Preparar la instalación de Protección de aplicaciones de Microsoft Defender

Nota

Antes de continuar, revise Requisitos del sistema de Protección de aplicaciones de Microsoft Defender para revisar los requisitos de instalación de hardware y software para Protección de aplicaciones de Microsoft Defender.

Nota

Protección de aplicaciones de Microsoft Defender no es compatible con máquinas virtuales y entornos VDI. Para realizar pruebas y automatizaciones en máquinas que no sean de producción, pueden habilitar WDAG en una máquina virtual habilitando la virtualización anidada de Hyper-V en el equipo host.

Prepararse para Protección de aplicaciones de Microsoft Defender

Para poder instalar y usar Protección de aplicaciones de Microsoft Defender, debes determinar primero cómo quieres usarla en la empresa. Puedes usar la Protección de aplicaciones en los modos Independiente o Administrado por la empresa.

Modo Independiente

Los empleados pueden usar las sesiones de exploración aisladas del hardware con cualquier configuración de directiva de administración o de administrador. En este modo, debes instalar la Protección de aplicaciones y el empleado deberá iniciar manualmente Microsoft Edge en la Protección de aplicaciones si va a explorar sitios que no sean de confianza. Para ver un ejemplo de cómo funciona, consulta el escenario de prueba Protección de aplicaciones en modo independiente.

El modo independiente es aplicable a:

  • Windows 10 Enterprise edición, versión 1709 y posteriores
  • Windows 10 Pro edición, versión 1803 y posteriores
  • Windows 10 Education edición, versión 1809 y posteriores
  • ediciones Windows 11 Empresas, Education o Pro

Modo Administrado por la empresa

Tanto tú como el departamento de seguridad podéis definir los límites corporativos agregando explícitamente los dominios de confianza y personalizando la experiencia de la Protección de aplicaciones para que satisfaga las necesidades de los dispositivos de los empleados. El modo administrado por la empresa también redirige automáticamente las solicitudes del explorador para agregar dominios que no sean de empresa en el contenedor.

El modo administrado por la empresa es aplicable a:

  • Windows 10 Enterprise edición, versión 1709 y posteriores
  • Windows 10 Education edición, versión 1809 y posteriores
  • ediciones de Windows 11 Empresas o Educación

El siguiente diagrama muestra el flujo entre el equipo host y el contenedor aislado.

Diagrama de flujo del movimiento entre Microsoft Edge y Protección de aplicaciones.

Instalar la Protección de aplicaciones

La funcionalidad de Protección de aplicaciones está desactivada de manera predeterminada. Sin embargo, se puede instalar rápidamente en los dispositivos de los empleados mediante el Panel de control, PowerShell o la solución de administración de dispositivos móviles (MDM).

Instalación desde Panel de control

  1. Abra el Panel de control, seleccione Programas y, a continuación, seleccione Activar o desactivar las características de Windows.

    Características de Windows, activando Protección de aplicaciones de Microsoft Defender.

  2. Active la casilla situada junto a Protección de aplicaciones de Microsoft Defender y, a continuación, seleccione Aceptar para instalar Protección de aplicaciones y sus dependencias subyacentes.

Instalación desde PowerShell

Nota

Asegúrate de que los dispositivos cumplen todos los requisitos del sistema antes de este paso. PowerShell instalará la característica sin comprobar los requisitos del sistema. Si los dispositivos no cumplen los requisitos del sistema, es posible que Protección de aplicaciones no funcione. Este paso se recomienda solo para escenarios administrados por la empresa.

  1. Seleccione el icono de Búsqueda en la barra de tareas de Windows y escriba PowerShell.

  2. Haga clic con el botón derecho en Windows PowerShell y, a continuación, seleccione Ejecutar como administrador para abrir Windows PowerShell con credenciales de administrador.

  3. Escribe el comando siguiente:

    Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuard

  4. Reinicie el dispositivo para instalar Protección de aplicaciones y sus dependencias subyacentes.

Instalación desde Intune

Importante

Asegúrate de que los dispositivos de la organización cumplan los requisitos y estén inscritos en Intune.

  1. Inicie sesión en el centro de administración de Microsoft Intune.

  2. Seleccione Endpoint security>Attack surface reduction Create Policy (Reducción > de la superficie expuesta a ataques Create Directiva de puntos de conexión y haga lo siguiente:

    • En la lista de Plataforma, selecciona Windows 10 y versiones posteriores.
    • En Tipo de perfil , seleccione Aislamiento de aplicación y explorador.
    • Selecciona Crear.

  3. En la pestaña Aspectos básicos , especifique el nombre y la descripción de la directiva. Selecciona Siguiente.

  4. En la pestaña Configuración, configure los valores de Protección de aplicaciones, como desee. Selecciona Siguiente.

  5. En la pestaña Etiquetas de ámbito, si su organización usa etiquetas de ámbito, elija + Seleccionar etiquetas de ámbito y, a continuación, seleccione las etiquetas que desea usar. Selecciona Siguiente.

    Para más información sobre las etiquetas de ámbito, consulte Uso del control de acceso basado en rol (RBAC) y las etiquetas de ámbito para TI distribuida.

  6. En la página Asignaciones , seleccione los usuarios o grupos que recibirán la directiva. Selecciona Siguiente.

    Para más información sobre la asignación de directivas, consulte Asignación de directivas en Microsoft Intune.

  7. Revise la configuración y, a continuación, seleccione Create.

Una vez creada la directiva, los dispositivos a los que se debe aplicar la directiva tendrán Protección de aplicaciones de Microsoft Defender habilitados. Es posible que los usuarios tengan que reiniciar los dispositivos para que la protección entre en vigor.