Condividi tramite


Application Guard per Office per amministratori

Si applica a: app Word, Excel e PowerPoint per Microsoft 365, Windows 10 Enterprise, Windows 11 Enterprise

Importante

Microsoft Defender Application Guard per Office è deprecato e non viene più aggiornato. Questa deprecazione include anche le API Windows.Security.Isolation usate per Microsoft Defender Application Guard per Office. È consigliabile eseguire la transizione a regole di riduzione della superficie di attacco Microsoft Defender per endpoint insieme a Visualizzazione protetta e Windows Defender controllo delle applicazioni.

Microsoft Defender Application Guard per Office (Application Guard per Office) consente di impedire ai file non attendibili di accedere alle risorse attendibili, mantenendo l'azienda al sicuro da attacchi nuovi ed emergenti. Questo articolo illustra agli amministratori come configurare i dispositivi supportati per Application Guard per Office.

Prerequisiti

Requisiti di licenza

Requisiti hardware minimi

  • CPU: 64 bit, quattro core (fisici o virtuali), estensioni di virtualizzazione (Intel VT-x OR AMD-V), core i5 equivalenti o superiori consigliati.
  • Memoria fisica: 8 GB di RAM.
  • Disco rigido: 10 GB di spazio disponibile nell'unità di sistema (SSD consigliato).

Requisiti software minimi

  • Windows: Windows 10 Enterprise edition, Client Build versione 2004 (20H1) build 19041 o successiva. Sono supportate tutte le versioni di Windows 11.
  • Office: Microsoft 365 Apps con build 16.0.13530.10000 o versione successiva. Per le installazioni current channel e Monthly Enterprise Channel, questa versione è equivalente a 2011. Per Semi-Annual Enterprise Channel e Semi-Annual Enterprise Channel (anteprima), la versione minima è 2108 o successiva. Sono supportate entrambe le versioni a 32 bit e a 64 bit.
  • Pacchetto di aggiornamento: Windows 10 aggiornamento cumulativo mensile della sicurezza KB4571756

Per informazioni dettagliate sui requisiti di sistema, vedere Requisiti di sistema per Microsoft Defender Application Guard. Inoltre, fare riferimento alle guide del produttore del computer su come abilitare la tecnologia di virtualizzazione. Per altre informazioni sui canali di aggiornamento Microsoft 365 Apps, vedere Panoramica dei canali di aggiornamento per Microsoft 365 Apps.

Distribuire Application Guard per Office

Abilitare Application Guard per Office

  1. Requisiti del sistema operativo:

  2. In Funzionalità di Windows selezionare Microsoft Defender Application Guard e quindi selezionare OK. L'abilitazione della funzionalità Application Guard richiede un riavvio del sistema. È possibile riavviare ora o dopo il passaggio 3.

    Finestra di dialogo Funzionalità di Windows che mostra il gruppo di disponibilità

    È anche possibile abilitare Application Guide in Windows PowerShell eseguendo il comando seguente come amministratore:

    Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
    
  3. In Criteri di gruppo Editor passare a Configurazione> computerModelli> amministrativiComponenti> di Windows Microsoft Defender Application Guard.

    Abilitare l'impostazione Attiva Microsoft Defender Application Guard in modalità gestita. Impostare il valore nella sezione Opzioni su uno dei valori seguenti:

    • 2: Abilitare Microsoft Defender Application Guard solo per ambienti Windows isolati.
    • 3: abilitare Microsoft Defender Application Guard per gli ambienti Windows isolati di Microsoft Edge E.

    Opzione per attivare il gruppo di disponibilità in modalità gestita

    In alternativa, è possibile impostare i criteri CSP corrispondenti:

    URI OMA: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Tipo di dati: Valore intero : 2

  4. Riavviare il computer, se non è già stato fatto.

Impostare Diagnostica & commenti e suggerimenti per l'invio di dati completi

Nota

Questo passaggio non è obbligatorio. Tuttavia, la configurazione dei dati di diagnostica facoltativi può aiutare a diagnosticare i problemi segnalati.

Questo passaggio garantisce che i dati necessari per identificare e risolvere i problemi raggiungano Microsoft. Seguire questa procedura per abilitare la diagnostica nel dispositivo Windows:

  1. Aprire Impostazioni dal menu Start.
  2. In Impostazioni di Windows selezionare Privacy.
  3. In Privacy selezionare Diagnostica & commenti e suggerimenti e selezionare Dati di diagnostica facoltativi.

