Compartir a través de

Directiva antivirus para la seguridad de los puntos de conexión en Intune

  • Artículo

Las directivas antivirus de seguridad de puntos de conexión de Intune pueden ayudar a los administradores de seguridad a centrarse en la administración del grupo discreto de configuraciones de antivirus para dispositivos administrados.

La directiva antivirus incluye varios perfiles. Cada perfil contiene solo la configuración que es relevante para el antivirus de Microsoft Defender para punto de conexión para dispositivos macOS y Windows, o para la experiencia del usuario en la aplicación Seguridad de Windows en dispositivos Windows.

Encontrará las directivas antivirus en Administrar en el nodo Seguridad del punto de conexión del Centro de administración de Microsoft Intune.

Las directivas antivirus incluyen la misma configuración que la de endpoint protection o las plantillas de restricción de dispositivos para la directiva de configuración de dispositivos . Sin embargo, esos tipos de directiva incluyen categorías adicionales de configuración que no están relacionadas con Antivirus. La configuración adicional puede complicar la tarea de configuración de la carga de trabajo Antivirus. Además, la configuración que se encuentra en la directiva antivirus para macOS no está disponible a través de los otros tipos de directiva. El perfil antivirus de macOS reemplaza la necesidad de configurar los valores mediante .plist archivos.

Se aplica a:

Requisitos previos para la directiva antivirus

Compatibilidad con dispositivos inscritos en Microsoft Intune (MDM):

  • macOS

    • Cualquier versión compatible de macOS
    • Para que Intune administre la configuración del antivirus en un dispositivo, Microsoft Defender para punto de conexión debe estar instalado en ese dispositivo. Ver. Microsoft Defender para punto de conexión para macOS (en la documentación de Microsoft Defender para punto de conexión)

  • Windows 10, Windows 11 y Windows Server

    • No se requieren requisitos previos adicionales.

Compatibilidad con clientes de Configuration Manager:

Este escenario está en versión preliminar y requiere el uso de la rama actual de Configuration Manager, versión 2006 o posterior.

  • Configuración de la asociación de inquilinos para dispositivos de Configuration Manager : para admitir la implementación de directivas antivirus en dispositivos administrados por Configuration Manager, configure la asociación de inquilinos. La configuración de la asociación de inquilinos incluye la configuración de colecciones de dispositivos de Configuration Manager para admitir directivas de seguridad de puntos de conexión de Intune.

    Para configurar la asociación de inquilinos, consulte Configuración de la asociación de inquilinos para admitir directivas de Endpoint Protection.

Compatibilidad con clientes de Microsoft Defender para punto de conexión:

  • Administración de la configuración de seguridad de Defender para punto de conexión : para configurar la compatibilidad con la implementación de directivas antivirus en dispositivos administrados por Defender, pero no inscritos con Intune, consulte Administración de Microsoft Defender para punto de conexión en dispositivos con Microsoft Intune. En este artículo también se incluye la información sobre las plataformas admitidas por esta funcionalidad y las directivas y perfiles que admiten esas plataformas.

Controles de acceso basado en rol (RBAC)

Para obtener instrucciones sobre cómo asignar el nivel adecuado de permisos y derechos para administrar la directiva antivirus de Intune, consulte Assign-role-based-access-controls-for-endpoint-security-policy.

Requisitos previos para la protección contra alteraciones

La protección contra alteraciones está disponible para los dispositivos que ejecutan uno de los siguientes sistemas operativos:

  • macOS (cualquier versión compatible)
  • Windows 10 y 11 (incluida la sesión múltiple enterprise)
  • Windows Server versión 1803 o posterior, Windows Server 2019, Windows Server 2022
  • Windows Server 2012 R2 y Windows Server 2016 (con la solución moderna y unificada)

Nota:

Los dispositivos deben incorporarse a Microsoft Defender para punto de conexión (P1 o P2). Es posible que los dispositivos vean un retraso al habilitar la protección contra alteraciones si anteriormente no se incorporaron a Microsoft Defender para punto de conexión. La protección contra alteraciones se habilitará en la primera protección del dispositivo después de la incorporación a Microsoft Defender para punto de conexión.

