适用于：Word、Excel 和 Microsoft 365 专属 PowerPoint Apps、Windows 10 企业版、Windows 11 企业版

Microsoft Defender 应用程序防护 for Office (应用程序防护 for Office) 有助于防止不受信任的文件访问受信任的资源，从而保护企业免受新出现的攻击。 本文指导管理员为 office 应用程序防护 设置受支持的设备。

有关详细的系统要求，请参阅Microsoft Defender 应用程序防护的系统要求。 另请参阅计算机制造商的指南，了解如何启用虚拟化技术。 若要详细了解Microsoft 365 应用版更新通道，请参阅Microsoft 365 应用版的更新通道概述。

如果运行的是Windows 10，请下载并安装Windows 10累积每月安全更新 KB4571756。 请注意，如果运行 Windows 11，则无需下载并安装安全更新。 只需按照其余过程步骤操作即可。

在“Windows 功能”下选择“Microsoft Defender 应用程序防护”，然后选择“确定”。 启用应用程序防护功能将提示系统重新启动。 可以选择立即或步骤 3 之后重新启动。

还可以通过以管理员身份运行以下 PowerShell 命令来启用此功能：

在“组策略编辑器”窗口中，展开“计算机配置” -> “管理模板” -> “Windows 组件” -> Microsoft Defender 应用程序防护。 启用“在托管模式下打开Microsoft Defender 应用程序防护”设置。 将“选项”下的值设置为 2 或 3。

或者，可以设置相应的 CSP 策略：

OMA-URI： ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard 数据类型： 整数 值： 2

重新启动系统。

注意

这不是必需的，但是，配置可选诊断数据将有助于诊断报告的问题。

此步骤可确保识别和修复问题所需的数据到达 Microsoft。 按照以下步骤在 Windows 设备上启用诊断：

从“开始”菜单打开 “设置 ”。

在 “Windows 设置”上，选择“ 隐私”。

在“隐私”下，选择“ 诊断 & 反馈 ”，然后选择“ 可选诊断数据”。

有关配置 Windows 诊断设置的详细信息，请参阅 在组织中配置 Windows 诊断数据。

在确认已启用 Office 应用程序防护之前：

在部署了策略的设备上启动 Word、Excel 或 PowerPoint。

在启动的应用中，转到 “文件 -> 帐户”。 在“帐户”页上，验证是否显示了预期的许可证。

若要确认已启用 Office 应用程序防护，请打开不受信任的文档。 例如，可以打开从 Internet 下载的文档或从组织外部人员下载的电子邮件附件。

首次打开不受信任的文件时，会看到 Office 初始屏幕，如以下示例所示。 正在激活 Office 应用程序防护，并且文件正在打开。 不受信任的文件的后续打开速度通常更快。

文件打开后，有一些可视指示器指示文件在 office 应用程序防护 内处于打开状态：

功能区中的标注

任务栏中带有屏蔽的应用程序图标

Office 支持以下策略来配置 office 应用程序防护。 可以通过组策略或 Office 云策略服务配置这些策略。

注意

配置这些策略可以禁用在 应用程序防护 for Office 中打开的文件的某些功能。

注意： 用户仍可以通过手动从文件中删除 web 标记属性或将文档移动到受信任位置来绕过此策略。

注意

若要使以下策略生效，用户必须注销并再次登录到 Windows：

如果在启动 应用程序防护 for Office 时遇到问题，建议通过反馈中心提交反馈：

打开 反馈中心应用 并登录。

如果在启动应用程序防护时遇到错误对话框，请在错误对话框中选择“向 Microsoft 报告”以开始新的反馈提交。 否则，请导航到 https://aka.ms/mdagoffice-fb 以选择应用程序防护的正确类别，然后选择右上角附近的“+ 添加新反馈”。

