Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Word, Excel y PowerPoint para Aplicaciones de Microsoft 365, Windows 10 Enterprise, Windows 11 Empresas
Importante
Protección de aplicaciones de Microsoft Defender para Office está en desuso y ya no se está actualizando. Este desuso también incluye las API de Windows.Security.Isolation que se usan para Protección de aplicaciones de Microsoft Defender para Office. Se recomienda realizar la transición a las reglas de reducción de la superficie expuesta a ataques de Microsoft Defender para punto de conexión junto con la Vista protegida y el Control de aplicaciones de Windows Defender.
Protección de aplicaciones de Microsoft Defender para Office (Protección de aplicaciones para Office) ayuda a evitar que los archivos que no son de confianza accedan a recursos de confianza, lo que mantiene la seguridad de su empresa frente a ataques nuevos y emergentes. Este artículo guía a los administradores a través de la configuración de dispositivos compatibles para la Protección de aplicaciones para Office.
Requisitos previos
Requisitos de licencias
- Microsoft 365 E5 o el Conjunto de aplicaciones de Microsoft Defender
- Documentos seguros en Microsoft 365 E5
Requisitos mínimos de hardware
- CPU: 64 bits, cuatro núcleos (físico o virtual), extensiones de virtualización (Intel VT-x O AMD-V), core i5 equivalente o superior recomendado.
- Memoria física: 8 GB de RAM.
- Disco duro: 10 GB de espacio libre en la unidad del sistema (SSD recomendado).
Requisitos mínimos de software
- Windows: Windows 10 Enterprise, compilación de cliente versión 2004 (20H1) compilación 19041 o posterior. Se admiten todas las versiones de Windows 11.
- Office: Aplicaciones de Microsoft 365 con la compilación 16.0.13530.10000 o posterior. Para las instalaciones del Canal actual y del Canal mensual para empresas, esta versión es equivalente a la 2011. Para el Canal semestral para empresas y el Canal semestral para empresas (versión preliminar), la versión mínima es 2108 o posterior. Se admiten las versiones de 32 y 64 bits.
- Paquete de actualización: actualización de seguridad mensual acumulativa de Windows 10 KB4571756
Para obtener información detallada sobre los requisitos del sistema, consulte Requisitos del sistema para Protección de aplicaciones de Microsoft Defender. Además, consulte las guías del fabricante del equipo sobre cómo habilitar la tecnología de virtualización.
Para obtener más información sobre los canales de actualización de las Aplicaciones de Microsoft 365, consulte Información general sobre los canales de actualización de Microsoft 365 Apps.
Implementar la Protección de aplicaciones para Office
Habilitar la Protección de aplicaciones para Office
Requisitos del sistema operativo:
- Windows 10: compruebe que la versión del 8 de septiembre de 2020, KB4571756 esté instalada.
- Windows 11: no hay requisitos específicos.
En Características de Windows, seleccione Protección de aplicaciones de Microsoft Defender y, a continuación, seleccione Aceptar. Al habilitar la característica Protección de aplicaciones, se solicita un reinicio del sistema. Puede reiniciar ahora o después del paso 3.
También puede habilitar la Guía de aplicaciones en Windows PowerShell ejecutando el siguiente comando como administrador:
Enable-WindowsOptionalFeature -Online -FeatureName Windows-Defender-ApplicationGuardEn Editor de la directiva de grupo, vaya a Configuración del equipo>Plantillas administrativas>Componentes de Windows>Protección de aplicaciones de Microsoft Defender.
Habilite la opción Activar la Protección de aplicaciones de Microsoft Defender en modo administrado. Establezca el valor de la sección Opciones en cualquiera de los siguientes valores:
- 2: Habilitar Protección de aplicaciones de Microsoft Defender SOLO para entornos aislados de Windows.
- 3: Habilitar Protección de aplicaciones de Microsoft Defender para entornos de Windows aislados Y de Microsoft Edge.
Como alternativa, puede establecer la directiva CSP correspondiente:
OMA-URI: ./Device/Vendor/MSFT/WindowsDefenderApplicationGuard/Settings/AllowWindowsDefenderApplicationGuard Tipo de datos: Valor entero: 2
Reinicie el equipo si aún no lo ha hecho.
Establecer diagnósticos y comentarios para enviar datos completos
Nota:
Este paso no es necesario. Sin embargo, la configuración de datos de diagnóstico opcionales puede ayudar a diagnosticar problemas notificados.
