Compartilhar via


Application Guard para o Office para administradores

Aplica-se a: aplicativos, Word, Excel e PowerPoint para Microsoft 365, Windows 10 Enterprise, Windows 11 Enterprise

Importante

Microsoft Defender Application Guard para o Office está sendo preterido e não está mais sendo atualizado. Essa preterição também inclui as APIs Windows.Security.Isolation usadas para Microsoft Defender Application Guard para o Office. Recomendamos fazer a transição para Microsoft Defender para Ponto de Extremidade regras de redução de superfície de ataque, juntamente com o Modo de Exibição Protegido e Windows Defender Controle de Aplicativos.

Microsoft Defender Application Guard for Office (Application Guard for Office) ajuda a impedir que arquivos não confiáveis acessem recursos confiáveis, mantendo sua empresa segura contra ataques novos e emergentes. Este artigo orienta os administradores através da configuração de dispositivos com suporte para Application Guard para o Office.

Pré-requisitos

Requisitos de licenciamento

Requisitos mínimos de hardware

  • CPU: 64 bits, quatro núcleos (físico ou virtual), extensões de virtualização (Intel VT-x OU AMD-V), Core i5 equivalente ou superior recomendado.
  • Memória física: 8 GB de RAM.
  • Disco rígido: 10 GB de espaço livre na unidade do sistema (SSD recomendado).

Requisitos mínimos de software

  • Windows: Windows 10 Enterprise edição, build do cliente versão 2004 (20H1) build 19041 ou posterior. Todas as versões de Windows 11 têm suporte.
  • Office: Microsoft 365 Apps com build 16.0.13530.10000 ou posterior. Para instalações do Canal Atual e do Canal Empresarial Mensal, essa versão é equivalente a 2011. Para Semi-Annual Enterprise Channel e Semi-Annual Enterprise Channel (Versão prévia), a versão mínima é 2108 ou posterior. Há suporte para versões de 32 bits e 64 bits.
  • Pacote de atualização: Windows 10 KB4571756 de atualização de segurança mensal cumulativa

Para obter requisitos detalhados do sistema, consulte Requisitos do sistema para Microsoft Defender Application Guard. Além disso, consulte os guias do fabricante do computador sobre como habilitar a tecnologia de virtualização. Para saber mais sobre Microsoft 365 Apps canais de atualização, confira Visão geral dos canais de atualização para Microsoft 365 Apps.

Implantar Application Guard para o Office

Habilitar Application Guard para o Office

  1. Requisitos do sistema operacional:

  2. Em Recursos do Windows, selecione Microsoft Defender Application Guard e selecione OK. Habilitar os prompts de recurso Application Guard para uma reinicialização do sistema. Você pode reiniciar agora ou depois da etapa 3.

    A caixa de diálogo Recursos do Windows mostrando AG

    Você também pode habilitar o Guia de Aplicativo no Windows PowerShell executando o seguinte comando como administrador:

    Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
    
  3. Em Política de Grupo Editor, acesseModelos Administrativosde Configuração> do ComputadorComponentes>> do Windows Microsoft Defender Application Guard.

    Habilite a configuração Ativar Microsoft Defender Application Guard no Modo Gerenciado. Defina o valor na seção Opções como um dos seguintes valores:

    • 2: Habilitar Microsoft Defender Application Guard somente para ambientes isolados do Windows.
    • 3: Habilitar Microsoft Defender Application Guard para ambientes windows isolados do Microsoft Edge E.

    A opção de ativar o AG no Modo Gerenciado

    Como alternativa, você pode definir a política CSP correspondente:

    OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Tipo de dados: Valor inteiro : 2

  4. Reinicie o computador, se você ainda não tiver.

Definir comentários de & de diagnóstico para enviar dados completos

Observação

Essa etapa não é necessária. No entanto, configurar dados de diagnóstico opcionais pode ajudar a diagnosticar problemas relatados.

Esta etapa garante que os dados necessários para identificar e corrigir problemas estão atingindo a Microsoft. Siga estas etapas para habilitar diagnóstico em seu dispositivo Windows:

  1. Abra Configurações no menu Iniciar.
  2. Em Configurações do Windows, selecione Privacidade.
  3. Em Privacidade, selecione Diagnóstico & comentários e selecione Dados de diagnóstico opcionais.

