Leer en inglés

Compartir a través de


Configuración de la directiva de Protección de aplicaciones de Microsoft Defender

Nota

Protección de aplicaciones de Microsoft Defender (Protección de aplicaciones) funciona con directiva de grupo para ayudarle a administrar la configuración del equipo de su organización. El uso de la directiva de grupo permite establecer una configuración de directiva una sola vez y copiar dicha configuración en varios equipos. Por ejemplo, puede configurar varias opciones de seguridad en un objeto directiva de grupo, que está vinculado a un dominio y, a continuación, aplicar todas esas opciones a todos los puntos de conexión del dominio.

La Protección de aplicaciones usa tanto la configuración del aislamiento de red como la específica de la aplicación.

Requisitos de licencia y de la edición de Windows

En la tabla siguiente se enumeran las ediciones de Windows que admiten Protección de aplicaciones de Microsoft Defender (MDAG) para el modo de empresa perimetral y la administración empresarial:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education
No No

Protección de aplicaciones de Microsoft Defender (MDAG) para el modo de empresa perimetral y los derechos de licencia de administración empresarial se conceden mediante las siguientes licencias:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5
No

Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.

Para obtener más información sobre Protección de aplicaciones de Microsoft Defender (MDAG) para Microsoft Edge en modo independiente, consulte Protección de aplicaciones de Microsoft Defender información general.

Configuración de aislamiento de red

Esta configuración, ubicada en Computer Configuration\Administrative Templates\Network\Network Isolation, le ayuda a definir y administrar los límites de red de su organización. Protección de aplicaciones usa esta información para transferir automáticamente las solicitudes para acceder a los recursos que no son decorporación al contenedor de Protección de aplicaciones.

Nota

Por Windows 10, si tiene KB5014666 instalado y, por Windows 11, si tiene KB5014668 instalado, no es necesario configurar la directiva de aislamiento de red para habilitar Protección de aplicaciones para Microsoft Edge en modo administrado.

Nota

Debes configurar los dominios de recursos corporativos hospedados en la nube o los intervalos de redes privadas para aplicaciones en los dispositivos de los empleados para activar correctamente la Protección de aplicaciones con el modo de empresa. Los servidores proxy deben ser un recurso neutro enumerado en los dominios clasificados como directiva profesional y personal .

Nombre de directiva Versiones compatibles Descripción
Intervalos de red privada para aplicaciones Al menos Windows Server 2012, Windows 8 o Windows RT Una lista separada por comas de los intervalos de direcciones IP que se encuentran en la red corporativa. Los puntos de conexión incluidos o los puntos de conexión que se integren en un intervalo de direcciones IP específico se representan con Microsoft Edge y no se podrá acceder a ellos desde el entorno de la Protección de Aplicaciones.
Dominios de recursos de empresa hospedados en la nube Al menos Windows Server 2012, Windows 8 o Windows RT Una lista separada por canalización (|) de los recursos de nube de dominio. Los puntos de conexión incluidos se representan con Microsoft Edge y no se podrá acceder a ellos desde el entorno de la Protección de aplicaciones.

Esta lista admite los caracteres comodín detallados en la tabla Caracteres comodín de configuración de aislamiento de red.

Dominios clasificados como personales y de trabajo Al menos Windows Server 2012, Windows 8 o Windows RT Una lista separada por comas de los nombres de dominio que se usan como recursos personales o de trabajo. Los puntos de conexión incluidos se representan mediante Microsoft Edge y serán accesibles desde el entorno Protección de aplicaciones y normal de Microsoft Edge.

Esta lista admite los caracteres comodín detallados en la tabla Caracteres comodín de configuración de aislamiento de red.

Caracteres comodín de configuración de aislamiento de red

Valor Número de puntos a la izquierda Significado
contoso.com 0 Confíe solo en el valor literal de contoso.com.
www.contoso.com 0 Confíe solo en el valor literal de www.contoso.com.
.contoso.com 1 Confíe en cualquier dominio que termine con el texto contoso.com. Los sitios coincidentes incluyen spearphishingcontoso.com, contoso.comy www.contoso.com.
..contoso.com 2 Confíe en todos los niveles de la jerarquía de dominio que están a la izquierda del punto. Los sitios coincidentes incluyen shop.contoso.com, us.shop.contoso.com, www.us.shop.contoso.com, pero NO contoso.com en sí.

Configuración específica de la aplicación

Esta configuración, ubicada en Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard, puede ayudarle a administrar la implementación de Protección de aplicaciones de su organización.

