Viktig!: Microsoft Defender Application Guard for Office avvikles og oppdateres ikke lenger. Denne nedgraderingen inkluderer også API-ene for Windows.Security.Isolation som brukes til Microsoft Defender Application Guard for Office. Vi anbefaler at du går over til Microsoft Defender for endepunkt vedleggsregler for overflatereduksjon sammen med beskyttet visning og Windows Defender programkontroll.
Filer fra Internett og andre potensielt usikre plasseringer kan inneholde virus, ormer eller andre typer skadelig programvare som kan skade datamaskinen og dataene. For å beskytte deg åpner Microsoft 365 filer fra potensielt usikre plasseringer i Application Guard, en sikker beholder som er isolert fra resten av dataene gjennom maskinvarebasert virtualisering. I motsetning til beskyttet visning, når Microsoft 365 åpner filer i Application Guard, kan du trygt lese, redigere, skrive ut og lagre disse filene uten å måtte åpne filer på nytt utenfor beholderen.
Hvis du er sikker på at filen er trygg, og du må gjøre noe som er blokkert av Application Guard, kan du velge å fjerne beskyttelsen fra filen.
Obs!: Hvis administratoren har aktivert Sikre dokumenter, blir filen bekreftet mot Microsoft Defender for Endpoint-tjenesten for å avgjøre om den er skadelig før den åpnes utenfor Application Guard.
Beskyttet visning er en skrivebeskyttet modus der de fleste redigeringsfunksjonene er deaktivert. Filer fra potensielt usikre plasseringer åpnes som skrivebeskyttet eller i beskyttet visning. I beskyttet visning kan du lese en fil og se innholdet og muliggjøre redigering samtidig som risikoen reduseres.
Application Guard er en begrenset modus som lar deg utføre begrenset redigering og utskrift av ikke-klarerte dokumenter, samtidig som risikoen reduseres for datamaskinen. Office åpner filer fra potensielt usikre plasseringer i Application Guard, en sikker beholder som er isolert fra enheten gjennom maskinvarebasert virtualisering. Når Office åpner filer i Application Guard, kan du trygt lese, redigere, skrive ut og lagre disse filene uten å måtte åpne filer på nytt utenfor beholderen.
Sammenlignet med beskyttet visning gir Application Guard både forbedret sikkerhet og forbedret produktivitet for brukere.
Sikkerhet
Application Guard er en virtualiseringsbasert sandkasse som brukes til å isolere ikke-klarerte dokumenter du kan støte på. Den gir den samme teknologien som driver Azure til skrivebordet ditt.
Ikke-klarerte dokumenter åpnes i en isolert Hyper-V-aktivert beholder, som er atskilt fra vertens operativsystem. Denne beholderisolasjonen betyr at hvis et dokument er skadelig, er verts-PC-en beskyttet, og angriperen får ikke tilgang til bedriftsdataene. Denne fremgangsmåten gjør for eksempel den isolerte beholderen anonym, slik at en angriper ikke får tilgang til den ansattes organisasjonslegitimasjon.
Produktivitet
I tillegg til å kunne lese dokumenter i den sikre beholderen, kan du nå bruke funksjoner som utskrift, kommentering og gjennomgang, lett redigering og lagring, samtidig som du beholder et uklarert dokument i Application Guard-beholderen.
Når du støter på dokumenter fra ikke-klarerte kilder som ikke er skadelige, kan du fortsette å være produktiv uten å bekymre deg for å sette enheten i fare.
Hvis du støter på et dokument som er skadelig, er det trygt isolert i Application Guard, slik at resten av systemet er trygt.
Application Guard er tilgjengelig for organisasjoner som har Microsoft 365 E5 eller Microsoft 365 E5 Mobility + Security-lisenser. Brukere i disse organisasjonene må bruke Microsoft 365 apper for virksomheter på Oppdatert kanal eller Månedskanal for virksomheter.
Mer informasjon om å konfigurere Application Guard for Office.
Når åpnes en fil i Application Guard?
Filer som åpnes i beskyttet visning åpnes i Application Guard hvis Application Guard er aktivert. Disse er:
-
Filer med opprinnelse fra Internett: Dette refererer til filer som lastes ned fra domener som ikke er en del av enten det lokale intranettet eller et klarert områdedomene på enheten, filer som ble mottatt som e-postvedlegg fra avsendere utenfor organisasjonen, filer som ble mottatt fra andre typer Internett-meldingstjenester eller delingstjenester, eller filer som ble åpnet fra en OneDrive eller SharePoint plassering utenfor organisasjonen.
-
Aktiver beskyttet visning for filer som er plassert på potensielt usikre plasseringer Dette henviser til mapper på datamaskinen eller nettverket, som betraktes som usikre, for eksempel mappen for midlertidige Internett-filer eller andre mapper som er tilordnet til deg av administrator.
Obs!: Filer som er åpnet fra en nettverksplassering, inkludert organisasjonens OneDrive, åpner skrivebeskyttet i Application Guard. Du kan lagre en kopi av slike filer for å fortsette å arbeide med dem, eller hvis du stoler på kilden til filen, kan du velge å fjerne beskyttelsen som beskrevet nedenfor.
-
Filer som blokkeres av filblokkering: Filblokkering hindrer at utdaterte filtyper åpnes og fører til at filen åpnes i beskyttet visning og deaktiverer funksjonene Lagre og Åpne. Mer informasjon om filblokkering.
