Directiva de protección de cuentas para la seguridad de los puntos de conexión en Intune
Use directivas de seguridad de punto de conexión de Intune para la protección de cuentas a fin de proteger la identidad y las cuentas de los usuarios y administrar las pertenencias a grupos integradas en los dispositivos.
Importante
En julio de 2024, los siguientes perfiles de Intune para la protección de identidades y la protección de cuentas quedaron en desuso y se reemplazaron por un nuevo perfil consolidado denominado Protección de cuentas. Este perfil más reciente se encuentra en el nodo de directiva de protección de cuentas de seguridad de punto de conexión y es la única plantilla de perfil que permanece disponible para crear nuevas instancias de directiva para la protección de identidades y cuentas. La configuración de este nuevo perfil también está disponible a través del catálogo de configuración.
Las instancias de los siguientes perfiles anteriores que haya creado seguirán estando disponibles para su uso y edición:
- Protección de identidades: anteriormente disponible enConfiguración> de dispositivos>Crear>nueva directiva>De Windows 10 y versiones posteriores>de Templates>Identity Protection
- Protección de cuentas (versión preliminar): anteriormente disponible en Protección decuentas> de Seguridad de punto de conexión>de Windows 10 y versiones posteriores>Protección de cuentas (versión preliminar)
Busque las directivas de seguridad de punto de conexión para Protección de cuentas en Administrar en el nodo Seguridad del punto de conexión del Centro de administración de Microsoft Intune.
Requisitos previos para los perfiles de protección de cuentas
- Para admitir el perfil de protección de cuentas , los dispositivos deben ejecutar Windows 10 o Windows 11.
- Para admitir el perfil de pertenencia a grupos de usuarios local , los dispositivos deben ejecutar Windows 10 20H2 o posterior, o Windows 11.
- Para admitir la *solución de contraseña de administrador local (Windows LAPS), consulte Requisitos previos en compatibilidad de Microsoft Intune con Windows LAPS.
Controles de acceso basado en rol (RBAC)
Para obtener instrucciones sobre cómo asignar el nivel adecuado de permisos y derechos para administrar perfiles de protección de cuentas de Intune, consulte Assign-role-based-access-controls-for-endpoint-security-policy.
Perfiles de protección de cuentas
Plataforma: Windows:
Perfiles:
Protección de cuentas : la configuración de las directivas de protección de cuentas le ayuda a proteger las credenciales de usuario. La directiva de protección de cuentas se centra en la configuración de Windows Hello para empresas que incluye la configuración de ámbito de dispositivo y de ámbito de usuario , y Credential Guard, que forma parte de la administración de identidades y acceso de Windows.
- Windows Hello para empresas reemplaza las contraseñas por una autenticación segura en dos fases en equipos y dispositivos móviles.
- Credential Guard ayuda a proteger las credenciales y secretos que se usan con los dispositivos.
Para más información, consulte Administración de identidades y acceso en la documentación de administración de identidades y acceso de Windows.
La configuración de este perfil también está disponible en el catálogo Configuración.
Solución de contraseña de administrador local (Windows LAPS): use este perfil para configurar Windows LAPS en dispositivos. Windows LAPS permite la administración de una sola cuenta de administrador local por dispositivo. La directiva de Intune puede especificar a qué cuenta de administrador local se aplica mediante el uso de la configuración de directiva Nombre de cuenta de administrador.
Para obtener más información sobre el uso de Intune para administrar Windows LAPS, consulte:
- Obtenga información sobre la compatibilidad de Intune con Windows LAPS.
- Administración de directivas LAPS
Pertenencia a grupos de usuarios locales : use este perfil para agregar, quitar o reemplazar miembros de los grupos locales integrados en dispositivos Windows. Por ejemplo, el grupo local Administradores tiene derechos amplios. Puede usar esta directiva para editar la pertenencia del grupo de administración para bloquearla en un conjunto de miembros definidos exclusivamente.
El uso de este perfil se detalla en la sección siguiente, Administrar grupos locales en dispositivos Windows.
Administración de grupos locales en dispositivos Windows
Usa el perfil de pertenencia a grupos de usuarios local para administrar los usuarios que son miembros de los grupos locales integrados en dispositivos que ejecutan Windows 10 20H2 y versiones posteriores, y dispositivos Windows 11.
Sugerencia
Para obtener más información sobre la compatibilidad con la administración de privilegios de administrador mediante grupos de Microsoft Entra, consulte Administrar privilegios de administrador mediante grupos de Microsoft Entra en la documentación de Microsoft Entra.
