Охрана приложений для Office для администраторовApplication Guard for Office for admins

Применяется к: Word, Excel и PowerPoint для Microsoft 365, Windows 10 EnterpriseApplies to: Word, Excel, and PowerPoint for Microsoft 365, Windows 10 Enterprise

Охрана приложений Microsoft Defender для Office (Application Guard for Office) помогает предотвратить доступ к доверенным ресурсам ненарушенного файла, а также защитить ваше предприятие от новых и новых атак.Microsoft Defender Application Guard for Office (Application Guard for Office) helps prevent untrusted files from accessing trusted resources, keeping your enterprise safe from new and emerging attacks. В этой статье администраторы проходят настройку устройств для предварительного просмотра приложения Guard для Office.This article walks admins through setting up devices for a preview of Application Guard for Office. В нем содержится информация о требованиях к системе и шагах по установке, чтобы включить application Guard для Office на устройстве.It provides information about system requirements and installation steps to enable Application Guard for Office on a device.

Предварительные условияPrerequisites

Минимальные требования к оборудованиюMinimum hardware requirements

  • ЦП: 64-битные, 4 ядра (физические или виртуальные), расширения виртуализации (Intel VT-x ИЛИ AMD-V), эквивалент Core i5 или более высокие рекомендуемыеCPU: 64-bit, 4 cores (physical or virtual), virtualization extensions (Intel VT-x OR AMD-V), Core i5 equivalent or higher recommended
  • Физическая память: 8-ГБ оперативной памятиPhysical memory: 8-GB RAM
  • Жесткий диск: 10 ГБ свободного пространства на системных дисках (рекомендуется SSD)Hard disk: 10 GB of free space on the system drive (SSD recommended)

Минимальные требования к программному обеспечениюMinimum software requirements

  • Windows 10: Windows 10 Enterprise edition, client Build version 2004 (20H1) build 19041 or laterWindows 10: Windows 10 Enterprise edition, Client Build version 2004 (20H1) build 19041 or later
  • Office: Office Current Channel and Monthly Enterprise Channel, Build version 2011 16.0.13530.10000 or later.Office: Office Current Channel and Monthly Enterprise Channel, Build version 2011 16.0.13530.10000 or later. Поддерживаются как 32-битные, так и 64-битные версии Office.Both 32-bit and 64-bit versions of Office are supported.
  • Пакет обновления: Накопительное ежемесячное обновление безопасности Windows 10 KB4571756Update package: Windows 10 cumulative monthly security update KB4571756

Подробные требования к системе обратитесь к системным требованиям для Microsoft Defender Application Guard.For detailed system requirements, refer to System requirements for Microsoft Defender Application Guard. Кроме того, обратитесь к руководствам производителя компьютеров о том, как включить технологию виртуализации.Also, please refer to your computer manufacturer's guides on how to enable virtualization technology. Дополнительные сведения о каналах обновления Office см. в обзоре каналов обновления для Microsoft 365.To learn more about Office update channels, see Overview of update channels for Microsoft 365.

Требования к лицензированиюLicensing requirements

  • Безопасность Microsoft 365 E5 или Microsoft 365 E5Microsoft 365 E5 or Microsoft 365 E5 Security

Развертывание Службы защиты приложений для OfficeDeploy Application Guard for Office

Включить охрану приложений для OfficeEnable Application Guard for Office

  1. Скачайте и установите накопительные ежемесячные обновления безопасности Windows 10 KB4571756.Download and install Windows 10 cumulative monthly security updates KB4571756.

  2. Выберите защитника microsoft Defender Application Guard под функциями Windows и выберите ОК.Select Microsoft Defender Application Guard under Windows Features and select OK. Включение функции Application Guard поможет перезагрудить систему.Enabling the Application Guard feature will prompt a system reboot. Вы можете выбрать перезагрузку сейчас или после шага 3.You can choose to reboot now or after step 3.

