Administración de la seguridad de dispositivos con directivas de seguridad de punto de conexión en Microsoft Intune

Use Intune directivas de seguridad de punto de conexión para administrar la configuración de seguridad en los dispositivos. Cada directiva de seguridad de punto de conexión admite uno o varios perfiles. Estos perfiles son similares en concepto a una plantilla de directiva de configuración de dispositivo, un grupo lógico de configuraciones relacionadas.

Como administrador de seguridad preocupado por la seguridad del dispositivo, puede usar estos perfiles centrados en la seguridad para evitar la sobrecarga de los perfiles de configuración del dispositivo o las líneas base de seguridad. Los perfiles de configuración del dispositivo y las líneas base incluyen un gran conjunto de valores diversos fuera del ámbito de la protección de los puntos de conexión. Por el contrario, cada perfil de seguridad de punto de conexión se centra en un subconjunto específico de la configuración del dispositivo destinada a configurar un aspecto de la seguridad del dispositivo.

Cuando se usan directivas de seguridad de puntos de conexión junto con otros tipos de directivas, como líneas base de seguridad o plantillas de endpoint protection de directivas de configuración de dispositivos, es importante desarrollar un plan para usar varios tipos de directiva para minimizar el riesgo de conflictos de configuración. Las líneas base de seguridad, las directivas de configuración de dispositivos y las directivas de seguridad de punto de conexión se tratan como orígenes iguales de la configuración del dispositivo por Intune. Un conflicto de configuración se produce cuando un dispositivo recibe dos configuraciones diferentes para una configuración de varios orígenes. Varios orígenes pueden incluir tipos de directiva independientes y varias instancias de la misma directiva.

Cuando Intune evalúa la directiva de un dispositivo e identifica configuraciones en conflicto para una configuración, la configuración implicada se puede marcar para un error o conflicto y no se puede aplicar. Cada tipo de directiva de configuración admite la identificación y resolución de conflictos en caso de que surjan:

• Perfiles de configuración de dispositivos
• Perfiles de seguridad de punto de conexión
• Líneas base de seguridad

Encontrará directivas de seguridad de punto de conexión en Administrar en el nodo Seguridad del punto de conexión del centro de administración de Microsoft Intune.

A continuación se muestran breves descripciones de cada tipo de directiva de seguridad de punto de conexión. Para obtener más información sobre ellos, incluidos los perfiles disponibles para cada uno, siga los vínculos al contenido dedicado a cada tipo de directiva:

• Protección de cuentas: las directivas de protección de cuentas le ayudan a proteger la identidad y las cuentas de los usuarios. La directiva de protección de cuentas se centra en la configuración de Windows Hello y Credential Guard, que forma parte de la administración de identidades y acceso de Windows.

• Antivirus : las directivas antivirus ayudan a los administradores de seguridad a centrarse en la administración del grupo discreto de configuraciones antivirus para dispositivos administrados.

• Control de aplicaciones para empresas (versión preliminar): administre aplicaciones aprobadas para dispositivos Windows con la directiva de Control de aplicaciones para empresas e Instaladores administrados para Microsoft Intune. Intune directivas de Control de aplicaciones para empresas son una implementación del Control de aplicaciones de Windows Defender (WDAC).

• Reducción de la superficie expuesta a ataques: cuando el antivirus de Defender esté en uso en los dispositivos Windows 10/11, use Intune directivas de seguridad de punto de conexión para la reducción de la superficie expuesta a ataques para administrar esa configuración para los dispositivos.

• Cifrado de disco : los perfiles de cifrado de disco de seguridad de punto de conexión se centran solo en la configuración pertinente para un método de cifrado integrado de dispositivos, como FileVault o BitLocker. Este enfoque facilita a los administradores de seguridad administrar la configuración de cifrado de disco sin tener que navegar por un host de configuraciones no relacionadas.

• Detección y respuesta de puntos de conexión: al integrar Microsoft Defender para punto de conexión con Intune, use las directivas de seguridad de punto de conexión para la detección y respuesta de puntos de conexión (EDR) para administrar la configuración de EDR e incorporar dispositivos a Microsoft Defender para punto de conexión.

• Firewall: use la directiva firewall de seguridad de punto de conexión en Intune para configurar un firewall integrado de dispositivos para dispositivos que ejecutan macOS y Windows 10/11.

Las secciones siguientes se aplican a todas las directivas de seguridad de punto de conexión.

