Aracılığıyla paylaş


Yöneticiler için Office Application Guard

Şunlar için geçerlidir: Word, Excel ve Microsoft 365 için PowerPoint Uygulamaları, Windows 10 Enterprise, Windows 11 Enterprise

Önemli

Office için Microsoft Defender Application Guard kullanım dışı bırakılıyor ve artık güncelleştiriliyor. Bu kullanımdan kaldırma, Office için Microsoft Defender Application Guard için kullanılan Windows.Security.Isolation API'lerini de içerir. Korumalı Görünüm ve Windows Defender Uygulama Denetimi ile birlikte Uç Nokta için Microsoft Defender saldırı yüzeyi azaltma kurallarına geçmenizi öneririz.

Office için Microsoft Defender Application Guard (Office için Application Guard), güvenilmeyen dosyaların güvenilir kaynaklara erişmesini önlemeye yardımcı olur ve kuruluşunuzun yeni ve yeni saldırılara karşı güvende kalmasını sağlar. Bu makalede, Office için Application Guard için desteklenen cihazları ayarlama işlemi yöneticilere yol gösterilir.

Önkoşullar

Lisans gereksinimleri

En düşük donanım gereksinimleri

  • CPU: 64 bit, dört çekirdek (fiziksel veya sanal), sanallaştırma uzantıları (Intel VT-x VEYA AMD-V), Çekirdek i5 eşdeğeri veya üzeri önerilir.
  • Fiziksel bellek: 8 GB RAM.
  • Sabit disk: Sistem sürücüsünde 10 GB boş alan (SSD önerilir).

En düşük yazılım gereksinimleri

  • Windows: Windows 10 Enterprise sürümü, İstemci Derlemesi sürüm 2004 (20H1) derlemesi 19041 veya üzeri. Windows 11 tüm sürümleri desteklenir.
  • Office: 16.0.13530.10000 veya sonraki derlemelerle Microsoft 365 Uygulamaları. Geçerli Kanal ve Aylık Kurumsal Kanal yüklemeleri için bu sürüm 2011'e eşdeğerdir. Semi-Annual Enterprise Channel ve Semi-Annual Enterprise Channel (Önizleme) için en düşük sürüm 2108 veya üzeridir. Hem 32 bit hem de 64 bit sürümler desteklenir.
  • Güncelleştirme paketi: Aylık toplu güvenlik güncelleştirmesi KB4571756 Windows 10

Ayrıntılı sistem gereksinimleri için bkz. Microsoft Defender Application Guard için sistem gereksinimleri. Ayrıca, sanallaştırma teknolojisini etkinleştirme konusunda bilgisayar üreticinizin kılavuzlarına bakın. Microsoft 365 Uygulamaları güncelleştirme kanalları hakkında daha fazla bilgi edinmek için bkz. Microsoft 365 Uygulamaları için güncelleştirme kanallarına genel bakış.

Office için Application Guard dağıtma

Office için Application Guard etkinleştirme

  1. İşletim sistemi gereksinimleri:

  2. Windows Özellikleri'ndeMicrosoft Defender Application Guard ve ardından Tamam'ı seçin. Application Guard özelliğinin etkinleştirilmesi, sistemin yeniden başlatılmasını ister. Şimdi veya 3. adımdan sonra yeniden başlatabilirsiniz.

    AG'yi gösteren Windows Özellikleri iletişim kutusu

    Ayrıca, yönetici olarak aşağıdaki komutu çalıştırarak Windows PowerShell'da Uygulama Kılavuzu'nu etkinleştirebilirsiniz:

    Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
    
  3. grup ilkesi Düzenleyici'daBilgisayar Yapılandırması>Yönetim Şablonları>Windows Bileşenleri>Microsoft Defender Application Guard'ne gidin.

    Yönetilen Modda Microsoft Defender Application Guard aç ayarını etkinleştirin. Seçenekler bölümündeki değeri aşağıdaki değerlerden biri olarak ayarlayın:

    • 2: yalnızca yalıtılmış Windows ortamları için Microsoft Defender Application Guard etkinleştirin.
    • 3: Microsoft Edge ve yalıtılmış Windows ortamları için Microsoft Defender Application Guard etkinleştirin.

