Důležité informace: Ochrana Application Guard v programu Microsoft Defender pro Office je zastaralé a už se neaktualizuje. Toto vyřazení zahrnuje také rozhraní API Windows.Security.Isolation, která se používají pro Ochrana Application Guard v programu Microsoft Defender pro Office. Doporučujeme přejít na pravidla omezení Microsoft Defender for Endpoint útokové plochy spolu s chráněným zobrazením a Windows Defender řízení aplikací.
Soubory z internetu a dalších potenciálně nebezpečných míst můžou obsahovat viry, červy nebo jiné druhy malwaru, které by mohly poškodit váš počítač a data. Kvůli vaší ochraně Microsoft 365 otevírá soubory z potenciálně nebezpečných umístění v Application Guard, zabezpečeném kontejneru, který je izolovaný od ostatních dat prostřednictvím hardwarové virtualizace. Na rozdíl od chráněného zobrazení při Microsoft 365 otevírání souborů v Application Guard můžete bezpečně číst, upravovat, tisknout a ukládat soubory bez nutnosti znovu otevírat soubory mimo kontejner.
Pokud jste si jistí, že je soubor bezpečný, a potřebujete udělat něco, co Application Guard zablokoval, můžete se rozhodnout ochranu z tohoto souboru odebrat.
Poznámka: Pokud správce povolil Bezpečné dokumenty, ověří se soubor v Microsoft Defender pro koncový bod, aby mohl před otevřením mimo Application Guard zjistit, jestli je škodlivý.
Chráněné zobrazení je režim jen pro čtení. kde je většina funkcí pro úpravy zakázaná. Soubory z potenciálně nebezpečných umístění jsou otevřeny jen pro čtení nebo v chráněném zobrazení. Pomocí chráněného zobrazení můžete soubor přečíst, zobrazit jeho obsah a povolit úpravy s menším rizikem.
Application Guard je omezený režim, který umožňuje provádět omezené úpravy a tisk nedůvěryhodných dokumentů a současně minimalizovat riziko pro váš počítač. Office otevírá soubory z potenciálně nebezpečných umístění v Application Guard, zabezpečeném kontejneru, který je izolovaný od zařízení prostřednictvím hardwarové virtualizace. Když Office otevře soubory v Application Guard, můžete tyto soubory bezpečně číst, upravovat, tisknout a ukládat, aniž byste museli znovu otevírat soubory mimo kontejner.
V porovnání s chráněným zobrazením poskytuje Application Guard uživatelům vylepšené zabezpečení i vyšší produktivitu.
Zabezpečení
Application Guard je sandbox založený na virtualizaci, který slouží k izolaci nedůvěryhodných dokumentů, se kterými se můžete setkat. Přináší stejnou technologii, která využívá Azure pro váš stolní počítač.
Nedůvěryhodné dokumenty se otevírají v kontejneru s podporou Hyper-V, který je oddělený od hostitelského operačního systému. Tato izolace kontejneru znamená, že pokud je dokument škodlivý, je hostitelský počítač chráněný a útočník nemá přístup k podnikovým datům. Díky tomuto přístupu je například izolovaný kontejner anonymní, takže útočník nemá přístup k podnikovým přihlašovacím údajům vašeho zaměstnance.
Produktivita
Kromě toho, že můžete číst dokumenty v zabezpečeném kontejneru, můžete nyní používat funkce, jako je tisk, komentování a recenze, nenáročné úpravy a ukládání, a zároveň uchovávat nedůvěryhodný dokument v kontejneru Application Guard.
Když narazíte na dokumenty z nedůvěryhodných zdrojů, které nejsou škodlivé, můžete být i nadále produktivní, aniž byste se museli starat o ohrožení zařízení.
Pokud narazíte na škodlivý dokument, je bezpečně izolovaný v rámci ochrany Application Guard, aby byl zbytek vašeho systému v bezpečí.
Application Guard je k dispozici organizacím, které mají Microsoft 365 E5 nebo Microsoft 365 E5 Mobility + Security licence. Uživatelé v těchto organizacích musí používat aplikace Microsoft 365 pro podniky v aktuálním kanálu nebo měsíčním podnikovém kanálu.
Přečtěte si další informace o nastavení ochrany Application Guard pro Office.
Kdy se soubor otevře v Application Guardu?
Soubory, které se aktuálně otevírají v Chráněném zobrazení, se otevřou v Application Guard, pokud je povolená ochrana Application Guard. Patří k nim:
-
Soubory pocházející z internetu: Týká se to souborů stažených z domén, které nejsou součástí místního intranetu ani domény důvěryhodných webů ve vašem zařízení, souborů přijatých jako přílohy e-mailů od odesílatelů mimo vaši organizaci, souborů přijatých z jiných druhů internetu. služby zasílání zpráv nebo sdílení nebo soubory otevřené z umístění OneDrive nebo SharePoint mimo vaši organizaci.
-
Soubory, které se nacházejí na potenciálně nebezpečných místech: Toto nastavení se týká složek v počítači nebo na síti, které jsou považované za nebezpečné, jako je složka Dočasné soubory Internetu nebo další složky určené správcem.
Poznámka: Soubory otevřené ze síťového umístění, včetně OneDrive vaší organizace, se otevírají v aplikaci Application Guard pouze pro čtení. Můžete si uložit kopii takových souborů, abyste s nimi mohli dále pracovat, nebo pokud důvěřujete zdroji souboru, můžete se rozhodnout odstranit ochranu, jak je popsáno níže.
