중요: Office용 Microsoft Defender Application Guard 더 이상 사용되지 않으며 더 이상 업데이트되지 않습니다. 이 사용 중단에는 Office용 Microsoft Defender Application Guard 사용되는 Windows.Security.Isolation API도 포함됩니다. 보호된 보기 및 Windows Defender 애플리케이션 제어와 함께 엔드포인트용 Microsoft Defender 표면 감소 규칙으로 전환하는 것이 좋습니다.
인터넷 및 기타 안전하지 않은 위치에서 가져온 파일은 컴퓨터 및 데이터를 손상시키는 바이러스, 웜 또는 다른 종류의 맬웨어를 포함할 수 있습니다. 사용자를 보호하기 위해 Microsoft 365는 안전하지 않을 수 있는 위치의 파일을 하드웨어 기반 가상화를 통해 나머지 데이터와 격리된 보안 컨테이너인 Application Guard에서 엽니다. 보호된 보기와 달리, Microsoft 365가 Application Guard에서 파일을 열면 컨테이너 외부에서 파일을 다시 열지 않고도 읽고,편집하고, 인쇄하고, 저장할 수 있습니다.
파일이 안전하다고 확신하며 Application Guard에서 차단된 작업을 수행해야 하는 경우 해당 파일에서 보호를 제거하도록 선택할 수 있습니다.
참고: 관리자가 안전한 문서를 사용하도록 설정한 경우 Application Guard 외부에서 파일을 열기 전에 Microsoft Defender for Endpoint 서비스에서 파일이 악의적인지 확인됩니다.
제한된 보기 는 대부분의 편집 기능이 사용할 수 없도록 설정된 읽기 전용 모드입니다. 안전하지 않을 수 있는 위치의 파일은 읽기 전용 또는 제한된 보기로 열립니다. 제한된 보기를 사용하면 위험을 줄이면서 파일을 읽고 내용을 확인하고 편집할 수 있습니다.
Application Guard는 컴퓨터에 대한 위험을 최소화하면서 신뢰할 수 없는 문서의 제한된 편집 및 인쇄를 수행할 수 있는 제한된 모드입니다. Office는 안전하지 않을 수 있는 위치의 파일을 하드웨어 기반 가상화를 통해 디바이스와 격리된 보안 컨테이너인 Application Guard에서 엽니다. Office가 Application Guard에서 파일을 열면 컨테이너 외부에서 파일을 다시 열지 않고도 읽고, 편집하고, 인쇄하고, 저장할 수 있습니다.
보호된 보기에 비해 Application Guard는 향상된 보안과 향상된 생산성을 모두 제공합니다.
보안
Application Guard는 발생할 수 있는 신뢰할 수 없는 문서를 격리하는 데 사용되는 가상화 기반 샌드박스입니다. Azure에서 데스크톱으로 구동하는 동일한 기술을 제공합니다.
신뢰할 수 없는 문서는 호스트 운영 체제와 별개인 격리된 Hyper-V 지원 컨테이너에서 열립니다. 이 컨테이너 격리는 문서가 악의적인 경우 호스트 PC가 보호되고 공격자가 엔터프라이즈 데이터에 액세스할 수 없음을 의미합니다. 예를 들어 이 접근법은 격리된 컨테이너를 익명으로 만들기 때문에 공격자가 직원의 엔터프라이즈 자격 증명에 액세스할 수 없습니다.
생산성
이제 보안 컨테이너 내에서 문서를 읽을 수 있을 뿐 아니라 신뢰할 수 없는 문서를 Application Guard 컨테이너 내에 유지하면서 인쇄, 메모 및 검토, 간단한 편집 및 저장과 같은 기능을 사용할 수 있습니다.
악의적이지 않은 신뢰할 수 없는 출처의 문서가 발견되면 디바이스를 위험에 노출시킬 걱정 없이 생산성을 유지할 수 있습니다.
