Application Guard для администраторов Office

Область применения: приложения Word, Excel и PowerPoint для Microsoft 365, Windows 10 Корпоративная, Windows 11 Корпоративная

Важно!

Application Guard в Microsoft Defender для Office устарел и больше не обновляется. Эта устаревшая версия также включает API-интерфейсы Windows.Security.Isolation, которые используются для Application Guard в Microsoft Defender для Office. Мы рекомендуем перейти на правила сокращения направлений атак Microsoft Defender для конечной точки, а также на защищенный просмотр и управление приложениями Защитник Windows.

Application Guard в Microsoft Defender для Office (Application Guard для Office) помогает предотвратить доступ к доверенным ресурсам для ненадежных файлов и защитить ваше предприятие от новых и новых атак. В этой статье рассматриваются действия администраторов по настройке поддерживаемых устройств для Application Guard для Office.

Предварительные условия

Требования к лицензированию

Минимальные требования к оборудованию

  • ЦП: 64-разрядные, четыре ядра (физические или виртуальные), расширения виртуализации (Intel VT-x или AMD-V), эквивалент Core i5 или более поздней версии.
  • Физическая память: 8 ГБ ОЗУ.
  • Жесткий диск: 10 ГБ свободного места на системном диске (рекомендуется SSD).

Минимальные требования к программному обеспечению

  • Windows: Windows 10 Корпоративная выпуск, сборка клиента версии 2004 (20H1) 19041 или более поздней. Поддерживаются все версии Windows 11.
  • Office: Приложения Microsoft 365 со сборкой 16.0.13530.10000 или более поздней. Для установок Current Channel и Monthly Enterprise Channel эта версия эквивалентна версии 2011. Для Semi-Annual Enterprise Channel и Semi-Annual Enterprise Channel (предварительная версия) минимальная версия — 2108 или более поздняя. Поддерживаются как 32-разрядные, так и 64-разрядные версии.
  • Пакет обновления: Windows 10 накопительное ежемесячное обновление для системы безопасности KB4571756

Подробные требования к системе см. в статье Требования к системе для Application Guard в Microsoft Defender. Кроме того, ознакомьтесь с руководствами производителя компьютера о том, как включить технологию виртуализации. Дополнительные сведения о каналах обновления Приложения Microsoft 365 см. в статье Обзор каналов обновления для Приложения Microsoft 365.

Развертывание Application Guard для Office

Включение Application Guard для Office

  1. Требования к операционной системе:

  2. В разделе Компоненты Windows выберите Application Guard в Microsoft Defender, а затем нажмите кнопку ОК. Включение функции Application Guard запрашивает перезагрузку системы. Вы можете перезагрузить сейчас или после шага 3.

    Диалоговое окно

    Вы также можете включить руководство по приложениям в Windows PowerShell, выполнив следующую команду от имени администратора:

    Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
    
  3. В групповая политика Редактор выберите Конфигурация> компьютераАдминистративные шаблоны>Компоненты> Windows Application Guard в Microsoft Defender.

    Включите параметр Включить Application Guard в Microsoft Defender в управляемом режиме. Задайте в разделе Параметры одно из следующих значений:

    • 2. Включите Application Guard в Microsoft Defender только для изолированных сред Windows.
    • 3. Включите Application Guard в Microsoft Defender для Microsoft Edge и изолированных сред Windows.

    Параметр для включения группы доступности в управляемом режиме

    Кроме того, можно задать соответствующую политику CSP:

    OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Type: Integer Value: 2

  4. Перезагрузите компьютер, если вы еще этого не сделали.

Настройка отзыва & диагностики для отправки полных данных

Примечание.

Этот шаг не является обязательным. Однако настройка необязательных данных диагностика может помочь диагностировать сообщаемые проблемы.

Этот шаг гарантирует, что данные, необходимые для выявления и устранения проблем, поступают в корпорацию Майкрософт. Чтобы включить диагностика на устройстве с Windows, выполните следующие действия.

