Cómo usar Microsoft Defender Application Guard paso a paso

Si trabajas con información sensible o navegas por webs sospechosas a diario, Microsoft Defender Application Guard (MDAG) es una de esas funciones de Windows que pueden marcar la diferencia entre un susto y un desastre. No es un simple antivirus más, sino una capa extra que aísla lo peligroso para que no toque tu sistema ni tus datos.

En las siguientes líneas vas a ver de forma clara qué es exactamente Application Guard, cómo funciona por dentro, en qué equipos lo puedes usar y cómo se configura tanto en modo sencillo como en despliegues empresariales. También repasaremos requisitos, directivas de grupo, errores típicos y varias dudas frecuentes que suelen salir cuando se empieza a trabajar con esta tecnología.

Qué es Microsoft Defender Application Guard y cómo funciona

Microsoft Defender Application Guard es una función de seguridad avanzada diseñada para aislar sitios web y documentos que no son de confianza en un contenedor virtual basado en Hyper-V. En lugar de intentar bloquear cada ataque uno por uno, crea un pequeño “ordenador desechable” donde meter lo sospechoso.

Ese contenedor se ejecuta de forma separada del sistema operativo principal, con su propia instancia endurecida de Windows y sin acceso directo a archivos, credenciales ni recursos internos de la empresa. Aunque un sitio malicioso logre explotar una vulnerabilidad del navegador o de Office, el daño se queda dentro de ese entorno aislado.

En el caso de Microsoft Edge, Application Guard se encarga de que cualquier dominio que no esté marcado como de confianza se abra automáticamente dentro de ese contenedor. Para Office, hace lo mismo con los documentos de Word, Excel y PowerPoint que provienen de fuentes que la organización no considera seguras.

La clave está en que este aislamiento es de tipo hardware: Hyper-V crea un entorno independiente del host, lo que reduce drásticamente la posibilidad de que un atacante salte de la sesión aislada al sistema real, robe datos de la empresa o aproveche credenciales almacenadas.

Además, el contenedor se trata como un entorno anónimo: no hereda las cookies, contraseñas ni sesiones del usuario, lo que complica mucho la vida a los atacantes que se apoyan en técnicas de suplantación o robo de sesiones.

Tipos de dispositivos recomendados para usar Application Guard

Aunque técnicamente Application Guard puede llegar a ejecutarse en varios escenarios, está especialmente pensado para entornos corporativos y dispositivos gestionados. Microsoft distingue varios tipos de equipos donde MDAG tiene más sentido.

En primer lugar están los sobremesa de empresa unidos a dominio, gestionados normalmente con Configuration Manager o Intune. Son equipos de oficina tradicionales, con usuarios estándar y conectados a la red corporativa cableada, donde el riesgo viene sobre todo de la navegación diaria por Internet.

Después tenemos los portátiles corporativos, también unidos a dominio y administrados centralmente, pero que se conectan a redes Wi‑Fi internas o externas. Aquí el riesgo aumenta, porque el equipo sale de la red controlada y se expone a Wi‑Fi de hoteles, aeropuertos o redes domésticas.

Otro grupo son los portátiles BYOD (Bring Your Own Device), equipos personales que no pertenecen a la empresa pero que se gestionan a través de soluciones como Intune. Suelen estar en manos de usuarios con permisos de administrador local, algo que incrementa la superficie de ataque y hace más interesante usar aislamiento para el acceso a recursos corporativos.

Por último, están los dispositivos personales totalmente no gestionados, que no pertenecen a ningún dominio y donde el usuario es el dueño absoluto. En estos casos, Application Guard puede utilizarse en modo independiente (sobre todo para Edge) para ofrecer una capa de protección adicional cuando se visitan webs potencialmente peligrosas.

Ediciones de Windows y licenciamiento necesarios

Antes de liarte a configurar nada conviene tener claro en qué ediciones de Windows puedes usar Microsoft Defender Application Guard y con qué derechos de licencia.

Para el modo independiente de Edge (es decir, usar Application Guard solo como entorno aislado del navegador sin administración empresarial avanzada), se admite en Windows:

• Windows Pro
• Windows Enterprise
• Windows Pro Education / SE
• Windows Education

En este escenario, los derechos de licencia para MDAG se conceden si cuentas con licencias como Windows Pro / Pro Education / SE, Windows Enterprise E3 o E5 y Windows Education A3 o A5. En la práctica, en muchos PCs profesionales con Windows Pro ya puedes activar la característica para un uso básico.