Este paso garantiza que los datos necesarios para identificar y corregir problemas lleguen a Microsoft. Siga estos pasos para habilitar los diagnósticos en su dispositivo Windows:
- Abra Configuración desde el menú Inicio.
- En Configuración de Windows, seleccione Privacidad.
- En Privacidad, seleccione Diagnósticos y comentarios y seleccione Datos de diagnóstico opcionales.
Para obtener más información sobre cómo configurar las opciones de diagnóstico de Windows, consulte Configuración de datos de diagnóstico de Windows en su organización.
Confirmar que la protección de aplicaciones para Office está habilitada y funcionando
Antes de confirmar que la Protección de aplicaciones para Office está habilitada, siga estos pasos:
- Inicie Word, Excel o PowerPoint en un dispositivo en el que se hayan implementado las directivas.
- Desde la aplicación que inició, vaya a Archivo>Cuenta. En la página Cuenta, compruebe que se muestra la licencia esperada.
Para confirmar que la Protección de aplicaciones para Office está habilitada, abra un documento que no sea de confianza. Por ejemplo, puede abrir un documento que se descargó de Internet o un archivo adjunto de correo electrónico de alguien ajeno a su organización.
Al abrir por primera vez un archivo que no es de confianza, se muestra la siguiente pantalla de presentación de Office. Protección de aplicaciones para Office se está activando y se está abriendo el archivo. Las aperturas posteriores de archivos que no son de confianza suelen ser más rápidas.
Una vez que se abre el archivo, hay algunos indicadores visuales que indican que el archivo está abierto dentro de Protección de aplicaciones para Office:
Una llamada en la cinta de opciones
Icono de aplicación con un escudo en la barra de tareas
Configurar la Protección de aplicaciones de Office
Office admite las siguientes directivas para configurar Protección de aplicaciones para Office. Estas directivas se pueden configurar a través de directivas de grupo o a través del servicio de directivas en la nube de Office.
Nota:
La configuración de estas directivas puede deshabilitar algunas funciones para los archivos abiertos en Protección de aplicaciones para Office.
| Policy | Descripción |
|---|---|
| No usar la Protección de aplicaciones de Office | Obliga a Word, Excel y PowerPoint a usar la Vista protegida del contenedor de aislamiento en lugar de la Protección de aplicaciones para Office. |
| Configurar la creación previa de contenedores de Protección de aplicaciones para Office | Determina si el contenedor de Protección de aplicaciones para Office se crea previamente para mejorar el rendimiento en tiempo de ejecución. Al habilitar esta directiva, puede especificar el número de días para continuar creando previamente un contenedor o dejar que la heurística integrada de Office cree previamente el contenedor. |
| Configurar copiar y pegar desde los documentos de Office abiertos en la Protección de aplicaciones | Permite controlar si los usuarios pueden copiar y pegar contenido de Office a y desde documentos abiertos en Protección de aplicaciones, así como los formatos permitidos. |
| Deshabilitar la aceleración de hardware para Office en la Protección de aplicaciones | Controla si la Protección de aplicaciones para Office usa la aceleración de hardware para representar gráficos. Si habilita esta configuración, Protección de aplicaciones para Office usa la representación basada en software (CPU) y no carga ningún controlador de gráficos que no sea de Microsoft ni interactúa con ningún hardware gráfico conectado. |
| Deshabilitar la protección de tipos de archivo no admitidos en la Protección de aplicaciones para Office | Controla si la Protección de aplicaciones para Office impide que se abran los tipos de archivo no admitidos o si habilita el redireccionamiento a la Vista protegida. |
| Desactivar el acceso a la cámara y al micrófono para los documentos abiertos en Protección de aplicaciones para Office | Al habilitar esta directiva se quita el acceso de Office a la cámara y al micrófono dentro de la Protección de aplicaciones para Office. |
| Restringir la impresión de los documentos abiertos en la Protección de aplicaciones para Office | Limita las impresoras en las que un usuario puede imprimir desde un archivo abierto en la Protección de aplicaciones para Office. Por ejemplo, puede usar esta directiva para restringir a los usuarios a imprimir solo en PDF. |
| Impedir que los usuarios quiten la función de Protección de aplicaciones de los archivos | Quita la opción (dentro de la experiencia de la aplicación de Office) para deshabilitar la Protección de aplicaciones para Office o para abrir un archivo fuera de la Protección de aplicaciones para Office. Nota: Los usuarios todavía pueden omitir esta directiva quitando manualmente la propiedad mark-of-the-web del archivo o al mover un documento a una ubicación de confianza. |
Nota:
Para que las siguientes directivas surtan efecto, los usuarios deben cerrar la sesión de Windows y volver a iniciarla:
- Configure copiar y pegar desde documentos de Office abiertos en la Protección de aplicaciones.