  1. Откройте раздел Параметры в меню Пуск.
  2. В разделе Параметры Windows выберите Конфиденциальность.
  3. В разделе Конфиденциальность выберите Диагностика & отзыв и выберите Необязательные диагностические данные.

Дополнительные сведения о настройке параметров диагностики Windows см. в статье Настройка диагностических данных Windows в организации.

Убедитесь, что Application Guard для Office включен и работает

Прежде чем убедиться, что Application Guard для Office включен, сделайте следующее:

  1. Запустите Word, Excel или PowerPoint на устройстве, где развернуты политики.
  2. В приложении, которое вы запустили, перейдите в разделУчетная записьфайла>. На странице Учетная запись убедитесь, что отображается ожидаемая лицензия.

Чтобы убедиться, что Application Guard для Office включен, откройте ненадежный документ. Например, можно открыть документ, скачанный из Интернета, или вложение по электронной почте от пользователя за пределами вашей организации.

При первом открытии ненадежного файла отображается следующий экран-заставка Office. Application Guard для Office активируется и файл открывается. Последующие открытия ненадежных файлов обычно выполняются быстрее.

Страница-заставка приложения Office

После открытия файла появится несколько визуальных индикаторов, которые сигналит о том, что файл открыт внутри Application Guard для Office:

  • Выноска на ленте

    Файл документа с небольшой заметкой App Guard

  • Значок приложения со щитом на панели задач

Настройка Application Guard для Office

Office поддерживает следующие политики для настройки Application Guard для Office. Эти политики можно настроить с помощью групповых политик или службы облачной политики Office.

Примечание.

Настройка этих политик может отключить некоторые функции для файлов, открытых в Application Guard для Office.

Политика Описание
Не используйте Application Guard для Office Заставляет Word, Excel и PowerPoint использовать контейнер изоляции защищенного представления вместо Application Guard для Office.
Настройка Application Guard для предварительного создания контейнера Office Определяет, создан ли Application Guard для контейнера Office для повышения производительности во время выполнения. При включении этой политики можно указать количество дней для продолжения предварительного создания контейнера или разрешить встроенному эвристизму Office предварительно создать контейнер.
Настройка копирования и вставки документов Office, открытых в Application Guard Позволяет контролировать, могут ли пользователи копировать и вставлять содержимое из Office в документы, открытые в Application Guard, и из него, а также допустимые форматы.
Отключение аппаратного ускорения в Application Guard для Office Определяет, использует ли Application Guard для Office аппаратное ускорение для отрисовки графики. Если этот параметр включен, Application Guard для Office использует программную отрисовку (ЦП) и не загружает сторонние графические драйверы и не взаимодействует с подключенным графическим оборудованием.
Отключение защиты неподдерживаемых типов файлов в Application Guard для Office Определяет, блокирует ли Application Guard для Office открытие неподдерживаемых типов файлов или позволяет ли она перенаправляться в защищенное представление.
Отключение доступа к камере и микрофону для документов, открытых в Application Guard для Office Включение этой политики удаляет доступ Office к камере и микрофону внутри Application Guard для Office.
Ограничение печати документов, открытых в Application Guard для Office Ограничивает принтеры, на которые пользователь может печатать из файла, открытого в Application Guard для Office. Например, эту политику можно использовать, чтобы ограничить пользователей только печатью в ФОРМАТЕ PDF.
Запретить пользователям удалять Application Guard защиты Office для файлов Удаляет параметр (в интерфейсе приложения Office) для отключения Application Guard защиты Office или открытия файла вне Application Guard для Office.

Примечание: Пользователи по-прежнему могут обойти эту политику, вручную удалив свойство Mark-of-the-web из файла или переместив документ в надежное расположение.

Примечание.

