Compartir vía

Niveles de protección y configuración en Microsoft Intune

  • Artículo

Microsoft Intune ofrece a los administradores la capacidad de crear directivas que se aplican a usuarios, dispositivos y aplicaciones. Estas directivas pueden oscilar entre un conjunto mínimo y directivas más seguras o controladas. Estas directivas dependen de las necesidades de la organización, los dispositivos que se usan y lo que harán los dispositivos.

Cuando esté listo para crear directivas, puede usar los distintos niveles de protección y configuración:

Es posible que el entorno y las necesidades empresariales tengan distintos niveles definidos. Puede usar estos niveles como punto de partida y, a continuación, personalizarlos para satisfacer sus necesidades. Por ejemplo, puede usar las directivas de configuración de dispositivos en el nivel 1 y las directivas de aplicación en el nivel 3.

Elija los niveles adecuados para su organización. No hay una elección equivocada.

Nivel 1: protección y configuración mínimas

Este nivel incluye las directivas que todas las organizaciones deben tener, como mínimo. Las directivas de este nivel crean una línea base mínima de características de seguridad y proporcionan a los usuarios acceso a los recursos que necesitan para realizar sus trabajos.

Aplicaciones (nivel 1)

Este nivel aplica una cantidad razonable de requisitos de acceso y protección de datos, a la vez que minimiza el impacto en los usuarios. Este nivel garantiza que las aplicaciones estén protegidas con un PIN y cifradas y realice operaciones de borrado selectivo. En el caso de los dispositivos Android, este nivel valida la certificación de dispositivos Android. Este nivel es una configuración de nivel de entrada que proporciona un control de protección de datos similar en Exchange Online directivas de buzón. También presenta ti y el rellenado de usuarios a las directivas de protección de aplicaciones.

En este nivel, Microsoft recomienda configurar la siguiente protección y acceso para las aplicaciones:

  • Habilitar los requisitos básicos de protección de datos:

    • Permitir la transferencia de datos básicos de la aplicación
    • Aplicación del cifrado básico de aplicaciones
    • Permitir la funcionalidad de acceso básico

  • Habilitar los requisitos de acceso básicos:

    • Requerir PIN, id. de cara y acceso biométrico
    • Exigir la compatibilidad con la configuración de acceso básica

  • Habilitación del inicio de la aplicación condicional básica:

    • Configuración de intentos de acceso básicos de la aplicación
    • Bloquear el acceso a la aplicación en función de dispositivos con jailbreak/root
    • Restricción del acceso a la aplicación en función de la integridad básica de los dispositivos

Para obtener más información, consulte Protección básica de aplicaciones de nivel 1.

Cumplimiento (nivel 1)

En este nivel, el cumplimiento de dispositivos incluye la configuración de los valores de todo el inquilino que se aplican a todos los dispositivos y la implementación de directivas de cumplimiento mínimas en todos los dispositivos para aplicar un conjunto básico de requisitos de cumplimiento. Microsoft recomienda que estas configuraciones estén en su lugar antes de permitir que los dispositivos accedan a los recursos de su organización. El cumplimiento de dispositivos de nivel 1 incluye:

La configuración de directivas de cumplimiento son algunas configuraciones de todo el inquilino que afectan al funcionamiento del servicio de cumplimiento de Intune con los dispositivos.

Las directivas de cumplimiento específicas de la plataforma incluyen la configuración de temas comunes entre plataformas. El nombre de la configuración real y la implementación pueden ser diferentes entre distintas plataformas:

  • Requerir antivirus, antispyware y antimalware (solo Windows)
  • Versión del sistema operativo:
    • Sistema operativo máximo
    • Sistema operativo mínimo
    • Versiones de compilación secundarias y principales
    • Niveles de revisión del sistema operativo
  • Configuraciones de contraseña
    • Aplicar pantalla de bloqueo después de un período de inactividad, que requiere una contraseña o un pin para desbloquear
    • Requerir contraseñas complejas con combinaciones de letras, números y símbolos
    • Requerir una contraseña o un PIN para desbloquear dispositivos
    • Requerir longitud mínima de contraseña

Las acciones para el incumplimiento se incluyen automáticamente con cada directiva específica de la plataforma. Estas acciones son una o varias acciones ordenadas por el tiempo que se configuran y que se aplican a dispositivos que no cumplen los requisitos de cumplimiento de la directiva. De forma predeterminada, marcar un dispositivo como no compatible es una acción inmediata que se incluye en cada directiva.

Para obtener más información, consulte Nivel 1: cumplimiento mínimo de dispositivos.

