適用於系統管理員的 Office 應用程式防護

  • 發行項

適用於:Word、Excel 和 Microsoft 365 PowerPoint Apps、Windows 10 企業版、Windows 11 企業版

重要事項

Microsoft Defender 應用程式防護 的 Office 即將淘汰,且不再更新。 此淘汰也包含用於 Office Microsoft Defender 應用程式防護 的 Windows.Security.Isolation API。 我們建議您轉換為 適用於端點的 Microsoft Defender 受保護的檢視Windows Defender 應用程控受攻擊面縮小規則

Microsoft Defender 應用程式防護 Office (應用程式防護 for Office) 可協助防止不受信任的檔案存取受信任的資源,讓您的企業免於遭受新的和新興的攻擊。 本文將逐步引導系統管理員設定 Office 應用程式防護 支援的裝置。

必要條件

授權需求

最低硬體需求

  • CPU:64 位、四個核心 (實體或虛擬) 、虛擬化延伸模組 (Intel VT-x 或 AMD-V) ,建議使用 Core i5 對等或更高版本。
  • 物理記憶體:8 GB 的 RAM。
  • 硬碟:系統磁碟驅動器上 10 GB 的可用空間, (建議的 SSD) 。

基本軟體需求

  • Windows:Windows 10 企業版 版、用戶端組建版本 2004 (20H1) 組建 19041 或更新版本。 支援所有版本的 Windows 11。
  • Office:Microsoft 365 Apps 組建 16.0.13530.10000 或更新版本。 針對目前通道和每月企業通道安裝,此版本相當於 2011 年。 針對 Semi-Annual Enterprise Channel 和 Semi-Annual Enterprise Channel (Preview) ,最低版本為 2108 或更新版本。 支援32位和64位版本。
  • 更新套件:Windows 10 每月累積安全性更新KB4571756

如需詳細的系統需求,請參閱 Microsoft Defender 應用程式防護的系統需求。 此外,請參閱計算機製造商關於如何啟用虛擬化技術的指南。 若要深入瞭解 Microsoft 365 Apps 更新通道,請參閱 Microsoft 365 Apps 更新通道概觀

部署 Office 應用程式防護

啟用 Office 應用程式防護

  1. 作業系統需求:

  2. [Windows 功能] 中,選取 [Microsoft Defender 應用程式防護],然後選取 [確定]。 啟用 應用程式防護 功能會提示系統重新啟動。 您可以立即或在步驟 3 之後重新啟動。

    顯示 AG 的 [Windows 功能] 對話框

    您也可以以系統管理員身分執行下列命令,在 Windows PowerShell 中啟用應用程式指南:

    Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard

  3. 群組原則 編輯器 中,移至 [計算機設定>] [系統管理>範本] [Windows 元件>Microsoft Defender 應用程式防護

    用 [在受控模式中開啟 Microsoft Defender 應用程式防護] 設定。 將 [ 選項] 區段中的值設定為下列其中一個值:

    • 2:僅針對隔離的 Windows 環境啟用 Microsoft Defender 應用程式防護。
    • 3:為 Microsoft Edge 和隔離的 Windows 環境啟用 Microsoft Defender 應用程式防護。

    在受控模式中開啟 AG 的選項

    或者,您可以設定對應的 CSP 原則:

    OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard 數據類型: 整數 值: 2

  4. 如果您尚未重新啟動電腦,請重新啟動電腦。

設定診斷 & 回饋以傳送完整數據

注意事項

不需要此步驟。 不過,設定選擇性診斷數據有助於診斷回報的問題。

此步驟可確保識別和修正問題所需的數據已送達 Microsoft。 請遵循下列步驟,在您的 Windows 裝置上啟用診斷:

  1. 從 [開始 ] 功能表開啟 [設定]。
  2. [Windows 設定] 上,選取 [ 隱私權]
  3. 在 [隱私權] 下,選 取 [診斷 & 意見反應 ],然後選取 [選擇性診斷數據]

如需設定 Windows 診斷設定的詳細資訊,請參閱 在組織中設定 Windows 診斷數據

確認 Office 應用程式防護 已啟用且正常運作

確認已啟用 Office 應用程式防護 之前,請執行下列步驟:

  1. 在已部署原則的裝置上啟動 Word、Excel 或PowerPoint。
  2. 從您啟動的應用程式,移至 [檔案>帳戶]。 在 [ 帳戶] 頁面上,確認已顯示預期的授權。

若要確認已啟用 Office 應用程式防護,請開啟不受信任的檔。 例如,您可以開啟從因特網下載的檔,或是組織外部人員的電子郵件附件。

當您第一次開啟不受信任的檔案時,會顯示下列 Office 啟動顯示畫面。 應用程式防護 的 Office 正在啟用,且檔案正在開啟中。 後續開啟不受信任的檔案通常會更快。

Office 應用程式啟動顯示頁面

檔案開啟之後,有幾個視覺指標表示檔案已在 Office 應用程式防護 內開啟:

