Office 應用程式防護

來自網際網路和其他可能不安全的位置的檔案可能包含病毒、蠕蟲或其他惡意程式碼,可能會傷害您的電腦和資料。 為了協助保護您, Office在 Application Guard中開啟檔案,避免可能不安全的位置。應用程式防護是一個透過硬體虛擬化與資料隔離的安全容器。 與受保護的檢視不同, Office 在 Application Guard 中開啟檔案時,您可以安全地讀取、編輯、列印及儲存這些檔案,而不需要重新開啟容器外的檔案。

如果您確信檔案是安全的,而且您需要執行由 Application Guard 封鎖的一些操作,您可以選擇移除該檔案的保護。

附註: 如果您的系統管理員已啟用安全 ,系統將會針對端點服務的 Microsoft Defender驗證檔案,以判斷檔案在應用程式防護外部開啟之前是否具有惡意。

受保護的檢視 是唯讀模式,其中大部分的編輯功能會停用。 來自可能不安全位置的檔案會以唯讀或受保護的檢視開啟。 只要使用 [受保護的檢視],即可讀取檔案、查看其內容及進行編輯,並降低可能發生的風險。

Application Guard 是限制模式,可讓您對不受信任的檔執行有限的編輯和列印,同時將電腦的風險最小化。  Office 會在 Application Guard 中開啟來自可能不安全的位置的檔案,這是透過硬體虛擬化與裝置隔離的安全容器。 Office 在 Application Guard 中開啟檔案時,您可以安全地讀取、編輯、列印及儲存這些檔案,而不需要在容器外重新開啟檔案。

與受保護的檢視相比,Application Guard 可為使用者提供增強的安全性和提升的生產力。 

安全性

Application Guard 是一種虛擬化沙箱,用來隔離您可能會遇到的不受信任的檔。 它提供與 Azure 相同的技術至桌面。 

不受信任的檔會以與主機作業系統分開的啟用 Hyper-V 的隔離容器開啟。 此容器隔離表示如果檔是惡意的,主機電腦會受到保護,而攻擊者無法存取您的企業資料。 例如,此方法會讓隔離容器匿名,因此攻擊者無法存取員工的企業認證。

生產力

除了能在安全容器內讀取檔之外,您現在可以使用列印、批註和評論、輕量編輯及存留等功能,同時將不受信任的檔保留于 Application Guard 容器內。 

當您遇到來自非惡意來源的檔時,您可以繼續保持生產力,而不必擔心您的裝置會面臨風險。

如果您遇到惡意的檔,它會在 Application Guard 中安全地隔離,讓系統的其餘部分保持安全。

如何啟用 Application Guard?

應用程式防護適用于擁有 Microsoft 365 E5Microsoft 365 E5 Mobility + 安全性授權的組織 。 那些組織的使用者必須在目前通道或每月企業通道上使用企業版 Microsoft 365 應用程式。

深入瞭解如何設定 Office 應用程式防護

何時在 Application Guard 中開啟檔案?

如果已啟用 Application Guard,目前以受保護的檢視開啟的檔案就會在 Application Guard 中開啟。 這些包括︰

  • 來自網際網路的檔案: 這是指從您裝置上不是內部網路或信任的網站網域的網域下載的檔案、從組織外部寄件者收到的電子郵件附件的檔案、從其他類型的網際網路訊息或共用服務接收的檔案,或從組織外部的 OneDrive 或 SharePoint 位置開啟的檔案。

  • 位於可能不安全位置的檔案: 這是指您電腦或網路上被視為不安全的資料夾,例如暫時網際網路資料夾或系統管理員指派的其他資料夾。

附註: 從網路位置開啟的檔案 ,包括貴組織的 OneDrive,Read-Only Application Guard 中開啟。 您可以儲存這類檔案的一份副本,以繼續使用,或者如果您信任檔案的來源,可以選擇移除保護,如下所示。

  • 檔案區塊封鎖的檔案:檔案封鎖可防止過期的檔案類型開啟,並造成檔案在受保護的檢視中開啟,並停用儲存和開啟功能。 深入瞭解 檔案封鎖

如何移除或還原檔案的保護?

