Protección de aplicaciones para Office para administradores

Se aplica a: aplicaciones de Word, Excel y PowerPoint para Microsoft 365, Windows 10 Enterprise, Windows 11 Empresas

Importante

Protección de aplicaciones de Microsoft Defender para Office está en desuso y ya no se está actualizando. Este desuso también incluye las API Windows.Security.Isolation que se usan para Protección de aplicaciones de Microsoft Defender para Office. Se recomienda realizar la transición a Microsoft Defender para punto de conexión reglas de reducción de superficie expuesta a ataques junto con la vista protegida y Windows Defender Control de aplicaciones.

Protección de aplicaciones de Microsoft Defender para Office (Protección de aplicaciones para Office) ayuda a evitar que los archivos que no son de confianza accedan a recursos de confianza, lo que mantiene a su empresa a salvo de ataques nuevos y emergentes. En este artículo se guía a los administradores a través de la configuración de dispositivos compatibles para Protección de aplicaciones para Office.

Requisitos previos

Requisitos de licencias

• Microsoft 365 E5 o Seguridad de Microsoft 365 E5
• Documentos seguros en Microsoft 365

Requisitos mínimos de hardware

• CPU: 64 bits, cuatro núcleos (físicos o virtuales), extensiones de virtualización (Intel VT-x O AMD-V), core i5 equivalente o superior recomendado.
• Memoria física: 8 GB de RAM.
• Disco duro: 10 GB de espacio libre en la unidad del sistema (ssd recomendado).

Requisitos mínimos de software

• Windows: edición Windows 10 Enterprise, compilación de cliente 2004 (20H1) compilación 19041 o posterior. Se admiten todas las versiones de Windows 11.
• Office: Aplicaciones Microsoft 365 con la compilación 16.0.13530.10000 o posterior. Para las instalaciones de Canal actual y Canal mensual de empresa, esta versión es equivalente a 2011. Para Semi-Annual Enterprise Channel y Semi-Annual Enterprise Channel (versión preliminar), la versión mínima es 2108 o posterior. Se admiten versiones de 32 y 64 bits.
• Paquete de actualización: Windows 10 actualización de seguridad mensual acumulativa KB4571756

Para conocer los requisitos detallados del sistema, consulte Requisitos del sistema para Protección de aplicaciones de Microsoft Defender. Además, consulte las guías del fabricante del equipo sobre cómo habilitar la tecnología de virtualización. Para obtener más información sobre Aplicaciones Microsoft 365 canales de actualización, consulte Introducción a los canales de actualización para Aplicaciones Microsoft 365.

Implementación de Protección de aplicaciones para Office

Habilitación de Protección de aplicaciones para Office

1. Requisitos del sistema operativo:

   • Windows 10: compruebe que está instalado el KB4571756 del 8 de septiembre de 2020.
   • Windows 11: no hay requisitos específicos.

2. En Características de Windows, seleccione Protección de aplicaciones de Microsoft Defender y, a continuación, seleccione Aceptar. Al habilitar la característica Protección de aplicaciones se solicita un reinicio del sistema. Puede reiniciar ahora o después del paso 3.

   

   También puede habilitar la Guía de aplicaciones en Windows PowerShell ejecutando el siguiente comando como administrador:

   Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard
   

3. En directiva de grupo Editor, vaya a Configuración> del equipoPlantillas> administrativasComponentes> de Windows Protección de aplicaciones de Microsoft Defender.

   Habilite la opción Activar Protección de aplicaciones de Microsoft Defender en modo administrado. Establezca el valor de la sección Opciones en cualquiera de los siguientes valores:

   • 2: Habilite solo Protección de aplicaciones de Microsoft Defender para entornos aislados de Windows.
   • 3: Habilite Protección de aplicaciones de Microsoft Defender para entornos windows aislados y de Microsoft Edge.

   

   Como alternativa, puede establecer la directiva CSP correspondiente:

   OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Tipo de datos: Valor entero : 2

4. Reinicie el equipo, si aún no lo ha hecho.

Establecer diagnósticos & comentarios para enviar datos completos

Nota:

Este paso no es necesario. Sin embargo, la configuración de datos de diagnóstico opcionales puede ayudar a diagnosticar los problemas notificados.