Per altre informazioni sulla configurazione delle impostazioni di diagnostica di Windows, vedere Configurazione dei dati di diagnostica di Windows nell'organizzazione.

Verificare che Application Guard per Office sia abilitato e funzionante

Prima di confermare che Application Guard per Office è abilitato, seguire questa procedura:

  1. Avviare Word, Excel o PowerPoint in un dispositivo in cui sono stati distribuiti i criteri.
  2. Dall'app avviata passare a Account file>. Nella pagina Account verificare che venga visualizzata la licenza prevista.

Per verificare che Application Guard per Office sia abilitato, aprire un documento non attendibile. Ad esempio, è possibile aprire un documento scaricato da Internet o un allegato di posta elettronica da un utente esterno all'organizzazione.

Quando si apre per la prima volta un file non attendibile, viene visualizzata la schermata iniziale di Office seguente. Application Guard per Office è in fase di attivazione e il file viene aperto. Le successive aperture di file non attendibili sono in genere più veloci.

Pagina iniziale dell'app di Office

Dopo l'apertura del file, sono presenti alcuni indicatori visivi che segnalano che il file è aperto all'interno di Application Guard per Office:

  • Callout nella barra multifunzione

    Il file Doc che mostra una piccola nota di App Guard

  • Icona dell'applicazione con uno scudo nella barra delle applicazioni

Configurare Application Guard per Office

Office supporta i criteri seguenti per configurare Application Guard per Office. Questi criteri possono essere configurati tramite criteri di gruppo o tramite il servizio Criteri cloud di Office.

Nota

La configurazione di questi criteri può disabilitare alcune funzionalità per i file aperti in Application Guard per Office.

Criteri Descrizione
Non usare Application Guard per Office Forza Word, Excel e PowerPoint a usare il contenitore di isolamento Visualizzazione protetta anziché Application Guard per Office.
Configurare Application Guard per la creazione preliminare del contenitore di Office Determina se il Application Guard per il contenitore di Office è precreato per migliorare le prestazioni in fase di esecuzione. Quando si abilita questo criterio, è possibile specificare il numero di giorni per continuare a creare un contenitore o consentire all'euristica predefinita di Office di creare il contenitore.
Configurare la copia e l'incolla da documenti di Office aperti in Application Guard Consente di controllare se gli utenti possono copiare e incollare contenuto da Office a e da documenti aperti in Application Guard, nonché i formati consentiti.
Disabilitare l'accelerazione hardware in Application Guard per Office Controlla se Application Guard per Office usa l'accelerazione hardware per eseguire il rendering della grafica. Se si abilita questa impostazione, Application Guard per Office usa il rendering basato su software (CPU) e non carica driver grafici di terze parti né interagisce con hardware grafico connesso.
Disabilitare la protezione dei tipi di file non supportati in Application Guard per Office Controlla se Application Guard per Office blocca l'apertura dei tipi di file non supportati o se abilita il reindirizzamento alla visualizzazione protetta.
Disattivare l'accesso alla fotocamera e al microfono per i documenti aperti in Application Guard per Office L'abilitazione di questo criterio rimuove l'accesso di Office alla fotocamera e al microfono all'interno di Application Guard per Office.
Limitare la stampa da documenti aperti in Application Guard per Office Limita le stampanti su cui un utente può stampare da un file aperto in Application Guard per Office. Ad esempio, è possibile usare questo criterio per limitare gli utenti a stampare solo in formato PDF.
Impedire agli utenti di rimuovere Application Guard per la protezione di Office nei file Rimuove l'opzione (all'interno dell'esperienza dell'applicazione di Office) per disabilitare Application Guard per la protezione di Office o per aprire un file all'esterno di Application Guard per Office.

Nota: Gli utenti possono comunque ignorare questo criterio rimuovendo manualmente la proprietà mark-of-the-web dal file o spostando un documento in un percorso attendibile.