    Диалоговое окно Windows Features с указанием AG

    Эта функция также может быть включена при запуске следующей команды PowerShell в качестве администратора:The feature can also be enabled by running the following PowerShell command as administrator:

    Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuard
    
  3. Поиск защитника Microsoft Defender Application Guard в управляемом режиме , групповой политики в компьютерной конфигурации Административные шаблоны Windows \ \ Components \ Microsoft Defender Application Guard.Search for Microsoft Defender Application Guard in Managed Mode, a group policy in Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard. Включи эту политику, установив значение в параметре Параметры 2 или 3, а затем выбрав ОК или Применить.Turn on this policy by setting the value under Options as 2 or 3, and then selecting OK or Apply.

    Включив AG в управляемом режиме

    Вместо этого можно установить соответствующую политику CSP:Instead, you can set the corresponding CSP policy:

    OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuardOMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard
    Тип данных: integerData type: Integer
    Значение: 2Value: 2

  4. Перезапустите систему.Restart the system.

Настройка обратной связи & диагностики для отправки полных данныхSet Diagnostics & feedback to send full data

Примечание

Однако это не обязательно, поэтому настройка необязательных диагностических данных поможет диагностировать проблемы, о чем сообщалось.This is not required, however, configuring optional diagnostics data will help diagnose reported issues.

Этот шаг гарантирует, что данные, необходимые для выявления и устранения проблем, достигают Корпорации Майкрософт.This step ensures that the data necessary to identify and fix problems is reaching Microsoft. Выполните следующие действия, чтобы включить диагностику на устройстве Windows:Follow these steps to enable diagnostics on your Windows device:

  1. Откройте параметры из меню "Пуск".Open Settings from the Start menu.

    Меню "Пуск"

  2. В параметрах Windows выберите конфиденциальность.On Windows Settings, select Privacy.

    Меню Параметры Windows

  3. В статье Конфиденциальность выберите диагностические & отзывы и выберите необязательные диагностические данные.Under Privacy, select Diagnostics & feedback and select Optional diagnostic data.

    Меню диагностики и обратной связи

Дополнительные сведения о настройке параметров диагностики Windows можно найти в настройках диагностических данных Windows в организации.For more on configuring Windows diagnostic settings, refer to Configuring Windows diagnostic data in your organization.

Подтверждение того, что служба защиты приложений для Office включена и работаетConfirm that Application Guard for Office is enabled and working

Прежде чем подтвердить, что служба охраны приложений для Office включена, запустите Word, Excel или PowerPoint на устройстве, где развернуты политики.Before confirming that Application Guard for Office is enabled, launch Word, Excel, or PowerPoint on a device where the policies have been deployed. Убедитесь, что Office активирован.Make sure Office is activated. Для активации продукта Office сначала может потребоваться использовать удостоверение работы.You may need to use your work identity to activate the Office product first.

Чтобы подтвердить, что служба защиты приложений для Office включена, запустите Word, Excel или PowerPoint, а затем откройте ненавязчивый документ.To confirm that Application Guard for Office is enabled, launch Word, Excel, or PowerPoint, and then open an untrusted document. Например, вы можете открыть документ, скачаный из Интернета, или вложение электронной почты у кого-либо за пределами организации.For example, you can open a document that was downloaded from the internet or an email attachment from someone outside your organization.

При первом открываемом ненарушеченном файле может появиться экран всплеска Office, как в следующем примере.When you first open an untrusted file, you may see an Office splash screen like the following example. Он может отображаться в течение некоторого времени, пока активируется служба охраны приложений для Office и откроется файл.It might be displayed for some time while Application Guard for Office is being activated and the file is being opened. Последующие открытия ненарушимые файлы должны быть быстрее.Subsequent openings of untrusted files should be faster.