Para saber mais sobre como configurar configurações de diagnóstico do Windows, consulte Configurar dados de diagnóstico do Windows em sua organização.

Confirme se o Application Guard do Office está habilitado e funcionando

Antes de confirmar que o Application Guard para Office está habilitado, siga as seguintes etapas:

  1. Inicie Word, Excel ou PowerPoint em um dispositivo em que as políticas foram implantadas.
  2. No aplicativo iniciado, acesseContade Arquivo>. Na página Conta , verifique se a licença esperada é mostrada.

Para confirmar se o Application Guard para Office está habilitado, abra um documento não confiável. Por exemplo, você pode abrir um documento que foi baixado da Internet ou de um anexo de email de alguém fora de sua organização.

Quando você abre um arquivo não confiável pela primeira vez, a tela de respingo do Office a seguir é mostrada. Application Guard do Office está sendo ativado e o arquivo está sendo aberto. As aberturas subsequentes de arquivos não confiáveis normalmente são mais rápidas.

A página de respingos do aplicativo do Office

Depois que o arquivo é aberto, há alguns indicadores visuais que sinalizam que o arquivo está aberto dentro Application Guard para o Office:

  • Uma chamada na faixa de opções

    O arquivo Doc mostrando uma pequena nota do App Guard

  • O ícone do aplicativo com um escudo na barra de tarefas

Configurar Application Guard para o Office

O Office dá suporte às políticas a seguir para configurar Application Guard para o Office. Essas políticas podem ser configuradas por meio de políticas de grupo ou por meio do serviço de política de nuvem do Office.

Observação

A configuração dessas políticas pode desabilitar alguma funcionalidade para arquivos abertos em Application Guard para o Office.

Política Descrição
Não use Application Guard para o Office Força Word, Excel e PowerPoint a usar o contêiner de isolamento Exibição Protegida em vez de Application Guard para o Office.
Configurar Application Guard para a pré-criação de contêiner do Office Determina se o Application Guard do contêiner do Office está pré-configurado para melhorar o desempenho em tempo de execução. Ao habilitar essa política, você pode especificar o número de dias para continuar a pré-criação de um contêiner ou permitir que a heurística interna do Office precrie o contêiner.
Configurar cópia e colar de documentos do Office abertos em Application Guard Permite controlar se os usuários podem copiar e colar conteúdo do Office de e para documentos abertos em Application Guard, bem como os formatos permitidos.
Desabilitar a aceleração de hardware no Application Guard para o Office Controla se Application Guard para o Office usa a aceleração de hardware para renderizar gráficos. Se você habilitar essa configuração, Application Guard para o Office usará a renderização baseada em software (CPU) e não carregará drivers gráficos de terceiros ou interagirá com qualquer hardware gráfico conectado.
Desabilitar a proteção de tipos de arquivo sem suporte no Application Guard para o Office Controla se Application Guard para o Office impede que tipos de arquivo sem suporte sejam abertos ou se ele habilita o redirecionamento para o Modo de Exibição Protegido.
Desativar o acesso à câmera e ao microfone para documentos abertos no Application Guard para o Office Habilitar essa política remove o acesso do Office à câmera e ao microfone dentro do Application Guard para o Office.
Restringir a impressão de documentos abertos em Application Guard para o Office Limita as impressoras para as quais um usuário pode imprimir de um arquivo aberto em Application Guard para o Office. Por exemplo, você pode usar essa política para restringir os usuários a imprimir apenas em PDF.
Impedir que os usuários removam Application Guard para proteção do Office em arquivos Remove a opção (dentro da experiência de aplicativo do Office) para desabilitar Application Guard para proteção do Office ou abrir um arquivo fora Application Guard para o Office.

Nota: Os usuários ainda podem ignorar essa política removendo manualmente a propriedade mark-of-the-Web do arquivo ou movendo um documento para um local confiável.

