Application Guard för Office för administratörer
Gäller för: Word, Excel och PowerPoint för Microsoft 365, Windows 10 Enterprise
Microsoft Defender Application Guard för Office (Application Guard för Office) förhindrar att filer som inte är betrodda får åtkomst till betrodda resurser, vilket skyddar ditt företag från nya och nya attacker. I den här artikeln får administratörer hjälp med att konfigurera enheter för en förhandsgranskning av Application Guard för Office. Den tillhandahåller information om systemkrav och installationssteg för att aktivera Application Guard för Office på en enhet.
Förutsättningar
Minimikrav för maskinvara
- CPU: 64-bitars, 4 kärnor (fysiska eller virtuella), virtualiseringstillägg (Intel VT-x ELLER AMD-V), motsvarande Core i5 eller senare rekommenderas
- Fysiskt minne: 8 GB RAM-minne
- Hårddisk: 10 GB ledigt utrymme på systemenheten (SSD rekommenderas)
Lägsta programvarukrav
- Windows 10: Windows 10 Enterprise version, Klientversion version 2004 (20H1) version 19041 eller senare
- Office: Office Aktuell kanal och Månatlig Enterprise-kanal, version 2011 16.0.13530.10000 eller senare. Både 32-bitars- och 64-bitarsversioner Office stöds.
- Uppdateringspaket: Windows 10 kumulativ månatlig säkerhetsuppdatering KB4571756
Detaljerade systemkrav finns i Systemkrav för Microsoft Defender Application Guard. Mer information om hur du aktiverar virtualiseringsteknik finns i datortillverkarens guider. Mer information om hur Office kanaler finns i Översikt över uppdateringskanaler för Microsoft 365.
Licensieringskrav
- Microsoft 365 E5 eller Microsoft 365 E5 Security
Distribuera Application Guard för Office
Aktivera Application Guard för Office
Ladda ned och installera Windows 10 kumulativa månatliga säkerhetsuppdateringar KB4571756.
Välj Microsoft Defender Application Guard under Windows funktioner och välj OK. Om du aktiverar Application Guard-funktionen uppmanas du att starta om systemet. Du kan välja att starta om nu eller efter steg 3.

Funktionen kan också aktiveras genom att köra följande PowerShell-kommando som administratör:
Enable-WindowsOptionalFeature -online -FeatureName Windows-Defender-ApplicationGuardSök efter Microsoft Defender Application Guard i hanterat läge, en grupprincip i administrativa mallar för \ \ datorkonfiguration Windows komponenter \ Microsoft Defender Application Guard. Aktivera den här principen genom att ange värdet under Alternativ som 2 eller 3 och sedan välja OK eller Använd.

I stället kan du ange motsvarande princip för CSP:
OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Inställningar/AllowWindowsDefenderApplicationGuard
Datatyp: Heltal
Värde: 2Starta om systemet.
Ställ in diagnostik & feedback för att skicka fullständiga data
Anteckning
Det här är dock inte obligatoriskt om du konfigurerar valfria diagnostikdata för att diagnostisera rapporterade problem.
Det här steget säkerställer att de data som behövs för att identifiera och åtgärda problem når Microsoft. Följ dessa steg för att aktivera diagnostik på din Windows enhet:
Öppna Inställningar från Start-menyn.

På Windows Inställningar väljer du Sekretess.

Under Sekretess väljer du Diagnostik & feedback och Valfri diagnostikdata.

Mer information om hur Windows konfigurera diagnostikinställningar finns i Konfigurera Windows för diagnostikdata i organisationen.
Bekräfta att Application Guard för Office är aktiverat och fungerar
Innan du bekräftar att Application Guard för Office är aktiverat startar du Word, Excel eller PowerPoint på en enhet där principerna har distribuerats. Kontrollera Office är aktiverat. Du kan behöva använda din arbets-ID för att aktivera den Office produkten först.
Bekräfta att Application Guard för Office är aktiverat genom att starta Word, Excel eller PowerPoint och sedan öppna ett dokument som inte är betrodd. Du kan till exempel öppna ett dokument som har laddats ned från Internet eller en e-postbilaga från någon utanför organisationen.
När du först öppnar en fil som inte är betrodd kan du se en Office välkomstskärm som i följande exempel. Det kan visas under en tid medan Application Guard för Office aktiveras och filen öppnas. Senare öppningar av icke betrodda filer bör gå snabbare.