Nombre Versiones compatibles Descripción Opciones
Configuración de Protección de aplicaciones de Microsoft Defender portapapeles Windows 10 Enterprise, 1709 o superior

Windows 10 Education, 1809 o superior

Windows 11 Empresas y educación

Determina si la Protección de aplicaciones puede usar la funcionalidad del portapapeles. Habilitada. Esto solo es efectivo en modo administrado. Activa la funcionalidad del Portapapeles y le permite elegir si desea:
- Deshabilite completamente la funcionalidad del Portapapeles cuando Virtualization Security esté habilitado.
- Habilitar la copia de cierto contenido de Protección de aplicaciones en Microsoft Edge.
- Habilitar la copia de cierto contenido de Microsoft Edge en Protección de aplicaciones. Importante: Permitir que el contenido copiado pase de Microsoft Edge a Protección de aplicaciones puede provocar posibles riesgos de seguridad y no se recomienda.

Deshabilitado o sin configurar. Desactiva completamente la funcionalidad del Portapapeles para Protección de aplicaciones.

Configuración de Protección de aplicaciones de Microsoft Defender configuración de impresión Windows 10 Enterprise, 1709 o superior

Windows 10 Education, 1809 o superior

Windows 11 Empresas y educación

Determina si la Protección de aplicaciones puede usar la funcionalidad de impresión. Habilitada. Esto solo es efectivo en modo administrado. Activa la funcionalidad de impresión y le permite elegir si desea:
- Habilite Protección de aplicaciones para imprimir en el formato XPS.
- Habilite Protección de aplicaciones para imprimir en formato PDF.
- Habilite Protección de aplicaciones para imprimir en impresoras conectadas localmente.
- Habilite Protección de aplicaciones para imprimir desde impresoras de red conectadas previamente. Los empleados no pueden buscar otras impresoras.

Deshabilitado o sin configurar. Desactiva completamente la funcionalidad de impresión en la Protección de aplicaciones.
Admitir la persistencia Windows 10 Enterprise, 1709 o superior

Windows 10 Education, 1809 o superior

Windows 11 Empresas y educación

Determina si los datos persisten en distintas sesiones de Protección de aplicaciones de Microsoft Defender. Habilitada. Esto solo es efectivo en modo administrado. La Protección de aplicaciones guarda los archivos descargados por el usuario y otros elementos (por ejemplo, cookies, favoritos, etc.) para emplearlos en futuras sesiones de la Protección de aplicaciones.

Deshabilitado o sin configurar. Todos los datos de usuario de la Protección de aplicaciones se restablecen entre sesiones.

NOTA: Si más adelante decide dejar de admitir la persistencia de datos para los empleados, puede usar nuestra utilidad proporcionada por Windows para restablecer el contenedor y descartar cualquier dato personal.

Para restablecer el contenedor:
1. Abra un programa de línea de comandos y vaya a Windows/System32.
2. Escriba wdagtool.exe cleanup. Se restablecerá el entorno del contenedor y se conservarán solo los datos generados por el empleado.
3. Escriba wdagtool.exe cleanup RESET_PERSISTENCE_LAYER. Se restablecerá el entorno del contenedor y se descartarán todos los datos generados por el empleado.

Activar Protección de aplicaciones de Microsoft Defender en modo administrado Windows 10 Enterprise, 1709 o superior

Windows 10 Education, 1809 o superior

Windows 11 Empresas y educación

Determina si se debe activar Protección de aplicaciones para Microsoft Edge y Microsoft Office. Habilitada. Activa Protección de aplicaciones para Microsoft Edge o Microsoft Office, respetando la configuración de aislamiento de red y representando contenido que no es de confianza en el contenedor de Protección de aplicaciones. Protección de aplicaciones realmente no se activará a menos que los requisitos previos necesarios y la configuración de aislamiento de red ya estén establecidas en el dispositivo. Opciones disponibles:
- Habilitar Protección de aplicaciones de Microsoft Defender solo para Microsoft Edge
- Habilitar Protección de aplicaciones de Microsoft Defender solo para Microsoft Office
- Habilitación de Protección de aplicaciones de Microsoft Defender para Microsoft Edge y Microsoft Office

Deshabilitado. Desactiva Protección de aplicaciones, lo que permite que todas las aplicaciones se ejecuten en Microsoft Edge y Microsoft Office.

