Administración de la configuración de la suscripción de Microsoft Defender para punto de conexión entre dispositivos cliente
En Defender para punto de conexión, un escenario de licencias mixtas es una situación en la que una organización usa una combinación de licencias de Defender para punto de conexión 1 y Plan 2. En la tabla siguiente se describen ejemplos de escenarios de licencias mixtas:
| Escenario | Descripción |
|---|---|
| Inquilino mixto | Use diferentes conjuntos de funcionalidades para grupos de usuarios y sus dispositivos. Algunos ejemplos son: - Plan 1 de Defender para punto de conexión y Defender para punto de conexión 2 - Microsoft 365 E3 y Microsoft 365 E5 |
| Prueba mixta | Pruebe una suscripción de nivel Premium para algunos usuarios. Algunos ejemplos son: - Plan 1 de Defender para punto de conexión (comprado para todos los usuarios) y Plan 2 de Defender para punto de conexión (se ha iniciado una suscripción de prueba para algunos usuarios) - Microsoft 365 E3 (comprado para todos los usuarios) y Microsoft 365 E5 (se ha iniciado una suscripción de prueba para algunos usuarios) |
| Actualizaciones por fases | Actualice las licencias de usuario en fases. Algunos ejemplos son: - Traslado de grupos de usuarios del plan 1 de Defender para punto de conexión al plan 2 - Traslado de grupos de usuarios de Microsoft 365 E3 a E5 |
Hasta hace poco, no se admitía ningún escenario de licencias mixtas; en los casos de varias suscripciones, la suscripción funcional más alta tendría prioridad para el inquilino. Ahora, puede administrar la configuración de la suscripción para dar cabida a escenarios de licencias mixtas entre dispositivos cliente. Estas funcionalidades le permiten:
- Establezca el inquilino en modo mixto y etiquete dispositivos para determinar qué dispositivos cliente recibirán características y funcionalidades de cada plan (llamamos a esta opción modo mixto); O BIEN,
- Use las características y funcionalidades de un plan en todos los dispositivos cliente.
También puede usar un informe de uso de licencias recién agregado para realizar un seguimiento del estado.
Nota:
Si usa Microsoft Defender para empresas y quiere cambiar a Defender para el plan 2 de punto de conexión, consulte Cambio de la suscripción de seguridad de punto de conexión.
Establecer el inquilino en modo mixto y etiquetar dispositivos
Importante
- La configuración de modo mixto solo se aplica a los puntos de conexión de cliente. El etiquetado de dispositivos de servidor no cambiará su estado de suscripción. Todos los dispositivos de servidor que ejecutan Windows Server o Linux deben tener las licencias adecuadas, como Defender para servidores. Consulte Opciones para la incorporación de servidores.
- Asegúrese de seguir los procedimientos de este artículo para probar escenarios de licencia mixta en su entorno. La asignación de licencias de usuario en el Centro de administración de Microsoft 365 (https://admin.microsoft.com) no establece el inquilino en modo mixto.
- Debe tener licencias activas de prueba o de pago para el plan 1 y el plan 2 de Defender para punto de conexión.
- Para acceder a la información de licencia, debe tener uno de los siguientes roles asignados en Microsoft Entra ID:
- Administrador de seguridad
- Administrador de licencias y Administrador de Defender para punto de conexión
Como administrador, vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión.
Vaya a Configuración>Licencias de puntos> de conexión. El informe de uso se abre y muestra información sobre las licencias de Defender para punto de conexión de la organización.
En Estado de suscripción, seleccione Administrar configuración de suscripción.
Nota:
Si no ve Administrar la configuración de suscripción, se cumple al menos una de las condiciones siguientes:
- Tiene el plan 1 o el plan 2 de Defender para punto de conexión (pero no ambos); o
- Las funcionalidades de licencia mixta aún no se han implementado en el inquilino.
Se abre un control flotante Configuración de suscripción. Elija la opción para usar El plan 1 y el plan 2 de Defender para punto de conexión. (No se producirá ningún cambio hasta que los dispositivos se etiqueten según el paso siguiente).
Etiquete los dispositivos que deben recibir las funcionalidades de Defender para punto de conexión 1 o Plan 2. Puede elegir etiquetar los dispositivos manualmente o mediante una regla dinámica. Obtenga más información sobre el etiquetado de dispositivos.
Método Detalles Etiquetar dispositivos manualmente Para etiquetar dispositivos manualmente, cree una etiqueta denominada License MDE P1y aplíquela a los dispositivos. Para obtener ayuda con este paso, consulte Creación y administración de etiquetas de dispositivo.
Tenga en cuenta que los dispositivos etiquetados con laLicense MDE P1etiqueta mediante el método de clave del Registro no recibirán funcionalidad degradada. Si desea etiquetar dispositivos mediante el método de clave del Registro, use una regla dinámica en lugar de etiquetado manual.Etiquetar dispositivos automáticamente mediante una regla dinámica La funcionalidad de reglas dinámicas es nueva para escenarios de licencia mixta. Permite aplicar un nivel de control dinámico y pormenorizado sobre cómo se administran los dispositivos.
