Es gibt zwei Prozesse. Eine hat volle Rechte um eben alle Dateien lesen zu können. Dieser Prozess gibt dann den eingeschränkten Prozess (=Sandbox) die Datei um zu überprüfen. Die Schnittstellen zwischen Vollzugriff-Prozess und Sandbox-Prozess sind stark eingeschränkt und auf wenige standardisierte Befehle definiert.

Vermutlich deshalb ist das Ganze bereits seit 1703 (nach Aktivierung) im Test und erst ab 2019 dann für alle aktiv. Damit wäre für MS genügend Zeit dahingend umfangreiche Tests durchzuführen...