Para el modo de empresa perimetral y administración corporativa (donde ya entran en juego directivas avanzadas y escenarios más complejos), el soporte se reduce:

• Windows Enterprise y Windows Education admiten Application Guard en este modo.
• Windows Pro y Windows Pro Education/SE no tienen soporte para esta variante empresarial.

En cuanto a licencias, para este uso corporativo más avanzado se requiere Windows Enterprise E3/E5 o Windows Education A3/A5. Si tu organización trabaja solo con Pro sin suscripciones Enterprise, estarás limitado al modo independiente de Edge.

Requisitos previos de sistema y compatibilidad

Además de la edición de Windows, para que Application Guard funcione de forma estable necesitas cumplir una serie de requisitos técnicos relacionados con versión, hardware y soporte de virtualización.

En cuanto al sistema operativo, es obligatorio usar Windows 10 1809 o posterior (Actualización de octubre de 2018) o una versión equivalente de Windows 11. No está pensado para SKUs de servidor ni variantes muy recortadas; se orienta claramente a equipos cliente.

A nivel de hardware, el equipo debe contar con virtualización basada en hardware habilitada (soporte Intel VT‑x / AMD‑V y traducción de direcciones de segundo nivel, como SLAT), ya que Hyper‑V es la pieza clave para crear el contenedor aislado. Sin esta capa, MDAG no podrá levantar su entorno seguro.

También es imprescindible disponer de mecanismos de administración compatibles si lo vas a usar de forma centralizada (por ejemplo, Microsoft Intune o Configuration Manager), tal y como se detalla en los requisitos de software corporativos. En despliegues sencillos, bastará con la propia interfaz de Seguridad de Windows.

Por último, ten en cuenta que Application Guard está en proceso de quedar en desuso para Microsoft Edge para negocios, y que determinadas API asociadas a aplicaciones aisladas ya no se actualizarán. Aun así, sigue estando muy presente en entornos donde se necesita contención de riesgo a corto y medio plazo.

Caso de uso: seguridad frente a productividad

Uno de los problemas clásicos en ciberseguridad es encontrar el punto justo entre proteger de verdad y no bloquear al usuario. Si solo permites un puñado de webs “bendecidas”, reduces el riesgo, pero matas la productividad. Si abres la mano, el nivel de exposición se dispara.

El navegador es una de las principales superficies de ataque del puesto de trabajo, porque su razón de ser es abrir contenido no fiable de orígenes muy variados: webs desconocidas, descargas, scripts de terceros, publicidad agresiva, etc. Por mucho que mejores el motor, siempre habrá vulnerabilidades nuevas que alguien intentará explotar.

En este modelo, el administrador define con precisión qué dominios, rangos IP y recursos en la nube considera de confianza. Todo lo que no esté en esa lista va automáticamente al contenedor. Ahí el usuario puede navegar sin miedo a que un fallo del navegador ponga en jaque al resto de sistemas internos.

El resultado es una navegación relativamente flexible para el empleado, pero con una frontera muy bien vigilada entre lo que es mundo externo no confiable y lo que es entorno corporativo que hay que proteger a toda costa.

Funciones recientes y novedades de Application Guard en Microsoft Edge

A lo largo de las distintas versiones de Microsoft Edge basado en Chromium, Microsoft ha ido añadiendo mejoras específicas para Application Guard con el objetivo de pulir la experiencia del usuario y dar más control al administrador.

Una de las novedades importantes es el bloqueo de cargas de archivos desde el contenedor. Desde Edge 96, las organizaciones pueden impedir que el usuario suba documentos desde su dispositivo local a un formulario o servicio web dentro de la sesión aislada, usando la directiva ApplicationGuardUploadBlockingEnabled. De esta forma se reduce el riesgo de fuga de información.

Otra mejora muy útil es el modo pasivo, disponible desde Edge 94. Cuando se activa mediante la directiva ApplicationGuardPassiveModeEnabled, Application Guard deja de forzar la lista de sitios y permite que el usuario explore Edge de manera “normal”, aunque la característica siga instalada. Es una manera cómoda de tener la tecnología preparada sin redirigir aún el tráfico.

También se ha añadido la posibilidad de sincronizar los favoritos del host con el contenedor, algo que muchos clientes reclamaban para no tener dos experiencias de navegación totalmente desconectadas. Desde Edge 91, la directiva ApplicationGuardFavoritesSyncEnabled permite que los marcadores nuevos aparezcan igualmente dentro del entorno aislado.

