Application Guard voor Office voor beheerders

Van toepassing op: Word, Excel en PowerPoint voor Microsoft 365 Apps, Windows 10 Enterprise, Windows 11 Enterprise

Belangrijk

Microsoft Defender Application Guard voor Office wordt afgeschaft en wordt niet meer bijgewerkt. Deze afschaffing omvat ook de Windows.Security.Isolation-API's die worden gebruikt voor Microsoft Defender Application Guard voor Office. U wordt aangeraden over te stappen op Microsoft Defender voor Eindpunt regels voor het verminderen van kwetsbaarheid voor aanvallen, samen met de beveiligde weergave en Windows Defender application control.

Microsoft Defender Application Guard voor Office (Application Guard voor Office) helpt te voorkomen dat niet-vertrouwde bestanden toegang krijgen tot vertrouwde resources, waardoor uw bedrijf wordt beschermd tegen nieuwe en opkomende aanvallen. In dit artikel worden beheerders begeleid bij het instellen van ondersteunde apparaten voor Application Guard voor Office.

Vereisten

Licentievereisten

• Microsoft 365 E5 of Microsoft 365 E5 Security
• Veilige documenten in Microsoft 365

Minimale hardwarevereisten

• CPU: 64-bits, vier kernen (fysiek of virtueel), virtualisatie-extensies (Intel VT-x OR AMD-V), core i5 equivalent of hoger aanbevolen.
• Fysiek geheugen: 8 GB RAM.
• Harde schijf: 10 GB vrije ruimte op het systeemstation (SSD aanbevolen).

Minimale softwarevereisten

• Windows: Windows 10 Enterprise editie, Client Build versie 2004 (20H1) build 19041 of hoger. Alle versies van Windows 11 worden ondersteund.
• Office: Microsoft 365-apps met build 16.0.13530.10000 of hoger. Voor de installaties van Current Channel en Monthly Enterprise Channel is deze versie gelijk aan 2011. Voor Semi-Annual Enterprise-kanaal en Semi-Annual Enterprise-kanaal (preview) is de minimale versie 2108 of hoger. Zowel 32-bits als 64-bits versies worden ondersteund.
• Updatepakket: Windows 10 cumulatieve maandelijkse beveiligingsupdate KB4571756

Raadpleeg Systeemvereisten voor Microsoft Defender Application Guard voor gedetailleerde systeemvereisten. Raadpleeg ook de handleidingen van de fabrikant van uw computer over het inschakelen van virtualisatietechnologie. Zie Overzicht van updatekanalen voor Microsoft 365-apps voor meer informatie over Microsoft 365-apps updatekanalen.

Application Guard voor Office implementeren

Application Guard inschakelen voor Office

1. Vereisten voor het besturingssysteem:

   • Windows 10: controleer of 8 september 2020 KB4571756 is geïnstalleerd.
   • Windows 11: geen specifieke vereisten.

2. Selecteer in Windows-onderdelenMicrosoft Defender Application Guard en selecteer vervolgens OK. Als u de functie Application Guard inschakelt, wordt gevraagd het systeem opnieuw op te starten. U kunt nu of na stap 3 opnieuw opstarten.

   

   U kunt toepassingshandleiding ook inschakelen in Windows PowerShell door de volgende opdracht uit te voeren als beheerder:

   Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
   

3. Ga in groepsbeleid Editor naar Computerconfiguratie>Beheersjablonen>Windows-onderdelen>Microsoft Defender Application Guard.

   Schakel de instelling Microsoft Defender Application Guard in beheerde modus inschakelen in. Stel de waarde in de sectie Opties in op een van de volgende waarden:

   • 2: Schakel alleen Microsoft Defender Application Guard in voor geïsoleerde Windows-omgevingen.
   • 3: Schakel Microsoft Defender Application Guard in voor Microsoft Edge EN geïsoleerde Windows-omgevingen.

   

   U kunt ook het bijbehorende CSP-beleid instellen:

   OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Data type: Integer Value: 2

4. Start de computer opnieuw op als u dat nog niet hebt gedaan.

Diagnostische & feedback instellen om volledige gegevens te verzenden

Opmerking

Deze stap is niet vereist. Het configureren van optionele diagnostische gegevens kan echter helpen bij het diagnosticeren van gemelde problemen.

Deze stap zorgt ervoor dat de gegevens die nodig zijn om problemen te identificeren en op te lossen, Microsoft bereiken. Volg deze stappen om diagnostische gegevens in te schakelen op uw Windows-apparaat:

1. Open Instellingen vanuit het startmenu.
2. Selecteer in Windows-instellingende optie Privacy.
3. Selecteer onder Privacy de optie Diagnostische gegevens & feedback en selecteer Optionele diagnostische gegevens.