  • 功能區中的圖說文字

    顯示小型 App Guard 附注的 Doc 檔案

  • 任務欄中具有防護的應用程式圖示

設定 Office 應用程式防護

Office 支援下列原則來設定 Office 的 應用程式防護。 這些原則可以透過組策略或 透過 Office 雲端原則服務來設定

注意事項

設定這些原則可以停用在 Office 應用程式防護 中開啟之檔案的某些功能。

原則 描述
請勿使用 office 應用程式防護 強制 Word、Excel 和 PowerPoint 使用受保護的檢視隔離容器,而不是針對 Office 應用程式防護。
設定 Office 容器預先建立的 應用程式防護 判斷 Office 容器的 應用程式防護 是否已預先建立,以改善運行時間效能。 當您啟用此原則時,您可以指定繼續預先建立容器的天數,或讓 Office 內建啟發學習法預先建立容器。
設定從以 應用程式防護 開啟的 Office 檔複製並貼上 可讓您控制使用者是否可以從 Office 複製內容,以及從以 應用程式防護 開啟的檔來回貼上內容,以及允許的格式。
停用 Office 應用程式防護 中的硬體加速 控制 office 的 應用程式防護 是否使用硬體加速來轉譯圖形。 如果啟用此設定,Office 應用程式防護 會使用軟體型 (CPU) 轉譯,而且不會載入任何第三方圖形驅動程式,也不會與任何已連線的圖形硬體互動。
在 Office 應用程式防護 中停用不支援的文件類型保護 控制 Office 應用程式防護 是否封鎖不支援的文件類型開啟,或是否啟用重新導向至受保護的檢視。
針對在 Office 應用程式防護 中開啟的文件,關閉相機和麥克風存取 啟用此原則會移除 Office 對 office 應用程式防護 內相機和麥克風的存取權。
限制列印在 Office 應用程式防護 中開啟的檔 限制使用者可以從 office 版 應用程式防護 中開啟的檔案列印到的印表機。 例如,您可以使用此原則來限制使用者只能列印到 PDF。
防止使用者移除檔案上 Office 保護的 應用程式防護 拿掉 Office 應用程式體驗內 (選項,) 停用 Office 保護的 應用程式防護,或在 Office 應用程式防護 外部開啟檔案。

注意: 使用者仍然可以手動移除檔案中的 Web 標記屬性,或將檔移至信任的位置,以略過此原則。

注意事項

若要讓下列原則生效,用戶必須註銷 Windows 並再次登入:

  • 設定從在 應用程式防護 中開啟的 Office 檔複製並貼上。
  • 停用 Office 應用程式防護 中的硬體加速。
  • 限制在 Office 應用程式防護 中開啟的文件列印。
  • 關閉在 Office 應用程式防護 中開啟之文件的相機和麥克風存取。

提交意見反應

透過意見反應中樞提交意見反應

如果您在啟動 Office 應用程式防護 時遇到任何問題,建議您透過意見反應中樞提交意見反應:

  1. 開啟意見 反應中樞應用程式 並登入。
  2. 如果您在啟動 應用程式防護 時收到錯誤對話框,請在錯誤對話框中選取 [回報給 Microsoft],以開始新的意見反應提交。 否則,流覽至 以https://aka.ms/mdagoffice-fb選取 應用程式防護 的正確類別,然後選取右上方附近的 [新增意見反應]。
  3. 在 [ 摘要您的意見反應 ] 方塊中輸入摘要。
  4. 在 [更詳細的說明] 方塊中輸入問題的詳細描述和偵錯所採取的步驟,然後選取 [下一步]
  5. 選取 [問題] 旁的泡 。 確定選取的類別為 [安全性和隱私>權 Microsoft Defender 應用程式防護 – Office],然後選取 [下一步]
  6. 取 [新增意見反應],然後選取 [ 下一步]
  7. 收集問題的相關追蹤:
    1. 展開 [ 重新建立我的問題 ] 圖格。
    2. 如果您在執行 應用程式防護 時遇到問題,請開啟 應用程式防護 實例。 開啟 實例可讓您從 應用程式防護 容器內收集其他追蹤。
    3. 取 [開始錄製],並等候磚停止旋轉,然後說出 [停止錄製]
    4. 完全重現 應用程式防護 的問題。 重現可能包括嘗試啟動 應用程式防護 實例,並等候它失敗,或在執行中 應用程式防護 實例中重現問題。
    5. 選取 [ 停止錄製] 圖格。
    6. 將任何執行中的 應用程式防護 實例 () 保持開啟,即使在提交后幾分鐘,也可收集容器診斷。
  8. 附加與問題相關的任何螢幕快照或檔案。
  9. 選取 [提交]