    Ag'yi Yönetilen Modda açma seçeneği

    Alternatif olarak, karşılık gelen CSP ilkesini ayarlayabilirsiniz:

    OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Veri türü: Tamsayı Değeri: 2

  4. Henüz yapmadıysanız bilgisayarı yeniden başlatın.

Tam veri göndermek için Tanılama & geri bildirimini ayarlama

Not

Bu adım gerekli değildir. Ancak isteğe bağlı tanılama verilerini yapılandırmak bildirilen sorunları tanılamaya yardımcı olabilir.

Bu adım, sorunları tanımlamak ve düzeltmek için gereken verilerin Microsoft'a ulaşmasını sağlar. Windows cihazınızda tanılamayı etkinleştirmek için şu adımları izleyin:

  1. Başlat menüsünden Ayarlar'ı açın.
  2. Windows Ayarları'ndaGizlilik'i seçin.
  3. Gizlilik bölümünde Tanılama & geri bildirim'i ve ardından İsteğe bağlı tanılama verileri'ne tıklayın.

Windows tanılama ayarlarını yapılandırma hakkında daha fazla bilgi için bkz. Kuruluşunuzda Windows tanılama verilerini yapılandırma.

Office için Application Guard etkinleştirildiğini ve çalıştığını onaylayın

Office için Application Guard etkinleştirildiğini onaylamadan önce aşağıdaki adımları uygulayın:

  1. İlkelerin dağıtıldığı bir cihazda Word, Excel veya PowerPoint'i başlatın.
  2. Başlattığınız uygulamadan Dosya>Hesabı'na gidin. Hesap sayfasında, beklenen lisansın gösterildiğini doğrulayın.

Office için Application Guard etkinleştirildiğini onaylamak için güvenilmeyen bir belge açın. Örneğin, İnternet'ten indirilen bir belgeyi veya kuruluşunuzun dışındaki bir kişiden gelen bir e-posta ekini açabilirsiniz.

Güvenilmeyen bir dosyayı ilk kez açtığınızda, aşağıdaki Office giriş ekranı gösterilir. Office için Application Guard etkinleştiriliyor ve dosya açılıyor. Güvenilmeyen dosyaların sonraki açılışları genellikle daha hızlıdır.

Office uygulaması giriş sayfası

Dosya açıldıktan sonra, dosyanın Office için Application Guard içinde açık olduğunu belirten birkaç görsel gösterge vardır:

  • Şeritteki açıklama balonu

    Küçük App Guard notunu gösteren Belge dosyası

  • Görev çubuğunda kalkan bulunan uygulama simgesi

Office için Application Guard yapılandırma

Office, Office için Application Guard yapılandırmak için aşağıdaki ilkeleri destekler. Bu ilkeler grup ilkeleri veya Office bulut ilkesi hizmeti aracılığıyla yapılandırılabilir.

Not

Bu ilkelerin yapılandırılması, Office için Application Guard açılan dosyalar için bazı işlevleri devre dışı bırakabilir.

