Applicazione di protezione per Office (anteprima pubblica) per gli amministratoriApplication Guard for Office (public preview) for admins

Si applica a: Word, Excel e PowerPoint per Microsoft 365, Windows 10 EnterpriseApplies to: Word, Excel, and PowerPoint for Microsoft 365, Windows 10 Enterprise

Importante

Alcune informazioni si riferiscono a un prodotto prerilasciato che può essere modificato in modo sostanziale prima che venga rilasciato commercialmente.Some information relates to a prereleased product which may be substantially modified before it's commercially released. Microsoft makes no warranties, express or implied, with respect to the information provided here.Microsoft makes no warranties, express or implied, with respect to the information provided here.

Microsoft Defender Application Guard for Office (Application Guard for Office) consente di evitare che i file non attendibili accedano a risorse attendibili, mantenendo l'organizzazione sicura da attacchi nuovi ed emergenti.Microsoft Defender Application Guard for Office (Application Guard for Office) helps prevent untrusted files from accessing trusted resources, keeping your enterprise safe from new and emerging attacks. In questo articolo vengono illustrati gli amministratori tramite la configurazione dei dispositivi per un'anteprima di Application Guard per Office.This article walks admins through setting up devices for a preview of Application Guard for Office. Fornisce informazioni sui requisiti di sistema e sui passaggi di installazione per abilitare la protezione delle applicazioni per Office in un dispositivo.It provides information about system requirements and installation steps to enable Application Guard for Office on a device.

PrerequisitiPrerequisites

Requisiti hardware minimiMinimum hardware requirements

  • CPU: 64 bit, 4 core (fisico o virtuale), estensioni di virtualizzazione (Intel VT-x o AMD-V), Core i5 equivalente o superiore consigliatoCPU: 64-bit, 4 cores (physical or virtual), virtualization extensions (Intel VT-x OR AMD-V), Core i5 equivalent or higher recommended
  • Memoria fisica: 8 GB di RAMPhysical memory: 8-GB RAM
  • Disco rigido: 10 GB di spazio libero nell'unità di sistema (consigliato da SSD)Hard disk: 10 GB of free space on the system drive (SSD recommended)

Requisiti software minimiMinimum software requirements

  • Windows 10: Windows 10 Enterprise Edition, generazione Client versione 2004 (20H1) Build 19041Windows 10: Windows 10 Enterprise edition, Client Build version 2004 (20H1) build 19041
  • Office: build di Office beta Channel versione 2008 16.0.13212 o versioni successiveOffice: Office Beta Channel Build version 2008 16.0.13212 or later
  • Pacchetto di aggiornamento: aggiornamenti della sicurezza cumulativi mensili di Windows 10 KB4571756Update package: Windows 10 cumulative monthly security updates KB4571756

Per informazioni dettagliate sui requisiti di sistema, vedere requisiti di sistema per Microsoft Defender Application Guard.For detailed system requirements, refer to System requirements for Microsoft Defender Application Guard. Per ulteriori informazioni sulle compilazioni di Office Insider Preview, vedere Guida introduttiva alla distribuzione di Office Insider Builds.To learn more about Office Insider Preview builds, refer to Getting started on deploying Office Insider builds.

Requisiti per la licenzaLicensing requirements

  • Sicurezza di Microsoft 365 E5 o Microsoft 365 E5Microsoft 365 E5 or Microsoft 365 E5 Security

Distribuire applicazione di protezione per OfficeDeploy Application Guard for Office

Abilitare la protezione dell'applicazione per OfficeEnable Application Guard for Office

  1. Scaricare e installare gli aggiornamenti di sicurezza cumulativi mensili di Windows 10 KB4571756.Download and install Windows 10 cumulative monthly security updates KB4571756.

  2. Selezionare Protezione applicazione Microsoft Defender in funzionalità di Windows e quindi fare clic su OK.Select Microsoft Defender Application Guard under Windows Features and select OK. L'abilitazione della funzionalità di protezione dell'applicazione richiederà un riavvio del sistema.Enabling the Application Guard feature will prompt a system reboot. È possibile scegliere di riavviare subito o dopo il passaggio 3.You can choose to reboot now or after step 3.