Экран всплеска приложения Office

После открытия в файле должны отображаться несколько визуальных индикаторов того, что файл был открыт внутри Application Guard для Office:Upon being opened, the file should display a few visual indicators that the file was opened inside Application Guard for Office:

  • Вызов в лентеA callout in the ribbon

    Doc file showing small App Guard note

  • Значок приложения со щитом в панели задачThe application icon with a shield in the taskbar

    Значок в панели задач

Настройка охраны приложений для OfficeConfigure Application Guard for Office

Office поддерживает следующие политики, позволяющие настроить возможности Службы безопасности приложений для Office.Office supports the following policies to enable you to configure the capabilities of Application Guard for Office. Эти политики можно настроить с помощью групповых политик или службы облачной политики Office.These policies can be configured through Group policies or through the Office cloud policy service. См. параметры конфигурации, установленные администратором, просмотрев параметры групповой политики в административных шаблонах конфигурации \ пользователей Microsoft Office \ 2016 г. Безопасность параметров центра приложений \ Trust Center \ \ Guard.See configuration set by your administrator by reviewing group policy settings in User Configuration\Administrative Templates\Microsoft Office 2016\Security Settings\Trust Center\Application Guard.

Примечание

Настройка этих политик может отключить некоторые функции для файлов, открытых в Application Guard для Office.Configuring these policies can disable some functionalities for files opened in Application Guard for Office.

ПолитикаPolicy ОписаниеDescription
Не используйте application Guard для OfficeDon't use Application Guard for Office Включение этой политики заставит Word, Excel и PowerPoint использовать контейнер изоляции Protected View вместо Application Guard для Office.Enabling this policy will force Word, Excel, and PowerPoint to use the Protected View isolation container instead of Application Guard for Office. Эта политика может быть использована для временной отключения службы охраны приложений для Office, если существуют проблемы с ее поддержкой для Microsoft Edge.This policy can be used to temporarily disable Application Guard for Office when there are issues in leaving it enabled for Microsoft Edge.
Настройка предварительного создания контейнера Application Guard для контейнера OfficeConfigure Application Guard for Office container pre-creation Эта политика определяет, создан ли контейнер Application Guard для Office для изоляции ненарушимых файлов для повышения производительности выполнения.This policy determines if the Application Guard for Office container, for isolating untrusted files, is pre-created for improved run-time performance. Если вы включаете этот параметр, можно указать количество дней для продолжения предварительного создания контейнера или позволить встроенной постройки Office предварительно создать контейнер.If you enable this setting, you can specify the number of days to continue pre-creating a container or let the Office built-in heuristic pre-create the container.
Не разрешайте копирование и вклейку документов Office, открытых в Службе безопасности приложений для OfficeDon't allow copy/paste for Office documents opened in Application Guard for Office Включение этой политики не позволит пользователю копировать и вклеить содержимое из документа, открытого в Службе приложений для Office, на документ, открытый вне него.Enabling this policy will prevent a user from copying and pasting content from a document opened in Application Guard for Office to a document opened outside of it.
Отключение ускорения аппаратного обеспечения в Application Guard для OfficeDisable hardware acceleration in Application Guard for Office Эта политика контролирует, использует ли служба application Guard для Office аппаратное ускорение для отрисовки графики.This policy controls whether Application Guard for Office uses hardware acceleration to render graphics. Если включить этот параметр, Служба защиты приложений для Office использует визуализацию на основе программного обеспечения (ЦП) и не загружает сторонние драйверы графики или не взаимодействует с подключенным графическим оборудованием.If you enable this setting, Application Guard for Office uses software-based (CPU) rendering and won't load any third-party graphics drivers or interact with any connected graphics hardware.
Отключение защиты неподтвердимых типов файлов в Application Guard для OfficeDisable unsupported file types protection in Application Guard for Office Эта политика контролирует, будет ли служба application Guard для Office блокировать неподтвердимые типы файлов от открытия или же она позволит перенаправление в защищенный вид.This policy controls whether Application Guard for Office will block unsupported file types from being opened or if it will enable the redirection to Protected View.
Отключите доступ к камере и микрофону для документов, открытых в Application Guard для OfficeTurn off camera and microphone access for documents opened in Application Guard for Office Включение этой политики позволит удалить доступ Office к камере и микрофону внутри Application Guard для Office.Enabling this policy will remove Office access to the camera and microphone inside Application Guard for Office.
Ограничение печати документов, открытых в службе Application Guard для OfficeRestrict printing from documents opened in Application Guard for Office Включение этой политики ограничит принтеры, которые пользователь может распечатать из файла, открытого в Application Guard для Office.Enabling this policy will limit the printers that a user can print to from a file opened in Application Guard for Office. Например, эту политику можно использовать, чтобы ограничить пользователей только печатью в ФОРМАТЕ PDF.For example, you can use this policy to restrict users to only print to PDF.
Запретить пользователям удалять защиту Application Guard для Office в файлахPrevent users from removing Application Guard for Office protection on files Включение этой политики позволит удалить параметр (в рамках приложения Office), чтобы отключить application Guard для защиты Office или открыть файл за пределами Application Guard для Office.Enabling this policy will remove the option (within the Office application experience) to disable Application Guard for Office protection or to open a file outside Application Guard for Office.