En el ámbito de red, Edge 91 incorporó soporte para etiquetar el tráfico que sale del contenedor gracias a la directiva ApplicationGuardTrafficIdentificationEnabled. Esto permite a las empresas identificar y filtrar ese tráfico a través de un proxy, por ejemplo para restringir el acceso a un conjunto muy reducido de sitios cuando se navega desde MDAG.

Proxy doble, extensiones y otros escenarios avanzados

Algunas organizaciones utilizan Application Guard en despliegues más complejos donde necesitan controlar con lupa el tráfico del contenedor y las capacidades del navegador dentro de ese entorno aislado.

Para estos casos, Edge cuenta con soporte de proxy doble desde la versión estable 84, configurable mediante la directiva ApplicationGuardContainerProxy. La idea es que el tráfico originado en el contenedor se encamine a través de un proxy específico, distinto del que usa el host, lo que facilita aplicar reglas independientes y una inspección más estricta.

Otra petición recurrente de los clientes fue la posibilidad de usar extensiones dentro del contenedor. Desde Edge 81 esto ya es viable, de modo que se pueden ejecutar bloqueadores de anuncios, extensiones corporativas internas u otras herramientas siempre que se ajusten a las políticas definidas. Es necesario declarar la updateURL de la extensión en las directivas de aislamiento de red para que se considere un recurso neutro accesible desde Application Guard.

Entre los escenarios admitidos se incluye la instalación forzosa de extensiones en el host que luego aparecen disponibles en el contenedor, la retirada de extensiones concretas o el bloqueo de otras que no interesan por motivos de seguridad. Eso sí, las extensiones que dependan de componentes de control de mensajes nativos no son compatibles dentro de MDAG.

Para ayudar a diagnosticar problemas de configuración o de comportamiento se ofrece una página de diagnóstico específica en edge://application-guard-internals. Desde ahí se puede comprobar, entre otras cosas, si una URL dada se considera de confianza o no según las políticas efectivamente aplicadas al usuario.

Por último, en cuanto a actualizaciones, el nuevo Microsoft Edge se actualiza por sí mismo también dentro del contenedor, siguiendo el mismo canal y versión que el navegador del host. Ya no depende del ciclo de actualización del sistema operativo como ocurría con la versión Legacy de Edge, lo que simplifica bastante el mantenimiento.

Cómo habilitar Microsoft Defender Application Guard en Windows

Si quieres ponerlo en marcha en un equipo compatible, el primer paso es activar la característica de Windows correspondiente. El proceso, a nivel básico, es bastante directo.

Lo más rápido es abrir el cuadro Ejecutar con Win + R, escribir appwiz.cpl y pulsar Intro para acceder directamente al panel de “Programas y características”. Desde ahí, en el lateral izquierdo, tienes el enlace a “Activar o desactivar las características de Windows”.

En la lista de componentes disponibles deberás localizar la entrada “Microsoft Defender Application Guard” y marcarla. Al aceptar, Windows descargará o habilitará los binarios necesarios y te pedirá reiniciar el equipo para aplicar los cambios.

Tras el reinicio, en equipos compatibles y con las versiones correctas de Edge, deberías poder abrir nuevas ventanas o pestañas aisladas mediante las opciones del navegador o, en entornos gestionados, de forma automática según la configuración de la lista de sitios no confiables.

Si no ves opciones como “Nueva ventana de Application Guard” o no se abre el contenedor, es posible que las instrucciones que sigues estén desactualizadas, que tu edición de Windows no sea soportada, que no tengas Hyper‑V habilitado o que la política de la organización haya desactivado la característica.

Configuración de Application Guard con directiva de grupo

En entornos de empresa no se configura equipo por equipo a mano, sino que se tira de directiva de grupo (GPO) o de perfiles de configuración en Intune para definir política de manera centralizada. Application Guard se apoya en dos grandes bloques de configuración: aislamiento de red y parámetros específicos de la aplicación.

La configuración de aislamiento de red se encuentra en Computer Configuration\Administrative Templates\Network\Network Isolation. Aquí es donde se definen, por ejemplo, los rangos de red interna y los dominios considerados de empresa, que marcarán la frontera entre lo confiable y lo que debe saltar al contenedor.

Una de las políticas clave es la de “Intervalos de red privada para aplicaciones”, donde se especifica, en una lista separada por comas, los rangos de IP que pertenecen a la red corporativa. Los endpoints en esos rangos se abrirán en Edge “normal” y no serán accesibles desde el entorno de Application Guard.

