Administración de directivas de seguridad de puntos de conexión en dispositivos incorporados a Microsoft Defender para punto de conexión

Al usar Microsoft Defender para punto de conexión, puede implementar directivas de seguridad de punto de conexión desde Microsoft Intune para administrar la configuración de seguridad de Defender en los dispositivos que ha incorporado a Defender sin inscribir esos dispositivos con Intune. Esta funcionalidad se conoce como administración de la configuración de seguridad de Defender para punto de conexión.

Al administrar dispositivos mediante la administración de la configuración de seguridad:

• Puede usar el Centro de administración de Microsoft Intune o el portal de Microsoft 365 Defender para configurar directivas de seguridad de puntos de conexión para Defender para punto de conexión y asignar esas directivas a grupos de Microsoft Entra ID. El portal de Defender incluye la interfaz de usuario para vistas de dispositivos, administración de directivas e informes para la administración de la configuración de seguridad.

  Para ver instrucciones sobre cómo administrar las directivas de seguridad de puntos de conexión de Intune desde el portal de Defender, consulte Administración de directivas de seguridad de puntos de conexión en Microsoft Defender para punto de conexión en el contenido de Defender.

• Los dispositivos obtienen sus directivas asignadas en función de su objeto de dispositivo Entra ID. Un dispositivo que aún no está registrado en Microsoft Entra se une como parte de esta solución.

• Cuando un dispositivo recibe una directiva, los componentes de Defender para punto de conexión del dispositivo aplican la directiva y notifican el estado del dispositivo. El estado del dispositivo está disponible en el centro de administración de Microsoft Intune y en el portal de Microsoft Defender.

Este escenario amplía la superficie Microsoft Intune Endpoint Security a los dispositivos que no son capaces de inscribirse en Intune. Cuando un dispositivo se administra mediante Intune (inscrito en Intune), el dispositivo no procesa directivas para la administración de la configuración de seguridad de Defender para punto de conexión. En su lugar, use Intune para implementar la directiva de Defender para punto de conexión en los dispositivos.

Se aplica a:

• Windows 10 y Windows 11
• Windows Server (2012 R2 y versiones siguientes)
• Linux
• macOS

Requisitos previos

Revise las secciones siguientes para conocer los requisitos del escenario de administración de la configuración de seguridad de Defender para punto de conexión.

Entorno

Cuando un dispositivo compatible se incorpora a Microsoft Defender para punto de conexión:

• Se realiza una encuesta al dispositivo para determinar si existe una presencia de Microsoft Intune, que es una inscripción de administración de dispositivos móviles (MDM) para Intune.
• Los dispositivos sin presencia de Intune habilitan la característica de administración de la configuración de seguridad.
• Para los dispositivos que no están totalmente Microsoft Entra registrados, se crea una identidad de dispositivo sintético en Microsoft Entra ID que permite al dispositivo recuperar directivas. Los dispositivos totalmente registrados usan su registro actual.
• Las directivas recuperadas de Microsoft Intune se aplican en el dispositivo mediante Microsoft Defender para punto de conexión.

La administración de la configuración de seguridad aún no es compatible con las nubes gubernamentales. Para obtener más información, consulte Paridad de características con comercial en Microsoft Defender para punto de conexión para clientes del Gobierno de EE. UU.

Requisitos de conectividad

Los dispositivos deben tener acceso al siguiente punto de conexión:

• *.dm.microsoft.com - El uso de un carácter comodín admite los puntos de conexión de servicio en la nube que se usan para la inscripción, la protección y los informes, y que pueden cambiar a medida que el servicio se escala.

Plataformas compatibles

Las directivas para la administración de seguridad de Microsoft Defender para punto de conexión son compatibles con las siguientes plataformas de dispositivos:

Linux:

Con Microsoft Defender para punto de conexión para la versión 101.23052.0009 o posterior del agente de Linux, la administración de la configuración de seguridad admite las siguientes distribuciones de Linux:

• Red Hat Enterprise Linux 7.2 o superior
• CentOS 7.2 o superior
• Ubuntu 16.04 LTS o posterior LTS
• Debian 9 o superior
• SUSE Linux Enterprise Server 12 o superior
• Oracle Linux 7.2 o superior
• Amazon Linux 2
• Fedora 33 o superior

Para confirmar la versión del agente de Defender, en el portal de Defender, vaya a la página dispositivos y, en la pestaña Inventarios de dispositivos, busque Defender para Linux. Para obtener instrucciones sobre cómo actualizar la versión del agente, consulte Implementación de actualizaciones para Microsoft Defender para punto de conexión en Linux.

