Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för: Word, Excel och PowerPoint för Microsoft 365 Apps, Windows 10 Enterprise, Windows 11 Enterprise
Viktigt
Microsoft Defender Application Guard för Office håller på att bli inaktuell och uppdateras inte längre. Den här utfasningen innehåller även API:er för Windows.Security.Isolation som används för Microsoft Defender Application Guard för Office. Vi rekommenderar att du övergår till Microsoft Defender för Endpoint regler för minskning av attackytan tillsammans med skyddad vy och Windows Defender-programkontroll.
Microsoft Defender Application Guard för Office (Application Guard för Office) hjälper till att förhindra att obetrodda filer får åtkomst till betrodda resurser, vilket skyddar företaget från nya och nya attacker. Den här artikeln vägleder administratörer genom att konfigurera enheter som stöds för Application Guard för Office.
Förhandskrav
Licensieringskrav
- Microsoft 365 E5 eller Microsoft 365 E5 Security
- Säkra dokument i Microsoft 365
Minimikrav för maskinvara
- CPU: 64-bitars, fyra kärnor (fysisk eller virtuell), virtualiseringstillägg (Intel VT-x ELLER AMD-V), Core i5 motsvarande eller högre rekommenderas.
- Fysiskt minne: 8 GB RAM-minne.
- Hårddisk: 10 GB ledigt utrymme på systemenheten (rekommenderas SSD).
Minimikrav för programvara
- Windows: Windows 10 Enterprise edition, Client Build version 2004 (20H1) build 19041 eller senare. Alla versioner av Windows 11 stöds.
- Office: Microsoft 365-applikationer med version 16.0.13530.10000 eller senare. För installationer av Current Channel och Monthly Enterprise Channel motsvarar den här versionen 2011. För Semi-Annual Enterprise Channel och Semi-Annual Enterprise Channel (förhandsversion) är den lägsta versionen 2108 eller senare. Både 32-bitars- och 64-bitarsversioner stöds.
- Uppdateringspaket: Windows 10 kumulativ månatlig säkerhetsuppdatering KB4571756
Detaljerade systemkrav finns i Systemkrav för Microsoft Defender Application Guard. Läs även datortillverkarens guider om hur du aktiverar virtualiseringsteknik. Mer information om Microsoft 365-applikationer uppdateringskanaler finns i Översikt över uppdateringskanaler för Microsoft 365-applikationer.
Distribuera Application Guard för Office
Aktivera Application Guard för Office
Operativsystemkrav:
- Windows 10: Kontrollera att KB4571756 är installerat den 8 september 2020.
- Windows 11: Inga specifika krav.
I Windows-funktioner väljer du Microsoft Defender Application Guard och sedan OK. Om du aktiverar Application Guard-funktionen uppmanas du att starta om systemet. Du kan starta om nu eller efter steg 3.
Du kan också aktivera programguiden i Windows PowerShell genom att köra följande kommando som administratör:
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuardI grupprincip Editor går du till Datorkonfiguration>Administrativa mallar>Windows-komponenter>Microsoft Defender Application Guard.
Aktivera inställningen Aktivera Microsoft Defender Application Guard i hanterat läge. Ange värdet i avsnittet Alternativ till något av följande värden:
- 2: Aktivera endast Microsoft Defender Application Guard för isolerade Windows-miljöer.
- 3: Aktivera Microsoft Defender Application Guard för Microsoft Edge OCH isolerade Windows-miljöer.
Du kan också ange motsvarande CSP-princip:
OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Datatyp: Heltalsvärde : 2
Starta om datorn om du inte redan har gjort det.
Ange diagnostik & feedback för att skicka fullständiga data
Obs!
Det här steget krävs inte. Att konfigurera valfria diagnostikdata kan dock hjälpa dig att diagnostisera rapporterade problem.