Otra política importante es la de “Dominios de recursos de empresa hospedados en la nube”, que utiliza una lista separada por el carácter | para indicar dominios de SaaS y servicios cloud de la organización que deben tratarse como internos. Estos también se representarán en Edge fuera del contenedor.

Por último, la directiva de “Dominios clasificados como personales y de trabajo” permite declarar dominios que pueden usarse tanto para fines personales como corporativos. Estos sitios serán accesibles tanto desde el entorno normal de Edge como desde Application Guard según proceda.

Uso de comodines en la configuración de aislamiento de red

Para no tener que escribir cada subdominio uno por uno, las listas de aislamiento de red admiten caracteres comodín en los nombres de dominio. Esto permite controlar mejor qué se considera confiable.

Si se define simplemente contoso.com, se estará confiando únicamente en ese valor literal y no en otros dominios que lo contengan. Es decir, el navegador tratará como de empresa solo la raíz exacta y no www.contoso.com ni variantes.

Si se especifica www.contoso.com, entonces solo ese host concreto se considerará de confianza. Otros subdominios como shop.contoso.com quedarían fuera y podrían acabar en el contenedor.

Con el formato .contoso.com (un punto delante) se indica que se confía en cualquier dominio que termine con “contoso.com”. Esto incluye desde contoso.com hasta www.contoso.com o incluso cadenas como spearphishingcontoso.com, así que hay que usarlo con cuidado.

Por último, si se emplea ..contoso.com (dos puntos iniciales), se confía en todos los niveles de la jerarquía situados a la izquierda del dominio, por ejemplo shop.contoso.com o us.shop.contoso.com, pero no se confía en la raíz “contoso.com” en sí misma. Es una forma más fina de controlar qué se considera recurso corporativo.

Principales directivas específicas de Application Guard

El segundo gran bloque de ajustes se encuentra en Computer Configuration\Administrative Templates\Windows Components\Microsoft Defender Application Guard. Desde aquí se gobierna el comportamiento detallado del contenedor y qué puede o no puede hacer el usuario dentro de él.

Una de las políticas más relevantes es la de “Configuración de portapapeles”, que controla si es posible copiar y pegar texto o imágenes entre el host y Application Guard. En modo administrado se puede permitir copia solo desde el contenedor hacia fuera, solo en sentido inverso o incluso desactivar el portapapeles por completo.

De forma similar, la directiva de “Configuración de impresión” decide si se pueden imprimir contenidos desde el contenedor, y en qué formatos. Es posible habilitar impresión a PDF, a XPS, a impresoras locales conectadas o a impresoras de red ya definidas, o bien bloquear toda capacidad de impresión dentro de MDAG.

La opción “Admitir la persistencia” determina si los datos del usuario (archivos descargados, cookies, favoritos, etc.) se mantienen entre sesiones de Application Guard o se purgan cada vez que se cierra el entorno. Si se habilita en modo administrado, el contenedor conserva esa información para sesiones futuras; si se deshabilita, cada inicio es prácticamente un entorno limpio.

En el caso de que decidas dejar de permitir persistencia más adelante, puedes usar la herramienta wdagtool.exe con los parámetros cleanup o cleanup RESET_PERSISTENCE_LAYER para restablecer el contenedor y descartar la información generada por el empleado.

Otra política clave es “Activar Application Guard en modo administrado”, donde se indica si la característica se aplica a Microsoft Edge, a Microsoft Office o a ambos. Esta directiva no surtirá efecto si el dispositivo no cumple los requisitos previos ni tiene configurado el aislamiento de red (salvo en ciertas versiones recientes de Windows donde ya no es imprescindible para Edge si se han instalado KB concretos).

Intercambio de archivos, certificados, cámara y auditoría

Además de las políticas anteriores, existen otras directivas que afectan a cómo se relaciona el contenedor con el sistema host y con los periféricos.

La política “Permitir que los archivos se descarguen en el sistema operativo host” decide si el usuario puede guardar en el host los ficheros que se descargan desde el entorno aislado. Cuando se habilita, se crea un recurso compartido entre ambos entornos que también posibilita ciertas cargas desde el host al contenedor, algo muy útil pero que conviene evaluar desde el prisma de la seguridad.

La configuración de “Permitir la representación acelerada por hardware” habilita el uso de GPU mediante vGPU para mejorar el rendimiento gráfico, especialmente en reproducción de vídeo y contenidos pesados. Si no hay hardware compatible, Application Guard caerá de nuevo en representación por CPU. Activar esta opción en dispositivos con controladores dudosos puede, eso sí, incrementar el riesgo para el host.

