Belangrijk: Microsoft Defender Application Guard voor Office wordt afgeschaft en wordt niet meer bijgewerkt. Deze afschaffing omvat ook de Windows.Security.Isolation-API's die worden gebruikt voor Microsoft Defender Application Guard voor Office. We raden u aan over te stappen op Microsoft Defender voor Eindpunt regels voor het verminderen van het oppervlak, samen met beveiligde weergave en Windows Defender-toepassingsbeheer. Vanaf Windows 11 versie 24H2 is Microsoft Defender Application Guard niet meer beschikbaar.
Bestanden van internet en andere mogelijk onveilige locaties kunnen virussen, wormen of andere soorten malware bevatten waardoor uw computer en gegevens kunnen worden beschadigd. Om u te beschermen, opent Microsoft 365 bestanden vanaf mogelijk onveilige locaties in Application Guard, een beveiligde container die is geïsoleerd van de rest van uw gegevens via hardwaregebaseerde virtualisatie. In tegenstelling tot de beveiligde weergave kunt u, wanneer Microsoft 365 bestanden in Application Guard opent, deze bestanden veilig lezen, bewerken, afdrukken en opslaan zonder dat u bestanden buiten de container opnieuw hoeft te openen.
Als u zeker weet dat het bestand veilig is en u iets moet doen dat wordt geblokkeerd door Application Guard, kunt u ervoor kiezen om de beveiliging van dat bestand te verwijderen.
Opmerking: Als uw beheerder Veilige documentenheeft ingeschakeld, wordt het bestand gecontroleerd aan de hand van de Microsoft Defender voor Endpoint-service om te bepalen of het schadelijk is voordat het buiten Application Guard wordt geopend.
De beveiligde weergave is een alleen-lezenmodus waarin de meeste bewerkfuncties zijn uitgeschakeld. Bestanden van mogelijk onveilige locaties worden geopend als alleen-lezen of in de beveiligde weergave. In de beveiligde weergave kunt u een bestand lezen en de inhoud weergeven, en bewerken inschakelen met minder risico.
Application Guard is een beperkte modus waarmee u beperkte bewerkingen en afdrukken van niet-vertrouwde documenten kunt uitvoeren terwijl het risico voor uw computer wordt geminimaliseerd. Office opent bestanden vanaf mogelijk onveilige locaties in Application Guard, een beveiligde container die is geïsoleerd van het apparaat via hardwaregebaseerde virtualisatie. Wanneer Office bestanden in Application Guard opent, kunt u deze bestanden veilig lezen, bewerken, afdrukken en opslaan zonder dat u bestanden buiten de container opnieuw hoeft te openen.
Vergeleken met de beveiligde weergave biedt Application Guard zowel verbeterde beveiliging als verbeterde productiviteit voor gebruikers.
Beveiliging
Application Guard is een sandbox op basis van virtualisatie die wordt gebruikt om niet-vertrouwde documenten te isoleren die u mogelijk tegenkomt. Het biedt dezelfde technologie die Azure op uw monitor biedt.
Niet-vertrouwde documenten worden geopend in een geïsoleerde Hyper-V-container, die los staat van het host-besturingssysteem. Deze containerisolatie betekent dat als een document schadelijk is, de host-pc is beveiligd en de aanvaller geen toegang heeft tot uw bedrijfsgegevens. Met deze aanpak wordt de geïsoleerde container bijvoorbeeld anoniem, zodat een aanvaller geen toegang heeft tot de bedrijfsgegevens van uw werknemer.
Productiviteit
Naast het kunnen lezen van documenten in de beveiligde container, kunt u nu functies gebruiken zoals afdrukken, opmerkingen plaatsen en controleren, lichte bewerkingen en opslaan, terwijl u een niet-vertrouwd document in de Application Guard-container bewaart.
Wanneer u documenten tegenkomt van niet-vertrouwde bronnen die niet schadelijk zijn, kunt u productief blijven zonder dat u zich zorgen hoeft te maken over het risico van uw apparaat.
