Viktigt!: Microsoft Defender Application Guard för Office är inaktuella och uppdateras inte längre. Den här utfasningen omfattar även De Windows.Security.Isolation-API:er som används för Microsoft Defender Application Guard för Office. Vi rekommenderar att du går över till Microsoft Defender för Endpoint anfallsregler för att minska attackytan tillsammans med Skyddad vy och Windows Defender-programreglering. Från och med Windows 11 version 24H2 är Microsoft Defender Application Guard inte längre tillgänglig.
Filer från Internet och andra eventuellt osäkra platser kan innehålla virus, maskar eller annan skadlig programvara som kan skada datorn och data. För att skydda dig öppnar Microsoft 365 filer från eventuellt osäkra platser i Application Guard, en säker behållare som isoleras från resten av dina data genom maskinvarubaserad virtualisering. När Microsoft 365 öppnar filer i Application Guard kan du på ett säkert sätt läsa, redigera, skriva ut och spara dessa filer utan att behöva öppna filer utanför behållaren igen, till skillnad från Skyddad vy.
Om du är säker på att filen är säker och du behöver göra något som blockeras av Application Guard kan du välja att ta bort skyddet från filen.
Obs!: Om administratören har aktiverat Säkra dokument verifieras filen mot Microsoft Defender för slutpunktstjänsten för att avgöra om den är skadlig innan den öppnas utanför Application Guard.
Skyddad vy är ett skrivskyddat läge där de flesta redigeringsfunktioner är inaktiverade. Filer från eventuellt osäkra platser öppnas som skrivskyddade eller i Skyddad vy. Genom att använda Skyddad vy kan du läsa en fil, visa dess innehåll och aktivera redigering samtidigt som du minimerar riskerna.
Application Guard är ett begränsat läge som gör att du kan utföra begränsad redigering och utskrift av dokument som inte är betrodda samtidigt som risken för datorn minimeras. Office öppnar filer från eventuellt osäkra platser i Application Guard, en säker behållare som isoleras från enheten via maskinvarubaserad virtualisering. När Office öppnar filer i Application Guard kan du på ett säkert sätt läsa, redigera, skriva ut och spara dessa filer utan att behöva öppna filer utanför behållaren igen.
Jämfört med Skyddad vy ger Application Guard både förbättrad säkerhet och förbättrad produktivitet för användare.
Säkerhet
Application Guard är en virtualiseringsbaserad sandbox-miljö som används för att isolera dokument som inte är betrodda. Det tillhandahåller samma teknik som driver Azure till ditt skrivbord.
Ej betrodda dokument öppnas i en isolerad Hyper-V-aktiverad behållare, som är åtskild från värdoperativsystemet. Den här behållarisoleringen innebär att om ett dokument är skadligt skyddas värddatorn och angriparen kan inte komma åt dina företagsdata. Den här metoden gör till exempel den isolerade behållaren anonym, så att en angripare inte kan komma åt den anställdas företagsautentiseringsuppgifter.
Produktivitet
Förutom att kunna läsa dokument i den säkra behållaren kan du nu använda funktioner som utskrift, kommentarer och granskning, enkel redigering och sparande, samtidigt som du behåller ett dokument som inte är betrott i Application Guard-behållaren.
När du stöter på dokument från källor som inte är betrodda och inte är skadliga kan du fortsätta vara produktiv utan att oroa dig för att utsätta enheten för risker.
Om du stöter på ett dokument som är skadligt hålls det isolerat i Application Guard och skyddar resten av systemet.
Application Guard är tillgängligt för organisationer som har licenser för Microsoft 365 E5 eller Microsoft 365 E5 Mobility + Security. Användare i dessa organisationer måste använda Microsoft 365-appar för företag på aktuell kanal eller månatlig företagskanal.
Läs mer om hur du konfigurerar Application Guard för Office.
När öppnas en fil i Application Guard?
Filer som för närvarande öppnas i Skyddad vy öppnas i Application Guard om Application Guard är aktiverat. De omfattar:
-
Filer som kommer från Internet: Det här refererar till filer som laddas ned från domäner som inte är en del av varken det lokala intranätet eller domänen Betrodda platser på enheten, filer som har tagits emot som e-postbilagor från avsändare utanför organisationen, filer som tagits emot från andra typer av internetmeddelanden eller delningstjänster eller filer som öppnats från en OneDrive- eller SharePoint-plats utanför organisationen.
-
Filer som finns på eventuellt osäkra platser: Detta avser eventuellt osäkra mappar på den egna datorn eller i nätverket, till exempel mappen Tillfälliga Internetfiler och andra mappar som har angetts av administratören.
Obs!: Filer som öppnats från en nätverksplats, inklusive organisationens OneDrive, öppnar Skrivskyddad i Application Guard. Du kan spara en kopia av sådana filer om du vill fortsätta arbeta med dem, eller om du litar på filens källa kan du välja att ta bort skyddet enligt beskrivningen nedan.