Asimismo, existe una directiva para permitir el acceso a cámara y micrófono dentro del contenedor. Al habilitarla, las aplicaciones ejecutadas bajo MDAG podrán usar estos dispositivos, lo que facilita videollamadas o conferencias desde entornos aislados, aunque también abre la puerta a que, si el contenedor se comprometiera, se saltaran los permisos habituales.

Otra política permite que Application Guard use determinadas entidades de certificación raíz del host, transfiriendo al contenedor los certificados cuya huella digital se haya especificado. Si se deshabilita, el contenedor no heredará esos certificados, lo que puede bloquear conexiones a ciertos servicios internos si dependen de autoridades privadas.

Finalmente, la opción de “Permitir eventos de auditoría” hace que se registren eventos de sistema generados en el contenedor y se hereden las directivas de auditoría del dispositivo, de manera que el equipo de seguridad pueda rastrear lo que ocurre dentro de Application Guard desde los registros del host.

Integración con cuadros de soporte y personalización

Cuando algo falla en Application Guard, el usuario ve un cuadro de diálogo de error que, por defecto, solo incluye la descripción del problema y un botón para informar a Microsoft mediante el Centro de opiniones. Sin embargo, se puede personalizar esta experiencia para facilitar el soporte interno.

En la ruta Administrative Templates\Windows Components\Windows Security\Enterprise Customization hay una directiva con la que el administrador puede añadir información de contacto del servicio de soporte, enlaces internos o instrucciones breves. Así, cuando un empleado vea el error, sabrá de inmediato a quién dirigirse o qué pasos dar.

Preguntas frecuentes y problemas habituales con Application Guard

El uso de Application Guard genera un buen puñado de dudas recurrentes en despliegues reales, sobre todo en lo relativo a rendimiento, compatibilidad y comportamiento de red.

Una de las primeras preguntas es si se puede habilitar en equipos con solo 4 GB de RAM. Aunque hay escenarios donde puede llegar a funcionar, en la práctica el rendimiento suele resentirse bastante, ya que el contenedor es prácticamente otro sistema operativo corriendo en paralelo.

Otro punto delicado es la integración con proxies de red y PAC scripts. Mensajes como “No se pueden resolver direcciones URL externas desde MDAG Browser: ERR_CONNECTION_REFUSED” o “ERR_NAME_NOT_RESOLVED” cuando falla el acceso al archivo PAC suelen indicar problemas de configuración entre el contenedor, el proxy y las reglas de aislamiento.

También hay cuestiones relacionadas con IME (editores de métodos de entrada) no admitidos en determinadas versiones de Windows, conflictos con controladores de cifrado de disco o con soluciones de control de dispositivos que impiden que el contenedor termine de cargar.

Algunos administradores se encuentran con errores como “ERROR_VIRTUAL_DISK_LIMITATION” si hay limitaciones relacionadas con discos virtuales, o con fallos al desactivar tecnologías como el hiperprocesamiento (hyperthreading) que afectan indirectamente a Hyper‑V y, por extensión, a MDAG.

También se plantean dudas sobre cómo confiar únicamente en determinados subdominios, sobre los límites de tamaño de las listas de dominios o sobre cómo desactivar el comportamiento por el que la pestaña del host se cierra automáticamente al navegar a un sitio que se abre en el contenedor.

Application Guard, modo IE, Chrome y Office

En entornos donde todavía se usa el modo IE en Microsoft Edge, Application Guard es compatible, pero Microsoft no espera un uso masivo de la función en este modo. Lo recomendado es reservar el modo IE para sitios internos de confianza y usar MDAG solo para webs que se consideren externas y no confiables.

Es importante asegurarse de que todos los sitios configurados en modo IE, así como sus direcciones IP asociadas, estén incluidos también en las directivas de aislamiento de red como recursos confiables. Si no, se pueden producir comportamientos extraños al combinar ambas funciones.

Respecto a Chrome, muchos usuarios preguntan si es necesario instalar alguna extensión de Application Guard. La respuesta es que no: la funcionalidad está integrada de forma nativa en Microsoft Edge y la antigua extensión para Chrome no es una configuración soportada cuando se trabaja con Edge.