Det här steget säkerställer att de data som krävs för att identifiera och åtgärda problem når Microsoft. Följ dessa steg för att aktivera diagnostik på din Windows-enhet:
- Öppna Inställningar på Start-menyn.
- I Windows-inställningar väljer du Sekretess.
- Under Sekretess väljer du Diagnostik & feedback och väljer Valfria diagnostikdata.
Mer information om hur du konfigurerar Diagnostikinställningar för Windows finns i Konfigurera Windows-diagnostikdata i din organisation.
Bekräfta att Application Guard för Office är aktiverat och fungerar
Innan du bekräftar att Application Guard för Office är aktiverat gör du följande:
- Starta Word, Excel eller PowerPoint på en enhet där principerna har distribuerats.
- Från appen som du startade går du till Filkonto>. På sidan Konto kontrollerar du att den förväntade licensen visas.
Bekräfta att Application Guard för Office är aktiverat genom att öppna ett ej betrott dokument. Du kan till exempel öppna ett dokument som har laddats ned från Internet eller en bifogad e-post från någon utanför organisationen.
När du först öppnar en obetrodd fil visas följande välkomstskärm för Office. Application Guard för Office aktiveras och filen öppnas. Efterföljande öppningar av ej betrodda filer går vanligtvis snabbare.
När filen har öppnats finns det några visuella indikatorer som signalerar att filen är öppen i Application Guard för Office:
En pratbubblan i menyfliksområdet
Programikonen med en sköld i aktivitetsfältet
Konfigurera Application Guard för Office
Office stöder följande principer för att konfigurera Application Guard för Office. Dessa principer kan konfigureras via grupprinciper eller via Office-molnprinciptjänsten.
Obs!
Om du konfigurerar dessa principer kan du inaktivera vissa funktioner för filer som öppnas i Application Guard för Office.
| Politik | Beskrivning |
|---|---|
| Använd inte Application Guard för Office | Tvingar Word, Excel och PowerPoint att använda isoleringscontainern För skyddad vy i stället för Application Guard för Office. |
| Konfigurera Application Guard för precreation för Office-containrar | Avgör om Application Guard för Office-containern har skapats för bättre körningsprestanda. När du aktiverar den här principen kan du ange hur många dagar du vill fortsätta att skapa en container i förväg eller låta Office inbyggda heuristiska förskapa containern. |
| Konfigurera kopiera och klistra in från Office-dokument som öppnas i Application Guard | Gör att du kan styra om användare kan kopiera och klistra in innehåll från Office till och från dokument som öppnas i Application Guard, samt tillåtna format. |
| Inaktivera maskinvaruacceleration i Application Guard för Office | Styr om Application Guard för Office använder maskinvaruacceleration för att återge grafik. Om du aktiverar den här inställningen använder Application Guard för Office programvarubaserad rendering (CPU) och läser inte in några grafikdrivrutiner från tredje part eller interagerar med någon ansluten grafikmaskinvara. |
| Inaktivera skydd av filtyper som inte stöds i Application Guard för Office | Styr om Application Guard för Office blockerar filtyper som inte stöds från att öppnas eller om det möjliggör omdirigering till skyddad vy. |
| Inaktivera kamera- och mikrofonåtkomst för dokument som öppnats i Application Guard för Office | Om du aktiverar den här principen tar du bort Office-åtkomsten till kameran och mikrofonen i Application Guard för Office. |
| Begränsa utskrift från dokument som öppnats i Application Guard för Office | Begränsar de skrivare som en användare kan skriva ut till från en fil som öppnas i Application Guard för Office. Du kan till exempel använda den här principen för att begränsa användare till att endast skriva ut till PDF. |
| Förhindra användare från att ta bort Application Guard för Office-skydd på filer | Tar bort alternativet (i Office-programmiljön) för att inaktivera Application Guard för Office-skydd eller för att öppna en fil utanför Application Guard för Office. Not: Användare kan fortfarande kringgå den här principen genom att manuellt ta bort egenskapen mark-of-the-web från filen eller genom att flytta ett dokument till en betrodd plats. |
Obs!