-
Filer som blockeras av Filblockering: Filblockering förhindrar inaktuella filtyper från att öppnas och gör att filen öppnas i skyddad vy och inaktiverar funktionerna Spara och Öppna. Läs mer om Filblockering.
Hur gör jag för att ta bort, eller återställa, skydd från en fil?
Varning!: Gör bara detta om du är säker på att filen, och dess källa, är pålitlig.
Om du vill vidta åtgärder som inte tillåts av Application Guard kan du ta bort Application Guard-skyddet från en fil. När du tar bort skyddet blir filen ett betrott dokument.
Om du vill ta bort Application Guard-skyddet går du till Arkiv > Information och väljer Ta bort skydd.
Om du inte kan det är det troligt att organisationen har principer distribuerade som förhindrar att Application Guard-skyddet tas bort från en fil.
Så här återställer du skyddet
Gå till Arkiv > Alternativ > Säkerhetscenter > Inställningar för säkerhetscenter > Betrodda dokument och välj Rensa alla betrodda dokument så att de inte längre är betrodda.
Observera att detta återställer skyddet för ALLA dokument som du har tagit bort det från på den här enheten.
Viktigt!: Det här alternativet är bara tillgängligt utanför den Application Guard miljön. Öppna en ny instans av Office-appen för att göra den här ändringen.
Hur ändrar jag inställningarna för Application Guard
Viktigt!:
-
Det här alternativet är bara tillgängligt utanför den Application Guard miljön. Öppna en ny instans av Office-appen för att göra den här ändringen.
-
Vi rekommenderar att du kontaktar IT-administratören innan du gör ändringar i Application Guard-inställningarna.
-
Gå till Arkiv > Alternativ.
-
Välj Säkerhetscenter > Inställningar för säkerhetscenter > Application Guard.
-
Gör dina val och välj sedan OK för att spara ändringarna och stänga inställningarna för säkerhetscenter.
Inställningar för Application Guard
-
Aktivera Application Guard för filer som kommer från Internet – Internet anses vara en osäker plats eftersom det är den vanligaste källan för skadliga filer.
-
Aktivera Application Guard för filer som finns på eventuellt osäkra platser – Detta avser mappar på datorn eller nätverket som anses vara osäkra, exempelvis mappen Tillfälliga Internetfiler eller andra mappar som angetts av IT-administratören.
-
Aktivera Application Guard för bifogade filer i Outlook – Bifogade filer i e-post är en annan vanlig källa till skadliga filer.
Excel har ytterligare två inställningar:
-
Öppna alltid ej betrodda textbaserade filer (.csv, .dif och .sylk) i Application Guard –Om det är aktiverat öppnas alltid textbaserade filer som öppnats från en plats som inte är betrodd i Application Guard. Om du inaktiverar eller inte konfigurerar den här principinställningen öppnas textbaserade filer som öppnats från en ej betrodd plats normalt.
-
Öppna alltid ej betrodda databasfiler (.dbf) i Application Guard – Om det är aktiverat öppnas alltid databasfiler som öppnats från en ej betrodd plats i Application Guard. Om du inaktiverar eller inte konfigurerar den här inställningen öppnas databasfiler som öppnats från en ej betrodd plats normalt.
Alla dessa inställningar kan även konfigureras av en administratör via en grupprincip eller Molnprinciptjänsten för Office.
Vad kan jag inte göra i Application Guard?
För din säkerhet är vissa funktioner inte tillgängliga för Office-program när de körs i Application Guard. De omfattar:
-
Åtkomst till användarens identitet.
-
Åtkomst till godtyckliga platser i filsystemet.
-
Åtkomst till nätverksplatser som klassificeras som inom företagets säkerhetsgräns (t.ex. företagets intranät eller domäner klassificerade som Företag) enligt principer för nätverksisolering.
-
CSV, HTML och filer som skyddas av Information Rights Management (IRM) kan inte öppnas i Application Guard. Om administratören konfigurerar principinställningen Filtyper som inte stöds för organisationen kan du öppna filerna i Skyddad vy. Läs mer om hur du konfigurerar principer för Application Guard för Office.
-
Det går för närvarande inte att klistra in RTF-innehåll (RTF) i Office-dokument som öppnas med Application Guard.
Funktioner i Office som kan vara beroende av dessa funktioner är inte tillgängliga. Några exempel är att dela en fil, ta en skärmbild, infoga en bild från en plats i filsystemet, lägga till en anslutning till en datakälla osv.
Vad gäller för tillägg och makron?
Förutom de inbyggda funktionerna som är inaktiverade inaktiveras även alla funktioner som utökar funktionerna i Office, inklusive COM, VSTO, webbtillägg och makron i Application Guard.
Kan jag använda Application Guard med en skärmläsare?
Filer som öppnas i Application Guard är tillgängliga via hjälpmedelsverktyg som använder ramverket Microsoft UI Automation (UIA), exempelvis Microsoft Skärmläsaren.