適用於:Word、Excel 及 Microsoft 365 PowerPoint 應用程式、Windows 10 企業版、Windows 11 企業版
重要事項
Microsoft Defender 應用程式防護 Office 版正在被棄用,不再更新。 此淘汰亦包含用於 Microsoft Defender 應用程式防護 Office 的 Windows.Security.Isolation API。 我們建議你轉用 適用於端點的 Microsoft Defender 攻擊面減少規則,同時搭配 Protected View 和 Windows Defender 應用程式控制。
Office Microsoft Defender 應用程式防護 (Office 應用程式守護 Office) 幫助防止不受信任的檔案存取受信任資源,保護您的企業免受新興攻擊。 本文將引導管理員如何設定 Office 版 Application Guard 支援的裝置。
必要條件
授權需求
- Microsoft 365 E5 或 Microsoft Defender 套件
- Microsoft 365 中的安全文件
最低硬體需求
- CPU:64 位元,四核心 (實體或虛擬) ,建議使用 (Intel VT-x 或 AMD V) 虛擬化擴充,Core i5 相當或更高等級。
- 實體記憶體:8 GB 記憶體。
- 硬碟:系統硬碟 (建議) SSD 上有 10 GB 空間。
基本軟體需求
- Windows:Windows 10 企業版版,客戶端建置版本 2004 (20H1) 建置 19041 或更新版本。 所有版本的 Windows 11 均被支援。
- Office:使用 16.0.13530.10000 或更新版本的 Microsoft 365 Apps。 對於目前頻道和每月企業頻道安裝,此版本相當於 2011 年。 對於 Semi-Annual Enterprise Channel 和 Semi-Annual Enterprise Channel (Preview) ,最低版本為 2108 或更新版本。 支援 32 位元與 64 位元版本。
- 更新套件:Windows 10月度累計安全更新KB4571756
如需詳細系統需求,請參閱 Microsoft Defender 應用程式防護的系統需求。 另外,參考你電腦製造商提供的虛擬化技術啟用指南。
欲了解更多關於 Microsoft 365 Apps 更新通道的資訊,請參閱 Microsoft 365 Apps 更新通道概覽。
部署 Office 應用程式守護
啟用辦公室應用程式守護
作業系統需求:
- Windows 10:請驗證 9 月 8 日。2020 年 KB4571756 已安裝。
- Windows 11:沒有特定需求。
在 Windows 功能中,選擇 Microsoft Defender 應用程式防護,然後選擇確定。 啟用 Application Guard 功能提示系統重啟。 你可以現在重開機,或是在第三步後再重啟。
您也可以以管理員身分執行以下指令,在 Windows PowerShell 中啟用應用程式指南:
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard在群組原則編輯器中,請前往電腦設定>管理範本>Windows 元件>Microsoft Defender 應用程式防護。
啟用「在管理模式下開啟 Microsoft Defender 應用程式防護」設定。 在選項區塊中設定以下任一值:
- 2:僅啟用 Microsoft Defender 應用程式防護,適用於孤立的 Windows 環境。
- 3:啟用 Microsoft Defender 應用程式防護,適用於 Microsoft Edge 及隔離的 Windows 環境。
或者,您也可以設定相應的 CSP 政策:
OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Data type: Integer value: 2
如果還沒重啟電腦,請重啟。
將診斷系統 & 回饋設定為傳送完整資料
注意事項
這步驟並非必須。 然而,設定可選的診斷資料有助於診斷報告的問題。
此步驟確保識別與修正問題所需的資料能送達 Microsoft。 請依照以下步驟在您的 Windows 裝置上啟用診斷功能:
- 從開始選單開啟 設定 。
- 在 Windows 設定中,選擇 隱私。
- 在隱私中,選擇 診斷(Diagnostics & feedback) 並選擇 可選的診斷資料(Optional diagnostic data)。
欲了解更多關於設定 Windows 診斷設定的資訊,請參閱 「在你的組織中配置 Windows 診斷資料」。
確認 Office 應用程式守護已被啟用且正常運作
在確認Office Application Guard是否啟用前,請先執行以下步驟:
- 在已部署政策的裝置上啟動 Word、Excel 或 PowerPoint。
- 從你啟動的應用程式,點到 檔案>帳號。 在 帳戶 頁面,確認顯示預期的授權。
