Compartir a través de


Implementación y administración del control de dispositivos en Microsoft Defender para punto de conexión con Microsoft Intune

Se aplica a:

Si usa Intune para administrar la configuración de Defender para punto de conexión, puede usarla para implementar y administrar las funcionalidades de control de dispositivos. Los distintos aspectos del control de dispositivos se administran de forma diferente en Intune, como se describe en las secciones siguientes.

Configuración y administración del control de dispositivos en Intune

  1. Vaya al Centro de administración de Intune e inicie sesión.

  2. Vaya a Seguridad de punto de conexión>Reducción de la superficie expuesta a ataques.

  3. En Directivas de reducción de superficie expuesta a ataques, seleccione una directiva existente o seleccione + Crear directiva para configurar una nueva directiva, con esta configuración:

    • En la lista Plataforma , seleccione Windows 10, Windows 11 y Windows Server. (El control de dispositivo no se admite actualmente en Windows Server, aunque seleccione este perfil para las directivas de control de dispositivos).
    • En la lista Perfil , seleccione Control de dispositivo.
  4. En la pestaña Aspectos básicos , especifique un nombre y una descripción para la directiva.

  5. En la pestaña Configuración , verá una lista de opciones. No es necesario configurar todos estos valores a la vez. Considere la posibilidad de empezar con El control de dispositivos.

    Captura de pantalla de la interfaz de usuario de Intune para las directivas de control de dispositivos.

  6. Después de configurar la configuración, vaya a la pestaña Etiquetas de ámbito , donde puede especificar etiquetas de ámbito para la directiva.

  7. En la pestaña Asignaciones , especifique grupos de usuarios o dispositivos para recibir la directiva. Para obtener más información, consulte Asignación de directivas en Intune.

  8. En la pestaña Revisar y crear , revise la configuración y realice los cambios necesarios.

  9. Cuando esté listo, seleccione Crear para crear la directiva de control de dispositivos.

Perfiles de control de dispositivo

En Intune, cada fila representa una directiva de control de dispositivos. El identificador incluido es la configuración reutilizable a la que se aplica la directiva. El identificador excluido es la configuración reutilizable que se excluye de la directiva. La entrada de la directiva contiene los permisos permitidos y el comportamiento del control de dispositivo que entra en vigor cuando se aplica la directiva.

Captura de pantalla que muestra la página en la que puede configurar los valores de la funcionalidad Control de dispositivos.

Para obtener información sobre cómo agregar los grupos reutilizables de configuración que se incluyen en la fila de cada directiva de control de dispositivos, vea la sección Agregar grupos reutilizables a un perfil de Control de dispositivos en Uso de grupos reutilizables de configuración con directivas de Intune.

Las directivas se pueden agregar y quitar mediante los + iconos y . El nombre de la directiva aparece en la advertencia a los usuarios y en la búsqueda e informes avanzados.

Puede agregar directivas de auditoría y puede agregar directivas de permitir o denegar. Se recomienda agregar siempre una directiva Permitir o Denegar al agregar una directiva de auditoría para que no experimente resultados inesperados.

Importante

Si solo configura directivas de auditoría, los permisos se heredan de la configuración de cumplimiento predeterminada.

Nota:

  • El orden en el que se enumeran las directivas en la interfaz de usuario no se conserva para la aplicación de directivas. El procedimiento recomendado consiste en usar directivas Allow/Deny. Asegúrese de que la opción Permitir o denegar directivas no sea intersecante agregando explícitamente los dispositivos que se van a excluir. Con la interfaz gráfica de Intune, no se puede cambiar el cumplimiento predeterminado. Si cambia la aplicación predeterminada a Denyy crea una Allow directiva para que se aplique dispositivos específicos, todos los dispositivos se bloquean excepto los dispositivos que se establecen en la Allow directiva.

Definición de la configuración con OMA-URI

Importante

El uso de Intune OMA-URI para configurar el control de dispositivo requiere que Intune administre la carga de trabajo Configuración del dispositivo, si el dispositivo se administra conjuntamente con Configuration Manager. Para obtener más información, consulte Cómo cambiar las cargas de trabajo de Configuration Manager a Intune.

En la tabla siguiente, identifique la configuración que desea configurar y, a continuación, use la información en las columnas OMA-URI y tipo de datos & valores. La configuración se muestra en orden alfabético.

