Configuración del acceso condicional en Microsoft Defender para punto de conexión

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Esta sección le guía por todos los pasos que debe seguir para implementar correctamente el acceso condicional.

Antes de empezar

Advertencia

Es importante tener en cuenta que los dispositivos registrados en Microsoft Entra no se admiten en este escenario.
Solo se admiten dispositivos inscritos en Intune.

Debe asegurarse de que todos los dispositivos están inscritos en Intune. Puede usar cualquiera de las siguientes opciones para inscribir dispositivos en Intune:

• Administrador de TI: para obtener más información sobre cómo habilitar la inscripción automática, consulte Inscripción de Windows.
• Usuario final: para obtener más información sobre cómo inscribir el dispositivo Windows 10 y Windows 11 en Intune, consulte Inscripción del dispositivo Windows 10 en Intune.
• Alternativa para el usuario final: para obtener más información sobre cómo unirse a un dominio de Microsoft Entra, vea How to: Plan your Microsoft Entra join implementation (Cómo: Planear la implementación de la unión a Microsoft Entra).

Hay pasos que debe seguir en el portal de Microsoft Defender, el portal de Intune y el Centro de administración de Microsoft Entra.

Es importante tener en cuenta los roles necesarios para acceder a estos portales e implementar el acceso condicional:

• Portal de Microsoft Defender : tendrá que iniciar sesión en el portal con un rol de administrador global para activar la integración.
• Intune : tendrá que iniciar sesión en el portal con derechos de administrador de seguridad con permisos de administración.
• Centro de administración de Microsoft Entra : tendrá que iniciar sesión como administrador global, administrador de seguridad o administrador de acceso condicional.

Importante

Microsoft recomienda usar roles con los permisos más mínimos. Esto ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Nota:

Necesitará un entorno de Microsoft Intune, con dispositivos Windows 10 y Windows 11 administrados por Intune y unidos a Microsoft Entra.

Siga estos pasos para habilitar el acceso condicional:

• Paso 1: Activar la conexión de Microsoft Intune desde Microsoft Defender XDR
• Paso 2: Activar la integración de Defender para punto de conexión en Intune
• Paso 3: Creación de la directiva de cumplimiento en Intune
• Paso 4: Asignar la directiva
• Paso 5: Creación de una directiva de acceso condicional de Microsoft Entra

Paso 1: Activar la conexión de Microsoft Intune

1. En el panel de navegación, seleccione Configuración>Puntos de conexiónCaracterísticas avanzadas> generales >Conexión> deMicrosoft Intune.

2. Cambie la configuración de Microsoft Intune a Activado.

3. Haga clic en Guardar preferencias.

Paso 2: Activar la integración de Defender para punto de conexión en Intune

1. Inicio de sesión en el portal de Intune

2. Seleccione Seguridad de punto de> conexiónMicrosoft Defender para punto de conexión.

3. Establezca Conectar dispositivos windows 10.0.15063+ a Protección contra amenazas avanzada de Microsoft Defenderen Activado.

4. Haga clic en Guardar.

Paso 3: Creación de la directiva de cumplimiento en Intune

1. En Azure Portal, seleccione Todos los servicios, filtre por Intune y seleccione Microsoft Intune.

2. Seleccione Directivas de cumplimiento>de>dispositivos Crear directiva.

3. Escriba un nombre y una descripción.

4. En Plataforma, seleccione Windows 10 y versiones posteriores.

5. En la configuración de Estado del dispositivo, establezca Requerir que el dispositivo esté en el nivel de amenaza del dispositivo o en el nivel de amenaza del dispositivo en el nivel que prefiera:

   • Protegido: este nivel es el más seguro. El dispositivo no puede tener ninguna amenaza existente y seguir teniendo acceso a los recursos de la empresa. Si se encuentra alguna amenaza, el dispositivo se clasificará como no conforme.
   • Bajo: el dispositivo se evalúa como compatible solo si hay amenazas de nivel bajo. Los dispositivos con niveles de amenaza medio o alto no son compatibles.
   • Medio: el dispositivo se evalúa como compatible si las amenazas que se encuentran en él son de nivel bajo o medio. Si se detectan amenazas de nivel alto, se determinará que el dispositivo no es compatible.
   • Alto: este nivel es el menos seguro y permite todos los niveles de amenaza. Por lo tanto, los dispositivos que tienen niveles de amenaza altos, medios o bajos se consideran compatibles.