Problema conocido: con la versión 101.23052.0009 del agente de Defender, los dispositivos Linux no se pueden inscribir cuando faltan la siguiente ruta de archivo: /sys/class/dmi/id/board_vendor.

macOS:

Con Microsoft Defender para punto de conexión para el agente de macOS versión 101.23052.0004 o posterior, la administración de la configuración de seguridad admite las siguientes versiones de macOS:

• macOS 14 (Sonoma)
• macOS 13 (Ventura)
• macOS 12 (Monterey)
• macOS 11 (Big Sur)

Para confirmar la versión del agente de Defender, en el portal de Defender, vaya a la página dispositivos y, en la pestaña Inventarios de dispositivos, busque Defender para macOS. Para obtener instrucciones sobre cómo actualizar la versión del agente, consulte Implementación de actualizaciones para Microsoft Defender para punto de conexión en macOS.

Problema conocido: con la versión 101.23052.0004 del agente de Defender, los dispositivos macOS registrados en Microsoft Entra ID antes de inscribirse con la administración de la configuración de seguridad reciben un identificador de dispositivo duplicado en Microsoft Entra ID, que es un registro sintético. Al crear un grupo de Microsoft Entra para la directiva de destino, debe usar el identificador de dispositivo sintético creado por la administración de la configuración de seguridad. En Microsoft Entra ID, la columna Tipo de combinación del identificador de dispositivo sintético está en blanco.

Windows:

• Windows 10 Professional/Enterprise (con KB5006738)
• Windows 11 Professional/Enterprise
• Windows Server 2012 R2 con Microsoft Defender para dispositivos Down-Level
• Windows Server 2016 con Microsoft Defender para dispositivos Down-Level
• Windows Server 2019 (con KB5006744)
• Windows Server 2022 (con KB5006745)

La administración de la configuración de seguridad no funciona y no se admite con los siguientes dispositivos:

• Escritorios no persistentes, como clientes de Infraestructura de escritorio virtual (VDI) o Azure Virtual Desktops.
• Controladores de dominio

Importante

En algunos casos, los controladores de dominio que ejecutan un sistema operativo de servidor de nivel inferior (2012 R2 o 2016) pueden administrarse involuntariamente mediante Microsoft Defender para punto de conexión. Para asegurarse de que esto no sucede en su entorno, se recomienda asegurarse de que los controladores de dominio no estén etiquetados como "MDE-Management" ni administrados por MDE.

Licencias y suscripciones

Para usar la administración de la configuración de seguridad, necesita:

• Una suscripción que concede licencias para Microsoft Defender para punto de conexión, como Microsoft 365, o una licencia independiente solo para Microsoft Defender para punto de conexión. Una suscripción que concede licencias de Microsoft Defender para punto de conexión también concede a su inquilino acceso al nodo Seguridad del punto de conexión del centro de administración de Microsoft Intune.

  Nota:

  Excepción: si tiene acceso a Microsoft Defender para punto de conexión solo a través de Microsoft Defender para servidores (parte de Microsoft Defender para la nube, anteriormente Azure Security Center), la funcionalidad de administración de la configuración de seguridad no está disponible. Tendrá que tener al menos una licencia de suscripción de Microsoft Defender para punto de conexión (usuario) activa.

  El nodo Seguridad del punto de conexión es donde configura e implementa directivas para administrar Microsoft Defender para punto de conexión de los dispositivos y supervisar el estado del dispositivo.

  Para obtener información actual sobre las opciones, consulte Requisitos mínimos para Microsoft Defender para punto de conexión.

Arquitectura

El diagrama siguiente es una representación conceptual de la solución de administración de configuración de seguridad Microsoft Defender para punto de conexión.

1. Dispositivos incorporados a Microsoft Defender para punto de conexión.
2. Los dispositivos se comunican con Intune. Esta comunicación permite Microsoft Intune distribuir directivas destinadas a los dispositivos cuando se registran.
3. Se establece un registro para cada dispositivo en Microsoft Entra ID:
   • Si un dispositivo se registró previamente por completo, como un dispositivo híbrido de unión, se usa el registro existente.
   • Para los dispositivos que no se han registrado, se crea una identidad de dispositivo sintético en Microsoft Entra ID para permitir que el dispositivo recupere directivas. Cuando un dispositivo con un registro sintético tiene un registro de Microsoft Entra completo creado para él, el registro sintético se quita y la administración de dispositivos continúa ininterrumpido mediante el registro completo.
4. Defender para punto de conexión notifica el estado de la directiva a Microsoft Intune.