    Finestra di dialogo funzionalità di Windows che mostra AG

    La funzionalità può anche essere abilitata eseguendo il seguente comando di PowerShell come amministratore:The feature can also be enabled by running the following PowerShell command as administrator:

    Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard 
    
  3. Cercare la protezione dell'applicazione Microsoft Defender in modalità gestita criteri di gruppo disponibili in Configurazione computer \ modelli amministrativi di \ Windows Components \ Microsoft Defender Application Guard.Look for the Microsoft Defender Application Guard in Managed Mode group policy located at Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard. Attiva questo criterio impostando il valore in opzioni come 2 o 3 , quindi selezionando OK o applica.Turn this policy on by setting the value under Options as 2 or 3 then selecting OK or Apply.

    Attivazione di AG in modalità gestita

    In alternativa, è possibile impostare il criterio CSP corrispondente:Alternatively, you can set the corresponding CSP policy:

    OMA-URI: ./Device/vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard
    Tipo di dati: intero Data type: Integer
    Valore: 2Value: 2

  4. Riavviare il sistema.Reboot the system.

Set Diagnostics & feedback to Send Full dataSet Diagnostics & feedback to send full data

Questo passaggio garantisce che i dati necessari per identificare e correggere i problemi raggiungano Microsoft.This step ensures that the data necessary to identify and fix problems is reaching Microsoft. Seguire questa procedura per abilitare la diagnostica nel dispositivo Windows:Follow these steps to enable diagnostics on your Windows device:

  1. Aprire Impostazioni dal menu Start.Open Settings from the Start menu.

    Menu Start

  2. Nelle impostazioni di Windows, selezionare privacy.On Windows Settings, select Privacy.

    Menu impostazioni di Windows

  3. In privacy, selezionare diagnostica & Commenti e selezionare dati diagnostici facoltativi.Under Privacy, select Diagnostics & feedback and select Optional diagnostic data.

    Menu diagnostica e commenti e suggerimenti

Per ulteriori informazioni sulla configurazione delle impostazioni di diagnostica di Windows, fare riferimento a configurazione dei dati di diagnostica di Windows nell'organizzazione.For more on configuring Windows diagnostic settings, refer to Configuring Windows diagnostic data in your organization.

Verificare che Application Guard per Office sia abilitato e funzionanteConfirm that Application Guard for Office is enabled and working

Prima di confermare che l'applicazione di protezione per Office è abilitata, avviare Word, Excel o PowerPoint su un dispositivo in cui sono stati distribuiti i criteri.Before confirming that the Application Guard for Office is enabled, launch Word, Excel, or PowerPoint on a device where the policies have been deployed. Verificare che Office sia attivato.Make sure Office is activated. Potrebbe essere necessario utilizzare l'identità del lavoro per attivare prima il prodotto Office.You may need to use your work identity to activate the Office product first.

Per confermare che Application Guard per Office è ora abilitato, avviare Word, Excel o PowerPoint e aprire un documento non attendibile.To confirm that Application Guard for Office is now enabled, launch Word, Excel, or PowerPoint and open an untrusted document. Ad esempio, è possibile aprire un documento scaricato da Internet o un allegato di posta elettronica da un utente esterno all'organizzazione.For example, you can open a document downloaded from the internet or an email attachment from someone outside your organization.

Al primo avvio di un file non attendibile, è possibile che venga visualizzata una schermata iniziale di Office come quella riportata di seguito.On the first launch of an untrusted file, you may see an Office splash screen like the one below. Potrebbe essere visualizzato per un certo periodo di tempo mentre è in corso l'attivazione di protezione applicazione per Office e il file viene aperto.It might show for some time while Application Guard for Office is being activated and the file is being opened. I successivi lanci di file non attendibili dovrebbero essere più veloci.Subsequent launches of untrusted files should be faster.

