สิ่งสำคัญ: Microsoft Defender Application Guard สําหรับ Office ไม่ได้รับการสนับสนุนแล้วและไม่ได้รับการอัปเดตอีกต่อไป การเลิกใช้นี้ยังรวมถึง API ของ Windows.Security.Isolation ที่ใช้สําหรับ Microsoft Defender Application Guard สําหรับ Office ด้วย เราขอแนะนําให้เปลี่ยนไปใช้กฎการลดขนาดพื้นผิว Microsoft Defender for Endpoint attack พร้อมกับมุมมองที่ได้รับการป้องกันและการควบคุมแอปพลิเคชัน Windows Defender เริ่มต้นด้วย Windows 11 เวอร์ชัน 24H2 Microsoft Defender Application Guard ไม่พร้อมใช้งานอีกต่อไป
ไฟล์จากอินเทอร์เน็ตและตําแหน่งที่ตั้งอื่นๆ ที่อาจไม่ปลอดภัยอาจมีไวรัส หนอนไวรัส หรือมัลแวร์ชนิดอื่นๆ ที่อาจเป็นอันตรายต่อคอมพิวเตอร์และข้อมูลของคุณ เพื่อช่วยปกป้องคุณ Microsoft 365เปิดไฟล์จากตําแหน่งที่ตั้งที่อาจไม่ปลอดภัยใน Application Guardhttps://docs.microsoft.com/windows/security/threat-protection/windows-defender-application-guard/wd-app-guard-overview คอนเทนเนอร์ที่ปลอดภัยที่แยกจากส่วนที่เหลือของข้อมูลของคุณผ่านการจําลองเสมือนบนฮาร์ดแวร์ ต่างจากมุมมองที่ได้รับการป้องกัน เมื่อMicrosoft 365เปิดไฟล์ใน Application Guard คุณสามารถอ่าน แก้ไขพิมพ์ และบันทึกไฟล์เหล่านั้นได้อย่างปลอดภัยโดยไม่ต้องเปิดไฟล์ภายนอกคอนเทนเนอร์อีกครั้ง
ถ้าคุณมั่นใจว่าไฟล์ปลอดภัย และคุณต้องทําบางสิ่งที่ถูกบล็อกโดย Application Guard คุณสามารถเลือกที่จะเอาการป้องกันออกจากไฟล์นั้นได้
หมายเหตุ: ถ้าผู้ดูแลระบบของคุณเปิดใช้งานเอกสารที่ปลอดภัย ไฟล์จะถูกตรวจสอบกับ Microsoft Defender สําหรับบริการจุดสิ้นสุดเพื่อตรวจสอบว่าเป็นอันตรายหรือไม่ก่อนที่จะเปิดนอก Application Guard
มุมมองที่ได้รับการป้องกัน เป็นโหมดอ่านอย่างเดียวที่ฟังก์ชันการแก้ไขส่วนใหญ่ถูกปิดใช้งาน ไฟล์จากตําแหน่งที่ตั้งที่อาจไม่ปลอดภัยจะเปิดเป็นแบบอ่านอย่างเดียวหรือในมุมมองที่ได้รับการป้องกัน เมื่อใช้มุมมองที่ได้รับการป้องกัน คุณสามารถอ่านไฟล์และดูเนื้อหาและเปิดใช้งานการแก้ไขพร้อมกับลดความเสี่ยงได้
Application Guard เป็นโหมดจํากัดที่ช่วยให้คุณสามารถแก้ไขและพิมพ์ เอกสารที่ไม่น่าเชื่อถือได้อย่างจํากัดในขณะที่ลดความเสี่ยงให้กับคอมพิวเตอร์ของคุณ Office เปิดไฟล์จากตําแหน่งที่ตั้งที่อาจไม่ปลอดภัยใน Application Guard ซึ่งเป็นคอนเทนเนอร์ที่ปลอดภัยที่แยกออกจากอุปกรณ์ผ่านการจําลองเสมือนบนฮาร์ดแวร์ เมื่อ Office เปิดไฟล์ใน Application Guard คุณสามารถอ่าน แก้ไข พิมพ์ และบันทึกไฟล์เหล่านั้นได้อย่างปลอดภัยโดยไม่ต้องเปิดไฟล์ภายนอกคอนเทนเนอร์อีกครั้ง
เมื่อเปรียบเทียบกับมุมมองที่ได้รับการป้องกัน Application Guard ให้ทั้งความปลอดภัยขั้นสูงและประสิทธิภาพการทํางานที่ดียิ่งขึ้นสําหรับผู้ใช้
ความปลอดภัย