Importante

La administración de la configuración de seguridad usa un registro sintético para los dispositivos que no se registran completamente en Microsoft Entra ID y quita el requisito previo de unión híbrida Microsoft Entra. Con este cambio, los dispositivos Windows que anteriormente tenían errores de inscripción comenzarán a incorporarse a Defender y, a continuación, recibirán y procesarán las directivas de administración de la configuración de seguridad.

Para filtrar los dispositivos que no se pudieron inscribir debido a que no cumplen los requisitos previos de unión híbrida Microsoft Entra, vaya a la lista Dispositivos del portal de Microsoft Defender y filtre por estado de inscripción. Dado que estos dispositivos no están totalmente registrados, sus atributos de dispositivo muestran MDM = Intune y Tipo de combinación = en blanco. Estos dispositivos se inscribirán ahora con la administración de la configuración de seguridad mediante el registro sintético.

Después de inscribir estos dispositivos, aparecen en las listas de dispositivos para los portales de Microsoft Defender, Microsoft Intune y Microsoft Entra. Aunque los dispositivos no se registrarán completamente con Microsoft Entra, su registro sintético cuenta como un objeto de dispositivo.

Qué esperar en el portal de Microsoft Defender

Puede usar el inventario de dispositivos Microsoft Defender XDR para confirmar que un dispositivo usa la funcionalidad de administración de la configuración de seguridad en Defender para punto de conexión; para ello, revise el estado de los dispositivos en la columna Administrado por. La información Administrada por también está disponible en la página del panel lateral o del dispositivo de los dispositivos. Administrado por debe indicar de forma coherente que su administrado por MDE. 

También puede confirmar que un dispositivo se ha inscrito correctamente en la administración de la configuración de seguridad confirmando que el panel del lado del dispositivo o la página del dispositivo muestran MDE estado de inscripción como Correcto.

Si el estado de inscripción de MDE no muestra Correcto, asegúrese de que está viendo un dispositivo que se actualizó y que está en el ámbito de la administración de la configuración de seguridad. (Configure el ámbito en la página Ámbito de cumplimiento al configurar la administración de la configuración de seguridad).

Qué esperar en el centro de administración de Microsoft Intune

En el centro de administración de Microsoft Intune, vaya a la página Todos los dispositivos. Los dispositivos inscritos con administración de configuración de seguridad aparecen aquí, como en el portal de Defender. En el centro de administración, el campo Dispositivos administrados por debe mostrar MDE.

Sugerencia

En junio de 2023, la administración de la configuración de seguridad comenzó a usar el registro sintético para los dispositivos que no se registran completamente en Microsoft Entra. Con este cambio, los dispositivos que anteriormente tenían errores de inscripción comenzarán a incorporarse a Defender y, a continuación, recibirán y procesarán las directivas de administración de la configuración de seguridad.

Qué esperar en microsoft Azure Portal

En la página Todos los dispositivos del Azure Portal de Microsoft, puede ver los detalles del dispositivo.

Para asegurarse de que todos los dispositivos inscritos en la administración de la configuración de seguridad de Defender para punto de conexión reciban directivas, se recomienda crear un grupo de Microsoft Entra dinámico basado en el tipo de sistema operativo de los dispositivos. Con un grupo dinámico, los dispositivos administrados por Defender para punto de conexión se agregan automáticamente al grupo sin necesidad de que los administradores realicen otras tareas, como la creación de una nueva directiva.

Importante

De julio de 2023 al 25 de septiembre de 2023, la administración de la configuración de seguridad ejecutó una versión preliminar pública de participación que introdujo un nuevo comportamiento para los dispositivos que se administraron e inscribieron en el escenario. A partir del 25 de septiembre de 2023, el comportamiento de la versión preliminar pública pasó a estar disponible con carácter general y ahora se aplica a todos los inquilinos que usan la administración de la configuración de seguridad.

Si usó la administración de la configuración de seguridad antes del 25 de septiembre de 2023 y no se unió a la versión preliminar pública de participación que se ejecutó entre julio de 2023 y el 25 de septiembre de 2023, revise los grupos de Microsoft Entra que dependen de las etiquetas del sistema para realizar cambios que identificarán los nuevos dispositivos que administra con la administración de la configuración de seguridad. Esto se debe a que antes del 25 de septiembre de 2023, los dispositivos no administrados mediante la versión preliminar pública de participación usarían las siguientes etiquetas del sistema (etiquetas) de MDEManaged y MDEJoined para identificar los dispositivos administrados. Estas dos etiquetas del sistema ya no se admiten y ya no se agregan a los dispositivos que se inscriben.

Use las siguientes instrucciones para los grupos dinámicos:

• (Recomendado) Al dirigirse a la directiva, use grupos dinámicos basados en la plataforma del dispositivo mediante el atributo deviceOSType (Windows, Windows Server, macOS, Linux) para asegurarse de que la directiva se sigue entregando para los dispositivos que cambian los tipos de administración, por ejemplo durante la inscripción de MDM.