6. Seleccione Aceptar y Crear para guardar los cambios (y crear la directiva).

Paso 4: Asignar la directiva

1. En Azure Portal, seleccione Todos los servicios, filtre por Intune y seleccione Microsoft Intune.

2. Seleccione Directivas de cumplimiento>de> dispositivos y seleccione la directiva de cumplimiento de Microsoft Defender para punto de conexión.

3. Seleccione Asignaciones.

4. Incluya o excluya los grupos de Microsoft Entra para asignarles la directiva.

5. Para implementar la directiva en los grupos, seleccione Guardar. Los dispositivos de usuario de destino de la directiva se evalúan para el cumplimiento.

Paso 5: Creación de una directiva de acceso condicional de Microsoft Entra

1. En Azure Portal, abra Microsoft Entra ID Conditional AccessNew policy (Nueva directiva deacceso condicional de>Microsoft Entra ID>).

2. Escriba un nombre de directiva y seleccione Usuarios y grupos. Utilice las opciones Incluir o Excluir para agregar los grupos para la directiva y seleccione Listo.

3. Seleccione Aplicaciones en la nube y elija qué aplicaciones proteger. Por ejemplo, elija Seleccionar aplicaciones y seleccione Office 365 SharePoint Online y Office 365 Exchange Online. Seleccione Listo para guardar los cambios.

4. Seleccione Condiciones>Aplicaciones cliente para aplicar la directiva a las aplicaciones y los exploradores. Por ejemplo, seleccione Sí y habilite Explorador y Aplicaciones móviles y aplicaciones de escritorio. Seleccione Listo para guardar los cambios.

5. Seleccione Conceder para aplicar el acceso condicional basado en el cumplimiento del dispositivo. Por ejemplo, seleccione Conceder acceso>requieren que los dispositivos se marquen como compatibles. Elija Seleccionar para guardar los cambios.

6. Seleccione Habilitar directiva y luego crear para guardar los cambios.

Nota:

Puede usar la aplicación Microsoft Defender para punto de conexión junto con la aplicación cliente aprobada , la directiva de Protección de aplicaciones y los controles de dispositivo compatible (requerir que el dispositivo se marque como compatible) en las directivas de acceso condicional de Microsoft Entra. No se requiere ninguna exclusión para la aplicación Microsoft Defender para punto de conexión al configurar el acceso condicional. Aunque Microsoft Defender para punto de conexión en Android & iOS (id. de aplicación- dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) no es una aplicación aprobada, es capaz de notificar la posición de seguridad del dispositivo en los tres permisos de concesión.

Sin embargo, Defender solicita internamente el ámbito MSGraph/User.read y el ámbito del túnel de Intune (en el caso de escenarios de Defender+Túnel). Por lo tanto, estos ámbitos deben excluirse*. Para excluir el ámbito MSGraph/User.read, se puede excluir cualquier aplicación en la nube. Para excluir el ámbito de Tunnel, debe excluir "Puerta de enlace de Microsoft Tunnel". Estos permisos y exclusiones permiten el flujo de información de cumplimiento al acceso condicional.

La aplicación de una directiva de acceso condicional a Todas las aplicaciones en la nube podría bloquear involuntariamente el acceso de los usuarios en algunos casos, por lo que no se recomienda. Obtenga más información sobre las directivas de acceso condicional en Cloud Apps.

Para obtener más información, consulte Exigencia del cumplimiento de Microsoft Defender para punto de conexión con acceso condicional en Intune.

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.