Configuración OMA-URI, tipo de datos, valores de &
Aplicación predeterminada del control de dispositivos
La aplicación predeterminada establece qué decisiones se toman durante las comprobaciones de acceso del control de dispositivo cuando ninguna de las reglas de directiva coincide.
./Vendor/MSFT/Defender/Configuration/DefaultEnforcement

Entero:
- DefaultEnforcementAllow = 1
- DefaultEnforcementDeny = 2
Tipos de dispositivo
Tipos de dispositivos, identificados por sus identificadores principales, con la protección de control de dispositivos activada
./Vendor/MSFT/Defender/Configuration/SecuredDevicesConfiguration

Cuerda:
- RemovableMediaDevices
- CdRomDevices
- WpdDevices
- PrinterDevices
Habilitación del control de dispositivo
Habilitación o deshabilitación del control de dispositivo en el dispositivo
./Vendor/MSFT/Defender/Configuration/DeviceControlEnabled

Entero:
- Disable = 0
- Enable = 1

Creación de directivas con OMA-URI

Captura de pantalla que muestra la página en la que puede crear una directiva con OMA-URI.

Al crear directivas con OMA-URI en Intune, cree un archivo XML para cada directiva. Como procedimiento recomendado, use el perfil de control de dispositivos o el perfil de reglas de control de dispositivos para crear directivas personalizadas.

En el panel Agregar fila , especifique la siguiente configuración:

  • En el campo Nombre , escriba Allow Read Activity.
  • En el campo OMA-URI , escriba ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyRules/%7b[PolicyRule Id]%7d/RuleData. (Podría usar el comando New-Guid de PowerShell para generar un nuevo Guid y reemplazar [PolicyRule Id].)
  • En el campo Tipo de datos , seleccione Cadena (archivo XML) y use XML personalizado.

Puede usar parámetros para establecer condiciones para entradas específicas. Este es un archivo XML de ejemplo de grupo para Permitir el acceso de lectura para cada almacenamiento extraíble.

Nota:

Los comentarios que usan la notación de <!-- COMMENT --> comentarios XML se pueden usar en los archivos XML de regla y grupo, pero deben estar dentro de la primera etiqueta XML, no en la primera línea del archivo XML.

Creación de grupos con OMA-URI

Captura de pantalla que muestra la página en la que puede crear un grupo con OMA-URI.

Al crear grupos con OMA-URI en Intune, cree un archivo XML para cada grupo. Como procedimiento recomendado, use la configuración reutilizable para definir grupos.

En el panel Agregar fila , especifique la siguiente configuración:

  • En el campo Nombre , escriba Any Removable Storage Group.
  • En el campo OMA-URI , escriba ./Vendor/MSFT/Defender/Configuration/DeviceControl/PolicyGroups/%7b[GroupId]%7d/GroupData. (Para obtener el id. de grupo, en el Centro de administración de Intune, vaya a Grupos y, a continuación, seleccione Copiar el identificador de objeto. O bien, podría usar el comando New-Guid de PowerShell para generar un nuevo Guid y reemplazar [GroupId].)
  • En el campo Tipo de datos , seleccione Cadena (archivo XML) y use XML personalizado.

Nota:

Los comentarios que usan la notación de <!-- COMMENT -- > comentarios XML se pueden usar en los archivos XML de regla y grupo, pero deben estar dentro de la primera etiqueta XML, no en la primera línea del archivo XML.

Configuración del control de acceso de almacenamiento extraíble mediante OMA-URI

  1. Vaya al Centro de administración de Microsoft Intune e inicie sesión.

  2. Elija Perfilesde configuración de dispositivos>. Aparece la página Perfiles de configuración .

  3. En la pestaña Directivas (seleccionada de forma predeterminada), seleccione + Crear y elija + Nueva directiva en la lista desplegable que aparece. Aparece la página Crear un perfil .

  4. En la lista Plataforma , seleccione Windows 10, Windows 11 y Windows Server en la lista desplegable Plataforma y elija Plantillas en la lista desplegable Tipo de perfil .

    Una vez que elija Plantillas en la lista desplegable Tipo de perfil, se mostrará el panel Nombre de plantilla, junto con un cuadro de búsqueda (para buscar el nombre del perfil).

  5. Seleccione Personalizado en el panel Nombre de plantilla y seleccione Crear.

  6. Cree una fila para cada configuración, grupo o directiva implementando los pasos 1 a 5.

Ver grupos de control de dispositivos (configuración reutilizable)

En Intune, los grupos de control de dispositivos aparecen como configuración reutilizable.

  1. Vaya al Centro de administración de Microsoft Intune e inicie sesión.

  2. Vaya aReducción de la superficie expuesta a ataques de seguridad > del punto de conexión.

  3. Seleccione la pestaña Configuración reutilizable .

Vea también