Ilkesi Açıklama
Office için Application Guard kullanma Word, Excel ve PowerPoint'i Office için Application Guard yerine Korumalı Görünüm yalıtım kapsayıcısını kullanmaya zorlar.
Office kapsayıcısı ön oluşturma için Application Guard yapılandırma Office kapsayıcısı için Application Guard geliştirilmiş çalışma zamanı performansı için önceden oluşturulmuş olup olmadığını belirler. Bu ilkeyi etkinleştirdiğinizde, kapsayıcıyı önceden oluşturma işlemine devam etmek için gün sayısını belirtebilir veya Office'in yerleşik buluşsal buluşsal özelliğinin kapsayıcıyı önceden oluşturmasına izin vekleyebilirsiniz.
Application Guard'de açılan Office belgelerinden kopyalama ve yapıştırmayı yapılandırma Kullanıcıların Office'ten Application Guard açılan belgelere ve izin verilen biçimlerden içerik kopyalayıp yapıştıramayacağını denetlemenize olanak tanır.
Office için Application Guard donanım hızlandırmayı devre dışı bırakma Office için Application Guard grafikleri işlemek için donanım hızlandırma kullanıp kullanmadığını denetler. Bu ayarı etkinleştirirseniz, Office için Application Guard yazılım tabanlı (CPU) işleme kullanır ve herhangi bir üçüncü taraf grafik sürücüsü yüklemez veya bağlı grafik donanımıyla etkileşim kurmaz.
Office için Application Guard desteklenmeyen dosya türleri korumasını devre dışı bırakma Office için Application Guard desteklenmeyen dosya türlerinin açılmasını engelleyip engellemediğini veya Korumalı Görünüm'e yeniden yönlendirmeyi etkinleştirip etkinleştirmediğini denetler.
Office için Application Guard açılan belgeler için kamera ve mikrofon erişimini kapatma Bu ilkenin etkinleştirilmesi, Office için Application Guard içindeki kamera ve mikrofona Office erişimini kaldırır.
Office için Application Guard'de açılan belgelerden yazdırmayı kısıtlama Kullanıcının Office için Application Guard'de açılan bir dosyadan yazdırabileceği yazıcıları sınırlar. Örneğin, bu ilkeyi kullanarak kullanıcıları yalnızca PDF'ye yazdıracak şekilde kısıtlayabilirsiniz.
Kullanıcıların dosyalarda Office koruması için Application Guard kaldırmasını engelleme Office koruması için Application Guard devre dışı bırakma veya Office için Application Guard dışında bir dosya açma seçeneğini (Office uygulama deneyimi içinde) kaldırır.

Not: Kullanıcılar, dosyadan web işareti özelliğini el ile kaldırarak veya belgeyi güvenilir bir konuma taşıyarak bu ilkeyi yine atlayabilir.

Not

Aşağıdaki ilkelerin geçerli olması için kullanıcıların Windows oturumunu kapatması ve yeniden oturum açması gerekir:

  • Application Guard açılan Office belgelerinden kopyalama ve yapıştırmayı yapılandırın.
  • Office için Application Guard donanım hızlandırmayı devre dışı bırakın.
  • Office için Application Guard açılan belgeler için yazdırmayı kısıtlayın.
  • Office için Application Guard'de açılan belgelere kamera ve mikrofon erişimini kapatın.

Geri bildirim gönderme

Geri Bildirim Merkezi aracılığıyla geri bildirim gönderme

Office için Application Guard başlatırken herhangi bir sorunla karşılaşırsanız Geri Bildirim Merkezi aracılığıyla geri bildirim göndermeniz teşvik edilir:

  1. Geri Bildirim Merkezi uygulamasını açın ve oturum açın.
  2. Application Guard başlatırken bir hata iletişim kutusu alırsanız, yeni bir geri bildirim gönderimi başlatmak için hata iletişim kutusunda Microsoft'a Bildir'i seçin. Aksi takdirde, Application Guard için doğru kategoriyi seçmek için adresine gidin https://aka.ms/mdagoffice-fb ve sağ üst kısımdaki Yeni geri bildirim ekle'yi seçin.
  3. Geri bildiriminizi özetleyin kutusuna bir özet girin.
  4. Sorunun ayrıntılı açıklamasını ve hata ayıklamak için uyguladığınız adımları Daha ayrıntılı olarak açıkla kutusuna girin ve İleri'yi seçin.
  5. Sorun'un yanındaki baloncuğu seçin. Seçilen kategorinin Güvenlik ve Gizlilik > Microsoft Defender Application Guard – Office olduğundan emin olun ve İleri'yi seçin.
  6. Yeni geri bildirim'i ve ardından İleri'yi seçin.
  7. Sorunla ilgili izlemeleri toplayın:
    1. Sorunumu yeniden oluştur kutucuğunu genişletin.
    2. Karşılaştığınız sorun Application Guard çalışırken oluşuyorsa bir Application Guard örneği açın. Örneğin açılması, Application Guard kapsayıcısının içinden ek izlemelerin toplanmasına olanak tanır.
    3. Kaydı başlat'ı seçin ve kutucuğun dönmesini bekleyin ve Kaydı durdur deyin.
    4. sorunu Application Guard ile tam olarak yeniden oluşturun. Çoğaltma, bir Application Guard örneği başlatmayı ve başarısız olana kadar beklemeyi veya çalışan bir Application Guard örneğinde bir sorunu yeniden oluşturmayı içerebilir.
    5. Kaydı durdur kutucuğunu seçin.
    6. Kapsayıcı tanılamalarının da toplanabilmesi için gönderimden sonra birkaç dakika boyunca bile çalışan Application Guard örnekleri açık tutun.
  8. Sorunla ilgili tüm ilgili ekran görüntülerini veya dosyaları ekleyin.
  9. Gönder'i seçin.

