Application Guard dla administratorów pakietu Office

  • Artykuł

Dotyczy: Word, Excel i PowerPoint dla Microsoft 365 Apps, Windows 10 Enterprise, Windows 11 Enterprise

Ważna

Microsoft Defender Application Guard pakietu Office jest przestarzałe i nie jest już aktualizowane. To wycofanie obejmuje również interfejsy API Windows.Security.Isolation, które są używane do Microsoft Defender Application Guard dla pakietu Office. Zalecamy przejście do Ochrona punktu końcowego w usłudze Microsoft Defender reguł zmniejszania obszaru ataków wraz z widokiem chronionym i kontrolą aplikacji Windows Defender.

Microsoft Defender Application Guard for Office (Application Guard for Office) pomaga zapobiegać dostępowi niezaufanych plików do zaufanych zasobów, zapewniając przedsiębiorstwu bezpieczeństwo przed nowymi i pojawiającym się atakami. W tym artykule przedstawiono instrukcje dla administratorów dotyczące konfigurowania obsługiwanych urządzeń dla Application Guard dla pakietu Office.

Wymagania wstępne

Wymagania dotyczące licencjonowania

Minimalne wymagania sprzętowe

  • Procesor CPU: 64-bitowe, cztery rdzenie (fizyczne lub wirtualne), rozszerzenia wirtualizacji (Intel VT-x LUB AMD-V), core i5 równoważne lub wyższe zalecane.
  • Pamięć fizyczna: 8 GB pamięci RAM.
  • Dysk twardy: 10 GB wolnego miejsca na dysku systemowym (zalecane SSD).

Minimalne wymagania dotyczące oprogramowania

  • Windows: wersja Windows 10 Enterprise, kompilacja klienta 2004 (20H1) kompilacja 19041 lub nowsza. Obsługiwane są wszystkie wersje Windows 11.
  • Office: Aplikacje Microsoft 365 z kompilacją 16.0.13530.10000 lub nowszą. W przypadku instalacji bieżącego kanału i miesięcznego kanału Enterprise Channel ta wersja jest równoważna wersji 2011. W przypadku Semi-Annual Enterprise Channel i Semi-Annual Enterprise Channel (wersja zapoznawcza) minimalna wersja to 2108 lub nowsza. Obsługiwane są wersje 32-bitowe i 64-bitowe.
  • Pakiet aktualizacji: Windows 10 skumulowane miesięczne KB4571756 aktualizacji zabezpieczeń

Aby uzyskać szczegółowe wymagania systemowe, zobacz Wymagania systemowe dotyczące Microsoft Defender Application Guard. Zapoznaj się również z przewodnikami producenta komputera dotyczącymi włączania technologii wirtualizacji. Aby dowiedzieć się więcej o Aplikacje Microsoft 365 kanałach aktualizacji, zobacz Omówienie kanałów aktualizacji dla Aplikacje Microsoft 365.

Wdrażanie Application Guard dla pakietu Office

Włączanie Application Guard dla pakietu Office

  1. Wymagania dotyczące systemu operacyjnego:

  2. W obszarze Funkcje systemu Windows wybierz pozycję Microsoft Defender Application Guard, a następnie wybierz przycisk OK. Włączenie funkcji Application Guard powoduje wyświetlenie monitu o ponowne uruchomienie systemu. Możesz uruchomić ponownie teraz lub po kroku 3.

    Okno dialogowe Funkcje systemu Windows z wyświetloną grupą dostępności

    Przewodnik po aplikacjach można również włączyć w Windows PowerShell, uruchamiając następujące polecenie jako administrator:

    Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard

  3. W zasady grupy Redaktor przejdź do pozycji Konfiguracja> komputeraSzablony> administracyjneSkładniki> systemu Windows Microsoft Defender Application Guard.

    Włącz ustawienie Włącz Microsoft Defender Application Guard w trybie zarządzanym. Ustaw wartość w sekcji Opcje na jedną z następujących wartości:

    • 2: Włącz Microsoft Defender Application Guard tylko dla izolowanych środowisk systemu Windows.
    • 3: Włącz Microsoft Defender Application Guard dla przeglądarki Microsoft Edge i izolowanych środowisk systemu Windows.