När filen öppnas bör den visa några visuella indikatorer på att filen öppnades i Application Guard för Office:
En bildtext i menyfliksområdet

Programikonen med en sköld i Aktivitetsfältet

Konfigurera Application Guard för Office
Office följande principer för att du ska kunna konfigurera funktionerna i Application Guard för Office. De här principerna kan konfigureras via grupprinciper eller Office molnprinciptjänsten.
Anteckning
Om du konfigurerar de här principerna kan vissa funktioner inaktiveras för filer som öppnas i Application Guard för Office.
| Princip | Beskrivning |
|---|---|
| Använd inte Application Guard för Office | Aktivering av den här principen tvingar Word, Excel och PowerPoint att använda den skyddade vyisolering i stället för Application Guard för Office. Den här principen kan användas för att tillfälligt inaktivera Application Guard för Office när det finns problem med att lämna det aktiverat för Microsoft Edge. |
| Konfigurera Application Guard för Office för att skapa en behållare | Den här principen bestämmer om Application Guard för Office-behållare, för att isolera icke betrodda filer, är förskapad för förbättrad prestanda under körning. Om du aktiverar den här inställningen kan du ange hur många dagar det ska gå att fortsätta att skapa en behållare eller låta den Office inbyggda heuristiska pre-skapa behållaren. |
| Tillåt inte kopiering/inklistring för Office dokument som öppnats i Application Guard för Office | Om du aktiverar den här principen förhindras användare från att kopiera och klistra in innehåll från ett dokument som öppnas i Application Guard för Office till ett dokument som öppnas utanför det. |
| Inaktivera maskinvaruacceleration i Application Guard för Office | Den här principen styr om Application Guard för Office använder maskinvaruacceleration för att återge grafik. Om du aktiverar den här inställningen använder Application Guard för Office programvarubaserad återgivning (CPU) och läser inte in några grafikdrivrutiner från tredje part eller interagerar med ansluten grafikmaskinvara. |
| Inaktivera filtyper som inte stöds i Application Guard för Office | Den här principen styr om Application Guard för Office blockerar filtyper som inte stöds från att öppnas eller om det aktiverar omdirigeringen till Skyddad vy. |
| Inaktivera åtkomst till kameran och mikrofonen för dokument som öppnas i Application Guard för Office | Om du aktiverar den här Office åtkomsten till kameran och mikrofonen i Application Guard för Office. |
| Begränsa utskrift från dokument som öppnas i Application Guard för Office | Aktivering av den här principen begränsar vilka skrivare som en användare kan skriva ut från en fil som öppnas i Application Guard för Office. Du kan till exempel använda den här principen för att begränsa användare till att bara skriva ut till PDF. |
| Hindra användare från att ta bort Application Guard Office skydd för filer | Aktivering av den här principen tar bort alternativet (inom Office-programupplevelsen) för att inaktivera Application Guard för Office-skydd eller för att öppna en fil utanför Application Guard för Office. Obs! Användare kan fortfarande kringgå den här principen genom att manuellt ta bort egenskapen Mark-of-the-web från filen eller genom att flytta ett dokument till en betrodd plats. |
Anteckning
Följande principer kräver att användaren loggar ut och loggar in igen för att Windows ska gälla:
- Inaktivera kopiera/klistra in för dokument som öppnas i Application Guard för Office
- Begränsa utskrift av dokument som öppnas i Application Guard för Office
- Inaktivera kamera- och mikrofonåtkomst till dokument som öppnas i Application Guard för Office
Skicka feedback
Skicka feedback via Feedbackhubben