Puede usar Intune para administrar la protección contra alteraciones en dispositivos Windows como parte del perfil de experiencia de seguridad de Windows (una directiva antivirus). Esto incluye tanto los dispositivos que administra con Intune como los dispositivos que administra con Configuration Manager a través del escenario de asociación de inquilinos. La protección contra alteraciones también está disponible para Azure Virtual Desktop.

Dispositivos administrados de Intune

Requisitos previos para admitir la protección contra alteraciones para dispositivos administrados por Intune:

Perfiles para la directiva antivirus que admiten la protección contra alteraciones para dispositivos administrados por Microsoft Intune:

  • Plataforma: Windows 10, Windows 11 y Windows Server

    • Perfil: experiencia de seguridad de Windows

    Nota:

    A partir del 5 de abril de 2022, la plataforma Windows 10 y versiones posteriores fue reemplazada por la plataforma Windows 10, Windows 11 y Windows Server .

    La plataforma Windows 10, Windows 11 y Windows Server admite dispositivos que se comunican con Intune a través de Microsoft Intune o Microsoft Defender para punto de conexión. Estos perfiles también agregan compatibilidad con la plataforma Windows Server que no se admite a través de Microsoft Intune de forma nativa.

    Los perfiles de esta nueva plataforma usan el formato de configuración tal como se encuentra en el Catálogo de configuración. Cada plantilla de perfil nueva para esta nueva plataforma incluye la misma configuración que la plantilla de perfil anterior que reemplaza. Con este cambio ya no puede crear nuevas versiones de los perfiles antiguos. Las instancias existentes del perfil anterior permanecen disponibles para su uso y edición.

También puede usar el perfil de Endpoint Protection para la directiva de configuración de dispositivos para configurar la protección contra alteraciones para los dispositivos administrados por Intune.

Clientes de Configuration Manager administrados a través del escenario de asociación de inquilinos

Requisitos previos para admitir la administración de la protección contra alteraciones con estos perfiles:

  • El entorno debe cumplir los requisitos previos para administrar la protección contra alteraciones con Intune , como se detalla en la documentación de Windows.
  • Debe usar la rama actual 2006 o posterior de Configuration Manager.
  • Debe configurar la asociación de inquilinos para admitir directivas de Endpoint Protection. Esto incluye la configuración de colecciones de dispositivos de Configuration Manager para la sincronización con Intune.
  • Los dispositivos se incorporan a Microsoft Defender para punto de conexión (P1 o P2)

Perfiles para la directiva antivirus que admiten la protección contra alteraciones para dispositivos administrados por Configuration Manager:

  • Plataforma: Windows 10, Windows 11 y Windows Server (ConfigMgr)
    • Perfil: experiencia de seguridad de Windows (versión preliminar)

Perfiles de antivirus

Dispositivos administrados por Microsoft Intune

Los siguientes perfiles son compatibles con los dispositivos que administra con Intune:

macOS:

Windows:

  • Plataforma: Windows 10, Windows 11 y Windows Server
    Los perfiles de esta plataforma se pueden usar con dispositivos inscritos con Intune y dispositivos administrados a través de Administración de seguridad para Microsoft Defender para punto de conexión.

    Nota:

    A partir del 5 de abril de 2022, la plataforma Windows 10 y versiones posteriores fue reemplazada por la plataforma Windows 10, Windows 11 y Windows Server .

    La plataforma Windows 10, Windows 11 y Windows Server admite dispositivos que se comunican con Intune a través de Microsoft Intune o Microsoft Defender para punto de conexión. Estos perfiles también agregan compatibilidad con la plataforma Windows Server que no se admite a través de Microsoft Intune de forma nativa.

    Los perfiles de esta nueva plataforma usan el formato de configuración tal como se encuentra en el Catálogo de configuración. Cada plantilla de perfil nueva para esta nueva plataforma incluye la misma configuración que la plantilla de perfil anterior que reemplaza. Con este cambio ya no puede crear nuevas versiones de los perfiles antiguos. Las instancias existentes del perfil anterior permanecen disponibles para su uso y edición.

