重要: Office Microsoft Defender 應用程式防護 已遭取代且不再更新。 此停用也包含用於 Office Microsoft Defender 應用程式防護 的 Windows.Security.Isolation API。 我們建議您轉換為 適用於端點的 Microsoft Defender 利用 [受保護的檢視] 和 [Windows Defender 應用程式控制] 來取代 surface 縮小規則。 從 Windows 11 版本 24H2 開始,Microsoft Defender 應用程式防護 已不再提供。
來自網際網路及其他可能不安全位置的檔案,可能包含病毒、蠕蟲或其他種類的惡意程式碼,都會對電腦和資料造成傷害。 為了協助保護您,Microsoft 365 會在應用程式防護中從可能不安全的位置開啟檔案,應用程式防護是一個安全容易,透過基於硬體的虛擬化與其餘資料隔離。 不同於 [受保護的檢視],當 Microsoft 365 在應用程式防護中開啟檔案時,您可以安全地 [讀取], [編輯],[列印],和 [儲存] 而不需要在容器外重新開啟檔案。
如果您確信檔案案是安全的,並且需要執行已由應用程式防護封鎖的一些操作,您可以選擇從該檔案移除保護。
附註: 如果您的系統管理員已啟用安全文件, 檔案將會針對 Microsoft Defender 的端點服務進行驗證,以在應用程式防護外部開啟檔案之前判斷檔案是否惡意。
[受保護的檢視] 是唯讀模式,在此模式中,大部分的編輯功能都已停用。 系統會以唯讀方式或在 [受保護的檢視] 中開啟來自可能不安全位置的檔案。 只要使用 [受保護的檢視],即可讀取檔案、查看其內容及進行編輯,並降低可能發生的風險。
應用程式防護是限制模式,可讓您對不受信任的檔執行有限的編輯和列印,同時將電腦的風險減到最小。 Office 會從應用程式防護中可能不安全的位置開啟檔案,這是透過基於硬體的虛擬化與裝置隔離的安全容器。 當 Office 在應用程式防護中開啟檔案時,您可以安全地讀取、編輯、列印和儲存這些檔案,而不需要在容器外重新開啟檔案。
相較於 [受保護的檢視],應用程式防護為使用者提供增強的安全性和增強的生產力。
安全性
應用程式防護是虛擬化型沙箱,用來隔離您可能會遇到的未受信任文件。 它使用相同的技術,讓 Azure 強化您的電腦。
未受信任的文件已在啟用了 Hyper-V 的隔離容器中開啟,該容器獨立於主機作業系統。 這個容器隔離表示,如果文件是惡意的,主機電腦就會受到保護,且攻擊者無法取得您的企業資料。 例如,這種方法可讓隔離容器成為匿名容器,造成攻擊者無法存取員工的企業認證。
生產力
除了能夠在安全容器中讀取文件之外,您現在可以使用列印、註解和檢閱、精簡編輯和儲存等功能,同時將不受信任的檔保留於應用程式防護容器中。
當您遇到來自非惡意之不受信任來源的文件時,您可以繼續保持生產力,而不必擔心將裝置曝於風險中。
如果您遇到惡意的文件,它會在應用程式防護中安全地隔離,確保系統其餘部分的安全性。
應用程式防護適用於具有 Microsoft 365 E5 或 Microsoft 365 E5 行動力 + 安全性授權。 這些組織的使用者必須在目前通道或每月企業通道上使用 Microsoft 365 企業版應用程式。
檔案何時會在應用程式防護中開啟?
如果啟用應用程式防護,目前在 [受保護的檢視] 中開啟的檔案將在應用程式防護中開啟。 這些包括︰
-
來自於網際網路的檔案: 這指的是從不屬於設備上的本地內部網路或受信任網站的網域下載的檔案、從貴組織外部的寄件人作為電子郵件附件接收的檔案、從其他類型的內部網路之訊息或共享服務接收的檔案,或者從組織外部的 OneDrive 或 SharePoint 位置打開的檔案。
-
位於可能不安全位置的檔案: 這是指電腦或網路中被視為不安全的資料夾,例如 [Temporary Internet] 資料夾或由您的系統管理員指派的其他資料夾。
附註: 從網路位置 (包括貴組織的 OneDrive) 開啟的檔案,會在應用程式防護中以唯讀開啟。 您可以儲存這類檔案的一份副本以繼續使用,或者如果您信任檔案的來源,您可以選擇移除保護,如下所述。
-
由檔案封鎖所封鎖的檔案:檔案封鎖會避免開啟過期的檔案類型,並使檔案在 [受保護的檢視] 中開啟,也會停用 [儲存] 與 [開啟] 功能。 深入了解檔案封鎖。
如何從檔案移除或還原保護?