Чтобы ввести в силу следующие политики, пользователи должны выйти из Windows и снова войти в систему:

  • Настройка копирования и вставки документов Office, открытых в Application Guard.
  • Отключите аппаратное ускорение в Application Guard для Office.
  • Ограничение печати документов, открытых в Application Guard для Office.
  • Отключите доступ с камеры и микрофона к документам, открытым в Application Guard для Office.

Отправить отзыв

Отправка отзывов через Центр отзывов

Если при запуске Application Guard для Office возникают проблемы, рекомендуется отправить свой отзыв через Центр отзывов:

  1. Откройте приложение "Центр отзывов" и войдите в систему.
  2. Если при запуске Application Guard появляется диалоговое окно об ошибке, выберите Отчет в Майкрософт в диалоговом окне ошибки, чтобы начать новую отправку отзывов. В противном случае перейдите по адресуhttps://aka.ms/mdagoffice-fb, чтобы выбрать правильную категорию для Application Guard, а затем выберите Добавить новый отзыв в правом верхнем углу.
  3. Введите сводку в поле Сводные данные по отзыву .
  4. Введите подробное описание проблемы и шаги, предпринятые для отладки, в поле Дополнительные сведения , а затем нажмите кнопку Далее.
  5. Выберите пузырек рядом с полем Проблема. Убедитесь, что выбрана категория Безопасность и конфиденциальность > Application Guard в Microsoft Defender — Office, а затем нажмите кнопку Далее.
  6. Выберите Новый отзыв, а затем Далее.
  7. Соберите трассировки по проблеме:
    1. Разверните плитку Повторное создание проблемы .
    2. Если проблема возникает во время выполнения Application Guard, откройте экземпляр Application Guard. Открытие экземпляра позволяет собирать дополнительные трассировки из контейнера Application Guard.
    3. Выберите Начать запись и дождитесь, пока плитка перестанет вращаться, и нажмите кнопку Остановить запись.
    4. Полностью воспроизведите проблему с помощью Application Guard. Воспроизведение может включать попытку запуска экземпляра Application Guard и ожидание его сбоя или воспроизведение проблемы в работающем экземпляре Application Guard.
    5. Выберите плитку Остановить запись .
    6. Не закрывайте все запущенные экземпляры Application Guard даже в течение нескольких минут после отправки, чтобы можно было собирать диагностика контейнера.
  8. Вложите все соответствующие снимки экрана или файлы, связанные с проблемой.
  9. Выберите Отправить.

Отправка отзывов с помощью One Customer Voice

Вы также можете отправить отзыв из Word, Excel и PowerPoint, если проблема возникает при открытии файлов в Application Guard. Подробные рекомендации см. в статье Предоставление отзывов .

Интеграция с Microsoft Defender для конечной точки и Microsoft Defender для Office 365

Application Guard для Office интегрирована с Microsoft Defender для конечной точки, чтобы обеспечить мониторинг и оповещение о вредоносных действиях, происходящих в изолированной среде.

Безопасные документы в Microsoft E365 E5 — это функция, которая использует Microsoft Defender для конечной точки для сканирования документов, открытых в Application Guard для Office. Для дополнительного уровня защиты пользователи не могут оставлять Application Guard office до тех пор, пока не будут определены результаты сканирования.

Ограничения и рекомендации

  • Application Guard для Office — это защищенный режим, который изолирует ненадежные документы, чтобы они не могли получить доступ к доверенным корпоративным ресурсам. Например, интрасети, удостоверение пользователя и произвольные файлы на компьютере. Если пользователь пытается выполнить действие, требующее доступа к доверенным ресурсам (например, вставлять локальный файл рисунка), действие завершается ошибкой и отображается запрос, как показано в следующем примере. Чтобы предоставить ненадежный документу доступ к доверенным ресурсам, пользователи должны удалить из него защиту Application Guard.

    Диалоговое окно с сообщением о безопасности и состоянием компонента

    Примечание.

    Советы пользователям удалять защиту только в том случае, если они доверяют файлу и источнику файла.

