Applies ToMicrosoft 365 专属 Excel Microsoft 365 专属 Word Microsoft 365 专属 PowerPoint

重要: office Microsoft Defender 应用程序防护已弃用,不再更新。 此弃用还包括用于 office Microsoft Defender 应用程序防护的 Windows.Security.Isolation API。 建议过渡到Microsoft Defender for Endpoint攻击图面减少规则以及受保护的视图Windows Defender 应用程序控制。  从 Windows 11 版本 24H2 开始,Microsoft Defender 应用程序防护不再可用。

来自 Internet 和其他可能不安全位置的文件可能包含会损害计算机和数据的病毒、蠕虫和其他种类的恶意软件。 为了帮助保护你,Microsoft 365 可以从应用程序防护中的潜在不安全位置打开文件,“应用程序防护”是一个安全容器,通过基于硬件的虚拟化与其余数据隔离。 与“受保护的视图”不同,Microsoft 365 在“应用程序防护”中打开文件时,可以安全地读取编辑打印保存这些文件,而无需在容器外部重新打开文件。

如果你确信文件是安全的,并且需要执行“应用程序防护”阻止的操作,则可以选择从该文件中删除保护。

注意: 如果管理员已启用安全文档,则会根据 Endpoint 服务的 Microsoft Defender 验证该文件,以确定该文件在“应用程序防护”外部打开之前是否为恶意文件。

受保护的视图 为只读模式,在该模式下,多数编辑功能已被禁用。 来自可能不安全位置的文件会以“只读”方式或在“受保护的视图”中打开。 使用“受保护的视图”,可以读取文件、查看和编辑其内容,同时降低风险。

应用程序防护是一种受限模式,允许你对不受信任的文档执行有限的编辑和打印,同时最大程度地降低对计算机的风险。  Office 会从“应用程序防护”中的潜在不安全位置打开文件,这是一个通过基于硬件的虚拟化与设备隔离的安全容器。 当 Office 在“应用程序防护”中打开文件时,可以安全地读取、编辑、打印和保存这些文件,而无需在容器外部重新打开文件。

与“受保护的视图”相比,“应用程序防护”为用户提供增强的安全性和更高的工作效率。 

安全

“应用程序防护”是基于虚拟化的沙盒,用于隔离可能遇到的不受信任的文档。 它为桌面带来了与支持 Azure 相同的技术。 

不受信任的文档在启用了 Hyper-V 的已解析容器中打开,该容器独立于主机操作系统。 此容器隔离意味着,如果文档是恶意的,则主机电脑会受到保护,而且攻击者无法访问你的企业数据。 例如,这种方法会使隔离容器成为匿名容器,因此攻击者无法访问员工的企业凭据。

生产力

除了能够读取安全容器中的文档外,现在还可以使用打印、批注和审阅、轻编辑和保存等功能,同时在“应用程序防护”容器中保留不受信任的文档。 

当你遇到来自不受信任的来源的文档不是恶意的文档时,你可以继续高效工作,而不必担心设备处于危险之中。

如果遇到恶意文档,则会在“应用程序防护”中安全隔离文档,确保系统其余部分的安全。

“应用程序防护”适用于具有 Microsoft 365 E5Microsoft 365 E5 Mobility + Security 许可证的组织。 这些组织中的用户必须在当前频道或每月企业频道上使用 Microsoft 365 企业应用版。

详细了解如何为 Office 设置“应用程序防护”

文件何时在“应用程序防护”中打开?

如果启用了“应用程序防护”,则当前在受保护的视图中打开的文件将在“应用程序防护”中打开。 这其中包括:

  • 源自 Internet 的文件: 这指的是从不属于设备上的本地 Intranet 或受信任站点域的域下载的文件、从组织外部的发件人作为电子邮件附件接收的文件、从其他类型的 Internet 消息或共享服务接收的文件,或者从组织外部的 OneDrive 或 SharePoint 位置打开的文件。

  • 位于可能不安全位置的文件: 这是指被视为不安全的计算机上的文件夹或网络,例如 Internet 临时文件夹或者您的管理员分配的其他文件夹。

注意: 从网络位置(包括组织的 OneDrive)打开的文件在“应用程序防护”中打开只读。 可以保存此类文件的副本以继续使用它们,或者如果你信任文件的源,则可以选择删除保护,如下所述。

  • “文件块”阻止的文件:“文件块”可以阻止打开过时的文件类型,并会导致这些文件在“受保护的视图”中打开,同时禁用“保存”和“打开”功能。 详细了解“文件块”

如何实现从文件中删除或还原保护?