Para usar una regla dinámica, especifique un conjunto de criterios basados en el nombre del dispositivo, el dominio, la plataforma del sistema operativo o las etiquetas de dispositivo. Los dispositivos que cumplan los criterios especificados recibirán las funcionalidades plan 1 o plan 2 de Defender para punto de conexión según la regla.
A medida que defina los criterios, puede usar los siguientes operadores de condición:
-Equals/Not equals
-Starts with
-Contains/Does not contain
En Nombre del dispositivo, puede usar texto de forma libre.
En Dominio, seleccione en una lista de dominios.
Para la plataforma del sistema operativo, seleccione en una lista de sistemas operativos.
Para Etiqueta, use la opción de texto de forma libre. Escriba el valor de etiqueta que corresponde a los dispositivos que deben recibir las funcionalidades plan 1 o plan 2 de Defender para punto de conexión. Consulte el ejemplo en Más detalles sobre el etiquetado de dispositivos.Las etiquetas de dispositivo están visibles en la vista Inventario de dispositivos y en las API de Defender para punto de conexión.
Nota:
Las etiquetas de Defender para punto de conexión P1 agregadas dinámicamente no se pueden filtrar actualmente en la vista Inventario de dispositivos.
Guarde la regla y espere hasta tres (3) horas para que se apliquen las etiquetas. A continuación, vaya a Validar que un dispositivo solo recibe funcionalidades del plan 1 de Defender para punto de conexión.
Más detalles sobre el etiquetado de dispositivos
Como se describe en el blog de Tech Community: Cómo usar el etiquetado de forma eficaz, el etiquetado de dispositivos proporciona un control pormenorizado sobre los dispositivos. Con las etiquetas de dispositivo, puede:
- Muestre determinados dispositivos a usuarios individuales en el portal de Microsoft Defender para que solo vean los dispositivos de los que son responsables.
- Incluir o excluir dispositivos de directivas de seguridad específicas.
- Determine qué dispositivos deben recibir las funcionalidades del plan 1 o plan 2 de Defender para punto de conexión.
Por ejemplo, supongamos que desea usar una etiqueta llamada VIP para todos los dispositivos que deben recibir las funcionalidades del plan 2 de Defender para punto de conexión. Esto es lo que harías:
Cree una etiqueta de dispositivo denominada
VIPy aplíquela a todos los dispositivos que deben recibir las funcionalidades del plan 2 de Defender para punto de conexión. Use uno de los métodos siguientes para crear la etiqueta de dispositivo:- Agregue etiquetas de dispositivo mediante el portal.
- Agregue etiquetas de dispositivo estableciendo un valor de clave del Registro.
- Agregue o quite etiquetas de máquina mediante la API de Defender para punto de conexión.
- Agregue etiquetas de dispositivo mediante la creación de un perfil personalizado en Microsoft Intune.
Configure una regla dinámica mediante el operador
Tag Does not contain VIPde condición . En este caso, todos los dispositivos que no tengan laVIPetiqueta recibirán la etiqueta y lasLicense MDE P1funcionalidades del plan 1 de Defender para punto de conexión.
Importante
Microsoft recomienda usar roles con los permisos más mínimos. Esto ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Validar que un dispositivo solo recibe funcionalidades del plan 1 de Defender para punto de conexión
Después de asignar las funcionalidades del plan 1 de Defender para punto de conexión a algunos o todos los dispositivos, puede comprobar que un dispositivo individual recibe esas funcionalidades.
En el portal de Microsoft Defender (https://security.microsoft.com), vaya a Dispositivos activos>.
Seleccione un dispositivo etiquetado con
License MDE P1. Debería ver que el plan 1 de Defender para punto de conexión está asignado al dispositivo.
Nota:
Los dispositivos a los que se asignan las funcionalidades del plan 1 de Defender para punto de conexión no tienen ninguna vulnerabilidad ni recomendaciones de seguridad enumeradas.
Revisión del uso de licencias
El informe de uso de licencias se calcula en función de las actividades de inicio de sesión en el dispositivo. Las licencias del plan 2 de Defender para punto de conexión son por usuario y cada usuario puede tener hasta cinco dispositivos integrados simultáneos. Para más información sobre los términos de licencia, consulte Licencias de Microsoft.
Para reducir la sobrecarga de administración, no hay ningún requisito para la asignación y asignación de dispositivo a usuario. En su lugar, el informe de licencias proporciona una estimación de uso que se calcula en función del uso del dispositivo visto en toda la organización. El informe de uso puede tardar hasta un día en reflejar el uso activo de los dispositivos.
Importante
Para acceder a la información de licencia, debe tener uno de los siguientes roles asignados en Microsoft Entra ID:
- Administrador de seguridad
- Administrador de licencias y Administrador de Defender para punto de conexión
Vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión.
Elija Configuración>Licencias de puntos> de conexión.
Revise las licencias disponibles y asignadas. El cálculo se basa en los usuarios detectados que han accedido a dispositivos incorporados a Defender para punto de conexión.
Más recursos
- Licencias y términos de producto para suscripciones de Microsoft 365.
- Cómo ponerse en contacto con el soporte técnico de Defender para punto de conexión.
- Introducción a Microsoft Security (ofertas de prueba)
- Microsoft Defender para punto de conexión
- Microsoft Defender para empresas (protección de puntos de conexión para pequeñas y medianas empresas)
Sugerencia
¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.