Zie Diagnostische Windows-gegevens configureren in uw organisatie voor meer informatie over het configureren van diagnostische instellingen voor Windows.

Controleer of Application Guard voor Office is ingeschakeld en werkt

Voer de volgende stappen uit voordat u bevestigt dat Application Guard voor Office is ingeschakeld:

1. Start Word, Excel of PowerPoint op een apparaat waarop het beleid is geïmplementeerd.
2. Ga vanuit de app die u hebt gestart naar Bestandsaccount>. Controleer op de pagina Account of de verwachte licentie wordt weergegeven.

Als u wilt controleren of Application Guard voor Office is ingeschakeld, opent u een niet-vertrouwd document. U kunt bijvoorbeeld een document openen dat is gedownload van internet of een e-mailbijlage van iemand buiten uw organisatie.

Wanneer u een niet-vertrouwd bestand voor het eerst opent, wordt het volgende welkomstscherm van Office weergegeven. Application Guard voor Office wordt geactiveerd en het bestand wordt geopend. Volgende openingen van niet-vertrouwde bestanden zijn doorgaans sneller.

Nadat het bestand is geopend, zijn er enkele visuele indicatoren die aangeven dat het bestand is geopend in Application Guard voor Office:

• Een bijschrift op het lint

  

• Het toepassingspictogram met een schild op de taakbalk

  

Application Guard voor Office configureren

Office ondersteunt het volgende beleid voor het configureren van Application Guard voor Office. Deze beleidsregels kunnen worden geconfigureerd via groepsbeleid of via de Office-cloudbeleidsservice.

Opmerking

Als u dit beleid configureert, kan bepaalde functionaliteit worden uitgeschakeld voor bestanden die zijn geopend in Application Guard voor Office.

Beleid	Omschrijving
Gebruik geen Application Guard voor Office	Dwingt Word, Excel en PowerPoint af om de isolatiecontainer Beveiligde weergave te gebruiken in plaats van Application Guard voor Office.
Application Guard configureren voor precreatie van Office-containers	Bepaalt of de Application Guard voor Office-container vooraf is gemaakt voor betere uitvoeringsprestaties. Wanneer u dit beleid inschakelt, kunt u het aantal dagen opgeven om door te gaan met het maken van een container of de ingebouwde heuristiek van Office de container vooraf laten maken.
Kopiëren en plakken vanuit Office-documenten configureren die zijn geopend in Application Guard	Hiermee kunt u bepalen of gebruikers inhoud van Office naar en van documenten kunnen kopiëren en plakken die zijn geopend in Application Guard, evenals de toegestane indelingen.
Hardwareversnelling uitschakelen in Application Guard voor Office	Bepaalt of Application Guard voor Office hardwareversnelling gebruikt om afbeeldingen weer te geven. Als u deze instelling inschakelt, maakt Application Guard voor Office gebruik van op software gebaseerde rendering (CPU) en worden er geen grafische stuurprogramma's van derden geladen en wordt er geen interactie met verbonden grafische hardware uitgevoerd.
Beveiliging van niet-ondersteunde bestandstypen uitschakelen in Application Guard voor Office	Hiermee bepaalt u of Application Guard voor Office verhindert dat niet-ondersteunde bestandstypen worden geopend of dat omleiding naar de beveiligde weergave wordt ingeschakeld.
Camera- en microfoontoegang uitschakelen voor documenten die zijn geopend in Application Guard voor Office	Als u dit beleid inschakelt, wordt office-toegang tot de camera en microfoon in Application Guard voor Office verwijderd.
Afdrukken van documenten beperken die zijn geopend in Application Guard voor Office	Hiermee worden de printers beperkt waarnaar een gebruiker kan afdrukken vanuit een bestand dat is geopend in Application Guard voor Office. U kunt dit beleid bijvoorbeeld gebruiken om te beperken dat gebruikers alleen naar PDF kunnen afdrukken.
Voorkomen dat gebruikers Application Guard voor Office-beveiliging op bestanden verwijderen	Hiermee verwijdert u de optie (in de Office-toepassingservaring) om Application Guard uit te schakelen voor Office-beveiliging of om een bestand buiten Application Guard voor Office te openen. Opmerking: Gebruikers kunnen dit beleid nog steeds omzeilen door de eigenschap mark-of-the-web handmatig uit het bestand te verwijderen of door een document te verplaatsen naar een vertrouwde locatie.