Schermata iniziale dell'app di Office

Al momento dell'apertura, il file deve visualizzare alcuni indicatori visivi che il file è stato aperto all'interno dell'applicazione di protezione per Office:Upon being opened, the file should display a few visual indicators that the file was opened inside Application Guard for Office:

  • Un callout nella barra multifunzioneA callout in the ribbon

    File doc che mostra le piccole note di protezione delle app

  • L'icona dell'applicazione con una schermatura nella barra delle applicazioniThe application icon with a shield in the taskbar

    Icona nella barra delle applicazioni

Configurare la protezione dell'applicazione per OfficeConfigure Application Guard for Office

Office supporta i criteri seguenti per consentire di configurare le funzionalità di protezione delle applicazioni per Office.Office supports the following policies to enable you to configure the capabilities of Application Guard for Office. Questi criteri possono essere configurati mediante criteri di gruppo o tramite il servizio criteri cloud di Office.These policies can be configured through Group policies or through the Office cloud policy service.

Nota

Questi criteri diventeranno disponibili a breve.These policies will become available soon. Inoltre, la configurazione di questi criteri può disabilitare alcune funzionalità per i file aperti in Application Guard per Office.Also, configuring these policies can disable some functionalities for files opened in Application Guard for Office.

CriteriPolicy DescrizioneDescription
Disattiva applicazione di protezione per OfficeDisable Application Guard for Office L'abilitazione di questo criterio costringerà Word, Excel e PowerPoint a utilizzare il contenitore di isolamento della visualizzazione protetta anziché la protezione dell'applicazione per Office.Enabling this policy will force Word, Excel, and PowerPoint to use the Protected View isolation container instead of Application Guard for Office. Questo criterio può essere utilizzato per disabilitare temporaneamente la funzionalità di protezione delle applicazioni per Office quando si verificano problemi di abilitazione per Edge.This policy can be used to temporarily disable Application Guard for Office when there are issues in leaving it enabled for Edge.
Disattiva copia/incolla per i documenti aperti in applicazione di protezioneDisable copy/paste for documents opened in Application Guard L'abilitazione di questo criterio impedirà a un utente di copiare e incollare il contenuto di un documento aperto in Application Guard for Office in un documento aperto all'esterno.Enabling this policy will prevent a user from copying and pasting content from a document opened in Application Guard for Office to a document opened outside it.
Impedire agli utenti di rimuovere la protezione delle applicazioni in filePrevent users from removing Application Guard protection on files L'abilitazione di questo criterio consente di rimuovere l'opzione (nell'ambito dell'applicazione di Office) per disabilitare la protezione delle applicazioni o aprire un file all'esterno dell'applicazione di protezione.Enabling this policy will remove the option (within the Office application experience) to disable Application Guard protection or open a file outside Application Guard.

Nota: Gli utenti possono comunque ignorare questo criterio rimuovendo manualmente la proprietà Mark-of-the-Web dal file o spostando un documento in un percorso attendibile.Note: Users can still bypass this policy by manually removing the mark-of-the-web property from the file or by moving a document to a Trusted location.
Limitare la stampa ai documenti aperti in protezione applicazioneRestrict printing from documents opened in Application Guard L'abilitazione di questo criterio consentirà di limitare le stampanti che un utente può stampare da un file aperto in Application Guard for Office.Enabling this policy will limit printers a user can print to from a file opened in Application Guard for Office. Ad esempio, è possibile utilizzare questo criterio per limitare gli utenti a stampare solo in formato PDF.For example, you can use this policy to restrict users to only print to PDF.
Disattivare l'accesso alla videocamera e al microfono per i documenti aperti in protezione applicazioneTurn off camera and microphone access for documents opened in Application Guard L'abilitazione di questo criterio consente di rimuovere l'accesso di Office alla videocamera e al microfono all'interno dell'applicazione Guard per Office.Enabling this policy will remove Office access to Camera and Microphone inside Application Guard for Office.