Примечание: Пользователи по-прежнему могут обойти эту политику вручную, удалив свойство mark-of-the-web из файла или перемещая документ в надежное расположение.Note: Users can still bypass this policy by manually removing the mark-of-the-web property from the file or by moving a document to a Trusted location.

Примечание

Следующие политики потребуют, чтобы пользователь зарегистрировался и снова вступает в силу в Windows:The following policies will require the user to sign out and sign in again to Windows to take effect:

  • Отключение копирования и вклейки документов, открытых в application Guard for OfficeDisable copy/paste for documents opened in Application Guard for Office
  • Ограничение печати документов, открытых в application Guard для OfficeRestrict printing for documents opened in Application Guard for Office
  • Отключение доступа камеры и микрофона к документам, открываемой в Application Guard for OfficeTurn off camera and mic access to documents opened in Application Guard for Office

Отправить отзывSubmit feedback

Отправка отзывов через центр отзывовSubmit feedback via Feedback Hub

Если при запуске службы Application Guard для Office возникнут какие-либо проблемы, рекомендуется отправить свои отзывы через Центр отзывов:If you encounter any issues when launching Application Guard for Office, you're encouraged to submit your feedback via Feedback Hub:

  1. Откройте приложение Концентратор отзывов и вопишитесь.Open the Feedback Hub app and sign in.

  2. Если при запуске службы Application Guard вы получаете диалоговое окно об ошибке, выберите Отчет Корпорации Майкрософт в диалоговом окте об ошибке, чтобы начать новую отправку отзывов.If you get an error dialog while launching Application Guard, select Report to Microsoft in the error dialog to start a new feedback submission. В противном случае перейдите, чтобы выбрать правильную категорию для Application Guard, а затем https://aka.ms/mdagoffice-fb выберите +   Добавить новые отзывы в правом верхнем справа.Otherwise, navigate to https://aka.ms/mdagoffice-fb to select the correct category for Application Guard, then select + Add new feedback near the top right.

  3. Введите сводку в поле Сводка отзывов, если она еще не заполнена для вас.Enter a summary in the Summarize your feedback box if it isn't already filled in for you.

  4. Введите подробное описание проблемы, которую вы испытали, и какие действия вы приняли в поле Объяснить более подробно, а затем выберите Далее.Enter a detailed description of the issue that you experienced and what steps you took in the Explain in more detail box, then select Next.

  5. Выберите пузырь рядом с проблемой.Select the bubble next to Problem. Убедитесь, что выбранная категория является безопасность и конфиденциальность Microsoft Defender Application Guard — > Office, а затем выберите Далее.Make sure the category selected is Security and Privacy > Microsoft Defender Application Guard – Office, then select Next.