    Opcja włączenia grupy dostępności w trybie zarządzanym

    Alternatywnie można ustawić odpowiednie zasady CSP:

    OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Typ danych: Wartość całkowita : 2

  4. Uruchom ponownie komputer, jeśli jeszcze tego nie zrobiono.

Ustawianie opinii & diagnostycznej w celu wysyłania pełnych danych

Uwaga

Ten krok nie jest wymagany. Jednak skonfigurowanie opcjonalnych danych diagnostycznych może pomóc w diagnozowaniu zgłoszonych problemów.

Ten krok gwarantuje, że dane niezbędne do identyfikowania i rozwiązywania problemów docierają do firmy Microsoft. Wykonaj następujące kroki, aby włączyć diagnostykę na urządzeniu z systemem Windows:

  1. Otwórz pozycję Ustawienia z menu Start.
  2. W obszarze Ustawienia systemu Windows wybierz pozycję Prywatność.
  3. W obszarze Prywatność wybierz pozycję Diagnostyka & opinii i wybierz pozycję Opcjonalne dane diagnostyczne.

Aby uzyskać więcej informacji na temat konfigurowania ustawień diagnostycznych systemu Windows, zobacz Konfigurowanie danych diagnostycznych systemu Windows w organizacji.

Upewnij się, że Application Guard dla pakietu Office jest włączony i działa

Przed potwierdzeniem włączenia Application Guard dla pakietu Office wykonaj następujące czynności:

  1. Uruchom Word, Excel lub PowerPoint na urządzeniu, na którym wdrożono zasady.
  2. W uruchomionej aplikacji przejdź do pozycjiKontopliku>. Na stronie Konto sprawdź, czy jest wyświetlana oczekiwana licencja.

Aby potwierdzić, że Application Guard dla pakietu Office jest włączona, otwórz niezaufany dokument. Możesz na przykład otworzyć dokument pobrany z Internetu lub załącznik wiadomości e-mail od osoby spoza organizacji.

Po pierwszym otwarciu niezaufanego pliku zostanie wyświetlony następujący ekran powitalny pakietu Office. Application Guard pakietu Office jest aktywowany i plik jest otwierany. Kolejne otwory niezaufanych plików są zazwyczaj szybsze.

Strona powitalna aplikacji pakietu Office

Po otwarciu pliku istnieje kilka wskaźników wizualnych, które sygnalizują, że plik jest otwarty wewnątrz Application Guard pakietu Office:

  • Objaśnienie na wstążce

    Plik dokumentu z małą notatką funkcji App Guard

  • Ikona aplikacji z osłoną na pasku zadań

Konfigurowanie Application Guard dla pakietu Office

Pakiet Office obsługuje następujące zasady konfigurowania Application Guard dla pakietu Office. Te zasady można skonfigurować za pomocą zasad grupy lub za pośrednictwem usługi zasad w chmurze pakietu Office.

Uwaga

Skonfigurowanie tych zasad może wyłączyć niektóre funkcje plików otwartych w Application Guard dla pakietu Office.