Als u een schadelijk document tegenkomt, is het veilig geïsoleerd binnen Application Guard, waardoor de rest van uw systeem veilig blijft.
Application Guard is beschikbaar voor organisaties die Microsoft 365 E5- of Microsoft 365 E5 Mobility + Security-licenties hebben. Gebruikers in deze organisaties moeten Microsoft 365-apps voor ondernemingen gebruiken op het Huidige kanaal of Monthly Enterprise-kanaal.
Meer informatie over het instellen van Application Guard voor Office.
Wanneer wordt een bestand geopend in Application Guard?
Bestanden die momenteel worden geopend in de Beveiligde weergave, worden geopend in Application Guard als Application Guard is ingeschakeld. Dit zijn onder andere:
-
Bestanden die afkomstig zijn van internet: Dit verwijst naar bestanden die worden gedownload van domeinen die geen deel uitmaken van het lokale intranet of een domein van vertrouwde sites op uw apparaat, bestanden die zijn ontvangen als e-mailbijlagen van afzenders buiten uw organisatie, bestanden die zijn ontvangen van andere soorten internetberichten of services voor delen, of bestanden die zijn geopend vanaf een OneDrive- of SharePoint-locatie buiten uw organisatie.
-
Bestanden die zich op mogelijk onveilige locaties bevinden: Dit heeft betrekking op mappen op de computer of in het netwerk die als onveilig worden beschouwd, zoals de map met tijdelijke internetbestanden of andere mappen die door uw beheerder zijn toegewezen.
Opmerking: Bestanden die zijn geopend vanaf een netwerklocatie, waaronder OneDrive van uw organisatie als Alleen-lezen kan worden geopend in Application Guard. U kunt een kopie van dergelijke bestanden opslaan om ermee te blijven werken, of als u de bron van het bestand vertrouwt, kunt u ervoor kiezen om de beveiliging te verwijderen zoals hieronder wordt beschreven.
-
Bestanden die worden geblokkeerd door Bestandsblok: Bestandsblok voorkomt dat verouderde bestandstypen worden geopend en zorgt ervoor dat uw bestand wordt geopend in de beveiligde weergave en schakelt de functies Opslaan en Openen uit. Meer informatie over Bestandsblok.
Hoe kan ik beveiliging van een bestand verwijderen of herstellen?
Let op: Doe dit alleen als u er zeker van bent dat het bestand en de bron ervan betrouwbaar zijn.
Als u acties wilt uitvoeren die niet zijn toegestaan door Application Guard kunt u de Application Guard-beveiliging uit een bestand verwijderen. Zodra u de beveiliging hebt verwijderd, wordt het bestand een vertrouwd document.
Als u Application Guard-beveiliging wilt verwijderen, gaat u naar Bestandsgegevens > en selecteert u Beveiliging verwijderen.
Als u dit niet kunt doen, is het waarschijnlijk dat uw organisatie beleidsregels heeft geïmplementeerd die voorkomen dat Application Guard-beveiliging uit een bestand wordt verwijderd.
Beveiliging herstellen
Ga naar Bestand > Opties > Vertrouwenscentrum > Vertrouwenscentrum-instellingen > Vertrouwde documenten en selecteer Alle vertrouwde documenten wissen zodat ze niet meer worden vertrouwd.
Houd er rekening mee dat hiermee de beveiliging wordt hersteld voor ALLE documenten waaruit u deze hebt verwijderd op dit apparaat.
Belangrijk: Deze optie is alleen beschikbaar buiten de Application Guard omgeving. Open een nieuw exemplaar van de Office-app om deze wijziging aan te brengen.
Hoe kan ik mijn Application Guard-instellingen wijzigen
Belangrijk:
-
Deze optie is alleen beschikbaar buiten de Application Guard omgeving. Open een nieuw exemplaar van de Office-app om deze wijziging aan te brengen.
-
We raden u aan om met uw IT-beheerder te praten voordat u wijzigingen aanbrengt in de instellingen van Application Guard.
-
Ga naar Bestand > Opties
-
Selecteer Vertrouwenscentrum > Instellingen van vertrouwenscentrum > Application Guard.
