Importante: Microsoft Defender Application Guard per Office è in fase di deprecazione e non è più in corso di aggiornamento. Questa deprecazione include anche le API Windows.Security.Isolation usate per Microsoft Defender Application Guard per Office. È consigliabile eseguire la transizione alle regole di riduzione della superficie Microsoft Defender per endpoint attacco insieme alla Visualizzazione protetta e al controllo delle applicazioni di Windows Defender. A partire da Windows 11, versione 24H2, Microsoft Defender Application Guard non è più disponibile.
I file provenienti da Internet e altre posizioni potenzialmente non sicure possono contenere virus, worm o altri tipi di malware in grado di danneggiare il computer e i dati. Per proteggere l'utente, Microsoft 365 apre i file da posizioni potenzialmente non sicure in Application Guard, un’applicazione contenitore sicura e isolata dal resto dei dati tramite la virtualizzazione basata su hardware. A differenza di Visualizzazione protetta, quando Microsoft 365 apre i file in Application Guard, è possibile leggere, modificare, stampare e salvare i file in modo sicuro senza dover riaprire i file all'esterno del contenitore.
Se l’utente è certo che il file sia sicuro e necessita di eseguire un'operazione bloccata da Application Guard, è possibile scegliere di rimuovere la protezione dal file.
Nota: Se l'amministratore ha abilitato Sicurezza documenti, il file viene verificato in base a Microsoft Defender per il servizio di endpoint in modo da determinarne il potenziale di pericolosità prima di essere aperto all'esterno di Application Guard.
Visualizzazione protetta è una modalità di sola lettura in cui la maggior parte delle funzioni di modifica viene disabilitata. I file provenienti da posizioni potenzialmente non sicure vengono aperti in sola lettura o in Visualizzazione protetta. La Visualizzazione protetta consente di leggere un file, visualizzarne il contenuto e abilitarne la modifica riducendo i rischi.
Application Guard è una modalità con restrizioni che consente di eseguire modifiche limitate e stampa di documenti non attendibili riducendo al minimo i rischi per il computer. Office apre i file da posizioni potenzialmente non sicure in Application Guard, un’applicazione contenitore sicura e isolata dal dispositivo tramite la virtualizzazione basata su hardware. Quando Office apre i file in Application Guard, è possibile leggere, modificare, stampare e salvare i file in modo sicuro senza dover riaprire i file all'esterno del contenitore.
Rispetto a Visualizzazione protetta, Application Guard offre funzionalità di sicurezza avanzata e maggiore produttività per gli utenti.
Sicurezza
Application Guard è una sandbox basata sulla virtualizzazione, utilizzata per isolare documenti potenzialmente non attendibili. Offre al desktop la stessa tecnologia sfruttata da Azure.
I documenti non attendibili vengono aperti in un contenitore abilitato per l’Hyper-V, separato dal sistema operativo host. Il contenitore è “isolato” nel senso che se un documento risulta essere dannoso, il PC host è protetto e l’utente malintenzionato non può accedere ai dati dell’organizzazione. Ad esempio, questo approccio rende anonimo il contenitore isolato, in modo che un utente malintenzionato non possa accedere alle credenziali aziendali del dipendente.
Produttività
Oltre a poter leggere documenti all'interno del contenitore sicuro, è ora possibile sfruttare funzionalità come la stampa, i commenti e la revisione, la modifica limitata e il salvataggio, mantenendo un documento non attendibile all'interno del contenitore Application Guard.
Quando vengono rilevati documenti provenienti da fonti non attendibili ma non dannosi, l’utente può continuare l’attività senza preoccuparsi dei rischi per il proprio dispositivo.
Quando viene rilevato un documento dannoso, questo viene isolato in modo sicuro all'interno di Application Guard, riducendo i rischi per il resto del sistema.
Application Guard è disponibile per le organizzazioni che dispongono di licenze per Microsoft 365 E5 o Microsoft 365 E5 Mobility + Security. Gli utenti di tali organizzazioni devono utilizzare Microsoft 365 Apps for enterprise nel Canale corrente o Canale Enterprise mensile.
Ulteriori informazioni sulla configurazione di Application Guard per Office.
Quando viene aperto un file in Application Guard?
I file attualmente aperti in Visualizzazione protetta vengono aperti in Application Guard se quest’ultimo è abilitato. Queste esperienze includono:
-
File provenienti da Internet: Si riferisce ai file scaricati da domini che non fanno parte della Intranet locale o di un dominio di siti attendibili sul dispositivo, ai file ricevuti come allegati di posta elettronica da mittenti esterni all'organizzazione, ai file ricevuti da altri tipi di servizi di messaggistica Internet o di condivisione, oppure ai file aperti da una posizione di OneDrive o SharePoint all'esterno dell'organizzazione.
-
File in posizioni potenzialmente non sicure: Questa opzione fa riferimento a cartelle sul computer o in rete non ritenute sicure, ad esempio quella dei file temporanei Internet o altre cartelle assegnate dall'amministratore.
Nota: I file aperti da un percorso di rete, incluso nel servizio OneDrive dell'organizzazione, vengono aperti in sola lettura in Application Guard. È possibile salvare una copia di questi file per continuare a utilizzarli oppure, se l'origine del file è considera attendibile, è possibile rimuovere la protezione come descritto di seguito.
