适用于管理员的 Office 应用程序防护

适用于:Word、Excel 和 Microsoft 365 专属 PowerPoint 应用、Windows 10 企业版、Windows 11 企业版

重要

office Microsoft Defender 应用程序防护已弃用,不再更新。 此弃用还包括用于 office Microsoft Defender 应用程序防护的 Windows.Security.Isolation API。 建议过渡到Microsoft Defender for Endpoint攻击面减少规则以及受保护的视图Windows Defender应用程序控制

Microsoft Defender 应用程序防护 for Office (应用程序防护 for Office) 有助于防止不受信任的文件访问受信任的资源,从而保护企业免受新出现的攻击。 本文指导管理员为 office 应用程序防护 设置受支持的设备。

先决条件

许可要求

最低硬件要求

  • CPU:64 位、4 个核心 (物理或虚拟) 、虚拟化扩展 (Intel VT-x 或 AMD-V) ,建议使用 Core i5 等效或更高版本。
  • 物理内存:8 GB RAM。
  • 硬盘:建议) (SSD 的系统驱动器上的 10 GB 可用空间。

最低软件要求

  • Windows:Windows 10 企业版版、客户端内部版本 2004 (20H1) 内部版本 19041 或更高版本。 支持所有版本的Windows 11。
  • Office:具有内部版本 16.0.13530.10000 或更高版本的Microsoft 365 应用版。 对于当前频道和每月企业频道安装,此版本等效于 2011 年。 对于 Semi-Annual Enterprise Channel 和 Semi-Annual Enterprise Channel (Preview) ,最低版本为 2108 或更高版本。 支持 32 位和 64 位版本。
  • 更新包:Windows 10每月累积安全更新KB4571756

有关详细的系统要求,请参阅Microsoft Defender 应用程序防护的系统要求。 另请参阅计算机制造商的指南,了解如何启用虚拟化技术。 若要详细了解Microsoft 365 应用版更新通道,请参阅Microsoft 365 应用版的更新通道概述

部署 office 应用程序防护

为 Office 启用应用程序防护

  1. 操作系统要求:

  2. “Windows 功能”中,选择“Microsoft Defender 应用程序防护”,然后选择“确定”。 启用应用程序防护功能会提示系统重新启动。 可以立即或步骤 3 之后重新启动。

    显示 AG 的 Windows 功能对话框

    还可以通过以管理员身份运行以下命令,在 Windows PowerShell 中启用应用程序指南:

    Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
    
  3. “组策略 编辑器”中,转到“计算机配置>管理模板>”“Windows 组件>Microsoft Defender 应用程序防护”。

    启用“在托管模式下打开Microsoft Defender 应用程序防护”设置。 将 “选项” 部分中的值设置为以下值之一:

    • 2:仅对隔离的 Windows 环境启用Microsoft Defender 应用程序防护。
    • 3:为 Microsoft Edge 和隔离的 Windows 环境启用Microsoft Defender 应用程序防护。

    在托管模式下启用 AG 的选项

    或者,可以设置相应的 CSP 策略:

    OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard 数据类型: 整数 值: 2

  4. 重启计算机(如果尚未重启)。

设置诊断 & 反馈以发送完整数据

注意

此步骤不是必需的。 但是,配置可选的诊断数据可以帮助诊断报告的问题。

此步骤可确保识别和修复问题所需的数据到达 Microsoft。 按照以下步骤在 Windows 设备上启用诊断:

  1. 从“开始”菜单打开 “设置 ”。
  2. “Windows 设置”上,选择“ 隐私”。
  3. 在“隐私”下,选择“ 诊断 & 反馈 ”,然后选择“ 可选诊断数据”。

有关配置 Windows 诊断设置的详细信息,请参阅 在组织中配置 Windows 诊断数据

确认 Office 应用程序防护已启用且正常工作

在确认已启用 office 应用程序防护之前,请执行以下步骤:

  1. 在部署了策略的设备上启动Word、Excel 或 PowerPoint。
  2. 在启动的应用中,转到 “文件>帐户”。 在 “帐户 ”页上,验证是否显示了预期的许可证。

若要确认已启用 Office 应用程序防护,请打开不受信任的文档。 例如,可以打开从 Internet 下载的文档或从组织外部人员下载的电子邮件附件。

首次打开不受信任的文件时,将显示以下 Office 初始屏幕。 正在激活 Office 应用程序防护,并且文件正在打开。 不受信任的文件的后续打开速度通常更快。

Office 应用初始页

文件打开后,有一些可视指示器指示文件在 office 应用程序防护 内处于打开状态:

  • 功能区中的标注

    显示小型应用防护备注的 Doc 文件

  • 任务栏中带有屏蔽的应用程序图标

为 Office 配置应用程序防护

Office 支持以下策略来配置 office 应用程序防护。 可以通过组策略或 Office 云策略服务配置这些策略。

注意

配置这些策略可以禁用在 应用程序防护 for Office 中打开的文件的某些功能。

Policy 说明
请勿将 应用程序防护 用于 Office 强制Word、Excel 和 PowerPoint 使用受保护的视图隔离容器,而不是 office 应用程序防护。
为 Office 容器预创建配置应用程序防护 确定是否预创建 Office 容器应用程序防护以提高运行时性能。 启用此策略时,可以指定继续预创建容器的天数,或让 Office 内置试探式预创建容器。
配置从在 应用程序防护 中打开的 Office 文档进行复制和粘贴 允许你控制用户是否可以将内容从 Office 复制和粘贴到应用程序防护中打开的文档以及允许的格式。
在 应用程序防护 for Office 中禁用硬件加速 控制 office 应用程序防护是否使用硬件加速来呈现图形。 如果启用此设置,应用程序防护 for Office 将使用基于软件 (CPU) 渲染,并且不会加载任何第三方图形驱动程序或与任何连接的图形硬件交互。
在 应用程序防护 for Office 中禁用不支持的文件类型保护 控制 Office 应用程序防护是阻止打开不支持的文件类型,还是允许重定向到受保护的视图。
关闭在 应用程序防护 for Office 中打开的文档的相机和麦克风访问 启用此策略会删除 Office 对 Office 应用程序防护 内的摄像头和麦克风的访问权限。
限制在 应用程序防护 for Office 中打开的文档打印 限制用户可以从 office 应用程序防护 中打开的文件打印到的打印机。 例如,可以使用此策略将用户限制为仅打印为 PDF。
阻止用户删除文件上的 Office 保护应用程序防护 删除在 Office 应用程序体验) (选项,以禁用 office 保护应用程序防护或打开 office 应用程序防护 外部的文件。

注意: 用户仍可以通过手动从文件中删除 web 标记属性或将文档移动到受信任位置来绕过此策略。

注意

若要使以下策略生效,用户必须注销 Windows 并重新登录:

  • 配置从在 应用程序防护 中打开的 Office 文档进行复制和粘贴。
  • 在 应用程序防护 for Office 中禁用硬件加速。
  • 限制在 应用程序防护 for Office 中打开的文档的打印。
  • 关闭对 office 应用程序防护 中打开的文档的相机和麦克风访问。

提交反馈

通过反馈中心提交反馈

如果在启动 应用程序防护 for Office 时遇到问题,建议通过反馈中心提交反馈:

  1. 打开 反馈中心应用 并登录。
  2. 如果在启动应用程序防护时遇到错误对话框,请在错误对话框中选择“向 Microsoft 报告”以开始新的反馈提交。 否则,请导航到 https://aka.ms/mdagoffice-fb 以选择应用程序防护的正确类别,然后选择右上角附近的“添加新反馈”。
  3. “汇总反馈 ”框中输入摘要。
  4. 在“ 详细说明 ”框中输入问题的详细说明和调试步骤,然后选择“ 下一步”。
  5. 选择 “问题”旁边的气泡。 确保所选类别为“安全和隐私>Microsoft Defender 应用程序防护 – Office”,然后选择“下一步”。
  6. 依次选择“ 新建反馈”、“ 下一步”。
  7. 收集有关问题的跟踪:
    1. 展开 “重新创建我的问题 ”磁贴。
    2. 如果在运行应用程序防护时遇到问题,请打开应用程序防护实例。 打开实例允许从 应用程序防护 容器内收集其他跟踪。
    3. 选择“ 开始录制”,并等待磁贴停止旋转并说 “停止录制”。
    4. 使用 应用程序防护 完全重现问题。 重现可能包括尝试启动应用程序防护实例并等待它失败,或在正在运行的 应用程序防护 实例中重现问题。
    5. 选择“ 停止录制 ”磁贴。
    6. 保持任何正在运行的应用程序防护实例 () 打开,即使在提交后几分钟,也可以收集容器诊断。
  8. 附加与问题相关的任何相关屏幕截图或文件。
  9. 选择“提交”。

