Directiva antivirus para la seguridad de los puntos de conexión en Intune

Las directivas antivirus de seguridad de puntos de conexión de Intune pueden ayudar a los administradores de seguridad a centrarse en la administración del grupo discreto de configuraciones de antivirus para dispositivos administrados.

La directiva antivirus incluye varios perfiles. Cada perfil contiene solo la configuración que es relevante para Microsoft Defender para punto de conexión antivirus para dispositivos macOS y Windows, o para la experiencia del usuario en la aplicación Seguridad de Windows en dispositivos Windows.

Encontrará las directivas antivirus en Administrar en el nodo Seguridad del punto de conexión del centro de administración de Microsoft Intune.

Las directivas antivirus incluyen la misma configuración que la de endpoint protection o las plantillas de restricción de dispositivos para la directiva de configuración de dispositivos . Sin embargo, esos tipos de directiva incluyen categorías adicionales de configuración que no están relacionadas con Antivirus. La configuración adicional puede complicar la tarea de configuración de la carga de trabajo Antivirus. Además, la configuración que se encuentra en la directiva antivirus para macOS no está disponible a través de los otros tipos de directiva. El perfil antivirus de macOS reemplaza la necesidad de configurar los valores mediante .plist archivos.

Se aplica a:

• Linux
• macOS
• Windows 10/11

Requisitos previos para la directiva antivirus

Compatibilidad con dispositivos inscritos en Microsoft Intune (MDM):

• macOS

  • Cualquier versión compatible de macOS
  • Para que Intune administre la configuración del antivirus en un dispositivo, Microsoft Defender para punto de conexión debe instalarse en ese dispositivo. Ver. Microsoft Defender para punto de conexión para macOS (en la documentación de Microsoft Defender para punto de conexión)

• Windows 10, Windows 11 y Windows Server

  • No se requieren requisitos previos adicionales.

Compatibilidad con clientes Configuration Manager:

Este escenario está en versión preliminar y requiere el uso de Configuration Manager versión de rama actual 2006 o posterior.

• Configuración de la asociación de inquilinos para dispositivos Configuration Manager: para admitir la implementación de directivas antivirus en dispositivos administrados por Configuration Manager, configure la asociación de inquilinos. La configuración de la asociación de inquilinos incluye la configuración de Configuration Manager colecciones de dispositivos para admitir directivas de seguridad de puntos de conexión de Intune.

  Para configurar la asociación de inquilinos, consulte Configuración de la asociación de inquilinos para admitir directivas de Endpoint Protection.

Compatibilidad con clientes Microsoft Defender para punto de conexión:

• Administración de la configuración de seguridad de Defender para punto de conexión: para configurar la compatibilidad con la implementación de directivas antivirus en dispositivos administrados por Defender, pero no inscritos con Intune, consulte Administración de Microsoft Defender para punto de conexión en dispositivos con Microsoft Intune. En este artículo también se incluye la información sobre las plataformas admitidas por esta funcionalidad y las directivas y perfiles que admiten esas plataformas.

Requisitos previos para la protección contra alteraciones

La protección contra alteraciones está disponible para los dispositivos que ejecutan uno de los siguientes sistemas operativos:

• macOS (cualquier versión compatible)
• Windows 10 y 11 (incluida la sesión múltiple enterprise)
• Windows Server versión 1803 o posterior, Windows Server 2019, Windows Server 2022
• Windows Server 2012 R2 y Windows Server 2016 (mediante la solución moderna y unificada)

Nota:

Los dispositivos deben incorporarse a Microsoft Defender para punto de conexión (P1 o P2). Es posible que los dispositivos vean un retraso al habilitar la protección contra alteraciones si anteriormente no se incorporaron a Microsoft Defender para punto de conexión. La protección contra alteraciones se habilitará en la primera protección del dispositivo después de la incorporación a Microsoft Defender para punto de conexión.

Puede usar Intune para administrar la protección contra alteraciones en dispositivos Windows como parte de Seguridad de Windows perfil de experiencia (una directiva antivirus). Esto incluye tanto los dispositivos que administra con Intune como los dispositivos que administra con Configuration Manager a través del escenario de asociación de inquilinos. La protección contra alteraciones también está disponible para Azure Virtual Desktop.