Nota

Per rendere effettivi i criteri seguenti, gli utenti devono disconnettersi da Windows e accedere di nuovo:

  • Configurare la copia e l'incolla da documenti di Office aperti in Application Guard.
  • Disabilitare l'accelerazione hardware in Application Guard per Office.
  • Limitare la stampa per i documenti aperti in Application Guard per Office.
  • Disattivare l'accesso con fotocamera e microfono ai documenti aperti in Application Guard per Office.

Inviare commenti e suggerimenti

Inviare commenti e suggerimenti tramite l'hub di feedback

Se si verificano problemi durante l'avvio di Application Guard per Office, è consigliabile inviare commenti e suggerimenti tramite l'hub di feedback:

  1. Aprire l'app Hub di feedback e accedere.
  2. Se viene visualizzata una finestra di dialogo di errore durante l'avvio Application Guard, selezionare Segnala a Microsoft nella finestra di dialogo di errore per avviare un nuovo invio di commenti e suggerimenti. In caso contrario, passare a https://aka.ms/mdagoffice-fb per selezionare la categoria corretta per Application Guard, quindi selezionare Aggiungi nuovo feedback in alto a destra.
  3. Immettere un riepilogo nella casella Riepilogo commenti e suggerimenti .
  4. Immettere una descrizione dettagliata del problema e i passaggi eseguiti per eseguire il debug nella casella Spiega in modo più dettagliato e quindi selezionare Avanti.
  5. Selezionare la bolla accanto a Problema. Assicurarsi che la categoria selezionata sia Sicurezza e privacy > Microsoft Defender Application Guard - Office e quindi selezionare Avanti.
  6. Selezionare Nuovo feedback, quindi Avanti.
  7. Raccogliere tracce sul problema:
    1. Espandere il riquadro Ricreare il problema .
    2. Se si verifica il problema durante l'esecuzione di Application Guard, aprire un'istanza di Application Guard. L'apertura di un'istanza consente di raccogliere tracce aggiuntive dall'interno del contenitore Application Guard.
    3. Selezionare Avvia registrazione e attendere che il riquadro interrompa la rotazione e pronunciare Interrompi registrazione.
    4. Riprodurre completamente il problema con Application Guard. La riproduzione può includere il tentativo di avviare un'istanza di Application Guard e l'attesa fino a quando non ha esito negativo o la riproduzione di un problema in un'istanza di Application Guard in esecuzione.
    5. Selezionare il riquadro Interrompi registrazione .
    6. Mantenere aperte le istanze di Application Guard in esecuzione, anche per alcuni minuti dopo l'invio, in modo che sia possibile raccogliere anche la diagnostica del contenitore.
  8. Allegare eventuali screenshot o file pertinenti correlati al problema.
  9. Selezionare Invia.

Inviare commenti e suggerimenti tramite One Customer Voice

È anche possibile inviare commenti e suggerimenti dall'interno di Word, Excel e PowerPoint se il problema si verifica quando i file vengono aperti in Application Guard. Per indicazioni dettagliate, vedere Fornire commenti e suggerimenti .

Integrazione con Microsoft Defender per endpoint e Microsoft Defender per Office 365

Application Guard per Office è integrato con Microsoft Defender per endpoint per fornire monitoraggio e avvisi sulle attività dannose che si verificano nell'ambiente isolato.

Documenti sicuri in Microsoft E365 E5 è una funzionalità che usa Microsoft Defender per endpoint per analizzare i documenti aperti in Application Guard per Office. Per un ulteriore livello di protezione, gli utenti non possono lasciare Application Guard per Office fino a quando non sono stati determinati i risultati dell'analisi.

Limitazioni e considerazioni

  • Application Guard per Office è una modalità protetta che isola i documenti non attendibili in modo che non possano accedere alle risorse aziendali attendibili. Ad esempio, una intranet, l'identità dell'utente e i file arbitrari nel computer. Se un utente tenta un'azione che richiede l'accesso alle risorse attendibili, ad esempio l'inserimento di un file di immagine locale, l'azione ha esito negativo e visualizza un prompt come nell'esempio seguente. Per consentire a un documento non attendibile di accedere alle risorse attendibili, gli utenti devono rimuovere Application Guard protezione dal documento.

    La finestra di dialogo che indica il messaggio di sicurezza e lo stato della funzionalità

    Nota

    Consigliare agli utenti di rimuovere la protezione solo se considerano attendibile il file e l'origine del file.