通过一个客户语音提交反馈

如果在 应用程序防护 中打开文件时出现问题,还可以从 Word、Excel 和 PowerPoint 中提交反馈。 有关详细指导,请参阅 提供反馈

与Microsoft Defender for Endpoint和Microsoft Defender for Office 365集成

应用程序防护 for Office 与 Microsoft Defender for Endpoint 集成,可监视隔离环境中发生的恶意活动并发出警报。

Microsoft E365 E5 中的安全文档是一项功能,它使用Microsoft Defender for Endpoint扫描在 应用程序防护 for Office 中打开的文档。 对于额外的保护层,在确定扫描结果之前,用户无法离开 Office 应用程序防护。

限制和注意事项

  • 应用程序防护 for Office 是一种保护模式,用于隔离不受信任的文档,使其无法访问受信任的公司资源。 例如,Intranet、用户的标识和计算机上的任意文件。 如果用户尝试一个需要访问受信任资源的操作,例如, (插入本地图片文件) ,该操作将失败,并显示如下例所示的提示。 若要使不受信任的文档能够访问受信任的资源,用户必须从文档中删除应用程序防护保护。

    指示安全消息和功能状态的对话框

    注意

    仅当用户信任文件和文件源时,才建议用户删除保护。

  • 应用程序防护 for Office 中禁用宏和 ActiveX 控件等活动内容。 若要启用活动内容,必须删除应用程序防护保护。

  • 网络共享中的不受信任的文件或从 OneDrive、OneDrive for Business 或 SharePoint Online 共享的文件在 应用程序防护 中以只读的形式打开。 用户可以保存此类文件的本地副本以继续在容器中工作,或删除保护以直接使用原始文件。

  • 默认情况下,受信息权限管理 (IRM) 保护的文件会被阻止。 如果用户想要在受保护的视图中打开此类文件,管理员必须为组织配置不受支持的文件类型的策略设置。

  • 应用程序防护 for Office 中 Office 应用程序的任何自定义项在用户注销并再次登录后或设备重启后不会保留。

  • 只有使用 UIA 框架的辅助功能工具才能为在 应用程序防护 for Office 中打开的文件提供辅助体验。

  • 安装后首次启动应用程序防护需要网络连接。

  • 在文档的信息部分中, “上次修改者” 属性可能会将 WDAGUtilityAccount 显示为用户。 WDAGUtilityAccount 是应用程序防护使用的匿名帐户。 桌面用户的标识在 应用程序防护 容器中不可用。

应用程序防护 for Office 的性能优化

应用程序防护使用虚拟化容器(类似于虚拟机)将不受信任的文档与系统隔离开来。 创建容器和设置应用程序防护容器以打开 Office 文档的过程会产生性能开销,当用户打开不受信任的文档时,可能会对用户体验产生负面影响。

为了为用户提供预期的文件打开体验,应用程序防护使用逻辑在系统上满足以下启发式操作时预创建容器:用户在过去 28 天内在受保护的视图或应用程序防护中打开了文件。

满足此启发式方法时,Office 在用户登录到 Windows 后会为其预先创建一个应用程序防护容器。 当此预创建操作正在进行时,系统可能会遇到性能缓慢的问题,但一旦操作完成,效果就会解决。

注意

试探式预创建容器所需的提示由 Office 应用程序在用户使用它们时生成。 如果用户在启用了 应用程序防护 的新系统上安装 Office,则在用户首次在系统上打开不受信任的文档之前,Office 不会预创建容器。 在 应用程序防护 中打开第一个文件需要更长的时间。

已知问题

  • 不支持的文件类型保护策略的默认设置是阻止打开已加密或具有信息权限管理 (IRM) 设置的不受信任的不受支持的文件类型。 此设置包括使用 Microsoft Purview 信息保护 中的敏感度标签加密的文件。
  • 目前不支持 HTML 文件。
  • 应用程序防护 for Office 当前不适用于 NTFS 压缩卷。 如果看到错误:“ERROR_VIRTUAL_DISK_LIMITATION”,请尝试解压缩卷。
  • 如果看到可能未启用虚拟机监控程序的错误,检查以下项:
    • 在 BIOS 中启用了虚拟化。
    • Hyper-V 已打开。
    • 主机网络服务正在运行。
  • 汇报到 .NET 可能会导致无法在 应用程序防护 中打开文件。 可以通过重启计算机来解决此问题。
  • 应用程序防护要求向“虚拟机”授予“作为服务登录”权限,并且“wdagutilityaccount”不得添加到“拒绝作为服务登录”安全策略设置。
  • 有关详细信息,请参阅常见问题解答 - Microsoft Defender 应用程序防护了解其他信息