Hvordan fjerne eller gjenopprette beskyttelse fra en fil?
Forsiktig!: Bare gjør dette hvis du er veldig sikker på at filen, og kilden, er pålitelig.
Hvis du vil utføre handlinger som ikke er tillatt av Application Guard, kan du fjerne Application Guard-beskyttelsen fra en fil. Når du fjerner beskyttelsen, blir filen et klarert dokument.
Hvis du vil fjerne Application Guard-beskyttelsen, går du til Fil > Informasjon og velger Fjern beskyttelse.
Hvis du ikke klarer det, er det sannsynlig at organisasjonen har distribuert policyer som hindrer fjerning av Application Guard-beskyttelse fra en fil.
Slik gjenoppretter du beskyttelse
Gå til Fil > Alternativer > Klareringssenter > Innstillinger for klareringssenter > Klarerte dokumenter og velg Fjern alle klarerte dokumenter, slik at de ikke lenger er klarert.
Vær oppmerksom på at dette gjenoppretter beskyttelsen til ALLE dokumenter du har fjernet den fra på denne enheten.
Viktig!: Dette alternativet er bare tilgjengelig utenfor det Application Guard miljøet. Åpne en ny forekomst av Office-appen for å gjøre denne endringen.
Hvordan endre innstillingene for Application Guard
Viktig!:
-
Dette alternativet er bare tilgjengelig utenfor det Application Guard miljøet. Åpne en ny forekomst av Office-appen for å gjøre denne endringen.
-
Vi anbefaler at du snakker med IT-administratoren før du gjør endringer i innstillingene for Application Guard.
-
Gå til Fil > Alternativer.
-
Velg Klareringssenter > Innstillinger for klareringssenter > Application Guard.
-
Foreta valgene dine, og velg deretter OK for å lagre endringene og avslutte innstillinger for klareringssenter.
Innstillinger for Application Guard
-
Aktiver Application Guard for filer med opprinnelse fra Internett – Internett regnes som en usikker plassering fordi det er den vanligste kilden for skadelige filer.
-
Aktiver Application Guard for filer som er på potensielt usikre plasseringer – Dette refererer til mapper på datamaskinen eller nettverket som anses som usikre, for eksempel midlertidig Internett-mappe eller andre mapper som er valgt av IT-administratoren.
-
Aktiver Application Guard for Outlook-vedlegg – Vedlegg i e-post er en annen vanlig kilde til skadelige filer.
Excel har to ekstra innstillinger:
-
Åpne alltid ikke-klarerte tekstbaserte filer (.csv, .dif og .sylk) i Application Guard.Hvis det er aktivert, åpnes alltid tekstbaserte filer som åpnes fra en uklarert plassering i Application Guard. Hvis du deaktiverer eller ikke konfigurerer denne policyinnstillingen, åpnes tekstbaserte filer som er åpnet fra en ikke-klarert plassering som normalt.
-
Åpne alltid ikke-klarerte databasefiler (DBF) i Application Guard – Hvis aktivert, åpnes databasefiler som er åpnet fra en ikke-klarert plassering alltid i Application Guard. Hvis du deaktiverer eller ikke konfigurerer denne innstillingen, åpnes databasefiler som er åpnet fra en ikke-klarert plassering normalt.
Alle disse innstillingene kan også konfigureres av en administrator via gruppepolicy eller policytjenesten for Office-skyen.
Hva slags ting kan jeg ikke gjøre i Application Guard?
For din sikkerhet er visse funksjoner ikke tilgjengelige for Office programmer mens du kjører i Application Guard. Disse er:
-
Tilgang til brukerens identitet.
-
Tilgang til vilkårlige plasseringer i filsystemet.
-
Tilgang til nettverksplasseringer som er klassifisert som innenfor organisasjonens sikkerhetsgrense (f.eks. firmaets intranett eller domener klassifisert som «Virksomhet») per isoleringspolicyer for nettverk.
-
CSV, HTML og filer som er beskyttet av Information Rights Management (IRM) kan ikke åpnes i Application Guard. Hvis administratoren konfigurerer policyinnstillingen for filtyper som ikke støttes for organisasjonen, kan du åpne disse filene i beskyttet visning.
Mer informasjon om hvordan du konfigurerer Application Guard for Office-policyer. -
Innliming av innhold eller bilder i rikt tekstformat (RTF) i Office-dokumenter som er åpnet med Application Guard, støttes ikke for øyeblikket.
Funksjoner i Office som kan være avhengige av disse funksjonene, er utilgjengelige. Noen eksempler inkluderer å dele en fil, ta et skjermbilde, sette inn et bilde fra en plassering i filsystemet, legge til en tilkobling til en datakilde osv.
Hva med tillegg og makroer?
I tillegg til de innebygde funksjonene som er deaktivert, deaktiveres alle funksjoner som utvider egenskapene til Office inkludert COM, VSTO, webtillegg og makroer i Application Guard.
Kan jeg bruke Application Guard med en skjermleser?
Filer som åpnes i Application Guard er tilgjengelige via tilgjengelighetsverktøy som bruker Microsoft UI-automatisering (UIA)-rammeverket, for eksempel Microsoft Skjermleser.