Dispositivos administrados de Intune

Requisitos previos para admitir la protección contra alteraciones para dispositivos administrados por Intune:

• El entorno debe cumplir los requisitos previos para administrar la protección contra alteraciones con Intune
• Los dispositivos se incorporan a Microsoft Defender para punto de conexión (P1 o P2)

Perfiles para la directiva antivirus que admiten la protección contra alteraciones para dispositivos administrados por Microsoft Intune:

• Plataforma: Windows 10, Windows 11 y Windows Server

  • Perfil: experiencia de Seguridad de Windows

  Nota:

  A partir del 5 de abril de 2022, la plataforma Windows 10 y posterior fue reemplazada por la plataforma Windows 10, Windows 11 y Windows Server.

  La plataforma Windows 10, Windows 11 y Windows Server admite dispositivos que se comunican con Intune a través de Microsoft Intune o Microsoft Defender para punto de conexión. Estos perfiles también agregan compatibilidad con la plataforma Windows Server, que no se admite a través de Microsoft Intune de forma nativa.

  Los perfiles de esta nueva plataforma usan el formato de configuración tal como se encuentra en el Catálogo de configuración. Cada plantilla de perfil nueva para esta nueva plataforma incluye la misma configuración que la plantilla de perfil anterior que reemplaza. Con este cambio ya no puede crear nuevas versiones de los perfiles antiguos. Las instancias existentes del perfil anterior permanecen disponibles para su uso y edición.

También puede usar el perfil de Endpoint Protection para la directiva de configuración de dispositivos para configurar la protección contra alteraciones para los dispositivos administrados por Intune.

Configuration Manager clientes administrados mediante el escenario de asociación de inquilinos

Requisitos previos para admitir la administración de la protección contra alteraciones con estos perfiles:

• El entorno debe cumplir los requisitos previos para administrar la protección contra alteraciones con Intune , como se detalla en la documentación de Windows.
• Debe usar Configuration Manager rama actual 2006 o posterior.
• Debe configurar la asociación de inquilinos para admitir directivas de Endpoint Protection. Esto incluye la configuración de Configuration Manager colecciones de dispositivos para la sincronización con Intune.
• Los dispositivos se incorporan a Microsoft Defender para punto de conexión (P1 o P2)

Perfiles para la directiva antivirus que admiten la protección contra alteraciones para dispositivos administrados por Configuration Manager:

• Plataforma: Windows 10, Windows 11 y Windows Server (ConfigMgr)
  • Perfil: Seguridad de Windows experiencia (versión preliminar)

Perfiles de antivirus

Dispositivos administrados por Microsoft Intune

Los siguientes perfiles son compatibles con los dispositivos que administra con Intune:

macOS:

• Plataforma: macOS

  • Perfil: Antivirus : administrar la configuración de directivas antivirus para macOS.

    Al usar Microsoft Defender para punto de conexión para Mac, puede configurar e implementar la configuración del Antivirus en los dispositivos macOS administrados a través de Intune en lugar de configurar dicha configuración mediante el uso de .plist archivos.

Windows:

• Plataforma: Windows 10, Windows 11 y Windows Server
  Los perfiles de esta plataforma se pueden usar con dispositivos inscritos con Intune y dispositivos administrados a través de Security Management para Microsoft Defender para punto de conexión.

  Nota:

  A partir del 5 de abril de 2022, la plataforma Windows 10 y posterior fue reemplazada por la plataforma Windows 10, Windows 11 y Windows Server.

  La plataforma Windows 10, Windows 11 y Windows Server admite dispositivos que se comunican con Intune a través de Microsoft Intune o Microsoft Defender para punto de conexión. Estos perfiles también agregan compatibilidad con la plataforma Windows Server, que no se admite a través de Microsoft Intune de forma nativa.

  Los perfiles de esta nueva plataforma usan el formato de configuración tal como se encuentra en el Catálogo de configuración. Cada plantilla de perfil nueva para esta nueva plataforma incluye la misma configuración que la plantilla de perfil anterior que reemplaza. Con este cambio ya no puede crear nuevas versiones de los perfiles antiguos. Las instancias existentes del perfil anterior permanecen disponibles para su uso y edición.

