Compartir a través de


Administración de la configuración de la suscripción de Microsoft Defender para punto de conexión entre dispositivos cliente

En Defender para punto de conexión, un escenario de licencias mixtas es una situación en la que una organización usa una combinación de licencias de Defender para punto de conexión 1 y Plan 2. En la tabla siguiente se describen ejemplos de escenarios de licencias mixtas:

Escenario Descripción
Inquilino mixto Use diferentes conjuntos de funcionalidades para grupos de usuarios y sus dispositivos. Algunos ejemplos son:
- Plan 1 de Defender para punto de conexión y Defender para punto de conexión 2
- Microsoft 365 E3 y Microsoft 365 E5
Prueba mixta Pruebe una suscripción de nivel Premium para algunos usuarios. Algunos ejemplos son:
- Plan 1 de Defender para punto de conexión (comprado para todos los usuarios) y Plan 2 de Defender para punto de conexión (se ha iniciado una suscripción de prueba para algunos usuarios)
- Microsoft 365 E3 (comprado para todos los usuarios) y Microsoft 365 E5 (se ha iniciado una suscripción de prueba para algunos usuarios)
Actualizaciones por fases Actualice las licencias de usuario en fases. Algunos ejemplos son:
- Traslado de grupos de usuarios del plan 1 de Defender para punto de conexión al plan 2
- Traslado de grupos de usuarios de Microsoft 365 E3 a E5

Hasta hace poco, no se admitía ningún escenario de licencias mixtas; en los casos de varias suscripciones, la suscripción funcional más alta tendría prioridad para el inquilino. Ahora, puede administrar la configuración de la suscripción para dar cabida a escenarios de licencias mixtas entre dispositivos cliente. Estas funcionalidades le permiten:

  • Establezca el inquilino en modo mixto y etiquete dispositivos para determinar qué dispositivos cliente recibirán características y funcionalidades de cada plan (llamamos a esta opción modo mixto); O BIEN,
  • Use las características y funcionalidades de un plan en todos los dispositivos cliente.

También puede usar un informe de uso de licencias recién agregado para realizar un seguimiento del estado.

Nota:

Si usa Microsoft Defender para empresas y quiere cambiar a Defender para el plan 2 de punto de conexión, consulte Cambio de la suscripción de seguridad de punto de conexión.

Establecer el inquilino en modo mixto y etiquetar dispositivos

Importante

  • La configuración de modo mixto solo se aplica a los puntos de conexión de cliente. El etiquetado de dispositivos de servidor no cambiará su estado de suscripción. Todos los dispositivos de servidor que ejecutan Windows Server o Linux deben tener las licencias adecuadas, como Defender para servidores. Consulte Opciones para la incorporación de servidores.
  • Asegúrese de seguir los procedimientos de este artículo para probar escenarios de licencia mixta en su entorno. La asignación de licencias de usuario en el Centro de administración de Microsoft 365 (https://admin.microsoft.com) no establece el inquilino en modo mixto.
  • Debe tener licencias activas de prueba o de pago para el plan 1 y el plan 2 de Defender para punto de conexión.
  • Para acceder a la información de licencia, debe tener uno de los siguientes roles asignados en Microsoft Entra ID:
    • Administrador de seguridad
    • Administrador de licencias y Administrador de Defender para punto de conexión
  1. Como administrador, vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión.

  2. Vaya a Configuración>Licencias de puntos> de conexión. El informe de uso se abre y muestra información sobre las licencias de Defender para punto de conexión de la organización.

  3. En Estado de suscripción, seleccione Administrar configuración de suscripción.

    Nota:

    Si no ve Administrar la configuración de suscripción, se cumple al menos una de las condiciones siguientes:

    • Tiene el plan 1 o el plan 2 de Defender para punto de conexión (pero no ambos); o
    • Las funcionalidades de licencia mixta aún no se han implementado en el inquilino.
  4. Se abre un control flotante Configuración de suscripción. Elija la opción para usar El plan 1 y el plan 2 de Defender para punto de conexión. (No se producirá ningún cambio hasta que los dispositivos se etiqueten según el paso siguiente).

  5. Etiquete los dispositivos que deben recibir las funcionalidades de Defender para punto de conexión 1 o Plan 2. Puede elegir etiquetar los dispositivos manualmente o mediante una regla dinámica. Obtenga más información sobre el etiquetado de dispositivos.

    Método Detalles
    Etiquetar dispositivos manualmente Para etiquetar dispositivos manualmente, cree una etiqueta denominada License MDE P1 y aplíquela a los dispositivos. Para obtener ayuda con este paso, consulte Creación y administración de etiquetas de dispositivo.

    Tenga en cuenta que los dispositivos etiquetados con la License MDE P1 etiqueta mediante el método de clave del Registro no recibirán funcionalidad degradada. Si desea etiquetar dispositivos mediante el método de clave del Registro, use una regla dinámica en lugar de etiquetado manual.
    Etiquetar dispositivos automáticamente mediante una regla dinámica La funcionalidad de reglas dinámicas es nueva para escenarios de licencia mixta. Permite aplicar un nivel de control dinámico y pormenorizado sobre cómo se administran los dispositivos.