• Si es necesario, los grupos dinámicos que contienen exclusivamente dispositivos administrados por Defender para punto de conexión se pueden dirigir mediante la definición de un grupo dinámico mediante el atributo managementType MicrosoftSense. El uso de este atributo tiene como destino todos los dispositivos administrados por Defender para punto de conexión a través de la funcionalidad de administración de la configuración de seguridad y los dispositivos permanecen en este grupo solo mientras se administran mediante Defender para punto de conexión.

Además, al configurar la administración de la configuración de seguridad, si tiene previsto administrar flotas de plataformas de sistema operativo completas mediante Microsoft Defender para punto de conexión, seleccione todos los dispositivos en lugar de los dispositivos etiquetados en el Microsoft Defender para punto de conexión Página Ámbito de cumplimiento, comprenda que los registros sintéticos se cuentan con Microsoft Entra ID cuotas igual que los registros completos.

¿Qué solución debo usar?

Microsoft Intune incluye varios métodos y tipos de directiva para administrar la configuración de Defender para punto de conexión en dispositivos. En la tabla siguiente se identifican las directivas y perfiles de Intune que admiten la implementación en dispositivos administrados por la administración de la configuración de seguridad de Defender para punto de conexión y puede ayudarle a identificar si esta solución es adecuada para sus necesidades.

Al implementar una directiva de seguridad de punto de conexión compatible con la administración de la configuración de seguridad de Defender para punto de conexión y Microsoft Intune, se puede procesar una única instancia de esa directiva mediante:

• Dispositivos compatibles con la administración de la configuración de seguridad (Microsoft Defender)
• Dispositivos administrados por Intune o Configuration Manager.

Los perfiles de la plataforma Windows 10 y posterior no son compatibles con los dispositivos administrados por la administración de la configuración de seguridad.

Se admiten los siguientes perfiles para cada tipo de dispositivo:

Linux

Los siguientes tipos de directiva admiten la plataforma Linux .

Directiva de seguridad de puntos de conexión	Perfil	Administración de la configuración de seguridad de Defender para punto de conexión	Microsoft Intune
Antivirus	Antivirus de Microsoft Defender
Antivirus	Exclusiones del Antivirus de Microsoft Defender
Detección y respuesta de puntos de conexión	Detección y respuesta de puntos de conexión

macOS

Los siguientes tipos de directiva admiten la plataforma macOS .

Directiva de seguridad de puntos de conexión	Perfil	Administración de la configuración de seguridad de Defender para punto de conexión	Microsoft Intune
Antivirus	Antivirus de Microsoft Defender
Antivirus	Exclusiones del Antivirus de Microsoft Defender
Detección y respuesta de puntos de conexión	Detección y respuesta de puntos de conexión

Windows 10, Windows 11 y Windows Server

Para admitir el uso con Microsoft Defender administración de la configuración de seguridad, las directivas para dispositivos Windows deben usar la plataforma Windows 10, Windows 11 y Windows Server. Cada perfil de la plataforma Windows 10, Windows 11 y Windows Server se puede aplicar a los dispositivos administrados por Intune y a los dispositivos administrados por la administración de la configuración de seguridad.

Directiva de seguridad de puntos de conexión	Perfil	Administración de la configuración de seguridad de Defender para punto de conexión	Microsoft Intune
Antivirus	Controles de actualización de Defender
Antivirus	Antivirus de Microsoft Defender
Antivirus	Exclusiones del Antivirus de Microsoft Defender
Antivirus	Experiencia de Seguridad de Windows	Nota 1
Reducción de la superficie expuesta a ataques	Reglas de reducción de superficie expuesta a ataques
Detección y respuesta de puntos de conexión	Detección y respuesta de puntos de conexión
Firewall	Firewall
Firewall	Reglas de firewall

1- El perfil Seguridad de Windows Experience está disponible en el portal de Defender, pero solo se aplica a los dispositivos administrados por Intune. No se admite para dispositivos administrados por Microsoft Defender administración de la configuración de seguridad.

Las directivas de seguridad de puntos de conexión son grupos discretos de configuraciones diseñadas para su uso por los administradores de seguridad que se centran en la protección de dispositivos de su organización. A continuación se muestran descripciones de las directivas que admiten la administración de la configuración de seguridad:

• Las directivas antivirus administran las configuraciones de seguridad que se encuentran en Microsoft Defender para punto de conexión. Consulte la directiva antivirus para la seguridad de los puntos de conexión.