Nota: Para Windows 10, si tiene KB5014666 instalado y, para Windows 11, si tiene instalado KB5014668, ya no es necesario configurar la directiva de aislamiento de red para habilitar Protección de aplicaciones para Microsoft Edge.
Permitir que los archivos se descarguen en el sistema operativo host Windows 10 Enterprise o Pro, 1803 o superior

Windows 10 Education, 1809 o superior

Windows 11 Empresas o Pro o Education

Determina si se deben guardar los archivos descargados en el sistema operativo host desde el contenedor de Protección de aplicaciones de Microsoft Defender. Habilitada. Permite a los usuarios guardar los archivos descargados del contenedor de Protección de aplicaciones de Microsoft Defender en el sistema operativo host. Esta acción crea un recurso compartido entre el host y el contenedor que también permite cargas desde el host al contenedor Protección de aplicaciones.

Deshabilitado o sin configurar. Los usuarios no pueden guardar los archivos descargados de Protección de aplicaciones en el sistema operativo host.

Permitir la representación acelerada por hardware para Protección de aplicaciones de Microsoft Defender Windows 10 Enterprise, 1709 o superior

Windows 10 Education, 1809 o superior

Windows 11 Empresas y educación

Determina si Protección de aplicaciones de Microsoft Defender representa gráficos mediante aceleración de hardware o software. Habilitada. Esto solo es efectivo en modo administrado. Protección de aplicaciones de Microsoft Defender usa Hyper-V para acceder al hardware de gráficos de representación (GPU) compatible y de alta seguridad. Estas GPU mejoran el rendimiento de representación y la duración de la batería al usar Protección de aplicaciones de Microsoft Defender, especialmente para la reproducción de vídeo y otros casos de uso intensivo de gráficos. Si esta configuración está habilitada sin conectar ningún hardware de gráficos de representación de alta seguridad, Protección de aplicaciones de Microsoft Defender revertirá automáticamente a la representación basada en software (CPU). Importante: Habilitar esta configuración con dispositivos gráficos o controladores potencialmente comprometidos podría suponer un riesgo para el dispositivo host.

Deshabilitado o sin configurar. Protección de aplicaciones de Microsoft Defender usa la representación basada en software (CPU) y no cargará ningún controlador de gráficos de terceros ni interactuará con ningún hardware de gráficos conectado.
Permitir el acceso a la cámara y al micrófono en Protección de aplicaciones de Microsoft Defender Windows 10 Enterprise, 1709 o superior

Windows 10 Education, 1809 o superior

Windows 11 Empresas y educación

Determina si se permite el acceso de cámara y micrófono dentro de Protección de aplicaciones de Microsoft Defender. Habilitada. Esto solo es efectivo en modo administrado. Las aplicaciones dentro de Protección de aplicaciones de Microsoft Defender pueden acceder a la cámara y al micrófono en el dispositivo del usuario. Importante: La habilitación de esta directiva con un contenedor potencialmente en peligro podría omitir los permisos de cámara y micrófono y acceder a la cámara y al micrófono sin el conocimiento del usuario.

Deshabilitado o sin configurar. Las aplicaciones dentro de Protección de aplicaciones de Microsoft Defender no pueden acceder a la cámara y al micrófono en el dispositivo del usuario.

Permitir que Protección de aplicaciones de Microsoft Defender use entidades de certificación raíz desde el dispositivo de un usuario Windows 10 Enterprise o Pro, 1809 o superior

Windows 10 Education, 1809 o superior

Windows 11 Empresas o Pro

Determina si los certificados raíz se comparten con Protección de aplicaciones de Microsoft Defender. Habilitada. Los certificados que coinciden con la huella digital especificada se transfieren al contenedor. Use una coma para separar varios certificados.

Deshabilitado o sin configurar. Los certificados no se comparten con Protección de aplicaciones de Microsoft Defender.

Permitir eventos de auditoría en Protección de aplicaciones de Microsoft Defender Windows 10 Enterprise, 1709 o superior

Windows 10 Education, 1809 o superior

Windows 11 Empresas y educación

Esta configuración de directiva le permite decidir si los eventos de auditoría se pueden recopilar de Protección de aplicaciones de Microsoft Defender. Habilitada. Esto solo es efectivo en modo administrado. Protección de aplicaciones hereda directivas de auditoría del dispositivo y registra eventos del sistema desde el contenedor de Protección de aplicaciones al host.

Deshabilitado o sin configurar. Los registros de eventos no se recopilan del contenedor de Protección de aplicaciones.

Protección de aplicaciones configuración del cuadro de diálogo de soporte técnico

Esta configuración se encuentra en Administrative Templates\Windows Components\Windows Security\Enterprise Customization. Si se encuentra un error, se le mostrará un cuadro de diálogo. De forma predeterminada, este cuadro de diálogo solo contiene la información de error y un botón para que la informe a Microsoft a través del centro de comentarios. Sin embargo, es posible proporcionar información adicional en el cuadro de diálogo.

Use directiva de grupo para habilitar y personalizar la información de contacto.