One Customer Voice aracılığıyla geri bildirim gönderme

Ayrıca Word, Excel ve PowerPoint'in içinden, dosyalar Application Guard açıldığında sorun oluştuğunda geri bildirim gönderebilirsiniz. Ayrıntılı rehberlik için Geri bildirim sağlama bölümüne bakın.

Uç Nokta için Microsoft Defender ve Office 365 için Microsoft Defender ile tümleştirme

Office için Application Guard, yalıtılmış ortamda gerçekleşen kötü amaçlı etkinliklerle ilgili izleme ve uyarı sağlamak için Uç Nokta için Microsoft Defender ile tümleşiktir.

Microsoft E365 E5'teki Güvenli Belgeler, Office için Application Guard'de açılan belgeleri taramak için Uç Nokta için Microsoft Defender kullanan bir özelliktir. Ek bir koruma katmanı için, tarama sonuçları belirlenene kadar kullanıcılar Office için Application Guard bırakamaz.

Sınırlamalar ve dikkat edilmesi gerekenler

  • Office için Application Guard, güvenilmeyen belgeleri güvenilir şirket kaynaklarına erişememeleri için yalıtan korumalı bir moddur. Örneğin, bir intranet, kullanıcının kimliği ve bilgisayardaki rastgele dosyalar. Kullanıcı güvenilen kaynaklara erişim gerektiren bir eylemi denerse (örneğin, yerel resim dosyası ekleme), eylem başarısız olur ve aşağıdaki örneğe benzer bir istem görüntüler. Güvenilmeyen bir belgenin güvenilen kaynaklara erişmesini sağlamak için, kullanıcıların belgeden Application Guard korumasını kaldırması gerekir.

    Güvenlik iletisini ve özellik durumunu belirten iletişim kutusu

    Not

    Kullanıcılara yalnızca dosyaya ve dosyanın kaynağına güveniyorlarsa korumayı kaldırmalarını önerin.

  • Makrolar ve ActiveX denetimleri gibi etkin içerik Office için Application Guard devre dışı bırakılır. Etkin içeriği etkinleştirmek için Application Guard koruması kaldırılmalıdır.

  • Ağ paylaşımlarındaki güvenilmeyen dosyalar veya OneDrive, OneDrive İş veya SharePoint Online'dan paylaşılan dosyalar Application Guard salt okunur olarak açılır. Kullanıcılar kapsayıcıda çalışmaya devam etmek için bu tür dosyaların yerel bir kopyasını kaydedebilir veya doğrudan özgün dosyayla çalışmak için korumayı kaldırabilir.

  • Bilgi Hakları Yönetimi (IRM) tarafından korunan dosyalar varsayılan olarak engellenir. Kullanıcılar bu tür dosyaları Korumalı Görünüm'de açmak isterse, yöneticinin kuruluş için desteklenmeyen dosya türleri için ilke ayarlarını yapılandırması gerekir.

  • Office için Application Guard'deki Office uygulamalarında yapılan özelleştirmeler, kullanıcı oturumu kapatıp yeniden oturum açtığında veya cihaz yeniden başlatıldıktan sonra kalıcı olmaz.