Configuración del perfil
Este perfil administra la pertenencia a grupos locales en dispositivos a través de CSP de directiva: LocalUsersAndGroups. La documentación de CSP incluye más detalles sobre cómo se aplican las configuraciones y preguntas más frecuentes sobre el uso del CSP.
Al configurar este perfil, en la página Configuración puede crear varias reglas para administrar qué grupos locales integrados desea cambiar, la acción de grupo que se va a realizar y el método para seleccionar los usuarios.
A continuación se muestran las configuraciones que puede realizar:
- Grupo local: seleccione uno o varios grupos en la lista desplegable. Todos estos grupos aplican la misma acción grupo y usuario a los usuarios que asigne. Puede crear más de una agrupación de grupos locales en un único perfil y asignar diferentes acciones y grupos de usuarios a cada agrupación de grupos locales.
Nota:
La lista de grupos locales se limita a los seis grupos locales integrados que se garantiza que se evaluarán al iniciar sesión, como se hace referencia en la documentación Cómo administrar el grupo de administradores locales en dispositivos unidos a Microsoft Entra .
Acción de grupo y usuario: configure la acción para aplicarla a los grupos seleccionados. Esta acción se aplica a los usuarios que seleccione para esta misma acción y agrupación de cuentas locales. Entre las acciones que puede seleccionar se incluyen:
- Agregar (Actualizar): agrega miembros a los grupos seleccionados. No se cambia la pertenencia a grupos de los usuarios que no se especifican mediante la directiva.
- Quitar (Actualizar): quitar miembros de los grupos seleccionados. No se cambia la pertenencia a grupos de los usuarios que no se especifican mediante la directiva.
- Agregar (Reemplazar): reemplace los miembros de los grupos seleccionados por los nuevos miembros que especifique para esta acción. Esta opción funciona de la misma manera que un grupo restringido y se quitan todos los miembros del grupo que no se especifican en la directiva.
Precaución
Si el mismo grupo está configurado con una acción Reemplazar y Actualizar, la acción Reemplazar gana. Esto no se considera un conflicto. Esta configuración puede producirse cuando se implementan varias directivas en el mismo dispositivo o cuando este CSP también se configura mediante Microsoft Graph.
Tipo de selección de usuario: elija cómo seleccionar usuarios. Entre las opciones se incluyen:
- Usuarios: seleccione los usuarios y grupos de usuarios de Microsoft Entra ID. (Solo se admite para dispositivos unidos a Microsoft Entra).
- Manual: especifique los usuarios y grupos de Microsoft Entra manualmente, por nombre de usuario, dominio\nombredeusuario o el identificador de seguridad de grupos (SID). (Compatible con dispositivos unidos a Microsoft Entra y unidos a Microsoft Entra híbridos).
Usuarios seleccionados: en función de la selección del tipo de selección De usuario, use una de las siguientes opciones:
Seleccionar usuarios: seleccione los usuarios y grupos de usuarios de Microsoft Entra.
Agregar usuarios: esta opción abre el panel Agregar usuarios , donde puede especificar uno o varios identificadores de usuario a medida que aparecen en un dispositivo. Puede especificar el usuario por identificador de seguridad (SID),dominio\nombredeusuario o por nombre de usuario.
La elección de la opción Manual puede ser útil en escenarios en los que quiera administrar los usuarios locales de Active Directory desde Active Directory a un grupo local para un dispositivo unido a Microsoft Entra híbrido. Los formatos admitidos para identificar la selección de usuario en orden de la mayoría a la menos preferida son a través del SID, dominio\nombre de usuario o nombre de usuario del miembro. Los valores de Active Directory se deben usar para dispositivos unidos a dispositivos híbridos, mientras que los valores de Microsoft Entra ID deben usarse para la unión a Microsoft Entra. Los SID de grupo de Microsoft Entra se pueden obtener mediante Graph API para grupos.
Conflictos
Si las directivas crean un conflicto para una pertenencia a un grupo, la configuración en conflicto de cada directiva no se envía al dispositivo. En su lugar, el conflicto se notifica para esas directivas en el Centro de administración de Microsoft Intune. Para resolver el conflicto, vuelva a configurar una o varias directivas.
Reporting
A medida que los dispositivos comprueban y aplican la directiva, el centro de administración muestra el estado de los dispositivos y los usuarios como correctos o en error.
Dado que la directiva puede contener varias reglas, tenga en cuenta los puntos siguientes:
- Al procesar la directiva para dispositivos, la vista de estado por configuración muestra un estado para el grupo de reglas como si fuera una sola configuración.
- Cada regla de la directiva que da como resultado un error se omite y no se envía a los dispositivos.
- Cada regla que se realiza correctamente se envía a los dispositivos que se van a aplicar.
Pasos siguientes
Configuración de directivas de seguridad de puntos de conexión