Om du stöter på problem när du startar Application Guard för Office uppmanas du att skicka feedback via Feedbackhubben:
Öppna appen Feedbackhubben och logga in.
Om du får en dialogruta när du startar Application Guard väljer du Rapportera till Microsoft i feldialogrutan för att starta en ny feedback som skickas. Annars navigerar du https://aka.ms/mdagoffice-fb för att välja rätt kategori för Application Guard och väljer sedan Lägg till ny + feedback uppe till höger.
Ange en sammanfattning i rutan Summera din feedback om den inte redan är ifylld åt dig.
Ange en detaljerad beskrivning av problemet du upplevt och vilka steg du gick i rutan Förklara mer i detalj och välj sedan Nästa.
Välj bubblan bredvid Problem. Se till att den valda kategorin är Säkerhet och Microsoft Defender Application Guard – > Office och välj sedan Nästa.
Välj Ny feedback och sedan Nästa.
Samla in spårningar om problemet:
Expandera panelen Återskapa mitt problem.
Om problemet du upplever uppstår medan Application Guard körs öppnar du en Application Guard-instans. Om du öppnar en instans kan ytterligare spårningar samlas in från Application Guard-behållaren.
Välj Starta inspelning och vänta till panelen slutar snurra och säg Stoppa inspelning.
Återskapa problemet med Application Guard helt. Reproducering kan inkludera försök att starta en Application Guard-instans och vänta tills den misslyckas eller återger ett problem i en Application Guard-instans som körs.
Välj panelen Stoppa inspelning.
Ha alla Application Guard-instanser öppna, även några minuter efter inskickat, så att behållardiagnostik också kan samlas in.
Bifoga alla relevanta skärmbilder eller filer som är relaterade till problemet.
Välj Skicka.
Skicka feedback via Office Customer Voice
Du kan också skicka feedback Office om problemet inträffar Office dokument öppnas i Application Guard. Mer information finns i Office Insider-handboken för att skicka feedback.
Integrering med Microsoft Defender för Endpoint och Microsoft Defender för Office 365
Application Guard för Office är integrerat med Microsoft Defender för Slutpunkt för att tillhandahålla övervakning och avisering om skadlig aktivitet som sker i den isolerade miljön.
Valv Documents i Microsoft E365 E5 är en funktion som använder Microsoft Defender för Endpoint för att söka igenom dokument som öppnas i Application Guard för Office. För ytterligare ett skyddslager kan användarna inte lämna Application Guard för Office förrän resultatet av genomsökningen har hittats.
Microsoft Defender för Endpoint är en säkerhetsplattform som utformats för att hjälpa företagsnätverk att förhindra, upptäcka, undersöka och hantera avancerade hot. Mer information om den här plattformen finns i Microsoft Defender för Endpoint. Mer information om onboarding-enheter till den här plattformen finns i Onboard-enheter i Microsoft Defender för Endpoint-tjänsten.
Du kan också konfigurera Microsoft Defender för Office 365 att arbeta med Defender för Slutpunkt. Mer information finns i Artikeln om att integrera Defender för Office 365 med Microsoft Defender för slutpunkt.
Begränsningar och överväganden
Application Guard för Office är ett skyddat läge som isolerar dokument som inte är betrodda så att de inte kan komma åt betrodda företagsresurser, ett intranät, användarens identitet och godtyckliga filer på datorn. Om en användare försöker komma åt en funktion som är beroende av sådan åtkomst, till exempel att infoga en bild från en lokal fil på disken, misslyckas åtkomsten och ger resultatet en uppmaning som följande exempel. Om du vill aktivera ett dokument som inte är betrott för åtkomst till betrodda resurser måste användare ta bort Application Guard-skyddet från dokumentet.