Creación de una directiva de seguridad de punto de conexión

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Seguridad del punto de conexión y, a continuación, seleccione el tipo de directiva que desea configurar y, a continuación, seleccione Crear directiva. Elija entre los siguientes tipos de directiva:

   • Protección de cuentas
   • Antivirus
   • Control de aplicación (versión preliminar)
   • Reducción de la superficie expuesta a ataques
   • Cifrado de disco
   • Detección y respuesta de puntos de conexión
   • Firewall

3. Escriba las propiedades siguientes:

   • Plataforma: elija la plataforma para la que va a crear la directiva. Las opciones disponibles dependen del tipo de directiva que seleccione.
   • Perfil: elija entre los perfiles disponibles para la plataforma que seleccionó. Para obtener información sobre los perfiles, consulte la sección dedicada en este artículo para el tipo de directiva elegido.

4. Seleccione Crear.

5. En la página Datos básicos, escriba un nombre y una descripción para el perfil y, después, elija Siguiente.

6. En la página Configuración , expanda cada grupo de opciones y configure los valores que desea administrar con este perfil.

   Cuando haya finalizado la configuración, seleccione Siguiente.

7. En la página Etiquetas de ámbito, elija Seleccionar etiquetas de ámbito para abrir el panel Seleccionar etiquetas para asignar etiquetas de ámbito al perfil.

   Seleccione Siguiente para continuar.

8. En la página Asignaciones, seleccione los grupos que recibirán este perfil. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.

   Seleccione Siguiente.

9. Cuando haya terminado, elija Crear en la página Revisar y crear. El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado.

Duplicar una directiva

Las directivas de seguridad de punto de conexión admiten la duplicación para crear una copia de la directiva original. Un escenario al duplicar una directiva es útil si necesita asignar directivas similares a grupos diferentes, pero no quiere volver a crear manualmente toda la directiva. En su lugar, puede duplicar la directiva original y, a continuación, introducir solo los cambios que requiere la nueva directiva. Solo puede cambiar una configuración específica y el grupo al que está asignada la directiva.

Al crear un duplicado, le dará a la copia un nuevo nombre. La copia se realiza con las mismas opciones de configuración y etiquetas de ámbito que la original, pero no tiene ninguna asignación. Tendrá que editar la nueva directiva más adelante para crear asignaciones.

Los siguientes tipos de directiva admiten la duplicación:

• Protección de cuentas
• Control de aplicaciones (versión preliminar)
• Antivirus
• Reducción de la superficie expuesta a ataques
• Cifrado de disco
• Detección y respuesta de puntos de conexión
• Firewall

Después de crear la nueva directiva, revise y edite la directiva para realizar cambios en su configuración.

Para duplicar una directiva

1. Inicie sesión en el Centro de administración de Microsoft Intune.
2. Seleccione la directiva que desea copiar. A continuación, seleccione Duplicar o seleccione los puntos suspensivos (...) a la derecha de la directiva y seleccione Duplicar.
3. Proporcione un nuevo nombre para la directiva y, a continuación, seleccione Guardar.

Para editar una directiva

1. Seleccione la nueva directiva y, a continuación, seleccione Propiedades.
2. Seleccione Configuración para expandir una lista de las opciones de configuración de la directiva. No puede modificar la configuración desde esta vista, aunque puede revisar cómo está configurada.
3. Para modificar la directiva, seleccione Editar en cada una de las categorías en las que quiera realizar cambios:
   • Conceptos básicos
   • Tareas
   • Etiquetas de ámbito
   • Opciones de configuración
4. Una vez realizados los cambios, seleccione Guardar para guardar las modificaciones. Las modificaciones en una categoría deben guardarse para poder introducir modificaciones en categorías adicionales.

Administrar conflictos

Muchas de las configuraciones de dispositivo que puede administrar con directivas de seguridad de punto de conexión (directivas de seguridad) también están disponibles a través de otros tipos de directivas en Intune. Estos otros tipos de directivas incluyen la directiva de configuración de dispositivos y las líneas base de seguridad. Debido a que la configuración se puede administrar a través de varios tipos de directiva diferentes o mediante varias instancias del mismo tipo de directiva, prepárese para identificar y resolver los conflictos de directivas de los dispositivos que no cumplan las configuraciones esperadas.

• Las líneas de base de seguridad pueden establecer un valor no predeterminado para que un ajuste cumpla con la configuración recomendada a la que se dirige la línea de base.
• Otros tipos de directiva, incluidas las directivas de seguridad de punto de conexión, establecen un valor de No configurado de forma predeterminada. Estos otros tipos de directiva requieren que configure explícitamente las opciones de la directiva.

Independientemente del método de la directiva, la administración de la misma configuración en el mismo dispositivo a través de varios tipos de directiva, o a través de varias instancias del mismo tipo de directiva, puede dar lugar a conflictos que deben evitarse.

La información de los vínculos siguientes puede ayudarle a identificar y resolver conflictos:

• Solucionar problemas de directivas y perfiles en Intune
• Supervisión de las líneas de base de seguridad

Siguientes pasos

Administración de la seguridad del punto de conexión en Intune