  Nota:

  Aunque los puntos de conexión no requieren un reinicio para aplicar la configuración modificada o las nuevas directivas, somos conscientes de un problema en el que la configuración AllowOnAccessProtection y DisableLocalAdminMerge puede requerir a veces que los usuarios finales reinicien sus dispositivos para que se actualicen. Actualmente estamos investigando este problema para proporcionar una resolución.

• Las directivas de reducción de la superficie expuesta a ataques (ASR) se centran en minimizar los lugares donde su organización es vulnerable a ciberataques y ataques. Con la administración de la configuración de seguridad, las reglas de ASR se aplican a los dispositivos que ejecutan Windows 10, Windows 11 y Windows Server.

  Para obtener instrucciones actuales sobre qué configuración se aplica a las distintas plataformas y versiones, consulte reglas de ASR compatibles con sistemas operativos en la documentación de Protección contra amenazas de Windows.

  Sugerencia

  Para mantener actualizados los puntos de conexión admitidos, considere la posibilidad de usar la solución unificada moderna para Windows Server 2012 R2 y 2016.

  Consulte también:

  • Información general sobre la reducción de la superficie expuesta a ataques en la documentación de Protección contra amenazas de Windows.
  • Directiva de reducción de superficie expuesta a ataques para la seguridad de los puntos de conexión, en la documentación de Intune.

• Las directivas de detección y respuesta de puntos de conexión (EDR) administran las funcionalidades de Defender para punto de conexión que proporcionan detecciones avanzadas de ataques casi en tiempo real y accionables. En función de las configuraciones de EDR, los analistas de seguridad pueden priorizar las alertas de forma eficaz, obtener visibilidad sobre el ámbito completo de una infracción y realizar acciones de respuesta para corregir amenazas. Consulte la directiva de detección y respuesta de puntos de conexión para obtener información sobre la seguridad de los puntos de conexión.

• Las directivas de firewall se centran en el firewall de Defender en los dispositivos. Consulte directiva de firewall para obtener información sobre la seguridad de los puntos de conexión.

• Las reglas de firewall configuran reglas granulares para firewalls, incluidos puertos, protocolos, aplicaciones y redes específicos. Consulte directiva de firewall para obtener información sobre la seguridad de los puntos de conexión.

Configuración del inquilino para admitir la administración de la configuración de seguridad de Defender para punto de conexión

Para admitir la administración de la configuración de seguridad a través del centro de administración de Microsoft Intune, debe habilitar la comunicación entre ellos desde cada consola.

Las secciones siguientes le guiarán a través de ese proceso.

Configuración de Microsoft Defender para punto de conexión

En Microsoft Defender para punto de conexión portal, como administrador de seguridad:

1. Inicie sesión en Microsoft Defender portal y vaya a ConfiguraciónEndpoints> Configuration ManagementEnforcement Scope (Ámbito de cumplimientode administración de> configuración de puntos de conexión)> y habilite las plataformas para la administración de la configuración de seguridad.

   

   Nota:

   Si tiene el permiso Administrar la configuración de seguridad en Security Center en el portal de Microsoft Defender para punto de conexión y está habilitado simultáneamente para ver dispositivos de todos los grupos de dispositivos (sin límites de control de acceso basado en rol en los permisos de usuario), también puede realizar esta acción.

2. Inicialmente, se recomienda probar la característica para cada plataforma seleccionando la opción plataformas en En dispositivos etiquetados y, a continuación, etiquetando los dispositivos con la MDE-Management etiqueta .

   Importante

   El uso de la funcionalidad de etiqueta dinámica de Microsoft Defender para punto de conexión para etiquetar dispositivos con MDE-Management no se admite actualmente con la administración de la configuración de seguridad. Los dispositivos etiquetados a través de esta funcionalidad no se inscribirán correctamente. Este problema se sigue investigando.

   Sugerencia

   Use las etiquetas de dispositivo adecuadas para probar y validar el lanzamiento en un pequeño número de dispositivos. Al seleccionar Todos los dispositivos, cualquier dispositivo que se encuentre en el ámbito configurado se inscribirá automáticamente.

3. Configure la característica para Microsoft Defender para dispositivos incorporados en la nube y Configuration Manager configuración de autoridad para satisfacer las necesidades de su organización:

   

   Sugerencia

   Para asegurarse de que los usuarios del portal de Microsoft Defender para punto de conexión tengan permisos coherentes en todos los portales, si aún no se han proporcionado, solicite que el administrador de TI les conceda el rol RBAC integrado Microsoft Intune Endpoint Security Manager.

Configuración de Intune

En el centro de administración de Microsoft Intune, la cuenta necesita permisos iguales al rol de control de acceso basado en rol (RBAC) integrado de Endpoint Security Manager.