Nota

I criteri seguenti richiederanno all'utente di disconnettersi e di eseguire nuovamente l'accesso a Windows per rendere effettive le operazioni:The following policies will require the user to log off and re-login to Windows to take effect:

  • Disattiva copia/incolla per i documenti aperti in applicazione di protezioneDisable copy/paste for documents opened in Application Guard
  • Limitare la stampa per i documenti aperti in protezione applicazioneRestrict printing for documents opened in Application Guard
  • Disattivare l'accesso videocamera e MIC ai documenti aperti in protezione applicazioneTurn off camera and mic access to documents opened in Application Guard

Inviare commenti e suggerimentiSubmit feedback

Inviare commenti e suggerimenti tramite hub commenti e suggerimentiSubmit feedback via Feedback Hub

Se si verificano problemi durante l'avvio dell'applicazione di protezione per Office, è consigliabile inviare i propri commenti tramite l'hub dei commenti e suggerimenti:If you encounter any issues when launching Application Guard for Office, you are encouraged to submit your feedback via Feedback Hub:

  1. Aprire l' app dell'hub dei commenti e accedi.Open the Feedback Hub app and sign in.

  2. Se si riceve una finestra di dialogo di errore durante l'avvio dell'applicazione, selezionare segnala a Microsoft nella finestra di dialogo di errore per avviare un nuovo invio di commenti e suggerimenti.If you get an error dialog while launching Application Guard, select Report to Microsoft in the error dialog to start a new feedback submission. In caso contrario, passare a https://aka.ms/wdagoffice-fb per selezionare la categoria corretta per la protezione dell'applicazione, quindi selezionare + Aggiungi nuovo feedback vicino all'angolo superiore destro.Otherwise, navigate to https://aka.ms/wdagoffice-fb to select the correct category for Application Guard, then select + Add new feedback near the top right.

  3. Inserire la casella di Riepilogo dei commenti e suggerimenti se non è già stata compilata per l'utente.Fill in the Summarize your feedback box if it isn’t already filled in for you.

  4. Compilare la casella spiega in più dettagli con una descrizione dettagliata del problema che si è verificato e quali operazioni sono state eseguite, quindi selezionare Avanti.Fill in the Explain in more detail box with a detailed description of the issue you experienced and what steps you took, then select Next.

  5. Selezionare la bolla accanto a problema.Select the bubble next to Problem. Verificare che la categoria selezionata sia sicurezza e privacy > Microsoft Defender Application Guard – Office, quindi selezionare Avanti.Make sure the category selected is Security and Privacy > Microsoft Defender Application Guard – Office, then select Next.

  6. Selezionare nuovo feedback, quindi Avanti.Select New feedback, then Next.

  7. Raccogliere le tracce sul problema:Collect traces about the issue:

    1. Espandere la sezione ricrea il mio problema .Expand the Recreate my problem tile.

    2. Se il problema riscontrato si verifica durante l'esecuzione della protezione dell'applicazione, aprire un'istanza di guardia dell'applicazione.If the issue you’re experiencing occurs while Application Guard is running, open an Application Guard instance. In questo modo è possibile raccogliere ulteriori tracce dall'interno del contenitore di protezione dell'applicazione.Doing this allows additional traces to be collected from within the Application Guard container.

    3. Seleziona Avvia registrazione e attendi che il riquadro smetta di girare e di' Interrompi registrazione.Select Start recording and wait for the tile to stop spinning and say Stop recording.

    4. Riprodurre completamente il problema con la protezione dell'applicazione.Fully reproduce the issue with Application Guard. Potrebbe essere necessario tentare di avviare un'istanza di guardia dell'applicazione e attendere che si verifichi un errore o che venga riprodotto un problema in un'istanza in esecuzione di protezione dell'applicazione.This might include attempting to launch an Application Guard instance and waiting until it fails, or reproducing an issue in a running Application Guard instance.

    5. Selezionare il riquadro Interrompi registrazione .Select the Stop recording tile.

    6. Mantenere tutte le istanze/s di protezione delle applicazioni in esecuzione, anche fino a qualche minuto dopo l'invio, in modo che sia possibile raccogliere anche la diagnostica dei contenitori.Keep any running Application Guard instance/s open, even until a few minutes after submission, so that container diagnostics can also be collected.

  8. Collegare gli screenshot o i file rilevanti relativi al problema.Attach any relevant screenshots or files related to the problem.

  9. Selezionare Invia.Select Submit.

Inviare commenti e suggerimenti tramite la voce del cliente di OfficeSubmit feedback via Office Customer Voice

È anche possibile inviare commenti e suggerimenti da Office se il problema si verifica quando i documenti di Office vengono aperti nel servizio di protezione dell'applicazione.You may also submit feedback from within Office if the issue happens when Office documents are opened in Application Guard. Fare riferimento a Office Insider Handbook per l'invio di commenti e suggerimenti.Refer to the Office Insider Handbook for submitting feedback.