透過 One Customer Voice 提交意見反應

如果在 應用程式防護 中開啟檔案時發生問題,您也可以從 Word、Excel 和 PowerPoint 內提交意見反應。 如需詳細指引,請參閱 提供意見反應

與 適用於端點的 Microsoft Defender 和 適用於 Office 365 的 Microsoft Defender 整合

office 應用程式防護 與 適用於端點的 Microsoft Defender 整合,以針對隔離環境中發生的惡意活動提供監視和警示。

Microsoft E365 E5 中的安全檔是一項功能,可使用 適用於端點的 Microsoft Defender 來掃描在 Office 應用程式防護 中開啟的檔。 若要獲得額外的保護層級,用戶必須等到掃描結果確定后,才能離開 office 的 應用程式防護。

限制和考慮

  • 適用於 Office 的 應用程式防護 是一種受保護模式,可隔離不受信任的檔,使其無法存取受信任的公司資源。 例如,內部網路、使用者的身分識別,以及計算機上的任意檔案。 例如,如果使用者嘗試的動作需要存取信任的資源, (插入本機圖片檔案) ,則動作會失敗,並顯示如下列範例所示的提示。 若要讓不受信任的檔能夠存取受信任的資源,用戶必須從檔中移除 應用程式防護 保護。

    說明安全性訊息和功能狀態的對話框

    注意事項

    建議使用者只有在信任檔案和檔案來源時,才移除保護。

  • Office 應用程式防護 會停用宏和 ActiveX 控件等作用中內容。 若要啟用使用中內容,必須移除 應用程式防護 保護。

  • 從 OneDrive、商務用 OneDrive 或 SharePoint Online 共用的網路共用或檔案中未受信任的檔案,會在 應用程式防護 中以只讀方式開啟。 用戶可以儲存這類檔案的本地副本,以繼續在容器中工作,或移除保護以直接使用原始檔案。

  • 默認會封鎖受信息版權管理 (IRM) 保護的檔案。 如果使用者想要在受保護的檢視中開啟這類檔案,系統管理員必須為組織設定不支援的檔類型原則設定。

  • 在使用者註銷並重新登入或裝置重新啟動之後,在 應用程式防護 for Office 中的任何 Office 應用程式自定義不會持續存在。

  • 只有使用 UIA 架構的輔助功能工具,才能為在 Office 應用程式防護 中開啟的檔案提供可存取的體驗。

  • 安裝后第一次啟動 應用程式防護 需要網路連線能力。

  • 在文件的資訊區段中, Last Modified By 屬性可能會以使用者身分顯示 WDAGUtilityAccount 。 WDAGUtilityAccount 是 應用程式防護 使用的匿名帳戶。 桌面使用者的身分識別無法在 應用程式防護 容器內使用。

Office 應用程式防護 效能優化

應用程式防護 使用類似虛擬機的虛擬化容器,將不受信任的檔與系統隔離。 建立容器並設定 應用程式防護 容器以開啟 Office 檔的程式,會產生效能額外負荷,這可能會在用戶開啟不受信任的檔時對用戶體驗造成負面影響。

若要為使用者提供預期的檔案開啟體驗,應用程式防護 使用邏輯在系統上符合下列啟發學習法時預先建立容器:使用者在過去 28 天內已在受保護的檢視或 應用程式防護 中開啟檔案。

符合此啟發學習法時,Office 會在使用者登入 Windows 之後,為用戶預先建立 應用程式防護 容器。 雖然此預先建立作業正在進行中,但系統可能會遇到效能緩慢的情況,但作業完成時,效果就會立即解決。

注意事項

在使用者使用容器時,Office 應用程式會產生預先建立容器所需的啟發學習法提示。 如果使用者在已啟用 應用程式防護 的新系統上安裝 Office,則在使用者第一次開啟系統上不受信任的檔之前,Office 不會預先建立容器。 在 應用程式防護 中開啟第一個檔案需要較長的時間。

已知問題

  • 不支援的檔類型保護原則的預設設定是封鎖開啟未受信任、不受支援且已加密或已設定資訊版權管理 (IRM 的檔類型) 。 此設定包含使用來自 Microsoft Purview 資訊保護 的敏感度標籤加密的檔案。
  • 目前不支援 HTML 檔案。
  • 應用程式防護 Office 目前不適用於 NTFS 壓縮磁碟區。 如果您看到錯誤:「ERROR_VIRTUAL_DISK_LIMITATION」,請嘗試取消壓縮磁碟區。
  • 如果您看到提及 Hypervisor 可能未啟用的錯誤,請檢查下列專案:
    • BIOS 中已啟用虛擬化。
    • Hyper-V 已開啟。
    • 主機網路服務正在執行。
  • 匯報 至 .NET 可能會導致檔案無法在 應用程式防護 中開啟。 您可以重新啟動電腦來解決此問題。
  • 應用程式防護 必須將「虛擬機器」授與「以服務方式登入」許可權,且 「wdagutilityaccount」不得新增至「拒絕以服務方式登入」安全策略設定。
  • 如需詳細資訊,請參閱常見問題 - Microsoft Defender 應用程式防護 以取得其他資訊