  • Perfil: Microsoft Defender Antivirus: administrar la configuración de directivas antivirus para dispositivos Windows.

    Antivirus de Defender es el componente de protección de última generación de Microsoft Defender para punto de conexión. La protección de última generación reúne tecnologías como el aprendizaje automático y la infraestructura en la nube para proteger los dispositivos de su organización empresarial.

    El perfil Microsoft Defender Antivirus es una instancia independiente de la configuración del antivirus que se encuentra en el perfil de restricción de dispositivos de la directiva de configuración de dispositivos.

    A diferencia de la configuración antivirus de un perfil de restricción de dispositivo, puede usar esta configuración con dispositivos que se administran conjuntamente. Para usar esta configuración, el control deslizante de carga de trabajo de administración conjunta para Endpoint Protection debe establecerse en Intune.

  • Perfil: Microsoft Defender Exclusiones de Antivirus: administrar la configuración de directivas solo para la exclusión del antivirus.

    Con esta directiva, puede administrar la configuración de los siguientes Microsoft Defender proveedores de servicios de configuración de Antivirus (CSP) que definen exclusiones de Antivirus:

    • Defender/ExcludedPaths
    • Defender/ExcludedExtensions
    • Defender/ExcludedProcesses

    Estos CSP para la exclusión de antivirus también se administran mediante Microsoft Defender directiva antivirus, que incluye una configuración idéntica para las exclusiones. La configuración de ambos tipos de directiva (exclusionesantivirus y antivirus) está sujeta a la combinación de directivas y crea un super conjunto de exclusiones para los dispositivos y usuarios aplicables.

  • Perfil: Seguridad de Windows experiencia: administre la configuración de la aplicación Seguridad de Windows que los usuarios finales pueden ver en Microsoft Defender Security Center y las notificaciones que reciben.

    Una serie de características de seguridad de Windows usa la aplicación de seguridad de Windows para proporcionar notificaciones sobre el estado y la seguridad de la máquina. Las notificaciones de aplicaciones de seguridad incluyen firewalls, productos antivirus, Windows Defender SmartScreen y otros.

  • Perfil: Controles de actualización de Defender: administrar la configuración de actualización para Microsoft Defender, incluidas las siguientes opciones que se toman directamente del CSP de Defender:

    • Canal de Novedades del motor
    • Canal de Novedades de plataforma
    • Security Intelligence Novedades Channel

Dispositivos administrados por Configuration Manager

Antivirus

Administre la configuración del antivirus para Configuration Manager dispositivos cuando use la asociación de inquilinos.

Ruta de acceso de directiva:

• Antivirus > de seguridad > de puntos de conexión Windows 10, Windows 11 y Windows Server (ConfigMgr)

Perfiles:

• Microsoft Defender Antivirus (versión preliminar)
• Seguridad de Windows experiencia (versión preliminar)

Versión necesaria de Configuration Manager:

• Configuration Manager rama actual, versión 2006 o posterior

Plataformas de dispositivos Configuration Manager compatibles:

• Windows 8.1 (x86, x64), a partir de Configuration Manager versión 2010
• Windows 10 y versiones posteriores (x86, x64, ARM64)
• Windows 11 y versiones posteriores (x86, x64, ARM64)
• Windows Server 2012 R2 (x64), a partir de Configuration Manager versión 2010
• Windows Server 2016 y versiones posteriores (x64)

Importante

El 22 de octubre de 2022, Microsoft Intune finalizó la compatibilidad con dispositivos que ejecutan Windows 8.1. La asistencia técnica y las actualizaciones automáticas en estos dispositivos no están disponibles.

Si actualmente usa Windows 8.1, se recomienda pasar a dispositivos Windows 10/11. Microsoft Intune tiene características de dispositivo y seguridad integradas que administran dispositivos cliente Windows 10/11.

Combinación de directivas para la configuración

Algunas opciones de configuración de directivas antivirus admiten la combinación de directivas. La combinación de directivas ayuda a evitar conflictos cuando se aplican varias directivas a los mismos dispositivos y configurar la misma configuración. Intune evalúa la configuración que admite la combinación de directivas para cada usuario o dispositivo, tal como se toma de todas las directivas aplicables. A continuación, dicha configuración se combina en un único superconjunto de directivas.

