application Guard 열린 파일에서 인쇄할 수 있는 프린터를 제한합니다. 예를 들어 이 정책을 사용하여 사용자가 PDF로만 인쇄하도록 제한할 수 있습니다.
사용자가 파일에서 Office 보호를 위한 Application Guard 제거하지 못하도록 방지 Office 보호에 대한 Application Guard 사용하지 않도록 설정하거나 Office용 Application Guard 외부에서 파일을 여는 옵션을 제거합니다(Office 응용 프로그램 환경 내에서).

참고: 사용자는 파일에서 웹 표시 속성을 수동으로 제거하거나 문서를 신뢰할 수 있는 위치로 이동하여 이 정책을 무시할 수 있습니다.

참고

다음 정책을 적용하려면 사용자가 Windows에서 로그아웃하고 다시 로그인해야 합니다.

  • Application Guard 열린 Office 문서에서 복사하여 붙여넣기를 구성합니다.
  • Office용 Application Guard 하드웨어 가속을 사용하지 않도록 설정합니다.
  • Office용 Application Guard 열린 문서의 인쇄를 제한합니다.
  • Office용 Application Guard 열린 문서에 대한 카메라 및 마이크 액세스를 끕니다.

피드백 제출

피드백 허브를 통해 피드백 제출

Office용 Application Guard 시작할 때 문제가 발생하는 경우 피드백 허브를 통해 피드백을 제출하는 것이 좋습니다.

  1. 피드백 허브 앱을 열고 로그인합니다.
  2. Application Guard 시작하는 동안 오류 대화 상자가 표시되면 오류 대화 상자에서 Microsoft에 보고 를 선택하여 새 피드백 제출을 시작합니다. 그렇지 않으면 으로 https://aka.ms/mdagoffice-fb 이동하여 Application Guard 올바른 범주를 선택한 다음, 오른쪽 위에 있는 새 피드백 추가를 선택합니다.
  3. 피드백 요약 상자에 요약을 입력 합니다 .
  4. 자세한 설명 상자에 문제에 대한 자세한 설명과 디버그하기 위해 수행한 단계를 입력한 다음 , 다음을 선택합니다.
  5. 문제 옆에 있는 거품을 선택합니다. 선택한 범주가 보안 및 개인 정보 > 보호 Microsoft Defender Application Guard – Office인지 확인한 다음, 다음을 선택합니다.
  6. 새 피드백을 선택한 다음, 다음을 선택합니다.
  7. 문제에 대한 추적을 수집합니다.
    1. 내 문제 다시 만들기 타일을 확장합니다.
    2. Application Guard 실행되는 동안 발생하는 문제가 발생하면 Application Guard instance 엽니다. instance 열면 Application Guard 컨테이너 내에서 추가 추적을 수집할 수 있습니다.
    3. 녹음/녹화 시작을 선택하고 타일이 회전을 중지할 때까지 기다렸다가 녹음 중지라고 말합니다.
    4. Application Guard 문제를 완전히 재현합니다. 재현에는 Application Guard instance 시작하려고 시도하고 실패할 때까지 기다리거나 실행 중인 Application Guard instance 문제를 재현하는 작업이 포함될 수 있습니다.
    5. 기록 중지 타일을 선택합니다.
    6. 컨테이너 진단 수집할 수 있도록 제출 후 몇 분 동안 실행 중인 Application Guard instance 열어 둡니다.
  8. 문제와 관련된 모든 관련 스크린샷 또는 파일을 첨부합니다.
  9. 전송을 선택합니다.

One Customer Voice를 통해 피드백 제출

Application Guard 파일을 열 때 문제가 발생하는 경우 Word, Excel 및 PowerPoint 내에서 피드백을 제출할 수도 있습니다. 자세한 지침 은 피드백 제공 을 참조하세요.

엔드포인트용 Microsoft Defender 및 Office 365용 Microsoft Defender 통합

Office용 Application Guard 엔드포인트용 Microsoft Defender 통합되어 격리된 환경에서 발생하는 악의적인 활동에 대한 모니터링 및 경고를 제공합니다.

Microsoft E365 E5의 안전한 문서는 엔드포인트용 Microsoft Defender 사용하여 Office용 Application Guard 열린 문서를 검사하는 기능입니다. 추가 보호 계층의 경우 사용자는 검사 결과가 결정될 때까지 Office에 대한 Application Guard 떠날 수 없습니다.

제한 사항 및 고려 사항

  • Office용 Application Guard 신뢰할 수 없는 문서를 격리하여 신뢰할 수 있는 회사 리소스에 액세스할 수 없도록 하는 보호 모드입니다. 예를 들어 인트라넷, 사용자의 ID 및 컴퓨터의 임의 파일이 있습니다. 사용자가 신뢰할 수 있는 리소스에 액세스해야 하는 작업(예: 로컬 그림 파일 삽입)을 시도하면 작업이 실패하고 다음 예제와 같은 프롬프트가 표시됩니다. 신뢰할 수 없는 문서가 신뢰할 수 있는 리소스에 액세스할 수 있도록 하려면 사용자가 문서에서 Application Guard 보호를 제거해야 합니다.

