Importante: Microsoft Defender Application Guard para o Office está a ser preterido e já não está a ser atualizado. Esta preterição também inclui as APIs Windows.Security.Isolation que são utilizadas para Microsoft Defender Application Guard para o Office. Recomendamos a transição para Microsoft Defender para Endpoint regras de redução da superfície de ataque, juntamente com a Vista Protegida e Windows Defender Controlo de Aplicações.
Os ficheiros da Internet e de outras localizações potencialmente não seguras podem conter vírus, worms ou outros tipos de software malicioso que podem danificar o seu computador e os seus dados. Para ajudar a protegê-lo, o Microsoft 365 abre ficheiros de localizações potencialmente não seguras no Application Guard, um contentor seguro que está isolado do resto dos seus dados através da virtualização baseada em hardware. Ao contrário da Vista Protegida, quando o Microsoft 365 abre ficheiros no Application Guard, pode ler, editar, imprimir, e guardar esses ficheiros de forma segura sem ter de voltar a abrir ficheiros fora do contentor.
Se tiver a certeza de que o ficheiro é seguro e precisar de fazer algo que esteja bloqueado pelo Application Guard, pode optar por remover a proteção desse ficheiro.
Nota: Se o seu administrador tiver ativado o Documentos Seguros, o ficheiro será verificado no serviço Microsoft Defender para Endpoint para determinar se é malicioso antes de ser aberto fora do Application Guard.
A Vista Protegida é um modo só de leitura onde a maioria das funções de edição estão desativadas. Os ficheiros de localizações potencialmente não seguras são abertos como só de leitura ou na Vista Protegida. Ao utilizar a Vista Protegida, pode ler um ficheiro, ver o respetivo conteúdo e permitir a edição ao mesmo tempo que reduz os riscos.
O Application Guard é um modo restrito que lhe permite executar edição e impressão limitadas de documentos não fidedignos, enquanto minimiza o risco para o seu computador. O Office abre ficheiros a partir de localizações potencialmente não seguras no Application Guard, um contentor seguro isolado do dispositivo através da virtualização baseada em hardware. Quando o Office abre ficheiros no Application Guard, pode ler, editar, imprimir e guardar esses ficheiros de forma segura sem ter de voltar a abrir ficheiros fora do contentor.
Em comparação com a Vista Protegida, o Application Guard fornece segurança melhorada e produtividade melhorada para os utilizadores.
Segurança
O Application Guard é um sandbox baseado em virtualização que é utilizado para isolar documentos não fidedignos que possa encontrar. Fornece a mesma tecnologia que alimenta o Azure para o seu computador.
Os documentos não fidedignos são abertos num contentor isolado com Hyper-V ativado, separado do sistema operativo anfitrião. Este isolamento de contentor significa que, se um documento for malicioso, o PC anfitrião está protegido e o atacante não pode aceder aos seus dados empresariais. Por exemplo, esta abordagem torna o contentor isolado anónimo, para que um atacante não possa aceder às credenciais empresariais do seu colaborador.
Produtividade
Para além de poder ler documentos dentro do contentor seguro, agora pode utilizar funcionalidades como impressão, comentários e críticas, edição leve e guardar, enquanto mantém um documento não fidedigno no contentor do Application Guard.
Quando encontra documentos de origens não fidedignas que não são maliciosas, pode continuar a ser produtivo sem ter de se preocupar em colocar o seu dispositivo em risco.
Se encontrar um documento malicioso, este é isolado em segurança no Application Guard, mantendo o resto do seu sistema seguro.
O Application Guard está disponível para organizações que tenham licenças do Microsoft 365 E5 ou Microsoft 365 E5 Mobility + Securityhttps://www.microsoft.com/en-us/microsoft-365/enterprise-mobility-security/compare-plans-and-pricing. Os utilizadores dessas organizações têm de estar a utilizar as aplicações do Microsoft 365 para empresas no Canal Atual ou no Canal Empresarial Mensal.
Saiba mais sobre como configurar o Application Guard para o Office.
Quando será aberto um ficheiro no Application Guard?
Os ficheiros que atualmente abrem na Vista Protegida serão abertos no Application Guard se o Application Guard estiver ativado. Estas incluem:
-
Ficheiros provenientes da Internet: Refere-se a ficheiros que são transferidos a partir de domínios que não fazem parte da intranet local ou de um domínio de Sites Fidedignos no seu dispositivo, ficheiros que foram recebidos como anexos de e-mail de remetentes fora da sua organização, ficheiros que foram recebidos de outros tipos de serviços de partilha ou mensagens na Internet ou ficheiros abertos a partir de uma localização do OneDrive ou do SharePoint fora da sua organização.
-
Ficheiros localizados em localizações potencialmente não seguras: Isto refere-se a pastas existentes no seu computador ou rede que são consideradas inseguras, tal como a pasta Temporary Internet Files ou outras pastas atribuídas pelo seu administrador.
Nota: Os ficheiros abertos a partir de uma localização de rede, incluindo o OneDrive da sua organização, abrem como Só de Leitura no Application Guard. Pode guardar uma cópia desses ficheiros para continuar a trabalhar com os mesmos ou, se confiar na origem do ficheiro, pode optar por remover a proteção, conforme descrito abaixo.