Observação

Para que as políticas a seguir entrem em vigor, os usuários devem sair do Windows e entrar novamente:

  • Configure copiar e colar de documentos do Office abertos em Application Guard.
  • Desabilitar a aceleração de hardware no Application Guard para o Office.
  • Restrinja a impressão de documentos abertos em Application Guard para o Office.
  • Desative o acesso da câmera e do microfone aos documentos abertos em Application Guard para o Office.

Enviar comentários

Enviar comentários por meio do Hub de Comentários

Se você encontrar problemas ao iniciar Application Guard para o Office, será incentivado a enviar seus comentários por meio do Hub de Comentários:

  1. Abra o aplicativo Hub de Comentários e entre.
  2. Se você receber uma caixa de diálogo de erro ao iniciar Application Guard, selecione Relatar à Microsoft na caixa de diálogo de erro para iniciar um novo envio de comentários. Caso contrário, navegue até https://aka.ms/mdagoffice-fb selecionar a categoria correta para Application Guard e selecione Adicionar novos comentários perto da parte superior direita.
  3. Insira um resumo na caixa Resumir seus comentários .
  4. Insira uma descrição detalhada do problema e as etapas que você tomou para depurar na caixa Explicar com mais detalhes e selecione Avançar.
  5. Selecione a bolha ao lado de Problema. Verifique se a categoria selecionada é Segurança e Privacidade > Microsoft Defender Application Guard – Office e selecione Avançar.
  6. Selecione Novos comentários e, em seguida, Avançar.
  7. Coletar rastreamentos sobre o problema:
    1. Expanda o bloco Recriar meu problema .
    2. Se o problema que você está enfrentando ocorrer enquanto Application Guard estiver em execução, abra uma instância Application Guard. Abrir uma instância permite que rastreamentos adicionais sejam coletados de dentro do contêiner Application Guard.
    3. Selecione Iniciar gravação e aguarde para que o bloco pare de girar e diga Parar a gravação.
    4. Reproduza totalmente o problema com Application Guard. A reprodução pode incluir a tentativa de iniciar uma instância de Application Guard e aguardar até que ela falhe ou reproduzir um problema em uma instância de Application Guard em execução.
    5. Selecione o bloco Parar gravação .
    6. Mantenha qualquer Application Guard instâncias em execução aberta, mesmo por alguns minutos após o envio, para que diagnóstico de contêiner também possa ser coletado.
  8. Anexar capturas de tela ou arquivos relevantes relacionados ao problema.
  9. Selecione Enviar.

Enviar comentários por meio do One Customer Voice

Você também pode enviar comentários de Word, Excel e PowerPoint se o problema acontecer quando os arquivos são abertos no Application Guard. Consulte Fornecer comentários para obter diretrizes detalhadas.

Integração com Microsoft Defender para Ponto de Extremidade e Microsoft Defender para Office 365

Application Guard para Office é integrado ao Microsoft Defender para Ponto de Extremidade para fornecer monitoramento e alertas sobre atividades mal-intencionadas que acontecem no ambiente isolado.

Documentos seguros no Microsoft E365 E5 é um recurso que usa Microsoft Defender para Ponto de Extremidade para verificar documentos abertos em Application Guard para o Office. Para uma camada adicional de proteção, os usuários não podem deixar Application Guard para o Office até que os resultados da verificação tenham sido determinados.

Limitações e considerações

  • Application Guard para Office é um modo protegido que isola documentos não confiáveis para que eles não possam acessar recursos corporativos confiáveis. Por exemplo, uma intranet, a identidade do usuário e arquivos arbitrários no computador. Se um usuário tentar uma ação que exija acesso a recursos confiáveis (por exemplo, inserir um arquivo de imagem local), a ação falhará e exibirá um prompt como o exemplo a seguir. Para permitir que um documento não confiável acesse recursos confiáveis, os usuários devem remover Application Guard proteção do documento.

    A caixa de diálogo informando a mensagem de segurança e o recurso status

    Observação

    Aconselhará os usuários a remover a proteção somente se confiarem no arquivo e na origem do arquivo.