Application Guardเป็น Sandbox ที่ใช้การจําลองเสมือนที่ใช้เพื่อแยกเอกสารที่ไม่น่าเชื่อถือที่คุณอาจพบ ซึ่งนําเทคโนโลยีเดียวกันกับที่เพิ่มความสามารถของ Azure มาสู่เดสก์ท็อปของคุณ
เอกสารที่ไม่น่าเชื่อถือจะถูกเปิดในคอนเทนเนอร์ที่เปิดใช้งาน Hyper-V แยกซึ่งแยกจากระบบปฏิบัติการโฮสต์ การแยกคอนเทนเนอร์นี้หมายความว่าหากเป็นเอกสารที่เป็นอันตราย พีซีโฮสต์จะได้รับการป้องกัน และผู้โจมตีไม่สามารถเข้าถึงข้อมูลองค์กรของคุณได้ ตัวอย่างเช่น วิธีนี้ทําให้คอนเทนเนอร์ที่แยกเป็นกลุ่มไม่ระบุชื่อ ดังนั้นผู้โจมตีจะไม่สามารถเข้าถึงข้อมูลประจําตัวขององค์กรของพนักงานของคุณได้
ประสิทธิภาพการทำงาน
นอกจากความสามารถในการอ่านเอกสารภายในคอนเทนเนอร์ที่ปลอดภัยแล้ว ตอนนี้คุณสามารถใช้ฟีเจอร์ต่างๆ เช่น การพิมพ์ การแสดงข้อคิดเห็นและรีวิว การแก้ไขเล็กน้อย และการบันทึก พร้อมกับเก็บเอกสารที่ไม่น่าเชื่อถือไว้ภายในคอนเทนเนอร์ Application Guard
เมื่อคุณพบเอกสารจากแหล่งที่ไม่น่าเชื่อถือซึ่งไม่เป็นอันตราย คุณสามารถทํางานได้อย่างมีประสิทธิภาพ ต่อไปโดยไม่ต้องกังวลเกี่ยวกับการทําให้อุปกรณ์ของคุณตกอยู่ในความเสี่ยง
ถ้าคุณพบเอกสารที่เป็นอันตราย เอกสารนั้นจะถูกแยกออกอย่างปลอดภัยภายใน Application Guard เพื่อให้ส่วนที่เหลือของระบบของคุณปลอดภัย
Application Guard พร้อมใช้งานสําหรับองค์กรที่มีสิทธิ์การใช้งาน Microsoft 365 E5 หรือ Microsoft 365 E5 Mobility + Security ผู้ใช้ในองค์กรเหล่านั้นต้องใช้แอป Microsoft 365 สําหรับองค์กรในช่องทางปัจจุบันหรือช่องทาง Enterprise รายเดือน
เรียนรู้เพิ่มเติมเกี่ยวกับการตั้งค่า Application Guard สําหรับ Office
ไฟล์จะเปิดใน Application Guard เมื่อใด
ไฟล์ที่เปิดอยู่ในปัจจุบันใน มุมมองที่ได้รับการป้องกัน จะเปิดขึ้นใน Application Guard ถ้ามีการเปิดใช้งาน Application Guard ซึ่งรวมถึง:
-
ไฟล์ที่มาจากอินเทอร์เน็ต: ซึ่งหมายถึงไฟล์ที่ดาวน์โหลดจากโดเมนที่ไม่ได้เป็นส่วนหนึ่งของโดเมนอินทราเน็ตเฉพาะที่หรือไซต์ที่เชื่อถือได้บนอุปกรณ์ของคุณ ไฟล์ที่ได้รับเป็นสิ่งที่แนบมากับอีเมลจากผู้ส่งภายนอกองค์กรของคุณ ไฟล์ที่ได้รับจากบริการการส่งข้อความทางอินเทอร์เน็ตหรือการแชร์ชนิดอื่นๆ หรือไฟล์ที่เปิดจากตําแหน่งที่ตั้ง OneDrive หรือ SharePoint ภายนอกองค์กรของคุณ
-
ไฟล์ที่อยู่ในตําแหน่งที่ตั้งที่อาจไม่ปลอดภัย: ซึ่งหมายถึงโฟลเดอร์ต่างๆ บนคอมพิวเตอร์หรือเครือข่ายของคุณที่ได้รับการพิจารณาว่าไม่ปลอดภัย เช่น โฟลเดอร์อินเทอร์เน็ตชั่วคราว หรือโฟลเดอร์อื่นๆ ที่กำหนดโดยผู้ดูแลระบบของคุณ
หมายเหตุ: ไฟล์ที่เปิดจากตําแหน่งบนเครือข่าย รวมถึง OneDrive ขององค์กรของคุณ ให้เปิดแบบอ่านอย่างเดียวใน Application Guard คุณสามารถบันทึกสําเนาของไฟล์ดังกล่าวเพื่อทํางานกับไฟล์เหล่านั้นต่อไป หรือถ้าคุณเชื่อถือแหล่งที่มาของไฟล์ คุณสามารถเลือกที่จะเอาการป้องกันออกตามที่อธิบายไว้ด้านล่าง