Para documentos de Office, Application Guard permite abrir archivos de Word, Excel y PowerPoint en un contenedor aislado cuando se consideran no confiables, evitando así que macros maliciosas u otros vectores de ataque lleguen al host. Es posible combinar esta protección con otras funciones de Defender y con políticas de confianza en archivos.

Existe incluso una opción de directiva de grupo destinada a permitir que los usuarios “confíen” en ciertos archivos abiertos en Application Guard, de forma que pasen a tratarse como seguros y salgan del contenedor. Esta capacidad debe gestionarse con cautela para no perder el beneficio del aislamiento.

Descargas, portapapeles, favoritos y extensiones: experiencia de usuario

Desde el punto de vista del usuario, algunas de las dudas más prácticas giran en torno a qué se puede hacer dentro del contenedor y qué no, especialmente con descargas, copia/pega y extensiones.

En Windows 10 Enterprise 1803 y versiones posteriores (con matices según edición), es posible permitir la descarga de documentos desde el contenedor al host si la organización lo configura así mediante directiva. En versiones anteriores o en ediciones como Pro en ciertos builds, esta opción no estaba disponible, aunque se podía recurrir a imprimir a PDF o XPS y guardar el resultado en el dispositivo anfitrión.

En cuanto al portapapeles, la política corporativa puede permitir que se copien imágenes en formato BMP y texto hacia y desde el entorno aislado. Si los empleados se quejan de que no pueden copiar contenido, normalmente habrá que revisar estas directivas.

Muchos usuarios también preguntan por qué no ven sus favoritos o sus extensiones en la sesión de Edge bajo Application Guard. Suele deberse a que la sincronización de favoritos está deshabilitada o a que la directiva de extensiones en MDAG no se ha activado. Una vez ajustadas estas opciones, el navegador en el contenedor puede heredar marcadores y ciertas extensiones, siempre con las limitaciones comentadas antes.

Hay incluso casos en los que una extensión sí aparece pero “no funciona”. Si depende de componentes nativos de control de mensajes, esa funcionalidad no estará disponible dentro del contenedor y la extensión mostrará un comportamiento limitado o directamente inoperativo.

Rendimiento gráfico, HDR y aceleración de hardware

Otro tema que sale con frecuencia es el de la reproducción de vídeo y las funciones avanzadas como HDR dentro de Application Guard. Al ejecutarse sobre Hyper‑V, el contenedor no siempre tiene acceso directo a las capacidades de la GPU.

Para que la reproducción HDR funcione correctamente en el entorno aislado, es necesario que la aceleración de hardware vGPU esté habilitada mediante la directiva de representación acelerada. Si no, el sistema tirará de CPU y ciertas opciones como HDR no aparecerán disponibles en la configuración del reproductor o del sitio web.

Incluso con la aceleración activa, si el hardware de gráficos no es considerado lo suficientemente seguro o compatible, Application Guard puede volver automáticamente a la representación por software, lo que repercute en fluidez y consumo de batería en portátiles.

En algunos despliegues se han visto problemas de fragmentación TCP y conflictos con VPN que no terminan de levantar cuando el tráfico pasa por el contenedor. En esos casos suele ser necesario revisar las políticas de red, MTU, configuración del proxy y, en ocasiones, ajustar cómo se integra MDAG con otros componentes de seguridad ya instalados.

Soporte, diagnóstico y apertura de incidencias

Cuando, pese a todo, surgen problemas que no se pueden resolver internamente, Microsoft recomienda abrir una incidencia de soporte específica para Microsoft Defender Application Guard. Es importante recopilar previamente información de la página de diagnóstico, registros de eventos relacionados y detalles de la configuración aplicada al dispositivo.

El uso de la página edge://application-guard-internals, combinado con los eventos de auditoría habilitados y la salida de herramientas como wdagtool.exe, suele proporcionar al equipo de soporte datos suficientes para localizar el origen del problema, ya sea una directiva mal definida, un conflicto con otro producto de seguridad o una limitación de hardware.

A todo esto se suma la posibilidad de personalizar los mensajes de error y la información de contacto en el cuadro de diálogo de soporte técnico de Seguridad de Windows, lo que facilita que los usuarios no se queden bloqueados sin saber a quién acudir cuando el contenedor falla al arrancar o no se abre como esperan.

En conjunto, Microsoft Defender Application Guard ofrece una combinación potente de aislamiento de hardware, control granular mediante políticas y herramientas de diagnóstico que, bien aprovechadas, permiten reducir mucho el riesgo asociado a navegar por sitios no confiables o abrir documentos de origen dudoso sin condenar la productividad del día a día.