注意: 只有在您非常確信檔案及其來源值得信任時,才能執行這項操作。

如果您想要執行 Application Guard 不允許的動作,您可以移除檔案中的 Application Guard 保護。 移除保護後,檔案會變成 信任的檔

若要移除應用程式防護保護,請前往 檔案 > 資訊, 然後選取 移除保護

如果您無法執行,則您的組織可能已部署防止從檔案移除 Application Guard 保護的策略。

還原保護

前往檔案>信任>信任中心>信任中心設定>信任的檔,然後選取清除所有信任的檔,讓檔不再受到信任

請注意,這會將保護還原到您在此裝置上移除的所有檔。

如何變更應用程式防護設定

重要: 我們建議您先與 IT 系統管理員談一談,然後再變更 Application Guard 的設定。

  1. 前往檔案>選項

  2. 選取信任中心>信任中心設定>應用程式防護

  3. 進行選取,然後選取 確定 以儲存變更,然後離開信任中心設定。

應用程式防護設定

  • 針對來自網際網路 的檔案啟用 Application Guard - 網際網路被視為不安全的位置,因為這是惡意檔案最常見的來源。

  • 針對可能不安全 位置的檔案啟用 Application Guard - 這是指您電腦或網路上被視為不安全的資料夾,例如暫時網際網路資料夾或 IT 系統管理員選取的其他資料夾。

  • 啟用 Outlook 附件的應用程式防護 - 電子郵件中的附件是惡意檔案的另一個常見來源。

Excel兩個額外的設定:

  • 在 Application Guard 中Text-Based開啟 (.csv、.dif 和 .sylk) 不受信任的檔案 -如果已啟用,從不受信任位置開啟的文字型檔案一定在 Application Guard 中開啟。 如果您停用或不設定此策略設定,從不受信任位置開啟的文字型檔案會正常開啟。 

  • 在 Application Guard 中 (.dbf) 開啟不受信任的資料庫檔案 - 如果已啟用,從不受信任位置開啟的資料庫檔案一定在 Application Guard 中開啟。 如果您停用或不設定此設定,從不受信任位置開啟的資料庫檔案會正常開啟。

系統管理員也可以透過群組原則或 Office 雲端策略服務來設定所有這些 設定。 

我在應用程式防護中無法執行哪些操作? 

為了您的安全性,在 Application Guard 中執行時,某些功能不適用於 Office 應用程式。 這些包括︰ 

  • 存取使用者身分識別。

  • 存取檔案系統上的任意位置。

  • 存取歸類為企業安全邊界內的網路位置 (例如公司內部網路或根據網路隔離) 歸類為「企業」的網域。

  • 受資訊版權管理保護的 CSV、HTML 和檔案 (IRM) 應用程式防護中開啟。 如果您的系統管理員為貴組織設定了不支援的檔案類型策略設定,您就能在受保護的檢視中開啟這些檔案。 

    深入瞭解如何為 Office 策略配置 Application Guard。

  • 目前不支援將 RTF (RTF 或影像) 至使用 Application Guard 開啟的 Office 檔中。

Office 中可能與這些功能相依的功能無法使用。 一些範例包括共用檔案、捕獲螢幕擷取畫面、從檔案系統中的位置插入圖片、新增資料來源的關聯等。 

那麼Add-Ins宏呢?

除了停用的內建函數之外,應用程式防護中會停用所有擴充 Office 功能的功能,包括 COM、VSTO、Web Adds 和宏。 

我可以在螢幕閱讀程式使用 Application Guard 嗎? 

在 Application Guard 中開啟的檔案,可透過協助工具工具存取,這些工具會使用 Microsoft UI 自動化 (UIA) 架構 ,例如 Microsoft Narrator。 

另請參閱

何謂受保護的檢視?

保護自己不受網路釣魚https://support.microsoft.com/help/4033787

Microsoft Defender Application Guardhttps://docs.microsoft.com/windows/security/threat-protection/windows-defender-application-guard/wd-app-guard-overview

安全檔

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

感謝您的意見反應!

×