악의적인 문서가 발견되면 Application Guard 내에서 안전하게 격리되므로 시스템의 나머지 부분이 안전하게 유지됩니다.
Application Guard는 Microsoft 365 E5 또는 Microsoft 365 E5 Mobility + Security 라이선스가 있는 조직에서 사용할 수 있습니다. 해당 조직의 사용자는 현재 채널 또는 월별 엔터프라이즈 채널에서 엔터프라이즈용 Microsoft 365 앱을 사용해야 합니다.
파일은 어떤 경우에 Application Guard에서 열리나요?
현재, Application Guard를 사용하도록 설정하면 제한된 보기에서 열려 있는 파일이 Application Guard에서 열립니다. 여기에는 다음과 같은 기능이 포함됩니다.
-
인터넷에서 가져온 파일: 로컬 인트라넷 또는 디바이스의 신뢰할 수 있는 사이트 도메인에 속하지 않는 도메인에서 다운로드한 파일, 조직 외부 사람이 보낸 전자 메일의 첨부 파일, 다른 종류의 인터넷 메시징 또는 공유 서비스에서 받은 파일 또는 조직 외부의 OneDrive 또는 SharePoint 위치에서 연 파일을 나타냅니다.
-
잠재적으로 안전하지 않은 위치에 있는 파일: 임시 인터넷 폴더 또는 관리자가 사용자에게 할당한 다른 폴더 등 안전하지 않은 것으로 간주되는 컴퓨터나 네트워크의 폴더를 의미합니다.
참고: 조직의 OneDrive를 포함하여 네트워크 위치에서 열린 파일은 Application Guard에서 읽기 전용으로 열립니다. 이러한 파일의 복사본을 저장하여 계속 작업하거나 파일 원본을 신뢰하는 경우 아래 설명된 대로 보호를 제거하도록 선택할 수 있습니다.
-
파일 차단 기능에 의해 차단된 파일: 고급 파일 설정을 사용하여 오래된 파일 형식이 열리는 것을 방지하고 제한된 보기에서 파일이 열리도록 하며 저장 및 열기 기능을 사용할 수 없도록 합니다. 파일 차단에 대해 자세히 알아보기.
파일에서 보호를 제거하거나 복원하려면 어떻게 하나요?
주의: 파일 및 해당 소스가 신뢰할 수 있다고 확신하는 경우에만 이 작업을 수행합니다.
Application Guard가 허용하지 않는 작업을 수행하려는 경우 파일에서 Application Guard 보호를 제거할 수 있습니다. 보호를 제거하면 파일이 신뢰할 수 있는 문서가 됩니다.
Application Guard 보호를 제거하려면 파일 > 정보로 이동한 후 보호 제거를 선택합니다.
가능하지 않은 경우 조직이 파일에서 Application Guard 보호를 제거하지 못하도록 하는 정책을 배포했을 수 있습니다.
보호를 복원하려면
파일 > 옵션 > 보안 센터> 보안 센터 설정 > 신뢰할 수 있는 문서 로 이동하고 신뢰할 수 있는 모든 문서를 지워 더 이상 신뢰하지 않도록 합니다를 선택합니다.
이렇게 하면 이 디바이스에서 제거한 모든 문서에 대한 보호가 복원됩니다.
중요: 이 옵션은 Application Guard 환경 외부에서만 사용할 수 있습니다. Office 앱의 새 instance 열어 변경합니다.
Application Guard 설정을 변경하는 방법
중요:
-
이 옵션은 Application Guard 환경 외부에서만 사용할 수 있습니다. Office 앱의 새 instance 열어 변경합니다.
-
Application Guard 설정을 변경하기 전에 IT 관리자에게 문의하는 것이 좋습니다.
-
파일 > 옵션으로 이동합니다.
-
보안 센터 > 보안 센터 설정 > Application Guard를 선택합니다.
-
옵션을 선택한 다음, 확인을 선택하여 변경 내용을 저장하고 보안 센터 설정을 종료합니다.