  • Il contenuto attivo, ad esempio macro e controlli ActiveX, è disabilitato in Application Guard per Office. Per abilitare il contenuto attivo, è necessario rimuovere la protezione Application Guard.

  • I file non attendibili da condivisioni di rete o file condivisi da OneDrive, OneDrive for Business o SharePoint Online vengono aperti come di sola lettura in Application Guard. Gli utenti possono salvare una copia locale di tali file per continuare a lavorare nel contenitore o rimuovere la protezione per lavorare direttamente con il file originale.

  • I file protetti da Information Rights Management (IRM) vengono bloccati per impostazione predefinita. Se gli utenti vogliono aprire tali file in Visualizzazione protetta, un amministratore deve configurare le impostazioni dei criteri per i tipi di file non supportati per l'organizzazione.

  • Le personalizzazioni per le applicazioni di Office in Application Guard per Office non vengono mantenute dopo che un utente si disconnette e accede di nuovo o dopo il riavvio del dispositivo.

  • Solo gli strumenti di accessibilità che usano il framework UIA possono offrire un'esperienza accessibile per i file aperti in Application Guard per Office.

  • La connettività di rete è necessaria per il primo avvio di Application Guard dopo l'installazione.

  • Nella sezione informazioni del documento la proprietà Last Modified By potrebbe visualizzare WDAGUtilityAccount come utente. WDAGUtilityAccount è l'account anonimo usato da Application Guard. L'identità dell'utente desktop non è disponibile all'interno del contenitore Application Guard.

Ottimizzazioni delle prestazioni per Application Guard per Office

Application Guard usa un contenitore virtualizzato, simile a una macchina virtuale, per isolare i documenti non attendibili dal sistema. Il processo di creazione di un contenitore e configurazione del contenitore Application Guard per aprire i documenti di Office comporta un sovraccarico delle prestazioni che potrebbe influire negativamente sull'esperienza utente quando gli utenti aprono un documento non attendibile.

Per offrire agli utenti l'esperienza di apertura dei file prevista, Application Guard usa la logica per creare un contenitore quando viene soddisfatta l'euristica seguente in un sistema: un utente ha aperto un file in Visualizzazione protetta o Application Guard negli ultimi 28 giorni.

Quando questa euristica viene soddisfatta, Office crea un contenitore di Application Guard per l'utente dopo l'accesso a Windows. Mentre questa operazione di precreazione è in corso, il sistema potrebbe riscontrare prestazioni lente, ma l'effetto si risolve non appena l'operazione viene completata.

Nota

Gli hint necessari per la pre-creazione del contenitore da parte dell'euristica vengono generati dalle applicazioni di Office quando vengono usati da un utente. Se un utente installa Office in un nuovo sistema in cui è abilitato Application Guard, Office non crea il contenitore prima della prima apertura di un documento non attendibile nel sistema. L'apertura di questo primo file richiede più tempo in Application Guard.

Problemi noti

  • L'impostazione predefinita per i criteri di protezione dei tipi di file non supportati consiste nel bloccare l'apertura di tipi di file non attendibili e non supportati crittografati o con Information Rights Management (IRM) impostato. Questa impostazione include file crittografati tramite etichette di riservatezza di Microsoft Purview Information Protection.
  • I file HTML non sono attualmente supportati.
  • Application Guard per Office attualmente non funziona con i volumi compressi NTFS. Se viene visualizzato l'errore "ERROR_VIRTUAL_DISK_LIMITATION", provare a decomprimere il volume.
  • Se viene visualizzato un errore che indica che l'hypervisor potrebbe non essere abilitato, controllare gli elementi seguenti:
    • La virtualizzazione è abilitata nel BIOS.
    • Hyper-V è attivato.
    • Il servizio di rete host è in esecuzione.
  • Aggiornamenti a .NET potrebbero non riuscire ad aprire i file in Application Guard. È possibile risolvere questo problema riavviando il computer.
  • Application Guard richiede che a "Macchine virtuali" venga concessa l'autorizzazione "Accesso come servizio" e "wdagutilityaccount" non deve essere aggiunto all'impostazione dei criteri di sicurezza "Nega accesso come servizio".
  • Per altre informazioni, vedere Domande frequenti - Microsoft Defender Application Guard per altre informazioni.