Opmerking

Om het volgende beleid van kracht te laten worden, moeten gebruikers zich afmelden bij Windows en zich opnieuw aanmelden:

• Configureer kopiëren en plakken uit Office-documenten die zijn geopend in Application Guard.
• Hardwareversnelling uitschakelen in Application Guard voor Office.
• Afdrukken beperken voor documenten die zijn geopend in Application Guard voor Office.
• Schakel camera- en microfoontoegang tot documenten uit die zijn geopend in Application Guard voor Office.

Feedback verzenden

Feedback verzenden via Feedback-hub

Als u problemen ondervindt bij het starten van Application Guard voor Office, wordt u aangeraden uw feedback te verzenden via de Feedback-hub:

1. Open de app Feedback-hub en meld u aan.
2. Als u een foutbericht krijgt tijdens het starten van Application Guard, selecteert u Rapporteren aan Microsoft in het foutdialoogvenster om een nieuwe feedbackinzending te starten. Anders navigeert u naar https://aka.ms/mdagoffice-fb om de juiste categorie voor Application Guard te selecteren en selecteert u vervolgens Nieuwe feedback toevoegen in de rechterbovenhoek.
3. Voer een samenvatting in het vak Uw feedback samenvatten in.
4. Voer een gedetailleerde beschrijving in van het probleem en de stappen die u hebt uitgevoerd om fouten op te sporen in het vak Uitleg in meer detail en selecteer vervolgens Volgende.
5. Selecteer de bel naast Probleem. Zorg ervoor dat de geselecteerde categorie Beveiliging en privacy > is Microsoft Defender Application Guard – Office en selecteer vervolgens Volgende.
6. Selecteer Nieuwe feedback en vervolgens Volgende.
7. Traceringen over het probleem verzamelen:
   1. Vouw de tegel Mijn probleem opnieuw maken uit.
   2. Als het probleem zich voordoet terwijl Application Guard wordt uitgevoerd, opent u een Application Guard-exemplaar. Als u een exemplaar opent, kunnen extra traceringen worden verzameld vanuit de Application Guard container.
   3. Selecteer Opname starten en wacht tot de tegel stopt met draaien en zeg Opname stoppen.
   4. Reproduceer het probleem volledig met Application Guard. Reproductie kan bestaan uit het starten van een Application Guard-exemplaar en het wachten totdat het mislukt, of het reproduceren van een probleem in een actieve Application Guard-instantie.
   5. Selecteer de tegel Opname stoppen .
   6. Houd alle actieve Application Guard-exemplaren open, zelfs enkele minuten na het verzenden, zodat ook diagnostische gegevens over containers kunnen worden verzameld.
8. Voeg alle relevante schermopnamen of bestanden toe die betrekking hebben op het probleem.
9. Selecteer Verzenden.

Feedback verzenden via One Customer Voice

U kunt ook feedback verzenden vanuit Word, Excel en PowerPoint als het probleem zich voordoet wanneer bestanden worden geopend in Application Guard. Raadpleeg Feedback geven voor gedetailleerde richtlijnen.

Integratie met Microsoft Defender voor Eindpunt en Microsoft Defender voor Office 365

Application Guard voor Office is geïntegreerd met Microsoft Defender voor Eindpunt om bewaking en waarschuwingen te bieden voor schadelijke activiteiten die plaatsvinden in de geïsoleerde omgeving.

Veilige documenten in Microsoft E365 E5 is een functie die gebruikmaakt van Microsoft Defender voor Eindpunt om documenten te scannen die zijn geopend in Application Guard voor Office. Voor een extra beveiligingslaag kunnen gebruikers Application Guard voor Office pas verlaten als de resultaten van de scan zijn vastgesteld.

Beperkingen en overwegingen

• Application Guard voor Office is een beveiligde modus waarmee niet-vertrouwde documenten worden geïsoleerd, zodat ze geen toegang hebben tot vertrouwde bedrijfsresources. Bijvoorbeeld een intranet, de identiteit van de gebruiker en willekeurige bestanden op de computer. Als een gebruiker een actie uitvoert waarvoor toegang tot vertrouwde bronnen is vereist (bijvoorbeeld het invoegen van een lokaal afbeeldingsbestand), mislukt de actie en wordt een prompt weergegeven zoals in het volgende voorbeeld. Als u een niet-vertrouwd document toegang wilt geven tot vertrouwde resources, moeten gebruikers Application Guard beveiliging uit het document verwijderen.

  

  Opmerking

  Adviseer gebruikers om de beveiliging alleen te verwijderen als ze het bestand en de bron van het bestand vertrouwen.

• Actieve inhoud zoals macro's en ActiveX-besturingselementen is uitgeschakeld in Application Guard voor Office. Als u actieve inhoud wilt inschakelen, moet de Application Guard-beveiliging worden verwijderd.