Configuración del dispositivo (nivel 1)

En este nivel, los perfiles incluyen configuraciones que se centran en la seguridad y el acceso a los recursos. En concreto, en este nivel, Microsoft recomienda configurar las siguientes características:

  • Habilite la seguridad básica, lo que incluye:

    • Antivirus y examen
    • Detección y respuesta de amenazas
    • Firewall
    • Actualizaciones de software
    • Directiva de PIN y contraseña segura

  • Proporcione a los usuarios acceso a la red:

    • Correo electrónico
    • VPN para el acceso remoto
    • Wi-Fi para el acceso local

Para obtener más información sobre estas directivas en este nivel, vaya al Paso 4: Creación de perfiles de configuración de dispositivos para proteger los dispositivos y crear conexiones a los recursos de la organización.

Nivel 2: protección y configuración mejoradas

Este nivel se expande en el conjunto mínimo de directivas para incluir más seguridad y expandir la administración de dispositivos móviles. Las directivas de este nivel protegen más características, proporcionan protección de identidad y administran más configuraciones de dispositivo.

Use la configuración de este nivel para agregar lo que ha hecho en el nivel 1.

Aplicaciones (nivel 2)

Este nivel recomienda un nivel estándar de protección de aplicaciones para dispositivos en los que los usuarios acceden a información más confidencial. Este nivel presenta mecanismos de prevención de pérdida de datos de directivas de protección de aplicaciones y requisitos mínimos del sistema operativo. Este nivel es la configuración que se aplica a la mayoría de los usuarios móviles que acceden a datos profesionales o educativos.

Además de la configuración de nivel 1, Microsoft recomienda configurar la siguiente protección y acceso para las aplicaciones:

  • Habilitar requisitos de protección de datos mejorados:

    • Transferencia de datos relacionados con la organización
    • Exención de los requisitos de transferencia de datos de aplicaciones seleccionadas (iOS/iPadOS)
    • Transferencia de datos de telecomunicaciones
    • Restringir cortar, copiar y pegar entre aplicaciones
    • Captura de pantalla de bloqueo (Android)

  • Habilitación del inicio de la aplicación condicional mejorada:

    • Bloquear la deshabilitación de cuentas de aplicación
    • Aplicación de los requisitos mínimos del sistema operativo del dispositivo
    • Requerir versión de revisión mínima (Android)
    • Requerir el tipo de evaluación de veredicto de integridad de Play (Android)
    • Requerir bloqueo de dispositivo (Android)
    • Permitir el acceso a la aplicación en función de una mayor integridad del dispositivo

Para obtener más información, consulte Protección mejorada de aplicaciones de nivel 2.

Cumplimiento (nivel 2)

En este nivel, Microsoft recomienda agregar opciones más complejas a las directivas de cumplimiento. Muchas de las configuraciones de este nivel tienen nombres específicos de la plataforma que ofrecen resultados similares. A continuación se muestran las categorías o tipos de configuración que Microsoft recomienda usar cuando estén disponibles:

  • Aplicaciones:

    • Administrar dónde obtienen aplicaciones los dispositivos, como Google Play para Android
    • Permitir aplicaciones desde ubicaciones específicas
    • Bloquear aplicaciones de orígenes desconocidos

  • Configuración de firewall

    • Configuración del firewall (macOS, Windows)

  • Cifrado:

    • Requerir cifrado de almacenamiento de datos
    • BitLocker (Windows)
    • FileVault (macOS)

  • Contraseñas

    • Expiración y reutilización de contraseñas

  • Protección de archivos y arranque de nivel de sistema:

    • Bloquear depuración USB (Android)
    • Bloquear dispositivos rooteados o con jailbreak (Android, iOS)
    • Requerir protección contra la integridad del sistema (macOS)
    • Requerir integridad de código (Windows)
    • Requerir que el arranque seguro esté habilitado (Windows)
    • Módulo de plataforma segura (Windows)

Para obtener más información, consulte Nivel 2: configuración de cumplimiento de dispositivos mejorada.

Configuración del dispositivo (nivel 2)

En este nivel, va a ampliar la configuración y las características que configuró en el nivel 1. Microsoft recomienda crear directivas que:

  • Agregue otra capa de seguridad habilitando el cifrado de disco, el arranque seguro y el TPM en los dispositivos.
  • Configure los PIN & contraseñas para que expiren y administren si se pueden reutilizar las contraseñas.
  • Configure características, configuraciones y comportamientos de dispositivos más granulares.
  • Si tiene GPO locales, puede determinar si estos GPO están disponibles en Intune.

Para obtener información más específica sobre las directivas de configuración de dispositivos en este nivel, vaya a Nivel 2: Protección y configuración mejoradas.

Nivel 3: alta protección y configuración

Este nivel incluye directivas de nivel empresarial y puede implicar a diferentes administradores de la organización. Estas directivas continúan pasando a la autenticación sin contraseña, tienen más seguridad y configuran dispositivos especializados.