要確認 Office 應用程式守護已被啟用,請開啟不可信的文件。 例如,你可以打開從網路下載的文件,或是組織外人士寄來的電子郵件附件。
當你第一次打開一個不受信任的檔案時,會顯示以下 Office 啟動畫面。 Office 申請守護正在啟動,檔案也正在開啟。 後續開啟不受信任檔案通常較快。
檔案開啟後,應用程式守護 Office 中會有幾個視覺指示顯示檔案已開啟:
緞帶上的呼喊
工作列中帶有盾牌的應用程式圖示
配置 Office 應用程式保護
Office 支援以下政策來配置 Office 應用程式守護。 這些政策可以透過群組政策或 Office 雲端政策服務來設定。
注意事項
設定這些政策可能會停用 Office 應用程式守護中開啟的部分檔案功能。
| 原則 | 描述 |
|---|---|
| 不要使用 Office 的應用程式守護 | 強制 Word、Excel 和 PowerPoint 使用 Protected View 隔離容器,取代 Office 的 Application Guard。 |
| 為 Office 容器預先建立配置 Application Guard | 判斷 Application Guard for Office 容器是否已預先建立以提升執行時效能。 啟用此政策後,你可以指定繼續預建容器的天數,或讓 Office 內建的啟發式預先建立容器。 |
| 從 Application Guard 開啟的 Office 文件中設定複製與貼上 | 允許你控制使用者是否能將內容從 Office 複製貼上到應用程式守護中開啟的文件,以及允許的格式。 |
| 在 Office 應用程式守護中停用硬體加速 | 控制 Application Guard for Office 是否使用硬體加速來渲染圖形。 如果你啟用此設定,Office 應用程式守護會使用基於軟體的 (CPU) 渲染,且不會載入任何非Microsoft的顯示驅動程式,也不會與任何連接的顯示硬體互動。 |
| 在 Office 應用程式守護中停用不支援的檔案類型保護 | 控制 Application Guard for Office 是否阻擋不支援的檔案類型開啟,或是否允許導向至 Protected View。 |
| 關閉在辦公室應用程式中開啟文件的攝影機與麥克風存取權限 | 啟用此政策會移除辦公室對 Office 應用程式保護內攝影機與麥克風的存取權限。 |
| 限制從辦公室應用程式中開啟的文件列印 | 限制使用者從 Office 應用程式中開啟的檔案可列印的印表機數量。 例如,你可以使用此政策限制使用者只能列印成 PDF。 |
| 防止使用者移除檔案中的 Application Guard 以保護辦公室 | 移除 Office 應用程式體驗中 () 關閉 Office 保護應用程式守護或在 Office 外開啟檔案的選項。 便條: 使用者仍可透過手動移除檔案中的標記(mark-of-theweb)屬性,或將文件移至受信任位置來繞過此政策。 |
注意事項
以下政策生效,使用者必須登出 Windows 再登入:
- 從 Application Guard 開啟的 Office 文件中設定複製貼上。
- 在 Office 的應用程式守護中關閉硬體加速。
- 限制在辦公室應用程式中開啟的文件列印。
- 關閉在辦公室應用程式守護中開啟的文件的攝影機與麥克風存取權限。
提交回饋
透過回饋中心提交回饋
如果您在啟動 Office 應用程式守護時遇到任何問題,歡迎透過回饋中心提交您的回饋:
- 打開 Feedback Hub 應用程式 並登入。
- 如果在啟動 Application Guard 時出現錯誤對話框,請在錯誤對話框中選擇 「向 Microsoft 舉報 」以開始新的回饋提交。 否則,請前往 https://aka.ms/mdagoffice-fb 選擇 Application Guard 的正確分類,然後在右上角選擇 新增回饋 。
- 請在 「總結你的回饋 」欄位輸入摘要。
- 在 「詳細說明 」框輸入問題的詳細描述及你除錯的步驟,然後選擇 「下一步」。
- 選擇問題旁邊的氣泡。 請確定所選類別為安全與隱私 > Microsoft Defender 應用程式防護 – 辦公室,然後選擇「下一頁」。
- 選擇 「新回饋」,然後 「下一步」。
- 收集有關問題的痕跡:
- 展開「 重建我的問題 」圖塊。
- 如果你遇到的問題是在執行 Application Guard 時發生的,請開啟 Application Guard 實例。 開啟實例後,可以從 Application Guard 容器內收集更多痕跡。
- 選擇 開始錄影,等待圖塊停止旋轉後,再說 停止錄影。
- 請用 Application Guard 完整重現這個問題。 重現可能包括嘗試啟動 Application Guard 實例並等待其失敗,或是在執行中的 Application Guard 實例中重現問題。
- 選擇 停止錄影 圖塊。
- 請在提交後保持任何執行中的 Application Guard 實例 () 開啟,即使幾分鐘內也能收集容器診斷資料。
- 請附上與問題相關的截圖或檔案。
- 選取 [提交]。