注意: 只有在您非常確信檔案及其來源值得信任時,才執行此工作。
如果您想要採取應用程式防護不允許的動作,可以從檔案移除應用程式防護保護。 移除保護之後,檔案會變成信任的文件。
若要移除應用程式防護保護,請移至 [檔案] > [資訊] 然後選取 [移除保護]。
如果您無法執行,則您的組織很可能已部署防止從檔案移除應用程式防護保護的原則。
還原保護
移至 [檔案] > [選項] > [信任中心] > [信任中心設定] > [信任的文件] 然後選取 [清除所有信任的文件,使文件不再受信任]。
請注意,這會將保護還原到您在此裝置上已移除檔的所有文件。
重要: 此選項僅適用於 應用程式防護 環境以外的地方。 開啟 Office 應用程式的新實例以進行此變更。
如何變更我的應用程式防護設定
重要:
-
此選項僅適用於 應用程式防護 環境以外的地方。 開啟 Office 應用程式的新實例以進行此變更。
-
建議您先與 IT 系統管理員聯繫,再變更應用程式防護的設定。
-
移至 [檔案] > [選項]
-
選取 [信任中心] > [信任中心設定] > [應用程式防護]。
-
選取您的項目,然後選取 [確定] 以儲存您的變更並結束信任中心設定。
應用程式防護設定
-
針對網際網路的檔案啟用應用程式防護 - 網際網路為惡意檔案最常見的來源,因此被視為不安全的位置。
-
針對可能不安全位置的檔案啟用應用程式防護:這是指電腦或網路中被視為不安全的資料夾,例如 Temporary Internet 資料夾或由您的 IT 系統管理員選取的其他資料夾。
-
針對 Outlook 附件啟用應用程式防護 - 電子郵件中的附件是惡意檔案另一個常見的來源。
Excel有兩個額外的設定:
-
永遠在應用程式防護中開啟未受信任的文字檔案 (.csv、.dif 及 .sylk) - 如果啟用,從不受信任位置開啟的文字型檔案一定會在應用程式防護中開啟。 如果您停用或不設定此原則設定,則從不受信任位置開啟的文字型檔案會正常開啟。
-
總是在應用程式防護中開啟不受信任的資料庫檔案 (.dbf) - 如果啟用,從不受信任的位置開啟的資料庫檔案一定會在應用程式防護中開啟。 如果您停用或不設定此設定,則從不受信任位置開啟的資料庫檔案會正常開啟。
系統管理員也可以透過群組原則或 Office 雲端原則服務進行設定。
我無法在應用程式防護中做什麼事?
為了安全起見,應用程式防護執行時,某些功能在 Office 應用程式中會無法使用。 這些包括︰
-
存取使用者的身分識別。
-
存取您檔案系統上的任意位置。
-
根據網路隔離原則存取歸類為企業安全性邊界內的網路位置 (例如公司內部網路或歸類為「企業」的網域)。
-
在應用程式防護中無法開啟受資訊版權管理 (IRM) 保護的 CSV、HTML 和檔案。 如果您的系統管理員為貴組織設定 [未支援檔案類型] 原則設定,您可以在 [受保護的檢視] 中開啟這些檔案。 深入了解 設定適用於 Office 原則的應用程式防護。
-
目前不支援將 RTF 格式 (RTF) 內容或影像貼上在以應用程式防護開啟的 Office 文件中。
Office 中可能依賴這些功能的功能會無法使用。 範例包括共用檔案、擷取螢幕擷取畫面、從檔案系統中的位置插入圖片、新增資料來源的連線等等。
那麼增益集和巨集呢?
除了已停用的內建函數之外,Office 擴充功能的的所有功能,包括 COM、VSTO、Web 增益集和巨集會在應用程式防護中停用。
是否能將應用程式防護與螢幕閱讀器一起使用?
在應用程式防護中開啟的檔案可透過使用 Microsoft UI 自動化 (UIA) 架構,(例如 Microsoft Narrator) 的協助工具進行存取。