För att följande principer ska börja gälla måste användarna logga ut från Windows och logga in igen:
- Konfigurera kopiera och klistra in från Office-dokument som öppnas i Application Guard.
- Inaktivera maskinvaruacceleration i Application Guard för Office.
- Begränsa utskrift av dokument som öppnas i Application Guard för Office.
- Inaktivera kamera- och mikrofonåtkomst till dokument som öppnats i Application Guard för Office.
Skicka feedback
Skicka feedback via feedbackhubben
Om du stöter på problem när du startar Application Guard för Office rekommenderar vi att du skickar feedback via feedbackhubben:
- Öppna feedbackhubben och logga in.
- Om du får en feldialogruta när du startar Application Guard väljer du Rapportera till Microsoft i feldialogrutan för att starta en ny feedbacköverföring. Annars navigerar du till https://aka.ms/mdagoffice-fb för att välja rätt kategori för Application Guard och väljer sedan Lägg till ny feedback längst upp till höger.
- Ange en sammanfattning i rutan Sammanfatta din feedback .
- Ange en detaljerad beskrivning av problemet och de steg du vidtog för att felsöka i rutan Förklara mer detaljerat och välj sedan Nästa.
- Välj bubblan bredvid Problem. Kontrollera att den valda kategorin är Säkerhet och sekretess > Microsoft Defender Application Guard – Office och välj sedan Nästa.
- Välj Ny feedback och sedan Nästa.
- Samla in spårningar om problemet:
- Expandera panelen Återskapa mitt problem .
- Om problemet uppstår när Application Guard körs öppnar du en Application Guard instans. Om du öppnar en instans kan ytterligare spårningar samlas in från containern Application Guard.
- Välj Starta inspelning och vänta tills panelen slutar snurra och säg Stoppa inspelning.
- Återskapa problemet fullständigt med Application Guard. Reproduktion kan omfatta försök att starta en Application Guard instans och vänta tills den misslyckas eller återskapa ett problem i en Application Guard instans som körs.
- Välj panelen Stoppa inspelning .
- Se till att alla aktiva Application Guard instanser är öppna, även i några minuter efter överföringen, så att även containerdiagnostik kan samlas in.
- Bifoga relevanta skärmbilder eller filer som är relaterade till problemet.
- Välj Skicka.
Skicka feedback via One Customer Voice
Du kan också skicka feedback inifrån Word, Excel och PowerPoint om problemet inträffar när filer öppnas i Application Guard. Mer information finns i Ge feedback .
Integrering med Microsoft Defender för Endpoint och Microsoft Defender för Office 365
Application Guard för Office är integrerad med Microsoft Defender för Endpoint för att tillhandahålla övervakning och aviseringar om skadlig aktivitet som inträffar i den isolerade miljön.
Säkra dokument i Microsoft E365 E5 är en funktion som använder Microsoft Defender för Endpoint för att genomsöka dokument som öppnats i Application Guard för Office. För ytterligare ett skyddslager kan användarna inte lämna Application Guard för Office förrän resultatet av genomsökningen har fastställts.
Begränsningar och överväganden
Application Guard för Office är ett skyddat läge som isolerar ej betrodda dokument så att de inte kan komma åt betrodda företagsresurser. Till exempel ett intranät, användarens identitet och godtyckliga filer på datorn. Om en användare försöker utföra en åtgärd som kräver åtkomst till betrodda resurser (till exempel infoga en lokal bildfil) misslyckas åtgärden och visar en uppmaning som i följande exempel. Om du vill att ett obetrott dokument ska få åtkomst till betrodda resurser måste användarna ta bort Application Guard skydd från dokumentet.
Obs!
Be användarna att endast ta bort skyddet om de litar på filen och filens källa.