-
ไฟล์ที่ถูกบล็อกโดยการบล็อกไฟล์: การบล็อกไฟล์จะป้องกันไม่ให้ชนิดไฟล์ที่ล้าสมัยเปิดและทําให้ไฟล์ของคุณเปิดในมุมมองที่ได้รับการป้องกันและปิดใช้งานฟีเจอร์บันทึกและเปิด เรียนรู้เพิ่มเติมเกี่ยวกับ การบล็อกไฟล์
ฉันจะเอาการป้องกันออกจากไฟล์ หรือคืนค่า ได้อย่างไร
ข้อควรระวัง: ทําเช่นนี้ถ้าคุณมั่นใจว่าไฟล์และแหล่งที่มาของไฟล์เชื่อถือได้เท่านั้น
ถ้าคุณต้องการดําเนินการที่ไม่ได้รับอนุญาตจาก Application Guard คุณสามารถเอาการป้องกัน Application Guard ออกจากไฟล์ได้ เมื่อคุณเอาการป้องกันออก ไฟล์จะกลายเป็นเอกสารที่เชื่อถือได้
เมื่อต้องการเอาการป้องกัน Application Guard ออก ให้ไปที่ ไฟล์ > ข้อมูล แล้วเลือก เอาการป้องกันออก
ถ้าคุณไม่สามารถดําเนินการได้ อาจเป็นไปได้ว่าองค์กรของคุณมีการปรับใช้นโยบายที่ป้องกันไม่ให้นําการป้องกัน Application Guard ออกจากไฟล์
เมื่อต้องการคืนค่าการป้องกัน
ไปที่ ไฟล์ > ตัวเลือก > ศูนย์ความเชื่อถือ > การตั้งค่าศูนย์ความเชื่อถือ > เอกสารที่เชื่อถือได้ แล้วเลือก ล้างเอกสารที่เชื่อถือได้ทั้งหมดไม่ให้เป็นเอกสารที่เชื่อถือได้อีกต่อไป.
โปรดทราบว่าการทําเช่นนี้จะคืนค่าการป้องกันไปยังเอกสารทั้งหมดที่คุณได้เอาออกจากอุปกรณ์นี้
สิ่งสำคัญ: ตัวเลือกนี้จะพร้อมใช้งานภายนอกสภาพแวดล้อม Application Guard เท่านั้น เปิดอินสแตนซ์ใหม่ของแอป Office เพื่อทําการเปลี่ยนแปลงนี้
ฉันจะเปลี่ยนการตั้งค่า Application Guard ของฉันได้อย่างไร
สิ่งสำคัญ:
-
ตัวเลือกนี้จะพร้อมใช้งานภายนอกสภาพแวดล้อม Application Guard เท่านั้น เปิดอินสแตนซ์ใหม่ของแอป Office เพื่อทําการเปลี่ยนแปลงนี้
-
เราขอแนะนําให้พูดคุยกับผู้ดูแลระบบ IT ของคุณก่อนที่จะทําการเปลี่ยนแปลงการตั้งค่าของ Application Guard
-
ไปที่ ไฟล์ > ตัวเลือก
-
เลือก ศูนย์ความเชื่อถือ > การตั้งค่าศูนย์ความเชื่อถือ > Application Guard
-
ทําการเลือกของคุณ แล้วเลือก ตกลง เพื่อบันทึกการเปลี่ยนแปลงของคุณและออกจากศูนย์ความเชื่อถือการตั้งค่า
การตั้งค่า Application Guard
-
เปิดใช้งาน Application Guard สําหรับไฟล์ที่มาจากอินเทอร์เน็ต - อินเทอร์เน็ตถือว่าเป็นตําแหน่งที่ตั้งที่ไม่ปลอดภัยเนื่องจากเป็นแหล่งข้อมูลทั่วไปสําหรับไฟล์ที่เป็นอันตราย
-
เปิดใช้งาน Application Guard สําหรับไฟล์ที่อยู่ในตําแหน่งที่ตั้งที่อาจไม่ปลอดภัย - ซึ่งหมายถึงโฟลเดอร์บนคอมพิวเตอร์หรือเครือข่ายของคุณที่ถือว่าไม่ปลอดภัย เช่น โฟลเดอร์อินเทอร์เน็ตชั่วคราวหรือโฟลเดอร์อื่นๆ ที่เลือกโดยผู้ดูแลระบบ IT ของคุณ
-
เปิดใช้งาน Application Guard สําหรับสิ่งที่แนบมาของ Outlook - สิ่งที่แนบมาในอีเมลเป็นอีกแหล่งของไฟล์ที่เป็นอันตราย
