Vigtigt!: Microsoft Defender Application Guard til Office frarådes og opdateres ikke længere. Denne udfasning omfatter også De Windows.Security.Isolation-API'er, der bruges til Microsoft Defender Application Guard til Office. Vi anbefaler, at du skifter til regler for reduktion af Microsoft Defender for Endpoint vedhæftelse af surface sammen med Beskyttet visning og Windows Defender Application Control. Fra og med Windows 11 version 24H2 er Microsoft Defender Application Guard ikke længere tilgængelig.
Filer fra internettet og andre potentielt usikre placeringer kan indeholde virusser, orme og andre typer malware, som kan skade din computer og data. For at beskytte dig åbner Microsoft 365 filer fra potentielt usikre placeringer i Application Guard, en sikker objektbeholder, der er isoleret fra resten af dine data via hardwarebaseret virtualisering. I modsætning til Beskyttet visning, når Microsoft 365 åbner filer i Application Guard, kan du sikkert læse, redigere, udskrive og gemme disse filer uden at skulle åbne filer uden for objektbeholderen igen.
Hvis du er sikker på, at filen er sikker, og du skal foretage dig noget, der er blokeret af Application Guard, kan du vælge at fjerne beskyttelsen fra den pågældende fil.
Bemærk!: Hvis din administrator har aktiveret Sikre dokumenter, bekræftes filen mod Microsoft Defender for Endpoint Service for at afgøre, om den er skadelig, før den åbnes uden for Application Guard.
Beskyttet visning en skrivebeskyttet tilstand, hvor de fleste redigeringsfunktioner er deaktiveret. Filer fra potentielt usikre placeringer åbnes i skrivebeskyttet tilstand i Beskyttet visning. Med Beskyttet visning kan du læse en fil, se indholdet og aktivere redigering, samtidig med du reducerer risiciene.
Application Guard er en begrænset tilstand, der giver dig mulighed for at udføre begrænset redigering og udskrivning af dokumenter, der ikke er tillid til, mens du minimerer risikoen for din computer. Office åbner filer fra potentielt usikre placeringer i Application Guard, en sikker objektbeholder, der er isoleret fra enheden via hardwarebaseret virtualisering. Når Office åbner filer i Application Guard, kan du sikkert læse, redigere, udskrive og gemme disse filer uden at skulle åbne filer uden for objektbeholderen igen.
Sammenlignet med Beskyttet visning giver Application Guard både forbedret sikkerhed og forbedret produktivitet for brugerne.
Sikkerhed
Application Guard er en virtualiseringsbaseret sandkasse, der bruges til at isolere dokumenter, der ikke er tillid til, og som du kan støde på. Det giver den samme teknologi, som driver Azure til din desktop.
Dokumenter, der ikke er tillid til, åbnes i en isoleret Hyper-V-aktiveret objektbeholder, som er adskilt fra værtsoperativsystemet. Denne isolering af objektbeholderen betyder, at hvis et dokument er skadeligt, er værtscomputeren beskyttet, og hackeren kan ikke få adgang til dine virksomhedsdata. Denne fremgangsmåde gør f.eks. den isolerede objektbeholder anonym, så en hacker ikke kan få adgang til din medarbejders virksomheds-legitimationsoplysninger.
Produktivitet
Ud over at kunne læse dokumenter i den sikre objektbeholder kan du nu bruge funktioner som udskrivning, kommentering og gennemgang, let redigering og lagring, mens du bevarer et dokument, der ikke er tillid til, i Application Guard-objektbeholderen.
Når du støder på dokumenter fra kilder, der ikke er tillid til, og som ikke er skadelige, kan du fortsætte med at være produktiv uden at bekymre dig om at udsætte din enhed for risiko.
Hvis du støder på et dokument, der er skadeligt, isoleres det sikkert i Application Guard, så resten af systemet er sikkert.
Application Guard er tilgængelig for organisationer, der har licenser til Microsoft 365 E5 eller Microsoft 365 E5 Mobility + Security. Brugere i disse organisationer skal bruge Microsoft 365-apps til virksomheder på den aktuelle kanal eller månedlige virksomhedskanal.
Få mere at vide om konfiguration af Application Guard til Office.
Hvornår åbnes en fil i Application Guard?
Filer, der i øjeblikket åbnes i Beskyttet visning, åbnes i Application Guard, hvis Application Guard er aktiveret. Disse omfatter:
-
Filer, der stammer fra internettet: Dette henviser til filer, der er downloadet fra domæner, der ikke er en del af enten det lokale intranet eller et domæne med websteder, du har tillid til, på din enhed, filer, der er modtaget som vedhæftede filer i mails fra afsendere uden for organisationen, filer, der er modtaget fra andre typer internetbeskeder eller delingstjenester, eller filer, der er åbnet fra en OneDrive- eller SharePoint-placering uden for organisationen.
-
Filer, der er placeret på potentielt usikre placeringer: Dette henviser til mapper på din computer, eller dit netværk, som anses for usikre, f.eks. mappen med midlertidige internetfiler eller andre mappe, som tildeles af administratoren.
Bemærk!: Filer, der er åbnet fra en netværksplacering, herunder din organisations OneDrive, åbnes som skrivebeskyttet i Application Guard. Du kan gemme en kopi af disse filer for at fortsætte med at arbejde med dem, eller hvis du har tillid til filens kilde, kan du vælge at fjerne beskyttelsen som beskrevet nedenfor.
-
Filer, der er blokeret af Filblokering: Filblokering forhindrer, at forældede filtyper kan åbnes, og din fil åbnes i Beskyttet visning samtidig med at funktionerne Gem og Åbn deaktiveres. Få mere at vide om Filblokering.