Este paso garantiza que los datos necesarios para identificar y corregir problemas lleguen a Microsoft. Siga estos pasos para habilitar los diagnósticos en el dispositivo Windows:

1. Abra Configuración en el menú Inicio.
2. En Configuración de Windows, seleccione Privacidad.
3. En Privacidad, seleccione Diagnóstico & comentarios y seleccione Datos de diagnóstico opcionales.

Para obtener más información sobre cómo configurar las opciones de diagnóstico de Windows, consulte Configuración de datos de diagnóstico de Windows en su organización.

Confirme que Protección de aplicaciones para Office está habilitado y funcionando

Antes de confirmar que Protección de aplicaciones para Office está habilitado, siga estos pasos:

1. Inicie Word, Excel o PowerPoint en un dispositivo donde se hayan implementado las directivas.
2. Desde la aplicación que inició, vaya a Cuenta de archivo>. En la página Cuenta , compruebe que se muestra la licencia esperada.

Para confirmar que Protección de aplicaciones para Office está habilitado, abra un documento que no sea de confianza. Por ejemplo, puede abrir un documento que se descargó de Internet o un archivo adjunto de correo electrónico de alguien fuera de su organización.

Al abrir por primera vez un archivo que no es de confianza, se muestra la siguiente pantalla de presentación de Office. Protección de aplicaciones para Office se está activando y se abre el archivo. Las aperturas posteriores de archivos que no son de confianza suelen ser más rápidas.

Después de abrir el archivo, hay algunos indicadores visuales que indican que el archivo está abierto dentro de Protección de aplicaciones para Office:

• Una llamada en la cinta de opciones

  

• Icono de aplicación con un escudo en la barra de tareas

  

Configuración de Protección de aplicaciones para Office

Office admite las siguientes directivas para configurar Protección de aplicaciones para Office. Estas directivas se pueden configurar a través de directivas de grupo o a través del servicio de directivas en la nube de Office.

Nota:

La configuración de estas directivas puede deshabilitar algunas funciones para los archivos abiertos en Protección de aplicaciones para Office.

Policy	Descripción
No usar Protección de aplicaciones para Office	Obliga a Word, Excel y PowerPoint a usar el contenedor de aislamiento vista protegida en lugar de Protección de aplicaciones para Office.
Configuración de Protección de aplicaciones para la precreación de contenedores de Office	Determina si el contenedor de Protección de aplicaciones para Office se crea previamente para mejorar el rendimiento en tiempo de ejecución. Al habilitar esta directiva, puede especificar el número de días para continuar creando previamente un contenedor o permitir que la heurística integrada de Office cree previamente el contenedor.
Configurar copiar y pegar desde documentos de Office abiertos en Protección de aplicaciones	Permite controlar si los usuarios pueden copiar y pegar contenido de Office hacia y desde documentos abiertos en Protección de aplicaciones, así como los formatos permitidos.
Deshabilitar la aceleración de hardware en Protección de aplicaciones para Office	Controla si Protección de aplicaciones para Office usa la aceleración de hardware para representar gráficos. Si habilita esta configuración, Protección de aplicaciones para Office usa la representación basada en software (CPU) y no carga ningún controlador de gráficos de terceros ni interactúa con ningún hardware de gráficos conectado.
Deshabilitar la protección de tipos de archivo no admitidos en Protección de aplicaciones para Office	Controla si Protección de aplicaciones para Office impide que se abran tipos de archivo no admitidos o si permite el redireccionamiento a la vista protegida.
Desactivar el acceso de cámara y micrófono para los documentos abiertos en Protección de aplicaciones para Office	Al habilitar esta directiva, se quita el acceso de Office a la cámara y al micrófono dentro de Protección de aplicaciones para Office.
Restricción de la impresión de documentos abiertos en Protección de aplicaciones para Office	Limita las impresoras en las que un usuario puede imprimir desde un archivo abierto en Protección de aplicaciones para Office. Por ejemplo, puede usar esta directiva para restringir a los usuarios que solo impriman en PDF.
Impedir que los usuarios quiten Protección de aplicaciones para la protección de Office en archivos	Quita la opción (dentro de la experiencia de aplicación de Office) para deshabilitar Protección de aplicaciones para la protección de Office o para abrir un archivo fuera de Protección de aplicaciones para Office. Nota: Los usuarios todavía pueden omitir esta directiva quitando manualmente la propiedad mark-of-the-web del archivo o moviendo un documento a una ubicación de confianza.