在 “汇总反馈 ”框中输入摘要。

在“ 更详细解释 ”框中输入问题的详细说明以及调试完成的步骤，然后选择“ 下一步”。

选择 “问题”旁边的气泡。 确保所选类别为“安全和隐私>Microsoft Defender 应用程序防护 – Office”，然后选择“下一步”。

依次选择“ 新建反馈”、“ 下一步”。

收集有关问题的跟踪：

展开 “重新创建我的问题 ”磁贴。

如果在运行应用程序防护时遇到问题，请打开应用程序防护实例。 打开实例允许从 应用程序防护 容器内收集其他跟踪。

选择“ 开始录制”，并等待磁贴停止旋转并说 “停止录制”。

使用 应用程序防护 完全重现问题。 重现可能包括尝试启动应用程序防护实例并等待它失败，或在正在运行的 应用程序防护 实例中重现问题。

选择“ 停止录制 ”磁贴。

保持任何正在运行的应用程序防护实例 () 打开，即使在提交后几分钟，也可以收集容器诊断。

附加与问题相关的任何相关屏幕截图或文件。

选择“提交”。

如果在 应用程序防护 中打开文件时出现问题，还可以从 Word、Excel 和 PowerPoint 中提交反馈。 有关详细指导，请参阅 提供反馈 。

应用程序防护 for Office 与 Microsoft Defender for Endpoint 集成，可监视隔离环境中发生的恶意活动并发出警报。

Microsoft E365 E5 中的安全文档是一项功能，它使用 Microsoft Defender for Endpoint 扫描在 应用程序防护 for Office 中打开的文档。 对于额外的保护层，在确定扫描结果之前，用户无法离开 Office 应用程序防护。

应用程序防护 for Office 是一种保护模式，用于隔离不受信任的文档，以便它们无法访问受信任的公司资源、Intranet、用户标识和计算机上的任意文件。 因此，如果用户尝试访问依赖于此类访问的功能（例如，在磁盘上插入本地文件中的图片），则访问将失败，并显示如下示例所示的提示。 若要使不受信任的文档能够访问受信任的资源，用户必须从文档中删除应用程序防护保护。

注意

建议用户仅在信任文件和文件源时删除保护。

应用程序防护 for Office 中禁用宏和 ActiveX 控件等活动内容。 若要启用活动内容，必须删除应用程序防护保护。

网络共享中的不受信任的文件或从 OneDrive、OneDrive for Business 或 SharePoint Online 共享的文件在 应用程序防护 中以只读的形式打开。 用户可以保存此类文件的本地副本以继续在容器中工作，或删除保护以直接使用原始文件。

默认情况下，受信息权限管理 (IRM) 保护的文件会被阻止。 如果用户想要在受保护的视图中打开此类文件，管理员必须为组织配置不受支持的文件类型的策略设置。

应用程序防护 for Office 中 Office 应用程序的任何自定义项在用户注销并再次登录后或设备重启后都不会保留。

只有使用 UIA 框架的辅助功能工具才能为在 应用程序防护 for Office 中打开的文件提供辅助体验。

安装后首次启动应用程序防护需要网络连接。

在文档的信息部分中， “上次修改者” 属性可能会将 WDAGUtilityAccount 显示为用户。 WDAGUtilityAccount 是应用程序防护使用的匿名帐户。 桌面用户的标识在 应用程序防护 容器中不可用。

应用程序防护使用虚拟化容器（类似于虚拟机）将不受信任的文档与系统隔离开来。 创建容器和设置应用程序防护容器以打开 Office 文档的过程会产生性能开销，当用户打开不受信任的文档时，可能会对用户体验产生负面影响。

为了为用户提供预期的文件打开体验，应用程序防护使用逻辑在系统上满足以下启发式操作时预创建容器：用户在过去 28 天内在受保护的视图或应用程序防护中打开了文件。

满足此启发式操作后，Office 会在用户登录到 Windows 后为其预先创建一个应用程序防护容器。 当此预创建操作正在进行时，系统可能会遇到性能缓慢的问题，但一旦操作完成，效果就会立即解决。

注意

试探式预创建容器所需的提示由 Office 应用程序在用户使用它们时生成。 如果用户在启用了 应用程序防护 的新系统上安装 Office，则在用户首次在系统上打开不受信任的文档之前，Office 不会预创建容器。 用户将观察到，在应用程序防护中打开第一个文件需要更长的时间。