• Niet-vertrouwde bestanden van netwerkshares of bestanden die zijn gedeeld vanuit OneDrive, OneDrive voor Bedrijven of SharePoint Online, worden geopend als alleen-lezen in Application Guard. Gebruikers kunnen een lokale kopie van dergelijke bestanden opslaan om in de container te blijven werken of de beveiliging te verwijderen om rechtstreeks met het oorspronkelijke bestand te werken.

• Bestanden die worden beveiligd met IRM (Information Rights Management) worden standaard geblokkeerd. Als gebruikers dergelijke bestanden in de beveiligde weergave willen openen, moet een beheerder beleidsinstellingen configureren voor niet-ondersteunde bestandstypen voor de organisatie.

• Eventuele aanpassingen aan Office-toepassingen in Application Guard voor Office blijven niet bestaan nadat een gebruiker zich afmeldt en zich opnieuw aanmeldt of nadat het apparaat opnieuw is opgestart.

• Alleen hulpprogramma's voor toegankelijkheid die gebruikmaken van het UIA-framework kunnen een toegankelijke ervaring bieden voor bestanden die zijn geopend in Application Guard voor Office.

• Netwerkverbinding is vereist voor de eerste start van Application Guard na de installatie.

• In de sectie informatie van het document kan de eigenschap Laatst gewijzigd doorWDAGUtilityAccount weergeven als de gebruiker. WDAGUtilityAccount is het anonieme account dat wordt gebruikt door Application Guard. De identiteit van de bureaubladgebruiker is niet beschikbaar in de Application Guard container.

Prestatieoptimalisaties voor Application Guard voor Office

Application Guard gebruikt een gevirtualiseerde container, vergelijkbaar met een virtuele machine, om niet-vertrouwde documenten van het systeem te isoleren. Het proces van het maken van een container en het instellen van de Application Guard container om Office-documenten te openen, heeft een prestatieoverhead die een negatieve invloed kan hebben op de gebruikerservaring wanneer gebruikers een niet-vertrouwd document openen.

Om gebruikers de verwachte ervaring voor het openen van bestanden te bieden, gebruikt Application Guard logica om een container vooraf te maken wanneer aan de volgende heuristiek op een systeem wordt voldaan: een gebruiker heeft in de afgelopen 28 dagen een bestand geopend in de beveiligde weergave of Application Guard.

Wanneer aan deze heuristiek wordt voldaan, maakt Office een Application Guard-container voor de gebruiker nadat deze zich heeft aangemeld bij Windows. Terwijl deze bewerking vooraf wordt gemaakt, kan het systeem trage prestaties ervaren, maar het effect wordt opgelost zodra de bewerking is voltooid.

Opmerking

De hints die nodig zijn voor de heuristiek om de container vooraf te maken, worden gegenereerd door Office-toepassingen wanneer een gebruiker deze gebruikt. Als een gebruiker Office installeert op een nieuw systeem waarop Application Guard is ingeschakeld, maakt Office de container pas vooraf nadat een gebruiker een niet-vertrouwd document op het systeem opent. Het duurt langer om dit eerste bestand te openen in Application Guard.

Bekende problemen

• De standaardinstelling voor het beveiligingsbeleid voor niet-ondersteunde bestandstypen is het openen van niet-vertrouwde, niet-ondersteunde bestandstypen die zijn versleuteld of waarvoor IRM (Information Rights Management) is ingesteld, worden geblokkeerd. Deze instelling omvat bestanden die zijn versleuteld met behulp van vertrouwelijkheidslabels van Microsoft Purview Informatiebeveiliging.
• HTML-bestanden worden momenteel niet ondersteund.
• Application Guard voor Office werkt momenteel niet met gecomprimeerde NTFS-volumes. Als u de fout 'ERROR_VIRTUAL_DISK_LIMITATION' ziet, probeert u het volume te decomprimeren.
• Als er een fout wordt weergegeven waarin wordt vermeld dat de hypervisor mogelijk niet is ingeschakeld, controleert u de volgende items:
  • Virtualisatie is ingeschakeld in het BIOS.
  • Hyper-V is ingeschakeld.
  • De hostnetwerkservice wordt uitgevoerd.
• Updates naar .NET kan ertoe leiden dat bestanden niet worden geopend in Application Guard. U kunt dit probleem oplossen door de computer opnieuw op te starten.
• Application Guard vereist dat 'Virtual Machines' de machtiging 'Aanmelden als een service' krijgt en 'wdagutilityaccount' mag niet worden toegevoegd aan de beveiligingsbeleidsinstelling 'Aanmelden als een service weigeren'.
• Zie Veelgestelde vragen - Microsoft Defender Application Guard voor meer informatie.