    Para usar una regla dinámica, especifique un conjunto de criterios basados en el nombre del dispositivo, el dominio, la plataforma del sistema operativo o las etiquetas de dispositivo. Los dispositivos que cumplan los criterios especificados recibirán las funcionalidades plan 1 o plan 2 de Defender para punto de conexión según la regla.

    A medida que defina los criterios, puede usar los siguientes operadores de condición:
    - Equals / Not equals
    - Starts with
    - Contains / Does not contain

    En Nombre del dispositivo, puede usar texto de forma libre.

    En Dominio, seleccione en una lista de dominios.

    Para la plataforma del sistema operativo, seleccione en una lista de sistemas operativos.

    Para Etiqueta, use la opción de texto de forma libre. Escriba el valor de etiqueta que corresponde a los dispositivos que deben recibir las funcionalidades plan 1 o plan 2 de Defender para punto de conexión. Consulte el ejemplo en Más detalles sobre el etiquetado de dispositivos.

    Las etiquetas de dispositivo están visibles en la vista Inventario de dispositivos y en las API de Defender para punto de conexión.

    Nota:

    Las etiquetas de Defender para punto de conexión P1 agregadas dinámicamente no se pueden filtrar actualmente en la vista Inventario de dispositivos.

  6. Guarde la regla y espere hasta tres (3) horas para que se apliquen las etiquetas. A continuación, vaya a Validar que un dispositivo solo recibe funcionalidades del plan 1 de Defender para punto de conexión.

Más detalles sobre el etiquetado de dispositivos

Como se describe en el blog de Tech Community: Cómo usar el etiquetado de forma eficaz, el etiquetado de dispositivos proporciona un control pormenorizado sobre los dispositivos. Con las etiquetas de dispositivo, puede:

  • Muestre determinados dispositivos a usuarios individuales en el portal de Microsoft Defender para que solo vean los dispositivos de los que son responsables.
  • Incluir o excluir dispositivos de directivas de seguridad específicas.
  • Determine qué dispositivos deben recibir las funcionalidades del plan 1 o plan 2 de Defender para punto de conexión.

Por ejemplo, supongamos que desea usar una etiqueta llamada VIP para todos los dispositivos que deben recibir las funcionalidades del plan 2 de Defender para punto de conexión. Esto es lo que harías:

  1. Cree una etiqueta de dispositivo denominada VIPy aplíquela a todos los dispositivos que deben recibir las funcionalidades del plan 2 de Defender para punto de conexión. Use uno de los métodos siguientes para crear la etiqueta de dispositivo:

  2. Configure una regla dinámica mediante el operador Tag Does not contain VIPde condición . En este caso, todos los dispositivos que no tengan la VIP etiqueta recibirán la etiqueta y las License MDE P1 funcionalidades del plan 1 de Defender para punto de conexión.

Importante

Microsoft recomienda usar roles con los permisos más mínimos. Esto ayuda a mejorar la seguridad de su organización. Administrador global es un rol con privilegios elevados que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Validar que un dispositivo solo recibe funcionalidades del plan 1 de Defender para punto de conexión

Después de asignar las funcionalidades del plan 1 de Defender para punto de conexión a algunos o todos los dispositivos, puede comprobar que un dispositivo individual recibe esas funcionalidades.

  1. En el portal de Microsoft Defender (https://security.microsoft.com), vaya a Dispositivos activos>.

  2. Seleccione un dispositivo etiquetado con License MDE P1. Debería ver que el plan 1 de Defender para punto de conexión está asignado al dispositivo.

Nota:

Los dispositivos a los que se asignan las funcionalidades del plan 1 de Defender para punto de conexión no tienen ninguna vulnerabilidad ni recomendaciones de seguridad enumeradas.

Revisión del uso de licencias

El informe de uso de licencias se calcula en función de las actividades de inicio de sesión en el dispositivo. Las licencias del plan 2 de Defender para punto de conexión son por usuario y cada usuario puede tener hasta cinco dispositivos integrados simultáneos. Para más información sobre los términos de licencia, consulte Licencias de Microsoft.

Para reducir la sobrecarga de administración, no hay ningún requisito para la asignación y asignación de dispositivo a usuario. En su lugar, el informe de licencias proporciona una estimación de uso que se calcula en función del uso del dispositivo visto en toda la organización. El informe de uso puede tardar hasta un día en reflejar el uso activo de los dispositivos.

Importante

Para acceder a la información de licencia, debe tener uno de los siguientes roles asignados en Microsoft Entra ID:

  • Administrador de seguridad
  • Administrador de licencias y Administrador de Defender para punto de conexión
  1. Vaya al portal de Microsoft Defender (https://security.microsoft.com) e inicie sesión.

  2. Elija Configuración>Licencias de puntos> de conexión.

  3. Revise las licencias disponibles y asignadas. El cálculo se basa en los usuarios detectados que han accedido a dispositivos incorporados a Defender para punto de conexión.

Más recursos

Sugerencia

¿Desea obtener más información? Interactúe con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.