警告: 只有当你非常确信文件及其来源可信时,才执行此操作。

如果要执行“应用程序防护”不允许的操作,可以从文件中删除“应用程序防护”保护。 删除保护后,该文件将成为受信任的文档

若要删除“应用程序防护”保护,请转到文件>信息,然后选择删除保护

如果无法执行此操作,则很可能你的组织部署了阻止从文件中删除“应用程序防护”保护的策略。

还原保护

转到文件 > 选项 > 信任中心 > 信任中心设置 > 受信任的文档,然后选择清除所有受信任的文档,使它们不再受信任

请注意,这会将保护还原到从此设备上删除的所有文档。

重要: 此选项仅在应用程序防护环境之外可用。 打开 Office 应用的新实例进行此更改。

如何更改“应用程序防护”设置

重要: 

  • 此选项仅在应用程序防护环境之外可用。 打开 Office 应用的新实例进行此更改。

  • 建议在对“应用程序防护”的设置进行更改之前与 IT 管理员联系。

  1. 转到文件 > 选项

  2. 选择信任中心 > 信任中心设置> > 应用程序防护

  3. 进行选择,然后选择确定保存所做的更改,并退出信任中心设置。

“应用程序防护”设置

  • 为源自 Internet 的文件启用“应用程序防护” - Internet 被视为不安全位置,因为它是恶意文件的最常见源。

  • 为可能不安全的位置的文件启用“应用程序防护” - 这指的是计算机或网络上被视为不安全的文件夹,例如 IT 管理员选择的临时 Internet 文件夹或其他文件夹。

  • 为 Outlook 附件启用“应用程序防护” - 电子邮件中的附件是恶意文件的另一个常见来源。

Excel 有两个附加设置:

  • 始终在“应用程序防护”中打开不受信任的基于文本的文件(.csv、.dif 和.sylk)- 如果启用,则始终在“应用程序防护”中打开从不受信任的位置打开的基于文本的文件。 如果禁用或未配置此策略设置,则从不受信任的位置打开的基于文本的文件将正常打开。 

  • 始终在“应用程序防护”中打开不受信任的数据库文件 (.dbf) - 如果启用,则始终在“应用程序防护”中打开从不受信任的位置打开的数据库文件。 如果禁用或未配置此设置,则从不受信任的位置打开的数据库文件将正常打开。

管理员还可以通过组策略或 Office 云策略服务配置所有这些设置。 

在“应用程序防护”中无法执行哪些操作? 

为安全起间,“应用程序防护”运行时,某些功能在 Office 应用程序中会不可用。 这其中包括: 

  • 对用户标识的访问权限。

  • 访问文件系统上的任意位置。

  • 根据网络隔离策略访问归类为企业安全边界内的网络位置(例如公司 Intranet 或归类为“企业”的域)。

  • 无法在“应用程序防护”中打开受信息权限管理 (IRM)保护的 CSV、HTML 和文件。 如果管理员为组织配置不受支持的文件类型策略设置,则可以在“受保护的视图”中打开这些文件。  详细了解如何为 Office 策略配置“应用程序防护”

  • 当前不支持将 RTF 格式 (RTF) 内容或图像粘贴到使用“应用程序防护”打开的 Office 文档中。

Office 中可能依赖于这些功能的功能会不可用。 示例包括共享文件、捕获屏幕截图、从文件系统中的位置插入图片、将连接添加到数据源等。 

加载项和宏呢?

除了禁用的内置函数外,“应用程序防护”中还禁用了扩展 Office 功能的所有功能,包括 COM、VSTO、Web 加载项和宏。 

是否可以将“应用程序防护”与屏幕阅读器配合使用? 

在“应用程序防护”中打开的文件可通过使用 Microsoft UI 自动化 (UIA) 框架(如 Microsoft Narrator)的辅助功能工具来访问。 

另请参阅

什么是受保护的视图?

保护自己免受网络钓鱼的侵害

Microsoft Defender 应用程序防护

安全文档

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。