透過 One Customer Voice 提交回饋
如果在 Application Guard 開啟檔案時發生問題,你也可以在 Word、Excel 和 PowerPoint 內提交回饋。 請參閱 「提供回饋 」以獲得詳細指引。
與適用於端點的 Microsoft Defender及Microsoft Defender整合 for Office 365
Office 版 Application Guard 與 適用於端點的 Microsoft Defender 整合,能監控並警示隔離環境中發生的惡意行為。
E365 E5 Microsoft 的安全文件是一項利用 適用於端點的 Microsoft Defender 掃描 Application Guard for Office 中開啟文件的功能。 為了加強保護,使用者在掃描結果確定前無法離開 Application Guard for Office。
限制與考量
Office 應用程式守護是一種受保護模式,能隔離不受信任的文件,使其無法存取受信任的企業資源。 例如,內聯網、使用者身份,以及電腦上的任意檔案。 如果使用者嘗試需要存取受信任資源的動作, (例如插入本地圖片檔案) ,該動作會失敗,並顯示如下範例的提示。 要讓不可信文件存取受信任資源,使用者必須從文件中移除 Application Guard 保護。
注意事項
建議只有在使用者信任檔案及其來源時才移除保護。
像巨集和 ActiveX 控制項這類主動內容在 Office 的應用程式守護中是被停用的。 要啟用活動內容,必須移除應用程式守護保護。
來自網路共享的不受信任檔案,或從 OneDrive 或 SharePoint 分享的檔案,在 Application Guard 中以唯讀開啟。 使用者可以儲存這些檔案的本地副本,以便繼續在容器中運作,或移除保護以直接處理原始檔案。
受資訊權利管理 (IRM) 保護的檔案預設會被封鎖。 若使用者想在受保護檢視中開啟此類檔案,管理員必須為該組織的不支援檔案類型設定政策。
Application Guard for Office 中對 Office 應用程式的任何自訂功能,在使用者登出再登入或裝置重啟後都不會持續存在。
只有使用 UIA 框架的無障礙工具,才能為在 Application Guard for Office 中開啟的檔案提供無障礙體驗。
安裝後首次啟動 Application Guard 時,必須具備網路連線。
在文件的資訊區塊中, 「最後修改日期 」屬性可能會顯示 WDAGUtilityAccount 為使用者。 WDAGUtilityAccount 是 Application Guard 使用的匿名帳號。 桌面使用者的身份不存在於 Application Guard 容器中。
Application Guard for Office 的效能優化
Application Guard 使用類似虛擬機的虛擬化容器,將不受信任的文件與系統隔離。 建立容器並設定 Application Guard 容器以開啟 Office 文件的過程,會產生效能開銷,當使用者開啟不受信任的文件時,可能會對使用者體驗產生負面影響。
為了提供使用者預期的檔案開啟體驗,Application Guard 利用邏輯在系統上遇到以下啟發式時預先建立容器:使用者在過去 28 天內以受保護檢視或 Application Guard 開啟檔案。
當符合此啟發式時,Office 會在使用者登入 Windows 後預先建立一個 Application Guard 容器。 在此預創建操作進行中,系統可能會出現效能緩慢,但該效應會在操作完成後立即消失。
注意事項
啟發式程式預先建立容器所需的提示,是由使用者使用 Office 應用程式時產生的。 如果使用者在啟用 Application Guard 的新系統安裝 Office,Office 不會在使用者第一次開啟系統上不受信任的文件後才預先建立容器。 這個第一個檔案在 Application Guard 中開啟的時間較長。
已知問題
- 不支援檔案類型保護政策的預設設定是阻止開啟已加密或設定資訊權利管理 (IRM) 的不受信任且不支援的檔案類型。 此設定包含使用Microsoft Purview 資訊保護敏感標籤加密的檔案。
- 目前不支援 HTML 檔案。
- Application Guard for Office 目前無法支援 NTFS 壓縮磁碟。 如果你看到錯誤:「ERROR_VIRTUAL_DISK_LIMITATION」,試著解壓縮音量。
- 如果你看到錯誤提示虛擬機監控程式可能未啟用,請檢查以下項目:
- BIOS 已啟用虛擬化功能。
- Hyper-V已經開啟。
- 主機網路服務正在運行。
- .NET 的匯報可能會導致 Application Guard 中的檔案無法開啟。 你可以透過重新啟動機器來解決這個問題。
- Application Guard 要求「虛擬機器」必須獲得「以服務登入」權限,且「wdagutilityaccount」不得加入「拒絕以服務登入」的安全政策設定中。
- 欲了解更多資訊,請參閱常見問題 - Microsoft Defender 應用程式防護。