    • Perfil: Antivirus de Microsoft Defender : administrar la configuración de directivas antivirus para dispositivos Windows.

      Antivirus de Defender es el componente de protección de última generación de Microsoft Defender para punto de conexión. La protección de última generación reúne tecnologías como el aprendizaje automático y la infraestructura en la nube para proteger los dispositivos de su organización empresarial.

      El perfil antivirus de Microsoft Defender es una instancia independiente de la configuración del antivirus que se encuentra en el perfil de restricción de dispositivos de la directiva de configuración de dispositivos.

      A diferencia de la configuración antivirus de un perfil de restricción de dispositivo, puede usar esta configuración con dispositivos que se administran conjuntamente. Para usar esta configuración, el control deslizante de carga de trabajo de administración conjunta para Endpoint Protection debe establecerse en Intune.

    • Perfil: Exclusiones del Antivirus de Microsoft Defender : administre la configuración de directiva solo para la exclusión del antivirus.

      Con esta directiva, puede administrar la configuración de los siguientes proveedores de servicios de configuración (CSP) de Antivirus de Microsoft Defender que definen exclusiones antivirus:

      • Defender/ExcludedPaths
      • Defender/ExcludedExtensions
      • Defender/ExcludedProcesses

      Estos CSP para la exclusión de antivirus también se administran mediante la directiva antivirus de Microsoft Defender , que incluye una configuración idéntica para las exclusiones. La configuración de ambos tipos de directiva (exclusionesantivirus y antivirus) está sujeta a la combinación de directivas y crea un super conjunto de exclusiones para los dispositivos y usuarios aplicables.

    • Perfil: Experiencia de seguridad de Windows : administre la configuración de la aplicación seguridad de Windows que los usuarios finales pueden ver en el Centro de seguridad de Microsoft Defender y las notificaciones que reciben.

      Una serie de características de seguridad de Windows usa la aplicación de seguridad de Windows para proporcionar notificaciones sobre el estado y la seguridad de la máquina. Las notificaciones de aplicaciones de seguridad incluyen firewalls, productos antivirus, SmartScreen de Windows Defender y otros.

    • Perfil: Controles de actualización de Defender : administrar la configuración de actualización para Microsoft Defender, incluida la siguiente configuración que se toma directamente desde el CSP de Defender:

Dispositivos administrados por Configuration Manager

Antivirus

Administrar la configuración del antivirus para dispositivos de Configuration Manager, cuando se usa la asociación de inquilinos.

Ruta de acceso de directiva:

  • Antivirus > de seguridad > de puntos de conexión Windows 10, Windows 11 y Windows Server (ConfigMgr)

Perfiles:

  • Antivirus de Microsoft Defender (versión preliminar)
  • Experiencia de seguridad de Windows (versión preliminar)

Versión necesaria de Configuration Manager:

  • Versión 2006 o posterior de la rama actual de Configuration Manager

Plataformas de dispositivos de Configuration Manager compatibles:

  • Windows 8.1 (x86, x64), a partir de la versión 2010 de Configuration Manager
  • Windows 10 y versiones posteriores (x86, x64, ARM64)
  • Windows 11 y versiones posteriores (x86, x64, ARM64)
  • Windows Server 2012 R2 (x64), a partir de la versión 2010 de Configuration Manager
  • Windows Server 2016 y versiones posteriores (x64)

Importante

El 22 de octubre de 2022, Microsoft Intune finalizó la compatibilidad con dispositivos que ejecutan Windows 8.1. La asistencia técnica y las actualizaciones automáticas en estos dispositivos no están disponibles.

Si actualmente usas Windows 8.1, te recomendamos que te muevas a dispositivos Windows 10/11. Microsoft Intune tiene características de dispositivo y seguridad integradas que administran dispositivos cliente de Windows 10/11.