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Seguridad> del punto de conexión Microsoft Defender para punto de conexión y establezca Permitir Microsoft Defender para punto de conexión para aplicar configuraciones de seguridad de punto de conexión en Activado.

   

   Al establecer esta opción en Activado, todos los dispositivos del ámbito de la plataforma para Microsoft Defender para punto de conexión que no están administrados por Microsoft Intune califican para incorporarse a Microsoft Defender para punto de conexión.

Incorporar dispositivos a Microsoft Defender para punto de conexión

Microsoft Defender para punto de conexión admite varias opciones para incorporar dispositivos. Para obtener instrucciones actuales, consulte Incorporación a Microsoft Defender para punto de conexión en la documentación de Defender para punto de conexión.

Coexistencia con Microsoft Configuration Manager

En algunos entornos, es posible que se desee usar la administración de la configuración de seguridad con dispositivos administrados por Configuration Manager. Si usa ambos, debe controlar la directiva a través de un único canal. El uso de más de un canal crea la oportunidad de conflictos y resultados no deseados.

Para admitirlo, configure los valores de Administración de seguridad mediante Configuration Manager cambie a Desactivado. Inicie sesión en el portal de Microsoft Defender y vaya a Configuración> Ámbito decumplimiento de administración de configuracióndepuntos> de > conexión:

Creación de grupos de Microsoft Entra

Una vez que los dispositivos se incorporen a Defender para punto de conexión, deberá crear grupos de dispositivos para admitir la implementación de directivas para Microsoft Defender para punto de conexión. Para identificar los dispositivos que se han inscrito con Microsoft Defender para punto de conexión pero no están administrados por Intune o Configuration Manager:

1. Inicie sesión en Microsoft Intune centro de administración.

2. Vaya a Dispositivos>Todos los dispositivos y, a continuación, seleccione la columna Administrado por para ordenar la vista de dispositivos. Los dispositivos que se incorporan a Microsoft Defender para punto de conexión pero no se administran mediante Intune muestran Microsoft Defender para punto de conexión en la columna Administrado por. Estos dispositivos pueden recibir directivas para la administración de la configuración de seguridad.

   Los dispositivos que se incorporan a Microsoft Defender para punto de conexión y se han registrado pero no se administran mediante Intune muestran Microsoft Defender para punto de conexión en la columna Administrado por. Estos son los dispositivos que pueden recibir directivas de administración de seguridad para Microsoft Defender para punto de conexión.

   A partir del 25 de septiembre de 2023, los dispositivos que usan la administración de seguridad para Microsoft Defender para punto de conexión ya no se pueden identificar mediante las siguientes etiquetas del sistema:

   • MDEJoined : etiqueta ahora en desuso que se agregó anteriormente a los dispositivos que se unieron al directorio como parte de este escenario.
   • MDEManaged : una etiqueta ahora en desuso que se agregó anteriormente a los dispositivos que usaron activamente el escenario de administración de seguridad. Esta etiqueta se quita del dispositivo si Defender para punto de conexión deja de administrar la configuración de seguridad.

   En lugar de usar etiquetas del sistema, puede usar el atributo de tipo de administración y configurarlo en MicrosoftSense.

Puede crear grupos para estos dispositivos en Microsoft Entra o desde el centro de administración de Microsoft Intune. Al crear grupos, puede usar el valor del sistema operativo para un dispositivo si va a implementar directivas en dispositivos que ejecutan Windows Server frente a dispositivos que ejecutan una versión cliente de Windows:

• Windows 10 y Windows 11: deviceOSType o el sistema operativo se muestra como Windows
• Windows Server : el deviceOSType o el sistema operativo se muestra como Windows Server
• Dispositivo Linux : deviceOSType o el sistema operativo se muestra como Linux

Ejemplo Intune grupos dinámicos con sintaxis de regla

Estaciones de trabajo de Windows:

Servidores Windows:

Dispositivos Linux:

Importante

En mayo de 2023, deviceOSType se actualizó para distinguir entre los clientes windows y los servidores windows.

Los scripts personalizados y Microsoft Entra grupos de dispositivos dinámicos creados antes de este cambio que especifican reglas que hacen referencia solo a Windows pueden excluir servidores Windows cuando se usan con la administración de seguridad para Microsoft Defender para punto de conexión solución. Por ejemplo:

• Si tiene una regla que usa el equals operador o not equals para identificar Windows, este cambio afectará a la regla. Esto se debe a que anteriormente tanto Windows como Windows Server se notificaron como Windows. Para continuar con la inclusión de ambos, debe actualizar la regla para que también haga referencia a Windows Server.
• Si tiene una regla que usa el contains operador o like para especificar Windows, la regla no se verá afectada por este cambio. Estos operadores pueden encontrar Windows y Windows Server.