-
Maak uw selecties en selecteer OK om uw wijzigingen op te slaan en de instellingen van het Vertrouwenscentrum af te sluiten.
Application Guard-instellingen
-
Application Guard inschakelen voor bestanden die afkomstig zijn van internet. Internet wordt beschouwd als een onveilige locatie omdat dit de meest voorkomende bron is voor schadelijke bestanden.
-
Beveiligde weergave inschakelen voor bestanden op mogelijk onveilige locaties Dit heeft betrekking op mappen op de computer of in het netwerk die als onveilig worden beschouwd, zoals de map met tijdelijke internetbestanden of andere mappen die door uw beheerder zijn toegewezen.
-
Application Guard inschakelen voor Outlook-bijlagen. Bijlagen in e-mail zijn een andere veelvoorkomende bron van schadelijke bestanden.
Excel heeft twee extra instellingen:
-
Open altijd niet-vertrouwde Text-Based-bestanden (.csv, .dif en .sylk) in Application Guard -Als deze optie is ingeschakeld, worden op tekst gebaseerde bestanden die zijn geopend vanaf een niet-vertrouwde locatie altijd geopend in Application Guard. Als u deze beleidsinstelling uitschakelt of niet configureert, worden op tekst gebaseerde bestanden die zijn geopend vanaf een niet-vertrouwde locatie normaal geopend.
-
Open altijd niet-vertrouwde databasebestanden (.dbf) in Application Guard. Als deze optie is ingeschakeld, worden databasebestanden die vanaf een niet-vertrouwde locatie worden geopend, altijd geopend in Application Guard. Als u deze instelling uitschakelt of niet configureert, worden databasebestanden die vanaf een niet-vertrouwde locatie worden geopend, normaal geopend.
Alle instellingen kunnen ook door een beheerder worden geconfigureerd via groepsbeleid of de Office-cloudbeleidsservice.
Wat voor soort dingen kan ik niet doen in Application Guard?
Voor uw beveiliging zijn bepaalde mogelijkheden niet beschikbaar voor Office-toepassingen tijdens het uitvoeren in Application Guard. Dit zijn onder andere:
-
Toegang tot de gebruikersidentiteit.
-
Toegang tot willekeurige locaties op uw bestandssysteem.
-
Toegang tot netwerklocaties die zijn geclassificeerd als binnen de beveiligingsgrens van de onderneming (bijvoorbeeld bedrijfsintranet of domeinen die zijn geclassificeerd als 'Enterprise') per netwerkisolatiebeleid.
-
CSV, HTML en bestanden die worden beveiligd met IRM (Information Rights Management) kunnen niet worden geopend in Application Guard. Als uw beheerder de beleidsinstelling Niet-ondersteunde bestandstypen voor uw organisatie configureert, kunt u deze bestanden openen in de beveiligde weergave. Meer informatie over het configureren van Application Guard voor Office-beleid.
-
Het plakken van RTF-inhoud (Rich Text Format) in Office-documenten die met Application Guard zijn geopend, wordt momenteel niet ondersteund.
Functies in Office die mogelijk afhankelijk zijn van deze mogelijkheden, zijn niet beschikbaar. Enkele voorbeelden zijn het delen van een bestand, het vastleggen van een schermopname, het invoegen van een afbeelding vanaf een locatie in het bestandssysteem, het toevoegen van een verbinding met een gegevensbron, enzovoort.
Hoe zit het met invoegtoepassingen en macro's?
Naast de ingebouwde functies die zijn uitgeschakeld, zijn alle mogelijkheden die de mogelijkheden van Office uitbreiden, waaronder COM, VSTO, webinvoegtoepassingen en macro's, uitgeschakeld in Application Guard.
Kan ik Application Guard gebruiken met een schermlezer?
Bestanden die zijn geopend in Application Guard zijn toegankelijk via toegankelijkheidsprogramma's die gebruikmaken van het UIA-framework (Microsoft UI Automation), zoals Microsoft Narrator .
Zie ook
Wat is de beveiligde weergave?
Uzelf beschermen tegen phishing