Compartir a través de


Introducción a Application Guard de Microsoft Defender

Nota

Protección de aplicaciones de Microsoft Defender (MDAG) está diseñado para ayudar a evitar ataques antiguos y recién emergentes para ayudar a mantener la productividad de los empleados. Con nuestro enfoque de aislamiento de hardware único, nuestro objetivo es destruir el cuaderno de estrategias que usan los atacantes haciendo que los métodos de ataque actuales sean obsoletos.

¿Qué es la Protección de aplicaciones y cómo funciona?

Para Microsoft Edge, Application Guard ayuda a aislar sitios que no son de confianza definidos por la empresa y protege a su empresa mientras los empleados navegan por Internet. Como administrador de la empresa, debes definir las páginas web, los recursos de nube y las redes internas de confianza. Todo lo que no se encuentre en la lista se considerará no de confianza. Si un empleado va a un sitio que no es de confianza a través de Microsoft Edge o Internet Explorer, Microsoft Edge abre el sitio en un contenedor aislado habilitado para Hyper-V.

Para Microsoft Office, Application Guard ayuda a evitar que los archivos de Word, PowerPoint y Excel que no son de confianza accedan a recursos de confianza. Application Guard abre archivos que no son de confianza en un contenedor aislado habilitado para Hyper-V. El contenedor aislado de Hyper-V es independiente del sistema operativo host. Este aislamiento de contenedor significa que si el sitio o archivo que no es de confianza resulta malintencionado, el dispositivo host está protegido y el atacante no puede acceder a los datos de la empresa. Por ejemplo, este enfoque hace que el contenedor aislado sea anónimo, por lo que el atacante no podrá acceder a las credenciales empresariales del empleado.

Diagrama de aislamiento de hardware.

¿Qué tipos de dispositivos deben usar la Protección de aplicaciones?

Application Guard se ha creado para dirigirse a varios tipos de dispositivos:

  • Escritorios empresariales. Estos equipos de escritorio están unidos a un dominio y los administra tu organización. La administración de configuración se realiza principalmente a través de Microsoft Configuration Manager o Microsoft Intune. Por lo general, los empleados tienen los privilegios de usuario estándares y usan una red de banda ancha con cable corporativa.

  • Portátiles móviles empresariales. Estos ordenadores portátiles están unidos a un dominio y los administra tu organización. La administración de configuración se realiza principalmente a través de Microsoft Configuration Manager o Microsoft Intune. Por lo general, los empleados tienen los privilegios de usuario estándares y usan una red de banda ancha inalámbrica corporativa.

  • Traiga su propio dispositivo (BYOD) portátiles móviles. Estos portátiles de propiedad personal no están unidos a un dominio, sino que los administra su organización a través de herramientas, como Microsoft Intune. El empleado suele ser un administrador del dispositivo y usa una red corporativa de ancho de banda alto inalámbrica mientras se encuentra en el trabajo, y una red personal similar mientras está en casa.

  • Dispositivos personales. Estos equipos de escritorio o portátiles móviles de propiedad personal no están unidos a un dominio ni están administrados por una organización. El usuario es un administrador en el dispositivo y usa una red personal inalámbrica de ancho de banda alto mientras está en casa o una red pública comparable mientras está fuera.

Requisitos de licencia y de la edición de Windows

En la tabla siguiente se enumeran las ediciones de Windows que admiten Protección de aplicaciones de Microsoft Defender (MDAG) para el modo independiente de Edge:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

Los derechos de licencia del modo independiente de Microsoft Defender Application Guard (MDAG) para Edge se conceden mediante las siguientes licencias:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.

Para obtener más información sobre Protección de aplicaciones de Microsoft Defender (MDAG) para el modo de empresa de Microsoft Edge, Configure Microsoft Defender Application Guard policy settings (Configuración de la directiva de Protección de aplicaciones de Microsoft Defender).

Artículo Descripción
Requisitos del sistema para Protección de aplicaciones de Microsoft Defender Especifica los requisitos previos necesarios para instalar y usar Application Guard.
Preparación e instalación de Protección de aplicaciones de Microsoft Defender Ofrece instrucciones acerca de cómo determinar el modo que se debe emplear (independiente o administrado por la empresa) y cómo instalar la Protección de aplicaciones en la organización.
Configuración de la directiva de grupo para Protección de aplicaciones de Microsoft Defender Ofrece información sobre la configuración de la directiva de grupo y MDM.
Escenarios de prueba con Protección de aplicaciones de Microsoft Defender en su empresa u organización Proporciona una lista de escenarios de prueba sugeridos que puede usar para probar Application Guard en su organización.
Protección de aplicaciones de Microsoft Defender para Microsoft Office Describe Application Guard para Microsoft Office, incluidos los requisitos mínimos de hardware, la configuración y una guía de solución de problemas.
Preguntas más frecuentes: Protección de aplicaciones de Microsoft Defender Proporciona respuestas a las preguntas más frecuentes sobre las características de Application Guard, la integración con el sistema operativo Windows y la configuración general.
Uso de un límite de red para agregar sitios de confianza en dispositivos Windows en Microsoft Intune Límite de red, una característica que le ayuda a proteger su entorno frente a sitios que no son de confianza para su organización.