Sugerencia

Es posible que los usuarios a los que se delegue la capacidad de administrar la configuración de seguridad del punto de conexión no tengan la capacidad de implementar configuraciones de todo el inquilino en Microsoft Intune. Consulte con el administrador de Intune para obtener más información sobre los roles y permisos de su organización.

Implementar directiva

Después de crear uno o varios grupos de Microsoft Entra que contienen dispositivos administrados por Microsoft Defender para punto de conexión, puede crear e implementar las siguientes directivas para la administración de la configuración de seguridad en esos grupos. Las directivas y perfiles disponibles varían según la plataforma.

Para obtener la lista de combinaciones de directivas y perfiles compatibles con la administración de la configuración de seguridad, consulte el gráfico ¿Qué solución debo usar? anteriormente en este artículo.

Sugerencia

Evite implementar varias directivas que administren la misma configuración en un dispositivo.

Microsoft Intune admite la implementación de varias instancias de cada tipo de directiva de seguridad de punto de conexión en el mismo dispositivo, con cada instancia de directiva recibida por el dispositivo por separado. Por lo tanto, un dispositivo podría recibir configuraciones independientes para la misma configuración de directivas diferentes, lo que da lugar a un conflicto. Algunas opciones de configuración (como Exclusiones antivirus) se combinarán en el cliente y se aplicarán correctamente.

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Vaya a Seguridad del punto de conexión, seleccione el tipo de directiva que desea configurar y, a continuación, seleccione Crear directiva.

3. Para la directiva, seleccione la plataforma y el perfil que desea implementar. Para obtener una lista de las plataformas y perfiles que admiten la administración de la configuración de seguridad, consulte el gráfico ¿Qué solución debo usar? anteriormente en este artículo.

   Nota:

   Los perfiles admitidos se aplican a los dispositivos que se comunican a través de Mobile Administración de dispositivos (MDM) con Microsoft Intune y dispositivos que se comunican mediante el cliente de Microsoft Defender para punto de conexión.

   Asegúrese de revisar el destino y los grupos según sea necesario.

4. Seleccione Crear.

5. En la página Datos básicos, escriba un nombre y una descripción para el perfil y, después, elija Siguiente.

6. En la página Configuración , seleccione la configuración que desea administrar con este perfil.

   Para obtener más información sobre una configuración, expanda su cuadro de diálogo de información y seleccione el vínculo Más información para ver la documentación del proveedor de servicios de configuración (CSP) en línea o los detalles relacionados de esa configuración.

   Cuando haya finalizado la configuración, seleccione Siguiente.

7. En la página Asignaciones, seleccione los grupos de Microsoft Entra que reciben este perfil. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.

   Seleccione Siguiente para continuar.

   Sugerencia

   • Los filtros de asignación no se admiten para dispositivos administrados por la administración de la configuración de seguridad.
   • Solo los objetos de dispositivo son aplicables para la administración de Microsoft Defender para punto de conexión. No se admite la segmentación de usuarios.
   • Las directivas configuradas se aplicarán a los clientes Microsoft Intune y Microsoft Defender para punto de conexión.

8. Complete el proceso de creación de directivas y, a continuación, en la página Revisar y crear , seleccione Crear. El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado.

9. Espere a que se asigne la directiva y vea una indicación correcta de que se aplicó la directiva.

10. Puede validar que la configuración se ha aplicado localmente en el cliente mediante la utilidad de comandos Get-MpPreference .

Supervisión del estado

El estado y los informes de las directivas que tienen como destino dispositivos en este canal están disponibles en el nodo de directiva en Seguridad de puntos de conexión en el centro de administración de Microsoft Intune.

Profundice en el tipo de directiva y, a continuación, seleccione la directiva para ver su estado. Puede ver la lista de plataformas, tipos de directivas y perfiles que admiten la administración de la configuración de seguridad en la tabla ¿Qué solución debo usar? anteriormente en este artículo.

Al seleccionar una directiva, puede ver información sobre el estado de la protección del dispositivo y seleccionar:

• Ver informe : vea una lista de dispositivos que recibieron la directiva. Puede seleccionar un dispositivo para explorar en profundidad y ver su estado por configuración. A continuación, puede seleccionar una configuración para ver más información al respecto, incluidas otras directivas que administran esa misma configuración, que podría ser un origen de conflicto.

• Por estado de configuración : vea la configuración administrada por la directiva y un recuento de éxitos, errores o conflictos para cada configuración.