Nota:

Para que las directivas siguientes surtan efecto, los usuarios deben cerrar la sesión de Windows e iniciar sesión de nuevo:

• Configure copiar y pegar desde documentos de Office abiertos en Protección de aplicaciones.
• Deshabilite la aceleración de hardware en Protección de aplicaciones para Office.
• Restringir la impresión de documentos abiertos en Protección de aplicaciones para Office.
• Desactive el acceso de cámara y micrófono a los documentos abiertos en Protección de aplicaciones para Office.

Enviar comentarios

Enviar comentarios a través del Centro de comentarios

Si encuentra algún problema al iniciar Protección de aplicaciones para Office, se recomienda enviar sus comentarios a través del Centro de comentarios:

1. Abra la aplicación Centro de comentarios e inicie sesión.
2. Si aparece un cuadro de diálogo de error al iniciar Protección de aplicaciones, seleccione Notificar a Microsoft en el cuadro de diálogo de error para iniciar un nuevo envío de comentarios. De lo contrario, vaya a https://aka.ms/mdagoffice-fb para seleccionar la categoría correcta para Protección de aplicaciones y, a continuación, seleccione Agregar nuevos comentarios cerca de la parte superior derecha.
3. Escriba un resumen en el cuadro Resumir sus comentarios .
4. Escriba una descripción detallada del problema y los pasos que ha seguido para depurar en el cuadro Explicar con más detalle y, a continuación, seleccione Siguiente.
5. Seleccione la burbuja junto a Problema. Asegúrese de que la categoría seleccionada es Seguridad y privacidad > Protección de aplicaciones de Microsoft Defender – Office y, a continuación, seleccione Siguiente.
6. Seleccione Nuevos comentarios y, a continuación, Siguiente.
7. Recopilar seguimientos sobre el problema:
   1. Expanda el icono Volver a crear mi problema .
   2. Si el problema que está experimentando se produce mientras Protección de aplicaciones se está ejecutando, abra una instancia de Protección de aplicaciones. La apertura de una instancia permite recopilar seguimientos adicionales desde dentro del contenedor de Protección de aplicaciones.
   3. Seleccione Iniciar grabación y espere a que el icono deje de girar y diga Detener grabación.
   4. Reproduzca completamente el problema con Protección de aplicaciones. La reproducción puede incluir intentar iniciar una instancia de Protección de aplicaciones y esperar hasta que se produzca un error o reproducir un problema en una instancia de Protección de aplicaciones en ejecución.
   5. Seleccione el icono Detener grabación .
   6. Mantenga abiertas las instancias de Protección de aplicaciones en ejecución, incluso durante unos minutos después del envío, para que también se puedan recopilar diagnósticos de contenedor.
8. Adjunte las capturas de pantalla o archivos pertinentes relacionados con el problema.
9. Seleccione Enviar.

Enviar comentarios a través de One Customer Voice

También puede enviar comentarios desde Word, Excel y PowerPoint si el problema se produce cuando los archivos se abren en Protección de aplicaciones. Consulte Proporcionar comentarios para obtener instrucciones detalladas.

Integración con Microsoft Defender para punto de conexión y Microsoft Defender para Office 365

Protección de aplicaciones para Office se integra con Microsoft Defender para punto de conexión para proporcionar supervisión y alertas sobre la actividad malintencionada que se produce en el entorno aislado.

Documentos seguros en Microsoft E365 E5 es una característica que usa Microsoft Defender para punto de conexión para examinar documentos abiertos en Protección de aplicaciones para Office. Para obtener una capa de protección adicional, los usuarios no pueden dejar Protección de aplicaciones para Office hasta que se hayan determinado los resultados del examen.

Limitaciones y consideraciones

• Protección de aplicaciones para Office es un modo protegido que aísla los documentos que no son de confianza para que no puedan acceder a recursos corporativos de confianza. Por ejemplo, una intranet, la identidad del usuario y los archivos arbitrarios en el equipo. Si un usuario intenta una acción que requiere acceso a recursos de confianza (por ejemplo, insertar un archivo de imagen local), se produce un error en la acción y se muestra un mensaje como el ejemplo siguiente. Para habilitar un documento que no es de confianza para acceder a recursos de confianza, los usuarios deben quitar Protección de aplicaciones protección del documento.

  

  Nota:

  Aconseje a los usuarios que quiten la protección solo si confían en el archivo y el origen del archivo.