Anteckning
Informera användarna att endast ta bort skydd om de litar på filen och dess källa eller var den kommer från.
Aktivt innehåll i dokument som makron och ActiveX inaktiveras i Application Guard för Office. Användare behöver ta bort Application Guard-skydd för att aktivera aktivt innehåll.
Filer som inte är betrodda från nätverksresurser eller filer som delas från OneDrive, OneDrive för företag eller SharePoint Online från en annan organisation öppnas som skrivskyddade i Application Guard. Användare kan spara en lokal kopia av sådana filer för att fortsätta arbeta i behållaren eller ta bort skydd för att direkt arbeta med den ursprungliga filen.
Filer som skyddas av IRM (Information Rights Management) är blockerade som standard. Om användarna vill öppna sådana filer i Skyddad vy måste en administratör konfigurera principinställningar för filtyper som inte stöds för organisationen.
Eventuella anpassningar av Office-program i Application Guard för Office finns inte kvar när en användare loggar ut och loggar in igen eller när enheten startar om.
Endast hjälpmedelsverktyg som använder UIA-ramverket kan ge en tillgänglig upplevelse för filer som öppnas i Application Guard för Office.
Nätverksanslutning krävs för första lanseringen av Application Guard efter installationen. Anslutning krävs för att Application Guard ska kunna validera licensen.
I avsnittet med dokumentinformation kan egenskapen Senast ändrad av visa WDAGUtilityAccount som användaren. WDAGUtilityAccount är den anonyma användare som konfigurerats i Application Guard. Skrivbordsanvändarens identitet delas inte i Application Guard-behållaren.
Prestandaoptimeringar för Application Guard för Office
Det här avsnittet innehåller en översikt över de prestandaoptimeringar som används i Application Guard för Office. Den här informationen kan hjälpa administratörer att diagnostisera rapporter från användare som är relaterade till prestanda i Office eller det övergripande systemet när Application Guard är aktiverat.
Application Guard använder en virtualiserad behållare för att isolera dokument som inte är betrodda från systemet. Processen att skapa en behållare och konfigurera Application Guard-behållaren för att öppna Office-dokument har en prestanda overhead som kan påverka användarupplevelsen negativt när användare öppnar ett dokument som inte är betrodd.
För att ge användarna den förväntade filöppnande upplevelsen använder Application Guard logik för att för skapa en behållare när följande heuristisk uppfylls på ett system: En användare har öppnat en fil i antingen Skyddad vy eller Application Guard under de senaste 28 dagarna.
När den här heuristisk uppfylls skapar Office en Application Guard-behållare för användaren när de har loggat in på Windows. Medan den här för skapa-åtgärden pågår kan prestandan vara långsam i systemet, men effekten löses så snart åtgärden har slutförts.
Anteckning
De tips som behövs för att göra det möjligt att skapa behållaren i förväg Office när en användare använder dem. Om en användare installerar Office på ett nytt system där Application Guard är aktiverat skapar Office inte behållaren förrän efter första gången en användare öppnar ett dokument som inte är betrodd i systemet. Användaren ser att den här första filen tar längre tid att öppna i Application Guard.
Kända problem
- Om du väljer
httphttpswebblänkar ( eller ) öppnas inte webbläsaren. - Standardinställningen för skyddsprincipen för kopiera och klistra in är att aktivera endast åtkomst till text i Urklipp.
- Standardinställningen för skyddsprincipen för filtyper som inte stöds är att blockera öppna filtyper som inte stöds och som är krypterade eller har IRM (Information Rights Management). Det här gäller filer som har Microsoft Information Protection känslighetsetiketter med kryptering (konfidentiell eller mycket konfidentiell).
- CSV- och HTML-filer stöds inte för närvarande.
- Application Guard för Office fungerar för närvarande inte med NTFS-komprimerade volymer. Om du får felmeddelandet "ERROR_VIRTUAL_DISK_LIMITATION" kan du prova att expandera volymen.
- Uppdateringar av .NET kan orsaka att filer inte öppnas i Application Guard. Som en lösning kan användare starta om enheten när de får det här felet. Läs mer om problemet under Ta emot ett felmeddelande när du försöker öppna ett begränsat Windows Defender Application Guard eller Windows begränsat läge.
- Mer information finns i Vanliga frågor och Microsoft Defender Application Guard frågor och svar.