Por ejemplo, se crean tres directivas antivirus independientes que definen distintas exclusiones de ruta de acceso de archivo antivirus. Finalmente, las tres directivas se asignan al mismo usuario. Dado que el CSP de exclusión de ruta de acceso de archivo Microsoft Defender admite la combinación de directivas, Intune evalúa y combina las exclusiones de archivos de todas las directivas aplicables para el usuario. Las exclusiones se agregan a un superconjunto y la lista única de exclusiones se entrega al dispositivo de los usuarios.

Cuando no se admite la combinación de directivas para una configuración, puede producirse un conflicto. Los conflictos pueden dar lugar a que el usuario o dispositivo no reciba ninguna directiva para la configuración. Por ejemplo, la combinación de directivas no admite el CSP para evitar la instalación de identificadores de dispositivo coincidentes (PreventInstallationOfMatchingDeviceIDs). Las configuraciones de este CSP no se combinan y se procesan por separado.

Cuando se procesan por separado, los conflictos de directivas se resuelven de la siguiente manera:

1. Se aplica la directiva más segura.
2. Si dos directivas son igualmente seguras, se aplica la última directiva modificada.
3. Si la última directiva modificada no puede resolver el conflicto, no se entrega ninguna directiva al dispositivo.

Configuración y CSP que admiten la combinación de directivas

La siguiente configuración admite la combinación de directivas:

• Procesos excluidos : CSP: Defender/ExcludedProcesses
• Extensiones excluidas : CSP: Defender/ExcludedExtensions
• Rutas de acceso excluidas : CSP: Defender/ExcludedPaths

Informes de directivas antivirus

Los informes de directivas antivirus muestran detalles de estado sobre las directivas de antivirus y el estado del dispositivo de seguridad del punto de conexión. Estos informes están disponibles en el nodo Seguridad del punto de conexión del centro de administración de Microsoft Intune.

Para ver los informes, en el centro de administración de Microsoft Intune, vaya a Seguridad del punto de conexión y seleccione Antivirus. Al seleccionar Antivirus, se abre la página Resumen. Las vistas de informe y estado adicionales están disponibles como páginas adicionales.

Además de los informes detallados en las secciones siguientes, se encuentran informes adicionales para Microsoft Defender Antivirus en el nodo Informes del centro de administración de Microsoft Intune, como se documenta en el artículo Informes de Intune:

• Informe Estado del agente de antivirus (organizativo)
• Informe de malware detectado (organizativo)

Resumen

En la página Resumen , puede crear nuevas directivas y ver una lista de las directivas que se crearon anteriormente. La lista incluye detalles de alto nivel sobre el perfil que incluye la directiva (tipo de directiva) y si se asigna la directiva.

Al seleccionar una directiva de la lista, se abre la página Información general de esa instancia de directiva y se muestra más información. Después de seleccionar un icono de esta vista, Intune muestra detalles adicionales para ese perfil si están disponibles.

Puntos de conexión incorrectos

En la página Puntos de conexión incorrectos , puede ver información sobre el estado del antivirus de los dispositivos Windows administrados por MDM. Esta información se devuelve de Windows Defender Antivirus que se ejecuta en el dispositivo, como estado del agente de amenazas. En esta página, seleccione Columnas para ver la lista completa de detalles disponibles en el informe.

En esta vista solo aparecen los dispositivos con problemas detectados. Esta vista no muestra los detalles de los dispositivos que se identifican como limpios.

La información de este informe se basa en los detalles disponibles en los siguientes CSP, que se documentan en la documentación de administración de cliente de Windows:

• CSP de Defender
• CSP de WindowsAdvancedThreatProtection.

Siguientes pasos

Configuración de directivas de seguridad de puntos de conexión

Vea los detalles de la configuración de Windows en los perfiles en desuso de la plataforma Windows 10 y posterior:

• Configuración de directiva de antivirus
• Exclusiones de antivirus
• configuración de la aplicación Seguridad de Windows