-
File bloccati da Blocco file: Blocco file impedisce l'apertura di tipi di file obsoleti e causa l'apertura dei file in Visualizzazione protetta, oltre a disabilitare i comandi Salva e Apri. Ulteriori informazioni su Blocco file.
Come rimuovere o ripristinare la protezione da un file?
Attenzione: Eseguire questa operazione solo se si è davvero certi che il file e la relativa origine siano attendibili.
Per eseguire azioni non consentite da Application Guard, è possibile rimuovere la protezione di Application Guard da un file. Dopo aver rimosso la protezione, il file diventa un documento attendibile.
Per rimuovere la protezione di Application Guard, passare a File > Informazioni , quindi selezionare Rimuovi protezione.
Se ciò non è possibile, è probabile che l'organizzazione abbia implementato criteri che impediscono la rimozione della protezione di Application Guard da un file.
Per ripristinare la protezione
Passare a File> Opzioni > Centro protezione> Impostazioni Centro protezione > Documenti attendibili , quindi selezionare Cancella tutti i documenti attendibili in modo che non siano più attendibili.
Attenzione: in questo modo verrà ripristinata la protezione, rimossa sul dispositivo, di TUTTI i documenti.
Importante: Questa opzione è disponibile solo all'esterno dell'ambiente Application Guard. Aprire una nuova istanza dell'app di Office per apportare questa modifica.
Come modificare le impostazioni di Application Guard
Importante:
-
Questa opzione è disponibile solo all'esterno dell'ambiente Application Guard. Aprire una nuova istanza dell'app di Office per apportare questa modifica.
-
È consigliabile rivolgersi all'amministratore IT prima di apportare modifiche alle impostazioni di Application Guard.
-
Fare clic su File> Opzioni.
-
Selezionare Centro protezione > Impostazioni Centro protezione > Application Guard.
-
Selezionare le opzioni desiderate, quindi scegliere OK per salvare le modifiche e uscire da Impostazioni Centro protezione.
Impostazioni di Application Guard
-
Abilita Application Guard per i file provenienti da Internet. Internet è considerato una posizione non sicura in quanto è l’origine più comune di file dannosi.
-
Abilita Application Guard per i file situati in percorsi potenzialmente non sicuri. Questa opzione fa riferimento a cartelle sul computer o in rete non ritenute sicure, ad esempio quelle dei file temporanei Internet o altre cartelle selezionate dall'amministratore.
-
Abilitare allegati in Application Guard per Outlook: gli allegati di posta elettronica sono un'ulteriore origine comune di file dannosi.
Excel offre due impostazioni aggiuntive:
-
Aprire sempre i file basati su testo non attendibili (.csv, .dif e .sylk) in Application GuardSe l’impostazione è abilitata, i file basati su testo aperti da una posizione non attendibile vengono sempre aperti in Application Guard. Se si disabilita o non si configura questa impostazione dei criteri, i file basati su testo aperti da una posizione non attendibile vengono aperti normalmente.
-
Aprire sempre file di database non attendibili (.dbf) in Application Guard: se abilitata, i file di database aperti da una posizione non attendibile vengono sempre aperti in Application Guard. Se si disabilita o non si configura questa impostazione, i file di database aperti da una posizione non attendibile vengono aperti normalmente.
Queste impostazioni possono essere configurate anche da un amministratore tramite Criteri di gruppo o il servizio di criteri cloud di Office.
Quali tipi di operazioni non è concesso eseguire in Application Guard?
Per motivi di sicurezza, alcune funzionalità non sono disponibili per le applicazioni Office eseguite in Application Guard. Queste esperienze includono:
-
Accesso all'identità dell'utente.
-
Accesso a posizioni arbitrarie sul file system.
-
Accesso a percorsi di rete che rientrano nel limite di sicurezza aziendale (ad esempio Intranet aziendale o domini classificati come “Enterprise”) in base ai criteri di isolamento della rete.
-
I file CSV, HTML e quelli protetti da Information Rights Management (IRM) non possono essere aperti in Application Guard. Se l'amministratore configura l'impostazione dei criteri dell’organizzazione Tipi di file non supportati , è possibile aprire questi file in Visualizzazione protetta. Ulteriori informazioni sulla configurazione dei criteri di Application Guard per Office.
-
L’operazione di incollare contenuti RTF (Rich Text Format) o immagini all’interno dei documenti di Office aperti con Application Guard non è attualmente supportato.
Le funzionalità in Office che potrebbero richiedere una dipendenza da queste funzionalità non sono disponibili. Tra queste vi sono la condivisione di un file, l'acquisizione di uno screenshot, l'inserimento di un’immagine da una posizione sul file system, l'aggiunta di una connessione a un'origine dati ecc.
Informazioni su componenti aggiuntivi e macro
Oltre alle funzioni predefinite disabilitate, le funzionalità che estendono le funzionalità di Office tra cui COM, VSTO, componenti aggiuntivi Web e macro sono disabilitate in Application Guard.
È possibile utilizzare Application Guard con un’utilità per la lettura dello schermo?
È possibile accedere ai file aperti in Application Guard tramite strumenti di accessibilità che sfruttano il framework automazione interfaccia utente Microsoft (UIA), ad esempio Assistente vocale Microsoft.
Vedere anche
Informazioni sulla Visualizzazione protetta