Application Guard 설정
-
인터넷에서 가져온 파일에 Application Guard 사용 - 인터넷은 악성 파일의 가장 일반적인 소스이므로 안전하지 않은 위치로 간주됩니다.
-
안전하지 않은 위치에 있는 파일에 대해 Application Guard 사용 - 임시 인터넷 폴더 또는 IT 관리자가 선택한 다른 폴더 등 안전하지 않은 것으로 간주되는 컴퓨터나 네트워크의 폴더를 의미합니다.
-
Outlook 첨부 파일에 Application Guard 사용 - 전자 메일의 첨부 파일은 악성 파일의 또 다른 일반적인 소스입니다.
Excel에는 다음 두 가지 추가 설정이 있습니다.
-
신뢰할 수 없는 텍스트 기반 파일(.csv,.dif 및.sylk)을 항상 Application Guard에서 열기- 이 옵션을 사용하도록 설정하면 신뢰할 수 없는 위치에서 열린 텍스트 기반 파일이 항상 Application Guard에서 열립니다. 이 설정을 사용하지 않도록 설정하거나 구성하지 않으면 신뢰할 수 없는 위치에서 열린 텍스트 기반 파일이 정상적으로 열립니다.
-
신뢰할 수 없는 데이터베이스 파일(.dbf)을 항상 Application Guard에서 열기 - 이 옵션을 사용하도록 설정하면 신뢰할 수 없는 위치에서 열린 데이터베이스 파일이 항상 Application Guard에서 열립니다. 이 설정을 사용하지 않도록 설정하거나 구성하지 않으면 신뢰할 수 없는 위치에서 열린 데이터베이스 파일이 정상적으로 열립니다.
관리자가 그룹 정책 또는 Office 클라우드 정책 서비스를 통해 모든 설정을 구성할 수도 있습니다.
Application Guard에서 수행할 수 없는 작업 유형에는 어떤 것이 있나요?
보안을 위해 특정 기능은 Application Guard에서 실행하는 동안 Office 애플리케이션에서 사용할 수 없습니다. 여기에는 다음과 같은 기능이 포함됩니다.
-
사용자의 ID에 대한 액세스
-
파일 시스템의 임의 위치에 대한 액세스
-
네트워크 격리 정책에 따라 엔터프라이즈 보안 경계 내에서 분류된 네트워크 위치(예: 회사 인트라넷 또는 “엔터프라이즈”로 분류된 도메인)에 대한 액세스
-
IRM(Information Rights Management)으로 보호되는 CSV, HTML 및 파일은 Application Guard에서 열 수 없습니다. 관리자가 조직에 대한 지원되지 않는 파일 형식 정책 설정을 구성하는 경우 보호된 보기에서 이러한 파일을 열 수 있습니다.
Office용 Application Guard 구성에 대해 자세히 알아봅니다. -
RTF(서식 있는 텍스트 형식) 콘텐츠 또는 이미지를 Application Guard에서 연 Office 문서에 붙여넣는 것은 현재 지원되지 않습니다.
이러한 기능에 종속되어 있을 수 있는 Office의 기능은 사용할 수 없습니다. 일부 예로는 파일 공유, 스크린샷 캡처, 파일 시스템의 위치에서 그림 삽입, 데이터 원본에 대한 연결 추가 등이 있습니다.
추가 기능 및 매크로의 경우는 어떤가요?
사용하지 않도록 설정된 기본 제공 함수 외에도 COM, VSTO, 웹 추가 기능 및 매크로를 포함하여 Office 기능을 확장하는 모든 기능은 Application Guard에서 사용하지 않도록 설정됩니다.
화면 읽기 프로그램에서 Application Guard를 사용할 수 있나요?
Application Guard에서 열려 있는 파일은 Microsoft UIA(UI 자동화) 프레임워크(예: Microsoft Narrator)를 사용하는 접근성 도구를 통해 액세스할 수 있습니다.