  • Активное содержимое, например макросы и элементы ActiveX, отключено в Application Guard для Office. Чтобы включить активное содержимое, необходимо удалить защиту Application Guard.

  • Ненадежные файлы из общих сетевых папок или файлы, к которым предоставлен общий доступ из OneDrive, OneDrive для бизнеса или SharePoint Online, открытые только для чтения в Application Guard. Пользователи могут сохранить локальную копию таких файлов, чтобы продолжить работу в контейнере или удалить защиту для непосредственной работы с исходным файлом.

  • Файлы, защищенные с помощью управления правами на доступ к данным (IRM), блокируются по умолчанию. Если пользователи хотят открыть такие файлы в защищенном представлении, администратор должен настроить параметры политики для неподдерживаемых типов файлов в организации.

  • Любые настройки приложений Office в Application Guard для Office не сохраняются после выхода пользователя из системы и повторного входа в систему или после перезапуска устройства.

  • Только средства специальных возможностей, использующие платформу UIA, могут предоставлять специальные возможности для файлов, открытых в Application Guard для Office.

  • Сетевое подключение требуется для первого запуска Application Guard после установки.

  • В разделе сведений о документе свойство Last Modified By может отображать WDAGUtilityAccount в качестве пользователя. WDAGUtilityAccount — это анонимная учетная запись, используемая Application Guard. Удостоверение пользователя рабочего стола недоступно в контейнере Application Guard.

Оптимизация производительности Application Guard для Office

Application Guard использует виртуализированный контейнер, аналогичный виртуальной машине, для изоляции ненадежных документов от системы. Процесс создания контейнера и настройки контейнера Application Guard для открытия документов Office влияет на производительность, что может негативно повлиять на взаимодействие с пользователем при открытии ненадежного документа.

Чтобы предоставить пользователям ожидаемый интерфейс открытия файлов, Application Guard использует логику для предварительного создания контейнера при выполнении в системе следующей эвристики: пользователь открыл файл в защищенном представлении или Application Guard за последние 28 дней.

При выполнении этой эвристики Office предварительно создается контейнер Application Guard для пользователя после входа в Windows. Пока выполняется эта операция предварительного создания, производительность системы может снизиться, но эффект устраняется сразу после завершения операции.

Примечание.

Указания, необходимые для эвристики для предварительного создания контейнера, создаются приложениями Office, когда пользователь использует их. Если пользователь устанавливает Office в новой системе, где включена Application Guard, Office не создает контейнер до тех пор, пока пользователь не откроет в системе ненадежный документ. Открытие этого первого файла в Application Guard занимает больше времени.

Известные проблемы

  • Параметр по умолчанию для политики защиты неподдерживаемых типов файлов заключается в блокировке открытия зашифрованных типов файлов, которые не поддерживаются или имеют управление правами на доступ к данным (IRM). Этот параметр включает файлы, зашифрованные с помощью меток конфиденциальности из Защита информации Microsoft Purview.
  • В настоящее время HTML-файлы не поддерживаются.
  • Application Guard для Office сейчас не работает со сжатыми томами NTFS. Если отображается сообщение об ошибке "ERROR_VIRTUAL_DISK_LIMITATION", попробуйте распаковку тома.
  • Если отображается сообщение об ошибке, указывающее, что гипервизор может быть не включен, проверка следующие элементы:
    • Виртуализация включена в BIOS.
    • Hyper-V включен.
    • Служба сети узла запущена.
  • Обновления в .NET может привести к сбою открытия файлов в Application Guard. Эту проблему можно устранить, перезапустив компьютер.
  • Application Guard требуется разрешение "Виртуальные машины" на "Вход как услуга", а "wdagutilityaccount" не следует добавлять в параметр политики безопасности "Запретить вход в качестве службы".
  • Дополнительные сведения см. в разделе Часто задаваемые вопросы — Application Guard в Microsoft Defender дополнительные сведения.