• El contenido activo, como macros y controles ActiveX, está deshabilitado en Protección de aplicaciones para Office. Para habilitar el contenido activo, se debe quitar la protección Protección de aplicaciones.

• Los archivos que no son de confianza de recursos compartidos de red o archivos compartidos desde OneDrive, OneDrive para la Empresa o SharePoint Online se abren como de solo lectura en Protección de aplicaciones. Los usuarios pueden guardar una copia local de dichos archivos para seguir trabajando en el contenedor o quitar la protección para trabajar directamente con el archivo original.

• Los archivos protegidos por Information Rights Management (IRM) se bloquean de forma predeterminada. Si los usuarios quieren abrir estos archivos en la vista protegida, un administrador debe configurar las opciones de directiva para los tipos de archivo no admitidos para la organización.

• Las personalizaciones de las aplicaciones de Office en Protección de aplicaciones para Office no se conservan después de que un usuario cierre la sesión e inicie sesión de nuevo o después de reiniciar el dispositivo.

• Solo las herramientas de accesibilidad que usan el marco UIA pueden proporcionar una experiencia accesible para los archivos abiertos en Protección de aplicaciones para Office.

• Se requiere conectividad de red para el primer inicio de Protección de aplicaciones después de la instalación.

• En la sección de información del documento, la propiedad Last Modified By podría mostrar WDAGUtilityAccount como el usuario. WDAGUtilityAccount es la cuenta anónima que usa Protección de aplicaciones. La identidad del usuario de escritorio no está disponible dentro del contenedor de Protección de aplicaciones.

Optimizaciones de rendimiento para Protección de aplicaciones para Office

Protección de aplicaciones usa un contenedor virtualizado, similar a una máquina virtual, para aislar los documentos que no son de confianza del sistema. El proceso de crear un contenedor y configurar el contenedor de Protección de aplicaciones para abrir documentos de Office tiene una sobrecarga de rendimiento que podría afectar negativamente a la experiencia del usuario cuando los usuarios abren un documento que no es de confianza.

Para proporcionar a los usuarios la experiencia de apertura de archivos esperada, Protección de aplicaciones usa lógica para crear previamente un contenedor cuando se cumple la siguiente heurística en un sistema: un usuario ha abierto un archivo en la vista protegida o Protección de aplicaciones en los últimos 28 días.

Cuando se cumple esta heurística, Office crea previamente un contenedor de Protección de aplicaciones para el usuario después de iniciar sesión en Windows. Aunque esta operación de creación previa está en curso, el sistema puede experimentar un rendimiento lento, pero el efecto se resuelve en cuanto se completa la operación.

Nota:

Las sugerencias necesarias para que la heurística cree previamente el contenedor las generan las aplicaciones de Office a medida que un usuario las usa. Si un usuario instala Office en un nuevo sistema donde Protección de aplicaciones está habilitado, Office no crea previamente el contenedor hasta la primera vez que un usuario abre un documento que no es de confianza en el sistema. Este primer archivo tarda más en abrirse en Protección de aplicaciones.

Problemas conocidos

• La configuración predeterminada para la directiva de protección de tipos de archivo no admitidos es bloquear la apertura de tipos de archivo no compatibles que no son de confianza y que están cifrados o tienen establecido Information Rights Management (IRM). Esta configuración incluye archivos cifrados mediante etiquetas de confidencialidad de Microsoft Purview Information Protection.
• Los archivos HTML no se admiten en este momento.
• Protección de aplicaciones para Office actualmente no funciona con volúmenes comprimidos NTFS. Si ve el error: "ERROR_VIRTUAL_DISK_LIMITATION" intente descomprimir el volumen.
• Si ve un error que indica que es posible que el hipervisor no esté habilitado, compruebe los siguientes elementos:
  • La virtualización está habilitada en el BIOS.
  • Hyper-V está activado.
  • El servicio de red host se está ejecutando.
• Novedades en .NET puede provocar que los archivos no se abran en Protección de aplicaciones. Para resolver este problema, reinicie la máquina.
• Protección de aplicaciones requiere que se conceda a "Virtual Machines" el permiso "Inicio de sesión como servicio" y "wdagutilityaccount" no se debe agregar a la configuración de directiva de seguridad "Denegar inicio de sesión como servicio".
• Para obtener más información, consulte Preguntas más frecuentes: Protección de aplicaciones de Microsoft Defender para obtener más información.