  • Yalnızca UIA çerçevesini kullanan Erişilebilirlik araçları, Office için Application Guard açılan dosyalar için erişilebilir bir deneyim sağlayabilir.

  • Yüklemeden sonra Application Guard ilk kez başlatılması için ağ bağlantısı gereklidir.

  • Belgenin bilgi bölümünde , Son Değiştiren özelliği kullanıcı olarak WDAGUtilityAccount görüntüleyebilir. WDAGUtilityAccount, Application Guard tarafından kullanılan anonim hesaptır. Masaüstü kullanıcısının kimliği Application Guard kapsayıcısının içinde kullanılamaz.

Office için Application Guard için performans iyileştirmeleri

Application Guard, güvenilmeyen belgeleri sistemden yalıtmak için sanal makineye benzer bir sanallaştırılmış kapsayıcı kullanır. Office belgelerini açmak için kapsayıcı oluşturma ve Application Guard kapsayıcısını ayarlama işlemi, kullanıcılar güvenilmeyen bir belgeyi açtığında kullanıcı deneyimini olumsuz etkileyebilecek bir performans yüküne sahiptir.

Kullanıcılara beklenen dosya açma deneyimini sağlamak için, Application Guard bir sistemde aşağıdaki buluşsal yöntem karşılandığında kapsayıcıyı önceden oluşturmak için mantığı kullanır: Kullanıcı son 28 gün içinde bir dosyayı Korumalı Görünüm'de veya Application Guard açmıştır.

Bu buluşsal durum karşılandığında Office, Windows'ta oturum açtıktan sonra kullanıcı için bir Application Guard kapsayıcısı oluşturur. Bu ön oluşturma işlemi devam ederken sistem yavaş performansla karşılaşabilir, ancak işlem tamamlandığında etki çözülür.

Not

Kapsayıcıyı önceden oluşturmak için buluşsal yöntem için gereken ipuçları, office uygulamaları tarafından kullanıcı tarafından kullanılırken oluşturulur. Kullanıcı Office'i Application Guard etkinleştirildiği yeni bir sisteme yüklerse, kullanıcı sistemde güvenilmeyen bir belgeyi ilk kez açana kadar Office kapsayıcıyı önceden oluşturmaz. İlk dosyanın Application Guard açılması daha uzun sürer.

Bilinen sorunlar

  • Desteklenmeyen dosya türleri koruma ilkesi için varsayılan ayar, şifrelenmiş veya Bilgi Hakları Yönetimi (IRM) ayarlanmış güvenilmeyen, desteklenmeyen dosya türlerinin açılmasını engellemektir. Bu ayar, Microsoft Purview Bilgi Koruması duyarlılık etiketleri kullanılarak şifrelenen dosyaları içerir.
  • HTML dosyaları şu anda desteklenmiyor.
  • Office için Application Guard şu anda NTFS sıkıştırılmış birimleriyle çalışmıyor. "ERROR_VIRTUAL_DISK_LIMITATION" hatasını görürseniz birimin sıkıştırmasını kaldırmayı deneyin.
  • Hiper yöneticinin etkinleştirilmemiş olabileceğini belirten bir hata görürseniz aşağıdaki öğeleri denetleyin:
    • Sanallaştırma BIOS'ta etkinleştirilir.
    • Hyper-V açık.
    • Konak Ağ Hizmeti çalışıyor.
  • .NET'e Güncelleştirmeler dosyaların Application Guard'da açılmamasına neden olabilir. Makineyi yeniden başlatarak bu sorunu çözebilirsiniz.
  • Application Guard "hizmet olarak oturum açma" izninin "Sanal Makineler" verilmesini gerektirir ve "wdagutilityaccount" "Hizmet olarak oturum açmayı reddet" güvenlik ilkesi ayarına eklenmemelidir.
  • Daha fazla bilgi için bkz. Sık sorulan sorular - ek bilgi için Microsoft Defender Application Guard.