- Deshabilite la aceleración de hardware en la Protección de aplicaciones para Office.
- Restrinja la impresión de documentos abiertos en Protección de aplicaciones para Office.
- Desactive el acceso a la cámara y al micrófono a los documentos abiertos en Protección de aplicaciones para Office.
Enviar comentarios
Enviar comentarios a través del Centro de opiniones
Si tiene algún problema al iniciar la Protección de aplicaciones para Office, se recomienda enviar sus comentarios a través del Centro de opiniones:
- Abra la aplicación del Centro de opiniones e inicie sesión.
- Si aparece un cuadro de diálogo de error al iniciar la Protección de aplicaciones, seleccione Notificar a Microsoft en el cuadro de diálogo de error para iniciar un nuevo envío de comentarios. De lo contrario, vaya a https://aka.ms/mdagoffice-fb para seleccionar la categoría correcta para Protección de aplicaciones y, a continuación, seleccione Agregar nuevos comentarios cerca de la parte superior derecha.
- Escriba un resumen en el cuadro Resumir sus comentarios.
- Escriba una descripción detallada del problema y los pasos que realizó para depurar en el cuadro Explicar con más detalle y, a continuación, seleccione Siguiente.
- Seleccione la burbuja junto a Problema. Asegúrese de que la categoría seleccionada es Seguridad y privacidad > Protección de aplicaciones de Microsoft Defender: Office y, a continuación, seleccione Siguiente.
- Seleccione Nuevo comentario y, a continuación, Siguiente.
- Recopile seguimientos sobre el problema:
- Expanda el icono Recrear mi problema.
- Si el problema que está experimentando se produce mientras se ejecuta la Protección de aplicaciones, abra una instancia de Protección de aplicaciones. Abrir una instancia permite recopilar seguimientos adicionales desde dentro del contenedor de Protección de aplicaciones.
- Seleccione Iniciar grabación y espere a que el icono deje de girar y diga Detener grabación.
- Reproduzca completamente el problema con Protección de aplicaciones. La reproducción puede incluir intentar iniciar una instancia de Protección de aplicaciones y esperar hasta que se produzca un error o reproducir un problema en una instancia de Protección de aplicaciones en ejecución.
- Seleccione el icono Detener grabación.
- Mantenga abiertas las instancias de Protección de aplicaciones en ejecución, incluso durante unos minutos después del envío, para que también se puedan recopilar los diagnósticos del contenedor.
- Adjunte los recortes de pantalla o los archivos pertinentes relacionados con el problema.
- Seleccione Enviar.
Enviar comentarios a través de One Customer Voice
También puede enviar comentarios desde Word, Excel y PowerPoint si el problema se produce cuando se abren archivos en Protección de aplicaciones. Consulte Proporcionar comentarios para obtener instrucciones detalladas.
Integración con Microsoft Defender para punto de conexión y Microsoft Defender para Office 365
Protección de aplicaciones para Office se integra con Microsoft Defender para punto de conexión para proporcionar supervisión y alertas sobre actividades malintencionadas que se producen en el entorno aislado.
Documentos seguros en Microsoft E365 E5 es una característica que usa Microsoft Defender para punto de conexión para examinar documentos abiertos en la Protección de aplicaciones para Office. Para obtener una capa adicional de protección, los usuarios no pueden salir de Protección de aplicaciones para Office hasta que se hayan determinado los resultados del examen.
Limitaciones y consideraciones
Protección de aplicaciones para Office es un modo protegido que aísla los documentos que no son de confianza para que no puedan acceder a los recursos corporativos de confianza. Por ejemplo, una intranet, la identidad del usuario y archivos arbitrarios en el equipo. Si un usuario intenta realizar una acción que requiere acceso a recursos de confianza (por ejemplo, insertar un archivo de imagen local), se produce un error en la acción y muestra un mensaje similar al del ejemplo siguiente. Para permitir que un documento que no es de confianza tenga acceso a recursos de confianza, los usuarios deben desactivar la Protección de aplicaciones del documento.
Nota:
Aconseja a los usuarios que quiten la protección solo si confían en el archivo y en el origen del archivo.