  6. Выберите новые отзывы, а затем далее.Select New feedback, then Next.

  7. Сбор следов проблемы:Collect traces about the issue:

    1. Расширь плитку "Воссоздать проблемы".Expand the Recreate my problem tile.

    2. Если проблема возникает во время работы Службы защиты приложений, откройте экземпляр Application Guard.If the issue you're experiencing occurs while Application Guard is running, open an Application Guard instance. Открытие экземпляра позволяет собирать дополнительные следы из контейнера Application Guard.Opening an instance allows additional traces to be collected from within the Application Guard container.

    3. Выберите начало записи и подождите, пока плитка не будет вращаться, и скажите Остановить запись.Select Start recording, and wait for the tile to stop spinning and say Stop recording.

    4. Полностью воспроизводят проблему с application Guard.Fully reproduce the issue with Application Guard. Воспроизведение может включать попытку запуска экземпляра Application Guard и ожидание сбой или воспроизведение проблемы в запущенной экземпляре Application Guard.Reproduction might include attempting to launch an Application Guard instance and waiting until it fails, or reproducing an issue in a running Application Guard instance.

    5. Выберите плитку Stop recording.Select the Stop recording tile.

    6. Держите все экземпляры application Guard открытыми даже в течение нескольких минут после отправки, чтобы также можно было собирать диагностику контейнеров.Keep any running Application Guard instance(s) open, even for a few minutes after submission, so that container diagnostics can also be collected.

  8. Прикрепить все соответствующие скриншоты или файлы, связанные с проблемой.Attach any relevant screenshots or files related to the problem.

  9. Выберите Отправить.Select Submit.

Отправка отзывов с помощью голосовой связи клиента OfficeSubmit feedback via Office Customer Voice

Вы также можете отправить отзывы из Office, если проблема произойдет, когда документы Office открываются в Application Guard.You may also submit feedback from within Office if the issue happens when Office documents are opened in Application Guard. Для отправки отзывов обратитесь в руководство по инсайдерской службе Office.Refer to the Office Insider Handbook for submitting feedback.

Интеграция с Microsoft Defender для конечной точки и Microsoft Defender для Office 365Integration with Microsoft Defender for Endpoint and Microsoft Defender for Office 365

Служба охраны приложений для Office интегрирована с Microsoft Defender для конечной точки, чтобы обеспечить мониторинг и оповещение о вредоносных действиях, которые происходят в изолированной среде.Application Guard for Office is integrated with Microsoft Defender for Endpoint to provide monitoring and alerting on malicious activity that happens in the isolated environment.

Безопасные документы в Microsoft E365 E5 — это функция, которая использует Microsoft Defender для конечной точки для сканирования документов, открытых в Application Guard for Office.Safe Documents in Microsoft E365 E5 is a feature that uses Microsoft Defender for Endpoint to scan documents opened in Application Guard for Office. Для дополнительного уровня защиты пользователи не могут оставить службу Application Guard для Office до тех пор, пока не будут определены результаты проверки.For an additional layer of protection, users can't leave Application Guard for Office until the results of the scan have been determined.

Microsoft Defender for Endpoint — это платформа безопасности, призванная помочь корпоративным сетям предотвращать, обнаруживать, исследовать и реагировать на расширенные угрозы.Microsoft Defender for Endpoint is a security platform designed to help enterprise networks prevent, detect, investigate, and respond to advanced threats. Дополнительные сведения об этой платформе см. в материале Microsoft Defender for Endpoint.For more details about this platform, see Microsoft Defender for Endpoint. Дополнительные информацию об устройстве для этой платформы см. в таблице Onboard devices to the Microsoft Defender for Endpoint service.To learn more about onboarding devices to this platform, see Onboard devices to the Microsoft Defender for Endpoint service.