Integrazione con Microsoft Defender ATP e Office ATPIntegration with Microsoft Defender ATP and Office ATP

Application Guard for Office è integrato con Microsoft Defender Advance Threat Protection (ATP) per fornire il monitoraggio e l'avviso di attività dannose che si verificano nell'ambiente isolato.Application Guard for Office is integrated with Microsoft Defender Advance Threat Protection (ATP) to provide monitoring and alerting on malicious activity happening in the isolated environment.

Microsoft Defender ATP è una piattaforma di sicurezza progettata per aiutare le reti aziendali a impedire, rilevare, indagare e rispondere a minacce avanzate.Microsoft Defender ATP is a security platform designed to help enterprise networks prevent, detect, investigate, and respond to advanced threats. Per ulteriori informazioni su questa piattaforma, visitare la pagina Microsoft Defender Advanced Threat Protection .For more details about this platform, visit the Microsoft Defender Advanced Threat Protection page. Per ulteriori informazioni, vedere onboarding devices to this platform at Onboard Devices to the Microsoft Defender ATP Service.Learn more about onboarding devices to this platform at Onboard devices to the Microsoft Defender ATP service.

È inoltre possibile configurare Office 365 ATP per l'utilizzo con Microsoft Defender ATP.You can also configure Office 365 ATP to work with Microsoft Defender ATP. Fare riferimento a integrare Office 365 ATP con Microsoft Defender ATP.Refer to Integrate Office 365 ATP with Microsoft Defender ATP.

Limitazioni e considerazioniLimitations and considerations

  • Applicazione di protezione per Office è una modalità limitata che isola i documenti non attendibili dall'accesso alle risorse aziendali attendibili, alla rete Intranet, all'identità dell'utente e ai file arbitrari presenti nel computer.Application Guard for Office is a restricted mode that isolates untrusted documents from accessing trusted corporate resources, intranet, the user's identity, and arbitrary files present on the computer. Di conseguenza, se un utente tenta di accedere a una funzionalità che ha una dipendenza da tale accesso, ad esempio, inserendo un'immagine da un file locale su disco, avrà esito negativo e verrà generato un prompt come quello riportato di seguito.As a result, if a user tries to access a feature that has a dependency on such access, for example, inserting a picture from a local file on disk, it will fail and produce a prompt like the one below. Per consentire a un documento non attendibile di accedere a risorse attendibili, gli utenti devono rimuovere la protezione delle applicazioni dal documento.To enable an untrusted document to access trusted resources, users must remove Application Guard protection from the document.

    La finestra di dialogo che indica che consente di mantenere la sicurezza, questa funzionalità non è disponibile

    Nota

    Consigliare agli utenti di rimuovere la protezione solo se si considera attendibile il file e la sua origine o da dove proviene.Advise users to only remove protection if they trust the file and its source or where it came from.

  • Il contenuto attivo in documenti come macro e controlli ActiveX è disabilitato in applicazione di protezione per Office.Active content in documents like macros and ActiveX controls are disabled in Application Guard for Office. Gli utenti devono rimuovere la protezione delle applicazioni per abilitare il contenuto attivo.Users need to remove Application Guard protection to enable active content.

  • File non attendibili aperti da condivisioni di rete o file condivisi da OneDrive, OneDrive for business o SharePoint Online da un'organizzazione diversa aperta come di sola lettura in applicazione di protezione.Untrusted files opened from network shares or files shared from OneDrive, OneDrive for Business, or SharePoint Online from a different organization open as read-only in Application Guard. Gli utenti possono salvare una copia locale di tali file per continuare a lavorare nel contenitore o rimuovere la protezione per funzionare direttamente con il file originale.Users can save a local copy of such files to continue working in the container or remove protection to directly work with the original file.

  • I file protetti da Information Rights Management (IRM) continuano a essere aperti in visualizzazione protetta.Files that are protected by Information Rights Management (IRM) continue to open in Protected View.