Hvordan fjerner eller gendanner jeg beskyttelse fra en fil?
Advarsel!: Gør kun dette, hvis du er meget sikker på, at filen og dens kilde er pålidelig.
Hvis du vil udføre handlinger, der ikke er tilladt af Application Guard kan du fjerne Application Guard-beskyttelse fra en fil. Når du fjerner beskyttelsen, bliver filen til et dokument, der er tillid til.
Hvis du vil fjerne Application Guard-beskyttelse, skal du gå til Fil > Oplysninger og vælge Fjern beskyttelse.
Hvis du ikke kan, er det sandsynligt, at din organisation har udrullet politikker, der forhindrer, at Application Guard-beskyttelse fjernes fra en fil.
Sådan gendanner du beskyttelsen
Gå til Fil > Indstillinger > Center for sikkerhed og rettigheder > Indstillinger for Center for sikkerhed og rettigheder > Dokumenter, der er tillid til og vælg Ryd alle dokumenter, der er tillid til, så der ikke længere er tillid til dem.
Bemærk, at dette gendanner beskyttelsen af ALLE dokumenter, du har fjernet det fra, på denne enhed.
Vigtigt!: Denne indstilling er kun tilgængelig uden for det Application Guard miljø. Åbn en ny forekomst af Office-appen for at foretage denne ændring.
Hvordan ændrer jeg indstillingerne for Application Guard
Vigtigt!:
-
Denne indstilling er kun tilgængelig uden for det Application Guard miljø. Åbn en ny forekomst af Office-appen for at foretage denne ændring.
-
Vi anbefaler, at du taler med din it-administrator, før du foretager ændringer af indstillingerne for Application Guard.
-
Gå til Filer > Indstillinger.
-
Vælg Center for sikkerhed og rettighedsadministration > Indstillinger for Center for sikkerhed og rettighedsadministration > Application Guard.
-
Foretag dine valg, og vælg derefter OK for at gemme ændringerne og afslutte Indstillinger for Center for sikkerhed og rettighedsadministration.
Indstillinger for Application Guard
-
Aktivér Application Guard for filer, der stammer fra internettet – internettet betragtes som en usikker placering, fordi det er den mest almindelige kilde til skadelige filer.
-
Aktivér Application Guard for filer, der er på potentielt usikre placeringer – Dette henviser til mapper på computeren eller netværket, der betragtes som usikre, f.eks. mappen Midlertidig internet eller andre mapper, der er valgt af it-administratoren.
-
Aktivér Application Guard for vedhæftede Outlook-filer – Vedhæftede filer i mails er en anden almindelig kilde til skadelige filer.
Excel har to yderligere indstillinger:
-
Åbn altid upålidelige tekstbaserede filer (.csv, .dif og .sylk) i Application Guard – Hvis indstillingen er aktiveret, åbnes tekstbaserede filer, der er åbnet fra en placering, der ikke er tillid til, altid i Application Guard. Hvis du deaktiverer eller undlader at konfigurere denne politikindstilling, åbnes tekstbaserede filer, der åbnes fra en placering, der ikke er tillid til, normalt.
-
Åbn altid upålidelige databasefiler (.dbf) i Application Guard – Hvis det er aktiveret, åbnes databasefiler, der åbnes fra en placering, der ikke er tillid til, altid i Application Guard. Hvis du deaktiverer eller undlader at konfigurere denne indstilling, åbnes databasefiler, der åbnes fra en placering, der ikke er tillid til, normalt.
Alle disse indstillinger kan også konfigureres af en administrator via Gruppepolitik eller tjenesten Office-skypolitik.
Hvilken type ting kan jeg ikke gøre i ApplicationGuard?
Af sikkerhedsmæssige årsager er visse funktioner ikke tilgængelige for Office-programmer, mens de kører i Application Guard. Disse omfatter:
-
Adgang til brugerens identitet.
-
Adgang til vilkårlige placeringer på filsystemet.
-
Adgang til netværksplaceringer, der er klassificeret som inden for virksomhedens sikkerhedsgrænse (f.eks. virksomhedens intranet eller domæner, der er klassificeret som "Enterprise") i henhold til politikker for netværksisolering.
-
CSV, HTML og filer, der er beskyttet af IRM (Information Rights Management), kan ikke åbnes i Application Guard. Hvis administratoren konfigurerer politikindstillingen Ikke-understøttede filtyper for din organisation, kan du åbne disse filer i Beskyttet visning. Få mere at vide om konfiguration af Application Guard til Office-politikker.
-
Indsættelse af RTF-indhold (Rich Text Format) eller billeder i Office-dokumenter, der er åbnet med Application Guard, understøttes ikke i øjeblikket.
Funktioner i Office, der kan være afhængige af disse funktioner, er ikke tilgængelige. Nogle eksempler omfatter deling af en fil, tage et skærmbillede, indsættelse af et billede fra en placering i filsystemet, tilføjelse af en forbindelse til en datakilde osv.
Hvad med tilføjelser og makroer?
Ud over de indbyggede funktioner, der er deaktiveret, deaktiveres alle funktioner, der udvider funktionerne i Office, herunder COM, VSTO, web-tilføjelsesprogrammer og -makroer, i Application Guard.
Kan jeg bruge Application Guard med en skærmlæser?
Filer, der åbnes i Application Guard, er tilgængelige via tilgængelighedsværktøjer, der bruger Microsoft UI Automation-strukturen (UIA), f.eks. Microsoft Oplæser.