Вы также можете настроить Microsoft Defender для Office 365 для работы с Defender для конечной точки.You can also configure Microsoft Defender for Office 365 to work with Defender for Endpoint. Дополнительные сведения можно найти в ссылке Интеграция Defender для Office 365 с Microsoft Defender для конечной точки.For more info, refer to Integrate Defender for Office 365 with Microsoft Defender for Endpoint.

Ограничения и соображенияLimitations and considerations

  • Application Guard for Office — это защищенный режим, который изолирует ненаверенные документы, чтобы они не могли получить доступ к доверенным корпоративным ресурсам, интрасети, удостоверению пользователя и произвольным файлам на компьютере.Application Guard for Office is a protected mode that isolates untrusted documents so that they can't access trusted corporate resources, an intranet, the user's identity, and arbitrary files on the computer. В результате, если пользователь попытается получить доступ к функции, зависимой от такого доступа, например, вставив изображение из локального файла на диске, доступ не удастся и даст подсказку, как в следующем примере.As a result, if a user tries to access a feature that has a dependency on such access—for example, inserting a picture from a local file on disk—the access will fail and produce a prompt like the following example. Чтобы включить ненадверенный документ для доступа к доверенным ресурсам, пользователи должны удалить защиту application Guard из документа.To enable an untrusted document to access trusted resources, users must remove Application Guard protection from the document.

    Диалоговое окно, говоря, чтобы помочь вам сохранить безопасность, эта функция недоступна

    Примечание

    Советую пользователям удалять защиту только в том случае, если они доверяют файлу и его источнику или его источнику.Advise users to only remove protection if they trust the file and its source or where it came from.

  • Активное содержимое в документах, таких как макрос и ActiveX, отключено в Application Guard для Office.Active content in documents like macros and ActiveX controls are disabled in Application Guard for Office. Чтобы включить активный контент, пользователям необходимо удалить защиту application Guard.Users need to remove Application Guard protection to enable active content.

  • Ненарушимые файлы из сетевых акций или файлов, общих из OneDrive, OneDrive для бизнеса или SharePoint Online из другой организации, открытые только для чтения в Application Guard.Untrusted files from network shares or files shared from OneDrive, OneDrive for Business, or SharePoint Online from a different organization open as read-only in Application Guard. Пользователи могут сохранить локализованную копию таких файлов, чтобы продолжить работу в контейнере или удалить защиту для непосредственной работы с исходным файлом.Users can save a local copy of such files to continue working in the container or remove protection to directly work with the original file.

  • Файлы, защищенные управлением правами на информацию (IRM), заблокированы по умолчанию.Files that are protected by Information Rights Management (IRM) are blocked by default. Если пользователи хотят открыть такие файлы в защищенном представлении, администратор должен настроить параметры политики для неподтверченных типов файлов для организации.If users want to open such files in Protected View, an administrator must configure policy settings for unsupported file types for the organization.

  • Любые настройки приложений Office в Application Guard для Office не будут сохраняться после того, как пользователь снова запишется и запишется, или после перезапуска устройства.Any customizations to Office applications in Application Guard for Office won't persist after a user signs out and signs in again or after the device restarts.

  • Только средства доступности, которые используют базу UIA, могут обеспечить доступ к файлам, открытым в Application Guard для Office.Only Accessibility tools that use the UIA framework can provide an accessible experience for files opened in Application Guard for Office.

  • Подключение к сети необходимо для первого запуска application Guard после установки.Network connectivity is required for the first launch of Application Guard after installation. Для проверки лицензии службе Application Guard требуется подключение.Connectivity is required for Application Guard to validate the license.

  • В разделе Информация документа свойство Last Modified By может отображать WDAGUtilityAccount в качестве пользователя.In the document's info section, the Last Modified By property may display WDAGUtilityAccount as the user. WDAGUtilityAccount — анонимный пользователь, настроенный в Application Guard.WDAGUtilityAccount is the anonymous user configured in Application Guard. Удостоверение пользователя рабочего стола не является общим в контейнере Application Guard.The desktop user's identity isn't shared inside the Application Guard container.