Combinación de directivas para la configuración

Algunas opciones de configuración de directivas antivirus admiten la combinación de directivas. La combinación de directivas ayuda a evitar conflictos cuando se aplican varias directivas a los mismos dispositivos y configurar la misma configuración. Intune evalúa la configuración que admite la combinación de directivas para cada usuario o dispositivo, tal como se toma de todas las directivas aplicables. A continuación, dicha configuración se combina en un único superconjunto de directivas.

Por ejemplo, se crean tres directivas antivirus independientes que definen distintas exclusiones de ruta de acceso de archivo antivirus. Finalmente, las tres directivas se asignan al mismo usuario. Dado que el CSP de exclusión de ruta de acceso de archivo de Microsoft Defender admite la combinación de directivas, Intune evalúa y combina las exclusiones de archivos de todas las directivas aplicables para el usuario. Las exclusiones se agregan a un superconjunto y la lista única de exclusiones se entrega al dispositivo de los usuarios.

Cuando no se admite la combinación de directivas para una configuración, puede producirse un conflicto. Los conflictos pueden dar lugar a que el usuario o dispositivo no reciba ninguna directiva para la configuración. Por ejemplo, la combinación de directivas no admite el CSP para evitar la instalación de identificadores de dispositivo coincidentes (PreventInstallationOfMatchingDeviceIDs). Las configuraciones de este CSP no se combinan y se procesan por separado.

Cuando se procesan por separado, los conflictos de directivas se resuelven de la siguiente manera:

  1. Se aplica la directiva más segura.
  2. Si dos directivas son igualmente seguras, se aplica la última directiva modificada.
  3. Si la última directiva modificada no puede resolver el conflicto, no se entrega ninguna directiva al dispositivo.

Configuración y CSP que admiten la combinación de directivas

La siguiente configuración admite la combinación de directivas:

Informes de directivas antivirus

Los informes de directivas antivirus muestran detalles de estado sobre las directivas de antivirus y el estado del dispositivo de seguridad del punto de conexión. Estos informes están disponibles en el nodo Seguridad del punto de conexión del Centro de administración de Microsoft Intune.

Para ver los informes, en el Centro de administración de Microsoft Intune, vaya a Seguridad del punto de conexión y seleccione Antivirus. Al seleccionar Antivirus, se abre la página Resumen. Las vistas de informe y estado adicionales están disponibles como páginas adicionales.

Además de los informes detallados en las secciones siguientes, se encuentran informes adicionales para antivirus de Microsoft Defender en el nodo Informes del Centro de administración de Microsoft Intune, como se documenta en el artículo Informes de Intune:

Resumen

En la página Resumen , puede crear nuevas directivas y ver una lista de las directivas que se crearon anteriormente. La lista incluye detalles de alto nivel sobre el perfil que incluye la directiva (tipo de directiva) y si se asigna la directiva.

Página de resumen de la directiva antivirus

Al seleccionar una directiva de la lista, se abre la página Información general de esa instancia de directiva y se muestra más información. Después de seleccionar un icono de esta vista, Intune muestra detalles adicionales para ese perfil si están disponibles.

Página de información general de la directiva antivirus

Puntos de conexión incorrectos

En la página Puntos de conexión incorrectos , puede ver información sobre el estado del antivirus de los dispositivos Windows administrados por MDM. Esta información se devuelve desde el Antivirus de Windows Defender que se ejecuta en el dispositivo, como estado del agente de amenazas. En esta página, seleccione Columnas para ver la lista completa de detalles disponibles en el informe.

En esta vista solo aparecen los dispositivos con problemas detectados. Esta vista no muestra los detalles de los dispositivos que se identifican como limpios.

La información de este informe se basa en los detalles disponibles en los siguientes CSP, que se documentan en la documentación de administración de cliente de Windows:

Captura de pantalla del informe Puntos de conexión incorrectos.

Pasos siguientes

Configuración de directivas de seguridad de puntos de conexión

Vea los detalles de la configuración de Windows en los perfiles en desuso para la plataforma Windows 10 y versiones posteriores :