Use la configuración de este nivel para agregar lo que ha hecho en los niveles 1 y 2.

Aplicaciones (nivel 3)

Este nivel recomienda un nivel estándar de protección de aplicaciones para dispositivos en los que los usuarios acceden a información más confidencial. Este nivel presenta mecanismos avanzados de protección de datos, configuración mejorada del PIN y directiva de protección de aplicaciones Mobile Threat Defense. Esta configuración es conveniente para los usuarios que acceden a datos de alto riesgo.

Además de los valores de nivel 1 y 2, Microsoft recomienda configurar la siguiente protección y acceso para las aplicaciones:

  • Habilitar requisitos elevados de protección de datos:

    • Alta protección al transferir datos de telecomunicaciones
    • Recepción de datos solo de aplicaciones administradas por directivas
    • Bloquear la apertura de datos en documentos de la organización
    • Permitir a los usuarios abrir datos de servicios seleccionados
    • Bloquear teclados de terceros
    • Requerir o seleccionar teclados aprobados (Android)
    • Bloquear la impresión de datos de la organización

  • Habilitar requisitos de acceso elevados:

    • Bloquear UN PIN simple y requerir una longitud mínima específica del PIN
    • Requerir el restablecimiento del PIN después del número de días
    • Requerir biometría de clase 3 (Android 9.0+)
    • Requerir invalidación de biometría con PIN después de actualizaciones biométricas (Android)

  • Habilitar el inicio de la aplicación condicional alta:

    • Requerir bloqueo de dispositivo (Android)
    • Requerir el nivel máximo de amenaza permitido
    • Requerir la versión máxima del sistema operativo

Para obtener más información, consulte Protección de aplicaciones de nivel 3 alto.

Cumplimiento (nivel 3)

En este nivel, puede ampliar las funcionalidades de cumplimiento integradas de Intune a través de las siguientes funcionalidades:

  • Integración de datos del asociado de Mobile Threat Defense (MTD)

    • Con un asociado de MTD, las directivas de cumplimiento pueden requerir que los dispositivos estén en un nivel de amenaza de dispositivo o en una puntuación de riesgo de máquina, según lo determinado por ese asociado.

  • Uso de un asociado de cumplimiento de terceros con Intune

  • Use scripts para agregar la configuración de cumplimiento personalizada a las directivas de configuración que no están disponibles en la interfaz de usuario de Intune. (Windows, Linux)

  • Uso de datos de directivas de cumplimiento con directivas de acceso condicional para garantizar el acceso a los recursos de la organización

Para obtener más información, vea Nivel 3: Configuraciones avanzadas de cumplimiento de dispositivos.

Configuración del dispositivo (nivel 3)

Este nivel se centra en los servicios y características de nivel empresarial, y puede requerir una inversión en infraestructura. En este nivel, puede crear directivas que:

  • Expanda la autenticación sin contraseña a otros servicios de su organización, incluida la autenticación basada en certificados, el inicio de sesión único para aplicaciones, la autenticación multifactor (MFA) y la puerta de enlace de VPN de Microsoft Tunnel.

  • Expanda Microsoft Tunnel mediante la implementación de Microsoft Tunnel for Mobile Application Management (Tunnel for MAM), que amplía la compatibilidad de Tunnel con dispositivos iOS y Android que no están inscritos con Intune. Tunnel for MAM está disponible como complemento de Intune.

    Para obtener más información, consulte Uso de funcionalidades de complemento de Intune Suite.

  • Configure las características del dispositivo que se aplican a la capa de firmware de Windows. Use el modo de criterios comunes de Android.

  • Use la directiva de Intune para la solución de contraseñas de administrador local (LAPS) de Windows para ayudar a proteger la cuenta de administrador local integrada en los dispositivos Windows administrados.

    Para obtener más información, consulte Compatibilidad de Intune con Windows LAPS.

  • Proteja los dispositivos Windows mediante el uso de Endpoint Privilege Management (EPM), lo que le ayuda a ejecutar los usuarios de su organización como usuarios estándar (sin derechos de administrador) al tiempo que permite a esos mismos usuarios completar tareas que requieren privilegios elevados.

    EPM está disponible como complemento de Intune. Para obtener más información, consulte Uso de funcionalidades de complemento de Intune Suite.

  • Configure dispositivos especializados, como quioscos y dispositivos compartidos.

  • Implemente scripts, si es necesario.

Para obtener información más específica sobre las directivas de configuración de dispositivos en este nivel, vaya a Nivel 3: Alta protección y configuración.

Pasos siguientes

Para obtener una lista completa de todos los perfiles de configuración de dispositivo que puede crear, vaya a Aplicar características y configuraciones en los dispositivos mediante perfiles de dispositivo en Microsoft Intune.