Zasad Opis
Nie używaj Application Guard dla pakietu Office Wymusza, aby Word, Excel i PowerPoint używały kontenera izolacji Widoku chronionego zamiast Application Guard dla pakietu Office.
Konfigurowanie Application Guard dla wstępnego tworzenia kontenera pakietu Office Określa, czy Application Guard dla kontenera pakietu Office jest wstępnie utworzona w celu zwiększenia wydajności w czasie wykonywania. Po włączeniu tych zasad można określić liczbę dni kontynuowania wstępnego tworzenia kontenera lub zezwolić wbudowanemu pakietowi Office na wstępne utworzenie kontenera.
Konfigurowanie kopiowania i wklejania z dokumentów pakietu Office otwartych w Application Guard Umożliwia kontrolowanie, czy użytkownicy mogą kopiować i wklejać zawartość z pakietu Office do i z dokumentów otwartych w Application Guard, a także dozwolonych formatów.
Wyłączanie przyspieszania sprzętowego w Application Guard dla pakietu Office Określa, czy Application Guard dla pakietu Office używa przyspieszania sprzętowego do renderowania grafiki. Jeśli to ustawienie zostanie włączone, Application Guard dla pakietu Office korzysta z renderowania opartego na oprogramowaniu (CPU) i nie ładuje żadnych sterowników graficznych innych firm ani nie wchodzi w interakcje z żadnym połączonym sprzętem graficznym.
Wyłączanie ochrony nieobsługiwanych typów plików w Application Guard dla pakietu Office Określa, czy Application Guard dla pakietu Office blokuje otwarcie nieobsługiwanych typów plików lub czy umożliwia przekierowanie do widoku chronionego.
Wyłączanie dostępu do kamery i mikrofonu dla dokumentów otwartych w Application Guard dla pakietu Office Włączenie tych zasad powoduje usunięcie dostępu pakietu Office do aparatu i mikrofonu w Application Guard dla pakietu Office.
Ograniczanie drukowania z dokumentów otwartych w Application Guard dla pakietu Office Ogranicza drukarki, na które użytkownik może drukować z pliku otwartego w Application Guard dla pakietu Office. Można na przykład użyć tych zasad, aby ograniczyć użytkownikom możliwość drukowania tylko w formacie PDF.
Uniemożliwianie użytkownikom usuwania Application Guard na potrzeby ochrony pakietu Office w plikach Usuwa opcję (w środowisku aplikacji pakietu Office), aby wyłączyć Application Guard dla ochrony pakietu Office lub otworzyć plik poza Application Guard pakietu Office.

Uwaga: Użytkownicy mogą nadal pomijać te zasady, ręcznie usuwając właściwość mark-of-the-web z pliku lub przenosząc dokument do zaufanej lokalizacji.

Uwaga

Aby następujące zasady zostały zastosowane, użytkownicy muszą wylogować się z systemu Windows i zalogować się ponownie:

  • Skonfiguruj kopiowanie i wklejanie z dokumentów pakietu Office otwartych w Application Guard.
  • Wyłącz przyspieszanie sprzętowe w Application Guard dla pakietu Office.
  • Ogranicz drukowanie dokumentów otwartych w Application Guard dla pakietu Office.
  • Wyłącz dostęp kamery i mikrofonu do dokumentów otwartych w Application Guard dla pakietu Office.

Prześlij opinię

Przesyłanie opinii za pośrednictwem Centrum opinii

Jeśli podczas uruchamiania Application Guard dla pakietu Office wystąpią jakiekolwiek problemy, zachęcamy do przesyłania opinii za pośrednictwem Centrum opinii:

  1. Otwórz aplikację Centrum opinii i zaloguj się.
  2. Jeśli podczas uruchamiania Application Guard zostanie wyświetlone okno dialogowe błędu, wybierz pozycję Zgłoś firmie Microsoft w oknie dialogowym błędu, aby rozpocząć przesyłanie nowej opinii. W przeciwnym razie przejdź do https://aka.ms/mdagoffice-fb pozycji , aby wybrać odpowiednią kategorię dla Application Guard, a następnie wybierz pozycję Dodaj nową opinię w prawym górnym rogu.
  3. Wprowadź podsumowanie w polu Podsumowanie opinii .
  4. Wprowadź szczegółowy opis problemu i kroki, które zostały opisane w celu debugowania, w polu Objaśnienie bardziej szczegółowo , a następnie wybierz pozycję Dalej.
  5. Wybierz bąbelek obok pozycji Problem. Upewnij się, że wybrana kategoria to Zabezpieczenia i prywatność > Microsoft Defender Application Guard — pakiet Office, a następnie wybierz pozycję Dalej.
  6. Wybierz pozycję Nowa opinia, a następnie pozycję Dalej.
  7. Zbierz ślady dotyczące problemu:
    1. Rozwiń kafelek Utwórz ponownie mój problem .
    2. Jeśli napotkany problem występuje podczas Application Guard, otwórz wystąpienie Application Guard. Otwarcie wystąpienia umożliwia zbieranie dodatkowych śladów z kontenera Application Guard.
    3. Wybierz pozycję Rozpocznij nagrywanie i poczekaj, aż kafelek przestanie się obracać, a następnie zaczekaj na zatrzymanie nagrywania.
    4. W pełni odtwórz problem z Application Guard. Reprodukcja może obejmować próbę uruchomienia wystąpienia Application Guard i oczekiwanie na niepowodzenie lub odtworzenie problemu w uruchomionym wystąpieniu Application Guard.
    5. Wybierz kafelek Zatrzymaj nagrywanie .
    6. Pozostaw wszystkie uruchomione wystąpienia Application Guard otwarte, nawet przez kilka minut po przesłaniu, aby można było również zebrać diagnostykę kontenera.
  8. Dołącz odpowiednie zrzuty ekranu lub pliki związane z problemem.
  9. Wybierz pozycję Prześlij.