    안전 메시지와 기능을 나타내는 대화 상자 상태

    참고

    파일 및 파일의 원본을 신뢰하는 경우에만 보호를 제거하도록 사용자에게 권고합니다.

  • 매크로 및 ActiveX 컨트롤과 같은 활성 콘텐츠는 Office용 Application Guard 사용할 수 없습니다. 활성 콘텐츠를 사용하려면 Application Guard 보호를 제거해야 합니다.

  • 네트워크 공유 또는 OneDrive, 비즈니스용 OneDrive 또는 SharePoint Online에서 공유된 파일의 신뢰할 수 없는 파일은 Application Guard 읽기 전용으로 열립니다. 사용자는 이러한 파일의 로컬 복사본을 저장하여 컨테이너에서 계속 작업하거나 보호를 제거하여 원래 파일과 직접 작업할 수 있습니다.

  • IRM(정보 권한 관리)으로 보호되는 파일은 기본적으로 차단됩니다. 사용자가 보호된 보기에서 이러한 파일을 열려면 관리자는 organization 대해 지원되지 않는 파일 형식에 대한 정책 설정을 구성해야 합니다.

  • Office용 Application Guard Office 응용 프로그램에 대한 사용자 지정은 사용자가 로그아웃하고 다시 로그인하거나 장치를 다시 시작한 후에도 유지되지 않습니다.

  • UIA 프레임워크를 사용하는 접근성 도구만 office용 Application Guard 열린 파일에 액세스할 수 있는 환경을 제공할 수 있습니다.

  • 설치 후 Application Guard 처음 시작하려면 네트워크 연결이 필요합니다.

  • 문서의 정보 섹션에서 마지막 수정 기준 속성은 WDAGUtilityAccount 를 사용자로 표시할 수 있습니다. WDAGUtilityAccount는 Application Guard 사용하는 익명 계정입니다. 데스크톱 사용자의 ID는 Application Guard 컨테이너 내에서 사용할 수 없습니다.

Office용 Application Guard 성능 최적화

Application Guard 가상 머신과 유사한 가상화된 컨테이너를 사용하여 신뢰할 수 없는 문서를 시스템에서 격리합니다. 컨테이너를 만들고 Application Guard 컨테이너를 설정하여 Office 문서를 여는 프로세스에는 사용자가 신뢰할 수 없는 문서를 열 때 사용자 환경에 부정적인 영향을 줄 수 있는 성능 오버헤드가 있습니다.

사용자에게 예상된 파일 열기 환경을 제공하기 위해 Application Guard 논리를 사용하여 시스템에서 다음 추론이 충족될 때 컨테이너를 미리 만듭니다. 사용자가 지난 28일 동안 보호된 보기 또는 Application Guard 파일을 열었습니다.

이 추론이 충족되면 Office는 Windows에 로그인한 후 사용자의 Application Guard 컨테이너를 미리 생성합니다. 이 미리 생성 작업이 진행되는 동안 시스템에서 성능이 저하될 수 있지만 작업이 완료되는 즉시 효과가 확인됩니다.

참고

추론이 컨테이너를 미리 만드는 데 필요한 힌트는 사용자가 컨테이너를 사용할 때 Office 애플리케이션에서 생성됩니다. 사용자가 Application Guard 사용하도록 설정된 새 시스템에 Office를 설치하는 경우 Office는 사용자가 시스템에서 신뢰할 수 없는 문서를 처음 열 때까지 컨테이너를 미리 만들지 않습니다. 이 첫 번째 파일은 Application Guard 여는 데 더 오래 걸립니다.

알려진 문제

  • 지원되지 않는 파일 형식 보호 정책의 기본 설정은 암호화되거나 IRM(정보 권한 관리)이 설정된 신뢰할 수 없는 지원되지 않는 파일 형식 열기를 차단하는 것입니다. 이 설정에는 Microsoft Purview Information Protection 민감도 레이블을 사용하여 암호화되는 파일이 포함됩니다.
  • HTML 파일은 현재 지원되지 않습니다.
  • Office용 Application Guard 현재 NTFS 압축 볼륨에서 작동하지 않습니다. "ERROR_VIRTUAL_DISK_LIMITATION" 오류가 표시되면 볼륨의 압축을 풉니다.
  • 하이퍼바이저를 사용하지 않을 수 있다는 오류가 표시되면 다음 항목을 검사.
    • 가상화는 BIOS에서 사용하도록 설정됩니다.
    • Hyper-V가 켜져 있습니다.
    • 호스트 네트워크 서비스가 실행 중입니다.
  • .NET에 업데이트 Application Guard 파일을 열지 못할 수 있습니다. 컴퓨터를 다시 시작하여 이 문제를 resolve 수 있습니다.
  • Application Guard "Virtual Machines"에게 "서비스로 로그온" 권한을 부여해야 하며 "wdagutilityaccount"를 "서비스로 로그온 거부" 보안 정책 설정에 추가하면 안 됩니다.
  • 자세한 내용은 질문과 대답 - Microsoft Defender Application Guard 참조하세요.