-
Soubory, které jsou blokovány Rozšířeným blokováním souborů: Rozšířené blokování souborů zabraňuje otevření zastaralých typů souborů a způsobí otevření souboru v chráněném zobrazení a deaktivuje funkce Uložit a Otevřít. Další informace o Rozšířené blokování souborů.
Jak odstranit nebo obnovit ochranu ze souboru?
Upozornění: Uděláte to jenom v případě, že jste si velmi jistí, že soubor a jeho zdroj jsou důvěryhodné.
Pokud chcete provést akce, které Application Guard nepovoluje, můžete ochranu Application Guard ze souboru odebrat. Po odebrání ochrany se soubor stane důvěryhodným dokumentem.
Pokud chcete ochranu Application Guard odebrat, přejděte na Soubor > Informace a vyberte Odebrat ochranu.
Pokud to nemůžete udělat, pak je pravděpodobné, že vaše organizace má nasazené zásady, které zabraňují odstranění ochrany aplikace Application Guard ze souboru.
Obnovení ochrany
Přejděte na Soubor > Možnosti > Centrum zabezpečení > Centrum zabezpečení Nastavení > Důvěryhodné dokumenty a vyberte Vymazat všechny důvěryhodné dokumenty, aby už nebyly dokumenty.
Upozorňujeme, že tím obnovíte ochranu VŠECH dokumentů, ze kterých jste ji na tomto zařízení odstranili.
Důležité informace: Tato možnost je dostupná jenom mimo prostředí Ochrana Application Guard. Pokud chcete tuto změnu provést, otevřete novou instanci aplikace Office.
Jak změnit nastavení aplikace Application Guard
Důležité informace:
-
Tato možnost je dostupná jenom mimo prostředí Ochrana Application Guard. Pokud chcete tuto změnu provést, otevřete novou instanci aplikace Office.
-
Před provedením změn v nastavení aplikace Application Guard doporučujeme promluvit si se svým správcem IT.
-
Přejděte na Soubor > Možnosti
-
Vyberte Centrum zabezpečení > Centrum zabezpečení Nastavení > Application Guard.
-
Proveďte výběr a pak výběrem OK uložte změny a ukončete Centrum zabezpečení Nastavení.
Nastavení Ochrany Application Guard
-
Povolení ochrany Application Guard pro soubory pocházející z internetu – Internet je považován za nebezpečné místo, protože je nejčastějším zdrojem škodlivých souborů.
-
Povolit ochranu aplikací pro soubory, které jsou v potenciálně nebezpečných umístěních – Týká se složek ve vašem počítači nebo síti, které jsou považovány za nebezpečné, jako je dočasná složka Internetu nebo jiné složky vybrané vaším správcem IT.
-
Povolení ochrany Application Guard pro Outlook přílohy – Přílohy v e-mailu jsou dalším běžným zdrojem škodlivých souborů.
Excel má dvě další nastavení:
-
Vždy otevírat nedůvěryhodné textové soubory (.csv, .dif a .sylk) v Application Guard – Pokud je povoleno, textové soubory otevřené z nedůvěryhodného umístění se vždy otevírají v aplikaci Application Guard. Pokud toto nastavení zásad zakážete nebo nenakonfigurujete, textové soubory otevřené z nedůvěryhodného umístění se otevřou normálně.
-
Vždy otevírat nedůvěryhodné databázové soubory (.dbf) v Application Guar – Pokud je povoleno, databázové soubory otevřené z nedůvěryhodného umístění se vždy otevírají v Application Guard. Pokud toto nastavení zakážete nebo nenakonfigurujete, databázové soubory otevřené z nedůvěryhodného umístění se otevřou normálně.
Všechna tato nastavení může také nakonfigurovat správce prostřednictvím Zásady skupiny nebo cloudové služby zásad Office.
Jaké věci ve službě Application Guard nemůžu dělat?
Z bezpečnostních důvodů nejsou některé funkce aplikacím Office dostupné, když jsou spuštěny v aplikaci Application Guard. Patří k nim:
-
Přístup k identitě uživatele.
-
Přístup k libovolným umístěním ve vašem systému souborů.
-
Přístup k síťovým umístěním, která jsou klasifikována jako v rámci podnikové bezpečnostní hranice (např. firemní intranet nebo domény klasifikované jako „Enterprise“) podle zásad izolace sítě.
-
Soubory CSV, HTML a soubory chráněné IRM (Správa přístupových práv k informacím) se nedají otevřít v Application Guardu. Pokud správce nakonfiguruje nastavení zásad Nepodporované typy souborů pro vaši organizaci, budete moct tyto soubory otevřít v chráněném zobrazení.
Další informace o konfiguraci ochrany Application Guard pro zásady Office. -
Vkládání obsahu nebo obrázků ve formátu RTF do Office dokumentů otevřených pomocí ochrany Application Guard se v současné době nepodporuje.
Funkce v Office, které mohou na těchto funkcích záviset, nejsou k dispozici. Mezi příklady patří sdílení souboru, zachycení snímku obrazovky, vložení obrázku z umístění v systému souborů, přidání připojení ke zdroji dat atd.
A co doplňky a makra?
Kromě předdefinovaných funkcí, které jsou zakázané, jsou ve službě Application Guard zakázány všechny funkce, které rozšiřují možnosti Office včetně com, VSTO, webových doplňků a maker.
Můžu používat Application Guard se čtečkou obrazovky?
Soubory otevřené ve službě Application Guard jsou přístupné prostřednictvím nástrojů pro usnadnění přístupu, které používají architekturu Microsoft model UI Automation (UIA), jako je Microsoft Narrator.