Przesyłanie opinii za pośrednictwem usługi One Customer Voice

Możesz również przesłać opinię z Word, programu Excel i programu PowerPoint, jeśli problem występuje, gdy pliki są otwierane w Application Guard. Szczegółowe wskazówki można znaleźć w temacie Przekaż opinię .

Integracja z Ochrona punktu końcowego w usłudze Microsoft Defender i Ochrona usługi Office 365 w usłudze Microsoft Defender

Application Guard dla pakietu Office jest zintegrowana z usługą Ochrona punktu końcowego w usłudze Microsoft Defender w celu zapewnienia monitorowania i alertów dotyczących złośliwych działań wykonywanych w środowisku izolowanym.

Safe Documents in Microsoft E365 E5 to funkcja, która używa Ochrona punktu końcowego w usłudze Microsoft Defender do skanowania dokumentów otwartych w Application Guard dla pakietu Office. Aby uzyskać dodatkową warstwę ochrony, użytkownicy nie mogą opuścić Application Guard dla pakietu Office, dopóki nie zostaną określone wyniki skanowania.

Ograniczenia i zagadnienia

  • Application Guard dla pakietu Office jest trybem chronionym, który izoluje niezaufane dokumenty, aby nie mogły uzyskać dostępu do zaufanych zasobów firmy. Na przykład intranet, tożsamość użytkownika i dowolne pliki na komputerze. Jeśli użytkownik podejmie próbę wykonania akcji wymagającej dostępu do zaufanych zasobów (na przykład wstawiania lokalnego pliku obrazu), akcja zakończy się niepowodzeniem i wyświetli monit podobny do poniższego przykładu. Aby umożliwić niezaufanemu dokumentowi dostęp do zaufanych zasobów, użytkownicy muszą usunąć Application Guard ochrony z dokumentu.

    Okno dialogowe z komunikatem o bezpieczeństwie i stanem funkcji

    Uwaga

    Poinformuj użytkowników, aby usunęli ochronę tylko wtedy, gdy ufają plikowi i źródle pliku.

  • Aktywna zawartość, taka jak makra i kontrolki ActiveX, jest wyłączona w Application Guard dla pakietu Office. Aby włączyć aktywną zawartość, należy usunąć ochronę Application Guard.

  • Niezaufane pliki z udziałów sieciowych lub plików udostępnionych w usłudze OneDrive, OneDrive dla Firm lub SharePoint Online są otwierane jako tylko do odczytu w Application Guard. Użytkownicy mogą zapisać lokalną kopię takich plików, aby kontynuować pracę w kontenerze lub usunąć ochronę, aby bezpośrednio pracować z oryginalnym plikiem.

  • Pliki chronione przez usługę Information Rights Management (IRM) są domyślnie blokowane. Jeśli użytkownicy chcą otwierać takie pliki w widoku chronionym, administrator musi skonfigurować ustawienia zasad dla nieobsługiwanych typów plików dla organizacji.