  • Tutte le personalizzazioni per le applicazioni di Office in Application Guard for Office non verranno mantenute dopo che un utente si disconnette e si disconnette o riavvia il dispositivo.Any customizations to Office applications in Application Guard for Office will not persist after a user logs off and logs back in or reboots the device.

  • Solo gli strumenti di accessibilità che utilizzano il Framework UIA possono fornire un'esperienza accessibile per i file aperti in Application Guard for Office.Only Accessibility tools that use the UIA framework can provide an accessible experience for files opened in Application Guard for Office.

  • La connettività di rete è necessaria per il primo avvio della protezione dell'applicazione dopo l'installazione.Network connectivity is required for the first launch of Application Guard after installation. Questa operazione è necessaria per verificare che la licenza venga convalidata dalla protezione dell'applicazione.This is required for Application Guard to validate the license.

  • Nella sezione info del documento, la proprietà Last modified by può visualizzare WDAGUtilityAccount come utente.In the document's info section, the Last Modified By property may display WDAGUtilityAccount as the user. Questo è l'utente anonimo configurato in protezione applicazione, poiché l'identità dell'utente desktop non è condivisa all'interno del contenitore di protezione dell'applicazione.This is the anonymous user configured in Application Guard given that the desktop user's identity is not shared inside the Application Guard container.

Ottimizzazioni delle prestazioni per la protezione dell'applicazionePerformance optimizations for Application Guard

In questa sezione viene fornita una panoramica delle ottimizzazioni delle prestazioni utilizzate in Application Guard for Office.This section provides an overview of the performance optimizations used in Application Guard for Office. Queste informazioni consentono agli amministratori di diagnosticare i rapporti degli utenti relativi alle prestazioni di Office o del sistema generale quando l'applicazione di protezione è abilitata.This information can help administrators diagnose reports from users related to the performance of Office or the overall system when Application Guard is enabled.

Application Guard utilizza un contenitore virtualizzato per isolare i documenti non attendibili dal sistema.Application Guard uses a virtualized container to isolate untrusted documents away from the system. Il processo di creazione di un contenitore e l'impostazione del contenitore di protezione dell'applicazione per aprire i documenti di Office ha un sovraccarico delle prestazioni che potrebbe influire negativamente sull'esperienza utente quando gli utenti aprono un documento non attendibile.The process of creating a container and setting up the Application Guard container to open Office documents has a performance overhead that might negatively impact user experience when users open an untrusted document.

Per fornire agli utenti l'esperienza di apertura dei file prevista, Application Guard utilizza la logica per creare un contenitore quando viene soddisfatta l'euristica seguente in un sistema: un utente ha aperto un file in visualizzazione protetta o applicazione di protezione negli ultimi 28 giorni.To provide users with the expected file opening experience, Application Guard uses logic to pre-create a container when the following heuristic is met on a system: A user has opened a file in either Protected View or Application Guard in the past 28 days.

Quando viene soddisfatta questa euristica, Office crea un contenitore di protezione dell'applicazione per l'utente dopo l'accesso a Windows.When this heuristic is met, Office will pre-create an Application Guard container for the user after they log in to Windows. Quando questa operazione di precreazione è in corso, il sistema potrebbe avere prestazioni lente.When this pre-create operation is in progress, the system may experience slow performance. Questo verrà risolto non appena l'operazione viene completata.This will resolve as soon as the operation completes.

Nota

I suggerimenti necessari per l'euristica utilizzata per creare il contenitore vengono generati dalle applicazioni di Office come un utente li utilizza.The hints needed for the heuristic used to pre-create the container are generated by Office applications as a user uses them. Se un utente installa Office in un nuovo sistema in cui è abilitata la funzionalità di protezione dell'applicazione, Office non creerà la precreazione del contenitore fino alla prima volta che un utente apre un documento non attendibile nel sistema.If a user installs Office on a new system where Application Guard is enabled, Office will not pre-create the container until after the first time a user opens an untrusted document on the system. L'utente osserverà che questo primo file richiede più tempo per l'apertura nella protezione dell'applicazione.The user will observe that this first file takes longer to open in Application Guard.

Problemi noti nell'anteprimaKnown issues in preview