Оптимизация производительности для Application Guard для OfficePerformance optimizations for Application Guard for Office

В этом разделе представлен обзор оптимизации производительности, используемой в Application Guard для Office.This section provides an overview of the performance optimizations used in Application Guard for Office. Эти сведения могут помочь администраторам диагностировать отчеты пользователей, связанные с производительностью Office или общей системой при включенной службе Application Guard.This information can help administrators diagnose reports from users related to the performance of Office or the overall system when Application Guard is enabled.

Application Guard использует виртуализированный контейнер, чтобы изолировать ненарушимые документы от системы.Application Guard uses a virtualized container to isolate untrusted documents away from the system. Процесс создания контейнера и настройки контейнера Application Guard для открытия документов Office имеет накладные расходы на производительность, которые могут отрицательно повлиять на работу пользователей при открываемом пользователем ненарушеченном документе.The process of creating a container and setting up the Application Guard container to open Office documents has a performance overhead that might negatively affect user experience when users open an untrusted document.

Чтобы обеспечить пользователей ожидаемым опытом открытия файлов, Application Guard использует логику для предварительного создания контейнера при встрече в системе: пользователь открыл файл в защищенном представлении или службе application Guard за последние 28 дней.To provide users with the expected file-opening experience, Application Guard uses logic to pre-create a container when the following heuristic is met on a system: A user has opened a file in either Protected View or Application Guard in the past 28 days.

При этом, office предварительно создаст контейнер Application Guard для пользователя после его внесения в Windows.When this heuristic is met, Office will pre-create an Application Guard container for the user after they sign in to Windows. Пока эта предварительная операция продолжается, у системы может быть низкая производительность, но эффект будет устраняться, как только операция завершится.While this pre-create operation is in progress, the system may experience slow performance, but the effect will resolve as soon as the operation completes.

Примечание

Подсказки, необходимые для создания контейнера, создаются приложениями Office при их применении пользователем.The hints needed for the heuristic to pre-create the container are generated by Office applications as a user uses them. Если пользователь установит Office в новой системе, в которой включена служба охраны приложений, Office не будет предварительно создавать контейнер до тех пор, пока пользователь не откроет ненавязаный документ в системе.If a user installs Office on a new system where Application Guard is enabled, Office will not pre-create the container until after the first time a user opens an untrusted document on the system. Пользователь будет наблюдать, что этот первый файл занимает больше времени, чтобы открыть в Application Guard.The user will observe that this first file takes longer to open in Application Guard.

Известные проблемыKnown issues

  • Выбор веб-ссылок http https (или) не открывает браузер.Selecting web links (http or https) doesn't open the browser.
  • В настоящее время не поддерживается вклейка контента или изображений в формате RTF в документах Office, открытых с помощью Application Guard.Pasting rich text format (RTF) content or images in Office documents opened with Application Guard isn't supported at this time.
  • По умолчанию для политики защиты неподтверщенных типов файлов необходимо заблокировать открытие неподтверщенных неподтверщенных типов файлов управления правами на информацию (IRM), CSV или HTML.The default setting for unsupported file types protection policy is to block opening untrusted unsupported file types of Information Rights Management (IRM), CSV, or HTML.
  • Обновления до .NET могут привести к сбойу открытия файлов в Application Guard.Updates to .NET might cause files to fail to open in Application Guard. Как обходное решение, пользователи могут перезапустить свое устройство, когда они наткнулись на этот сбой.As a workaround, users can restart their device when they come across this failure. Узнайте больше о проблеме при получении сообщения об ошибке при попытке открыть Защитник Windows или песочницу Windows.Learn more about the issue at Receiving an error message when attempting to open Windows Defender Application Guard or Windows Sandbox.