  • Wszelkie dostosowania aplikacji pakietu Office w Application Guard dla pakietu Office nie są utrwalane po wylogowaniu się użytkownika i ponownym zalogowaniu się lub po ponownym uruchomieniu urządzenia.

  • Tylko narzędzia ułatwień dostępu korzystające z platformy UIA mogą zapewnić dostępne środowisko dla plików otwartych w Application Guard dla pakietu Office.

  • Łączność sieciowa jest wymagana do pierwszego uruchomienia Application Guard po instalacji.

  • W sekcji informacji dokumentu właściwość Last Modified By może wyświetlać konto WDAGUtilityAccount jako użytkownik. WDAGUtilityAccount to anonimowe konto używane przez Application Guard. Tożsamość użytkownika pulpitu nie jest dostępna w kontenerze Application Guard.

Optymalizacje wydajności dla Application Guard dla pakietu Office

Application Guard używa zwirtualizowanego kontenera, podobnego do maszyny wirtualnej, w celu odizolowania niezaufanych dokumentów od systemu. Proces tworzenia kontenera i konfigurowania kontenera Application Guard w celu otwierania dokumentów pakietu Office ma obciążenie wydajnością, które może negatywnie wpłynąć na środowisko użytkownika, gdy użytkownicy otwierają niezaufany dokument.

Aby zapewnić użytkownikom oczekiwane środowisko otwierania plików, Application Guard używa logiki do wstępnego tworzenia kontenera, gdy w systemie zostanie spełniony następujący heurystyczny element: Użytkownik otworzył plik w widoku chronionym lub Application Guard w ciągu ostatnich 28 dni.

Gdy ten heurystyczny jest spełniony, pakiet Office wstępnie tworzy kontener Application Guard dla użytkownika po zalogowaniu się do systemu Windows. Mimo że ta operacja wstępnego tworzenia jest w toku, system może mieć niską wydajność, ale efekt zostanie rozwiązany natychmiast po zakończeniu operacji.

Uwaga

Wskazówki potrzebne do utworzenia kontenera w języku heurystycznym są generowane przez aplikacje pakietu Office, gdy użytkownik z nich korzysta. Jeśli użytkownik zainstaluje pakiet Office w nowym systemie, w którym jest włączona Application Guard, pakiet Office nie utworzy wstępnie kontenera dopiero po pierwszym otwarciu niezaufanego dokumentu w systemie. Otwieranie pierwszego pliku w Application Guard trwa dłużej.

Znane problemy

  • Domyślnym ustawieniem zasad ochrony nieobsługiwanych typów plików jest zablokowanie otwierania niezaufanych, nieobsługiwanych typów plików, które są szyfrowane lub mają ustawione zarządzanie prawami do informacji (IRM). To ustawienie obejmuje pliki szyfrowane przy użyciu etykiet poufności z Microsoft Purview Information Protection.
  • Pliki HTML nie są obecnie obsługiwane.
  • Application Guard dla pakietu Office obecnie nie współpracuje ze skompresowanymi woluminami NTFS. Jeśli zostanie wyświetlony błąd: "ERROR_VIRTUAL_DISK_LIMITATION" spróbuj usunąć skompresowanie woluminu.
  • Jeśli zostanie wyświetlony błąd informujący o tym, że funkcja hypervisor może nie zostać włączona, sprawdź następujące elementy:
    • Wirtualizacja jest włączona w systemie BIOS.
    • Funkcja Hyper-V jest włączona.
    • Usługa sieci hosta jest uruchomiona.
  • Aktualizacje do platformy .NET może spowodować niepowodzenie otwierania plików w Application Guard. Ten problem można rozwiązać, ponownie uruchamiając maszynę.
  • Application Guard wymaga, aby "Virtual Machines" otrzymało uprawnienie "Logowanie jako usługa", a "wdagutilityaccount" nie może zostać dodane do ustawienia zasad zabezpieczeń "Odmów logowania jako usługa".
  • Aby uzyskać więcej informacji, zobacz Często zadawane pytania — Microsoft Defender Application Guard, aby uzyskać dodatkowe informacje.