Preguntas y consideraciones más frecuentes

Frecuencia de comprobación del dispositivo

Los dispositivos administrados por esta funcionalidad se pueden proteger con Microsoft Intune cada 90 minutos para actualizar la directiva.

Puede sincronizar manualmente un dispositivo a petición desde el portal de Microsoft Defender. Inicie sesión en el portal y vaya a Dispositivos. Seleccione un dispositivo administrado por Microsoft Defender para punto de conexión y, a continuación, seleccione el botón Sincronización de directivas:

El botón Sincronización de directivas solo aparece para los dispositivos administrados correctamente por Microsoft Defender para punto de conexión.

Dispositivos protegidos por Protección contra alteraciones

Si un dispositivo tiene activada la protección contra alteraciones, no es posible editar los valores de la configuración de Tamper Protected sin deshabilitar la protección contra alteraciones en primer lugar.

Administración de filtros de asignación y configuración de seguridad

Los filtros de asignación no se admiten para los dispositivos que se comunican a través del canal de Microsoft Defender para punto de conexión. Aunque los filtros de asignación se pueden agregar a una directiva que podría tener como destino estos dispositivos, los dispositivos omiten los filtros de asignación. Para la compatibilidad con filtros de asignación, el dispositivo debe inscribirse en para Microsoft Intune.

Eliminación y eliminación de dispositivos

Puede eliminar los dispositivos que usan este flujo mediante uno de estos dos métodos:

• Desde el centro de administración de Microsoft Intune vaya a Dispositivos>Todos los dispositivos, seleccione un dispositivo que muestre MDEJoined o MDEManaged en la columna Administrado por y, a continuación, seleccione Eliminar.
• También puede quitar dispositivos del ámbito de Configuration Management en Security Center.

Una vez que se quita un dispositivo de cualquier ubicación, ese cambio se propaga al otro servicio.

No se puede habilitar la administración de seguridad para Microsoft Defender para punto de conexión carga de trabajo en Endpoint Security

Normalmente, la mayoría de los flujos de aprovisionamiento iniciales los completa un administrador de ambos servicios (por ejemplo, un administrador global). Hay algunos escenarios en los que se usa la administración basada en roles para personalizar los permisos de los administradores. En la actualidad, es posible que las personas a las que se delegue el rol de Endpoint Security Manager no tengan los permisos necesarios para habilitar esta característica.

Microsoft Entra dispositivos unidos

Los dispositivos que están unidos a Active Directory usan su infraestructura existente para completar el proceso de unión híbrida Microsoft Entra.

Configuración de seguridad no admitida

La siguiente configuración de seguridad está pendiente de desuso. El flujo de administración de la configuración de seguridad de Defender para punto de conexión no admite esta configuración:

• Acelerar la frecuencia de informes de telemetría (en Detección y respuesta de puntos de conexión)
• AllowIntrusionPreventionSystem (en Antivirus)
• Protección contra alteraciones (en Seguridad de Windows Experiencia). Esta configuración no está pendiente de desuso, pero actualmente no se admite.

Uso de la administración de la configuración de seguridad en controladores de dominio

Dado que se requiere una confianza Microsoft Entra ID, actualmente no se admiten controladores de dominio. Estamos examinando formas de agregar este soporte técnico.

Importante

En algunos casos, los controladores de dominio que ejecutan un sistema operativo de servidor de nivel inferior (2012 R2 o 2016) pueden administrarse involuntariamente mediante Microsoft Defender para punto de conexión. Para asegurarse de que esto no sucede en su entorno, se recomienda asegurarse de que los controladores de dominio no estén etiquetados como "MDE-Management" ni administrados por MDE.

Instalación de Server Core

La administración de la configuración de seguridad no admite instalaciones de Server Core debido a las limitaciones de la plataforma server core.

Modo de restricción de PowerShell

PowerShell debe estar habilitado.

La administración de la configuración de seguridad no funciona para un dispositivo que tiene PowerShell LanguageMode configurado con el modo enabledConstrainedLanguage . Para obtener más información, consulte about_Language_Modes en la documentación de PowerShell.

Administración de la seguridad a través de MDE si anteriormente usaba una herramienta de seguridad de terceros

Si anteriormente tenía una herramienta de seguridad de terceros en la máquina y ahora la administra con MDE, es posible que vea algún impacto en la capacidad de MDE para administrar la configuración de seguridad en raras ocasiones. En tales casos, como medida de solución de problemas, desinstale y vuelva a instalar la versión más reciente de MDE en el equipo.

Pasos siguientes

• Supervisión de Defender para punto de conexión en Intune
• Administre las directivas de seguridad de punto de conexión en Microsoft Defender para punto de conexión en la documentación de Defender.