  • O conteúdo ativo, como macros e controles ActiveX, está desabilitado em Application Guard para o Office. Para habilitar o conteúdo ativo, a proteção Application Guard deve ser removida.

  • Arquivos não confiáveis de compartilhamentos de rede ou arquivos compartilhados do OneDrive, OneDrive for Business ou SharePoint Online são abertos apenas como leitura em Application Guard. Os usuários podem salvar uma cópia local desses arquivos para continuar trabalhando no contêiner ou remover a proteção para trabalhar diretamente com o arquivo original.

  • Os arquivos protegidos pelo IRM (Information Rights Management) são bloqueados por padrão. Se os usuários desejarem abrir esses arquivos no Modo de Exibição Protegida, um administrador deverá configurar as configurações de política para tipos de arquivo sem suporte para a organização.

  • Todas as personalizações para aplicativos do Office em Application Guard para Office não persistem depois que um usuário sai e entra novamente ou após a reinicialização do dispositivo.

  • Somente as ferramentas de acessibilidade que usam a estrutura UIA podem fornecer uma experiência acessível para arquivos abertos em Application Guard para Office.

  • A conectividade de rede é necessária para o primeiro lançamento de Application Guard após a instalação.

  • Na seção de informações do documento, a propriedade Last Modified By pode exibir WDAGUtilityAccount como o usuário. WDAGUtilityAccount é a conta anônima usada pelo Application Guard. A identidade do usuário da área de trabalho não está disponível dentro do contêiner Application Guard.

Otimizações de desempenho para Application Guard para o Office

Application Guard usa um contêiner virtualizado, semelhante a uma máquina virtual, para isolar documentos não confiáveis do sistema. O processo de criar um contêiner e configurar o contêiner Application Guard para abrir documentos do Office tem uma sobrecarga de desempenho que pode afetar negativamente a experiência do usuário quando os usuários abrem um documento não confiável.

Para fornecer aos usuários a experiência de abertura de arquivo esperada, Application Guard usa a lógica para pré-criar um contêiner quando a seguinte heurística é atendida em um sistema: um usuário abriu um arquivo no Modo de Exibição Protegido ou Application Guard nos últimos 28 dias.

Quando essa heurística é atendida, o Office pré-configura um contêiner de Application Guard para o usuário depois que ele entra no Windows. Embora essa operação de pré-criação esteja em andamento, o sistema pode ter um desempenho lento, mas o efeito é resolvido assim que a operação for concluída.

Observação

As dicas necessárias para que a heurística crie o contêiner são geradas pelos aplicativos do Office à medida que um usuário as usa. Se um usuário instalar o Office em um novo sistema em que Application Guard estiver habilitado, o Office não criará o contêiner antes da primeira vez que um usuário abrir um documento não confiável no sistema. Este primeiro arquivo leva mais tempo para ser aberto em Application Guard.

Problemas conhecidos

  • A configuração padrão para a política de proteção de tipos de arquivo sem suporte é bloquear a abertura de tipos de arquivo não confiáveis e sem suporte que são criptografados ou têm o IRM (Information Rights Management) definido. Essa configuração inclui arquivos criptografados usando rótulos de confidencialidade de Proteção de Informações do Microsoft Purview.
  • Não há suporte para arquivos HTML no momento.
  • Application Guard para o Office atualmente não funciona com volumes compactados do NTFS. Se você vir o erro: "ERROR_VIRTUAL_DISK_LIMITATION" tente descomprimir o volume.
  • Se você vir um erro mencionando que o hipervisor pode não estar habilitado, marcar os seguintes itens:
    • A virtualização está habilitada no BIOS.
    • O Hyper-V está ativado.
    • O Serviço de Rede do Host está em execução.
  • Atualizações ao .NET pode fazer com que os arquivos não sejam abertos no Application Guard. Você pode resolve esse problema reiniciando o computador.
  • Application Guard exige que "Máquinas Virtuais" seja concedida permissão "Logon como serviço" e "wdagutilityaccount" não deve ser adicionado à configuração de política de segurança "Negar logon como serviço".
  • Para obter mais informações, consulte Perguntas frequentes – Microsoft Defender Application Guard para obter informações adicionais.