Aktivt innehåll som makron och ActiveX-kontroller inaktiveras i Application Guard för Office. Om du vill aktivera aktivt innehåll måste Application Guard-skyddet tas bort.
Ej betrodda filer från nätverksresurser eller filer som delas från OneDrive eller SharePoint öppnas som skrivskyddade i Application Guard. Användare kan spara en lokal kopia av sådana filer för att fortsätta arbeta i containern eller ta bort skyddet för att arbeta direkt med den ursprungliga filen.
Filer som skyddas av IRM (Information Rights Management) blockeras som standard. Om användarna vill öppna sådana filer i skyddad vy måste en administratör konfigurera principinställningar för filtyper som inte stöds för organisationen.
Eventuella anpassningar av Office-program i Application Guard för Office bevaras inte när en användare loggar ut och loggar in igen eller efter att enheten har startats om.
Endast hjälpmedelsverktyg som använder UIA-ramverket kan ge en tillgänglig upplevelse för filer som öppnas i Application Guard för Office.
Nätverksanslutning krävs för den första lanseringen av Application Guard efter installationen.
I dokumentets informationsavsnitt kan egenskapen Senast ändrad av visa WDAGUtilityAccount som användare. WDAGUtilityAccount är det anonyma konto som används av Application Guard. Skrivbordsanvändarens identitet är inte tillgänglig i Application Guard-containern.
Prestandaoptimeringar för Application Guard för Office
Application Guard använder en virtualiserad container som liknar en virtuell dator för att isolera ej betrodda dokument från systemet. Processen med att skapa en container och konfigurera den Application Guard containern för att öppna Office-dokument har prestandakostnader som kan påverka användarupplevelsen negativt när användare öppnar ett ej betrott dokument.
För att ge användarna den förväntade filöppningsupplevelsen använder Application Guard logik för att skapa en container när följande heuristik uppfylls i ett system: En användare har öppnat en fil i antingen skyddad vy eller Application Guard under de senaste 28 dagarna.
När den här heuristiken uppfylls skapar Office en Application Guard container för användaren när de har loggat in i Windows. Medan den här förskapningsåtgärden pågår kan systemet uppleva långsamma prestanda, men effekten löses så snart åtgärden har slutförts.
Obs!
De tips som krävs för att heuristiken ska förskapa containern genereras av Office-program när en användare använder dem. Om en användare installerar Office på ett nytt system där Application Guard är aktiverat skapar Office inte containern i förväg förrän efter första gången en användare öppnar ett obetrott dokument i systemet. Den här första filen tar längre tid att öppna i Application Guard.
Kända problem
- Standardinställningen för skyddsprincipen för filtyper som inte stöds är att blockera öppning av ej betrodda filtyper som inte stöds och som är krypterade eller har IRM (Information Rights Management) angivna. Den här inställningen innehåller filer som krypteras med hjälp av känslighetsetiketter från Microsoft Purview Information Protection.
- HTML-filer stöds inte just nu.
- Application Guard för Office fungerar för närvarande inte med NTFS-komprimerade volymer. Om du ser felet "ERROR_VIRTUAL_DISK_LIMITATION" kan du prova att avkomprimera volymen.
- Om du får ett felmeddelande om att hypervisor-programmet kanske inte är aktiverat kontrollerar du följande:
- Virtualisering är aktiverat i BIOS.
- Hyper-V är aktiverat.
- Värdnätverkstjänsten körs.
- Uppdateringar till .NET kan orsaka att filer inte öppnas i Application Guard. Du kan lösa det här problemet genom att starta om datorn.
- Application Guard kräver att "Virtual Machines" beviljas behörigheten "Inloggning som en tjänst" och "wdagutilityaccount" får inte läggas till i säkerhetsprincipinställningen Neka inloggning som en tjänst.
- Mer information finns i Vanliga frågor och svar – Microsoft Defender Application Guard för ytterligare information.