Excel มีการตั้งค่าเพิ่มเติมสองแบบ ดังนี้:
-
เปิดไฟล์ตามข้อความที่ไม่น่าเชื่อถือ (.csv, .difand .sylk) ใน Application Guard เสมอ- ถ้าเปิดใช้งาน ไฟล์ตามข้อความที่เปิดจากตําแหน่งที่ตั้งที่ไม่น่าเชื่อถือจะเปิดใน Application Guard เสมอ ถ้าคุณปิดใช้งานหรือไม่ได้กําหนดค่า ไฟล์ตามข้อความที่เปิดจากตําแหน่งที่ตั้งที่ไม่น่าเชื่อถือจะเปิดขึ้นตามปกติ
-
เปิดไฟล์ฐานข้อมูลที่ไม่น่าเชื่อถือ (.dbf) ใน Application Guard เสมอ - ถ้าเปิดใช้งาน ไฟล์ฐานข้อมูลที่เปิดจากตําแหน่งที่ตั้งที่ไม่น่าเชื่อถือจะเปิดใน Application Guard เสมอ ถ้าคุณปิดใช้งานหรือไม่กําหนดค่าการตั้งค่านี้ ไฟล์ฐานข้อมูลที่เปิดจากตําแหน่งที่ตั้งที่ไม่น่าเชื่อถือจะเปิดขึ้นตามปกติ
การตั้งค่าทั้งหมดนี้ยังสามารถกําหนดค่าโดยผู้ดูแลระบบผ่านทาง นโยบายกลุ่ม หรือบริการนโยบายระบบคลาวด์ Office
ฉันไม่สามารถทําอะไรได้บ้างใน Application Guard
เพื่อความปลอดภัยของคุณ ความสามารถบางอย่างจะไม่พร้อมใช้งานสําหรับแอปพลิเคชัน Office ขณะทํางานใน Application Guard ซึ่งรวมถึง:
-
การเข้าถึงข้อมูลประจําตัวของผู้ใช้
-
เข้าถึงตําแหน่งที่ตั้งแบบกําหนดเองในระบบไฟล์ของคุณ
-
เข้าถึงตําแหน่งที่ตั้งบนเครือข่ายที่จัดประเภทตามภายในขอบเขตความปลอดภัยขององค์กร (เช่น อินทราเน็ตของบริษัทหรือโดเมนที่จัดประเภทเป็น "Enterprise") ต่อนโยบายการแยกเครือข่าย
-
ไม่สามารถเปิดไฟล์ CSV, HTML และไฟล์ที่ได้รับการป้องกันโดย การจัดการสิทธิ์ในข้อมูล (IRM) ใน Application Guard ได้ ถ้าผู้ดูแลระบบของคุณกําหนดค่าการตั้งค่านโยบาย ชนิดไฟล์ที่ไม่ได้รับการสนับสนุน สําหรับองค์กรของคุณ คุณจะสามารถเปิดไฟล์เหล่านี้ในมุมมองที่ได้รับการป้องกันได้ เรียนรู้เพิ่มเติมเกี่ยวกับ การกําหนดค่า Application Guard สําหรับนโยบาย Office.
-
การวางเนื้อหา Rich Text Format (RTF) หรือรูปภาพลงในเอกสาร Office ที่เปิดด้วย Application Guard ยังไม่ได้รับการสนับสนุนในขณะนี้
ฟีเจอร์ใน Office ที่อาจมีการขึ้นต่อกันของความสามารถเหล่านี้จะไม่พร้อมใช้งาน ตัวอย่างเช่น การแชร์ไฟล์ การจับภาพสกรีนช็อต การแทรกรูปภาพจากตําแหน่งที่ตั้งในระบบไฟล์ การเพิ่มการเชื่อมต่อไปยังแหล่งข้อมูล เป็นต้น
แล้ว Add-in และแมโครล่ะ
นอกเหนือจากฟังก์ชันที่มีอยู่แล้วภายในที่ถูกปิดใช้งาน ความสามารถทั้งหมดที่ขยายความสามารถของ Office รวมถึง COM, VSTO, Add-in เว็บและแมโครจะถูกปิดใช้งานใน Application Guard
ฉันสามารถใช้ Application Guard กับโปรแกรมอ่านหน้าจอได้หรือไม่
ไฟล์ที่เปิดใน Application Guard สามารถเข้าถึงได้ผ่านเครื่องมือการช่วยสําหรับการเข้าถึงที่ใช้เฟรมเวิร์ก Microsoft UI Automation (UIA) เช่น ผู้บรรยาย Microsoft
ดูเพิ่มเติม
มุมมองที่ได้รับการป้องกันคืออะไร