-
Ficheiros bloqueados pelo Bloqueio de Ficheiros: O Bloqueio de Ficheiros impede que tipos de ficheiro desatualizados sejam abertos e faz com que o seu ficheiro seja aberto na Vista Protegida e desativa as funcionalidades Guardar e Abrir. Saiba mais sobre o Bloqueio de Ficheiros.
Como posso remover ou restaurar a proteção de um ficheiro?
Atenção: Faça-o apenas se estiver muito confiante de que o ficheiro e a sua origem são fidedignas.
Se quiser efetuar ações que não são permitidas pelo Application Guard, pode remover a proteção do Application Guard de um ficheiro. Assim que remover a proteção, o ficheiro torna-se num documento fidedigno.
Para remover a proteção do Application Guard, vá para Ficheiro > Informações e selecione Remover proteção.
Se não conseguir, é provável que a sua organização tenha políticas implementadas que impeçam a remoção da proteção do Application Guard de um ficheiro.
Para restaurar a proteção
Vá para Ficheiro > Opções > Centro de Confiança > Definições do Centro de Confiança > Documentos Fidedignos e selecione Limpar todos os Documentos Fidedignos para que deixem de ser fidedignos.
Tenha em atenção que esta opção irá restaurar a proteção para TODOS os documentos dos quais a removeu neste dispositivo.
Importante: Esta opção só está disponível fora do ambiente Application Guard. Abra uma nova instância da aplicação do Office para efetuar esta alteração.
Como posso alterar as minhas definições do Application Guard
Importante:
-
Esta opção só está disponível fora do ambiente Application Guard. Abra uma nova instância da aplicação do Office para efetuar esta alteração.
-
Recomendamos que fale com o seu administrador de TI antes de fazer alterações às definições do Application Guard.
-
Aceda a Ficheiro> Opções.
-
Selecione Centro de Confiança > Definições do Centro de Confiança > Application Guard.
-
Faça as suas seleções e, em seguida, selecione OK para guardar as suas alterações e sair das Definições do Centro de Confiança.
Definições do Application Guard
-
Ativar o Application Guard para ficheiros provenientes da Internet - A Internet é considerada uma localização não segura porque é a origem mais comum de ficheiros maliciosos.
-
Ativar o Application Guard para ficheiros localizados em localizações potencialmente não seguras - Isto refere-se a pastas existentes no seu computador ou rede que são consideradas não seguras, tal como a pasta Ficheiros Temporários da Internet ou outras pastas selecionadas pelo seu administrador de TI.
-
Ativar o Application Guard para anexos do Outlook - Os anexos de e-mail são outra origem comum de ficheiros maliciosos.
Excel tem duas definições adicionais:
-
Abrir sempre ficheiros não fidedignos Baseados em Texto (.csv, .dif e .sylk) no Application Guard - Se estiver ativado, os ficheiros baseados em texto abertos a partir de uma localização não fidedigna são sempre abertos no Application Guard. Se desativar ou não configurar esta política, os ficheiros baseados em texto abertos a partir de uma localização não fidedigna serão abertos normalmente.
-
Abrir sempre ficheiros não fidedignos de Base de Dados (.dbf) no Application Guard - Se ativado, os ficheiros de base de dados abertos a partir de uma localização não fidedigna serão sempre abertos no Application Guard. Se desativar ou não configurar esta definição, os ficheiros de base de dados abertos a partir de uma localização não fidedigna serão abertos normalmente.
Todas estas definições também podem ser configuradas por um administrador através da Política de Grupo ou do Serviço de política na nuvem do Office.
Que tipo de coisas não posso fazer no Application Guard?
Para sua segurança, determinadas capacidades não estão disponíveis para aplicações do Office durante a execução do Application Guard. Estas incluem:
-
Acesso à identidade do utilizador.
-
Acesso a localizações arbitrárias no seu sistema de ficheiros.
-
Acesso a localizações de rede classificadas como no limite de segurança da empresa (por exemplo, Intranet empresarial ou domínios classificados como "Enterprise") por Políticas de isolamento de rede.
-
Não é possível abrir CSV, HTML e ficheiros protegidos pela Gestão de Direitos de Informação (IRM) no Application Guard. Se o seu administrador configurar a definição de política de Tipos de ficheiro não suportados para a sua organização, poderá abrir estes ficheiros na Vista Protegida. Saiba mais sobre como configurar o Application Guard para políticas do Office.
-
Colar conteúdos ou imagens RTF (rich text format) em documentos do Office abertos com o Application Guard não é atualmente suportado.
As funcionalidades do Office que podem ter uma dependência destas capacidades não estão disponíveis. Alguns exemplos incluem partilhar um ficheiro, capturar uma captura de ecrã, inserir uma imagem a partir de uma localização no sistema de ficheiros, adicionar uma ligação a uma origem de dados, etc.
E os Suplementos e Macros?
Além das funções incorporadas que estão desativadas, todas as capacidades que expandem as capacidades do Office, incluindo Suplementos COM, VSTO, Web e Macros, estão desativadas no Application Guard.
Posso utilizar o Application Guard com um leitor de ecrã?
Os ficheiros abertos no Application Guard estão acessíveis através de ferramentas de acessibilidade que utilizam a estrutura de Automatização da Interface de Utilizador da Microsoft (UIA), como o Microsoft Narrator.