El contenido activo, como macros y controles ActiveX, está deshabilitado en la Protección de aplicaciones para Office. Para habilitar el contenido activo, se debe quitar la Protección de aplicaciones.
Los archivos que no son de confianza de recursos compartidos de red o archivos compartidos desde OneDrive o SharePoint se abren como de solo lectura en Protección de aplicaciones. Los usuarios pueden guardar una copia local de estos archivos para seguir trabajando en el contenedor o quitar la protección para trabajar directamente con el archivo original.
Los archivos protegidos por Information Rights Management (IRM) están bloqueados de manera predeterminada. Si los usuarios quieren abrir estos archivos en la Vista protegida, un administrador debe configurar las opciones de directiva para los tipos de archivo no admitidos para la organización.
Las personalizaciones de las aplicaciones de Office en Protección de aplicaciones para Office no se conservan después de que un usuario cierra la sesión y vuelve a iniciarla o después de reiniciar el dispositivo.
Solo las herramientas de accesibilidad que usan el marco UIA pueden proporcionar una experiencia accesible para los archivos abiertos en Protección de aplicaciones para Office.
Se requiere conectividad de red para el primer inicio de Protección de aplicaciones después de la instalación.
En la sección de información del documento, la propiedad Modificado por última vez por podría mostrar WDAGUtilityAccount como el usuario. WDAGUtilityAccount es la cuenta anónima que usa Protección de aplicaciones. La identidad del usuario de escritorio no está disponible dentro del contenedor de Protección de aplicaciones.
Optimizaciones de rendimiento para la Protección de aplicaciones para Office
Protección de aplicaciones usa un contenedor virtualizado, similar a una máquina virtual, para aislar los documentos que no son de confianza fuera del sistema. El proceso de crear un contenedor y configurar el contenedor de Protección de aplicaciones para abrir documentos de Office tiene una sobrecarga de rendimiento que podría afectar negativamente a la experiencia del usuario cuando los usuarios abren un documento que no es de confianza.
Para proporcionar a los usuarios la experiencia de apertura de archivos esperada, Protección de aplicaciones usa la lógica para crear previamente un contenedor cuando se cumple la siguiente heurística en un sistema: un usuario ha abierto un archivo en Vista protegida o con Protección de aplicaciones en los últimos 28 días.
Cuando se cumple esta heurística, Office crea previamente un contenedor de Protección de aplicaciones para el usuario después de que inicia sesión en Windows. Mientras esta operación de creación previa está en curso, el sistema podría experimentar un rendimiento lento, pero el efecto se resuelve en cuanto se completa la operación.
Nota:
Las aplicaciones de Office generan las sugerencias necesarias para que la heurística cree previamente el contenedor a medida que un usuario las usa. Si un usuario instala Office en un nuevo sistema en el que está habilitada la Protección de aplicaciones, Office no crea previamente el contenedor hasta después de la primera vez que un usuario abre un documento que no es de confianza en el sistema. Este primer archivo tarda más tiempo en abrirse en Protección de aplicaciones.
Problemas conocidos
- La configuración predeterminada para la directiva de protección de tipos de archivo no admitidos es bloquear la apertura de tipos de archivo que no son de confianza y que están cifrados o que tienen establecido Information Rights Management (IRM). Esta configuración incluye archivos cifrados mediante etiquetas de confidencialidad de Microsoft Purview Information Protection.
- Los archivos HTML no se admiten en este momento.
- La Protección de aplicaciones para Office no funciona actualmente con volúmenes comprimidos NTFS. Si ve el error: "ERROR_VIRTUAL_DISK_LIMITATION", intente descomprimir el volumen.
- Si ve un error que menciona que es posible que el hipervisor no esté habilitado, compruebe los siguientes elementos:
- La virtualización está habilitada en el BIOS.
- Hyper-V está activado.
- El servicio de red de host se está ejecutando.
- Las actualizaciones de .NET pueden provocar que los archivos no se abran en la Protección de aplicaciones. Puede resolver este problema reiniciando la máquina.
- Protección de aplicaciones requiere que se conceda el permiso "Inicio de sesión como servicio" a "Virtual Machines" y "wdagutilityaccount" no debe agregarse a la configuración de directiva de seguridad "Denegar inicio de sesión como servicio".
- Para obtener más información, consulte Preguntas más frecuentes: Protección de aplicaciones de Microsoft Defender para obtener más información.