Administración de la protección contra alteraciones de la organización mediante Microsoft Intune

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Antivirus de Microsoft Defender
• Microsoft Defender para Empresas
• Microsoft 365 Empresa Premium

Plataformas

• Windows

La protección contra alteraciones ayuda a proteger ciertas configuraciones de seguridad, como la protección contra virus y amenazas, de que se deshabiliten o cambien. Si forma parte del equipo de seguridad de la organización y usa Microsoft Intune, puede administrar la protección contra alteraciones de su organización en el centro de administración de Intune. O bien, puede usar Configuration Manager. Con Intune o Configuration Manager, puede:

• Active (o desactive) la protección contra alteraciones para algunos o todos los dispositivos.
• Proteja Microsoft Defender exclusiones del antivirus frente a alteraciones (se deben cumplir ciertos requisitos).

Importante

Si usa Microsoft Intune para administrar la configuración de Defender para punto de conexión, asegúrese de establecer DisableLocalAdminMerge en true en los dispositivos.

Cuando se activa la protección contra alteraciones, no se puede cambiar la configuración protegida contra alteraciones . Para evitar la interrupción de las experiencias de administración, incluidos Intune (y Configuration Manager), tenga en cuenta que los cambios en la configuración protegida por manipulación pueden parecer correctos, pero en realidad están bloqueados por la protección contra alteraciones. En función de su escenario concreto, tiene varias opciones disponibles:

• Si debe realizar cambios en un dispositivo y esos cambios están bloqueados por la protección contra alteraciones, se recomienda usar el modo de solución de problemas para deshabilitar temporalmente la protección contra alteraciones en el dispositivo. Tenga en cuenta que una vez que finaliza el modo de solución de problemas, los cambios realizados en la configuración protegida por alteraciones se revierten a su estado configurado.
• Puede usar Intune o Configuration Manager para excluir dispositivos de la protección contra alteraciones.
• Si administra la protección contra alteraciones a través de Intune, puede cambiar las exclusiones de antivirus protegidas contra alteraciones.

Requisitos para administrar la protección contra alteraciones en Intune

Requisito	Detalles
Roles y permisos	Debe tener los permisos adecuados asignados a través de roles, como administrador global o administrador de seguridad. Consulte roles de Microsoft Entra con acceso Intune.
Administración de dispositivos	La organización usa Intune para administrar dispositivos.
Licencias de Intune	Intune se requieren licencias. Consulte licencias de Microsoft Intune.
Sistema operativo	Los dispositivos Windows deben ejecutarse Windows 10 versión 1709 o posterior o Windows 11. (Para obtener más información sobre las versiones, vea Información de la versión de Windows). Para Mac, consulte Protección de la configuración de seguridad de macOS con protección contra alteraciones.
Inteligencia de seguridad	Debe usar la seguridad de Windows con inteligencia de seguridad actualizada a la versión 1.287.60.0 (o posterior).
Plataforma antimalware	Los dispositivos deben usar la versión 4.18.1906.3 de la plataforma antimalware (o superior) y la versión 1.1.15500.X del motor antimalware (o posterior). Consulte Administración de actualizaciones Microsoft Defender Antivirus y aplicación de líneas base.
Microsoft Entra ID	Los inquilinos de Intune y Defender para punto de conexión deben compartir la misma infraestructura de Microsoft Entra.
Defender para punto de conexión	Los dispositivos deben incorporarse a Defender para punto de conexión.

Nota:

Si los dispositivos no están inscritos en Microsoft Defender para punto de conexión, la protección contra alteraciones aparece como No aplicable hasta que se complete el proceso de incorporación. La protección contra alteraciones puede impedir que se produzcan cambios en la configuración de seguridad. Si ve un código de error con el identificador de evento 5013, consulte Revisión de registros de eventos y códigos de error para solucionar problemas con Microsoft Defender Antivirus.

Activar (o desactivar) la protección contra alteraciones en Microsoft Intune

1. En el centro de administración de Intune, vaya aAntivirus de seguridad> de puntos de conexión y, a continuación, elija + Crear directiva.

   • En la lista Plataforma, seleccione Windows 10, Windows 11 y Windows Server.
   • En la lista Perfil, seleccione Seguridad de Windows experiencia.

2. Cree un perfil que incluya la siguiente configuración:

   • TamperProtection (dispositivo): activado

3. Termine de seleccionar las opciones y la configuración de la directiva.

4. Implemente la directiva en los dispositivos.

Protección contra alteraciones para exclusiones de antivirus

Si su organización tiene exclusiones definidas para Microsoft Defender Antivirus, la protección contra alteraciones protege esas exclusiones, siempre que se cumplan todas las condiciones siguientes:

Condición	Criterios
plataforma de Microsoft Defender	Los dispositivos ejecutan Microsoft Defender plataforma 4.18.2211.5 o posterior. Para obtener más información, consulte Versiones mensuales de la plataforma y del motor.
DisableLocalAdminMerge Ajuste	Esta configuración también se conoce como impedir la combinación de listas locales. DisableLocalAdminMergeestá habilitado para que la configuración configurada en un dispositivo no se combine con directivas de organización, como la configuración de Intune. Para obtener más información, vea DisableLocalAdminMerge.
Administración de dispositivos	Los dispositivos se administran solo en Intune o solo con Configuration Manager. El sentido debe estar habilitado.
Exclusiones de antivirus	Microsoft Defender las exclusiones de Antivirus se administran en Microsoft Intune. Para obtener más información, vea Configuración de Microsoft Defender directiva antivirus en Microsoft Intune para dispositivos Windows. La funcionalidad para proteger Microsoft Defender exclusiones antivirus está habilitada en los dispositivos. Para obtener más información, vea Cómo determinar si las exclusiones de antivirus están protegidas contra alteraciones en un dispositivo Windows.

Sugerencia

Para obtener información más detallada sobre Microsoft Defender exclusiones de Antivirus, consulte Exclusiones para Microsoft Defender para punto de conexión y Microsoft Defender Antivirus.

Cómo determinar si las exclusiones de antivirus están protegidas contra alteraciones en un dispositivo Windows

Puede usar una clave del Registro para determinar si está habilitada la funcionalidad para proteger Microsoft Defender exclusiones de Antivirus. En el procedimiento siguiente se describe cómo ver, pero no cambiar, el estado de la protección contra alteraciones.

1. En un dispositivo Windows, abra Editor del Registro. (El modo de solo lectura está bien; no está editando la clave del Registro).

2. Para confirmar que el dispositivo solo se administra mediante Intune o solo mediante Configuration Manager, con Sense habilitado, compruebe los siguientes valores de clave del Registro:

   • ManagedDefenderProductType (ubicado en Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender o HKLM\SOFTWARE\Microsoft\Windows Defender)
   • EnrollmentStatus (ubicado en Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SenseCM o HKLM\SOFTWARE\Microsoft\SenseCM)

   En la tabla siguiente se resume lo que significan los valores de clave del Registro:

   Valor ManagedDefenderProductType	Valor EnrollmentStatus	Lo que significa el valor
   6	(cualquier valor)	El dispositivo solo se administra mediante Intune. (Cumple un requisito para que las exclusiones se protejan).
   7	4	El dispositivo se administra mediante Configuration Manager. (Cumple un requisito para que las exclusiones se protejan).
   Un valor distinto de 6 o 7	(cualquier valor)	El dispositivo no se administra solo Intune o solo Configuration Manager. (Las exclusiones no están protegidas contra alteraciones).

3. Para confirmar que se implementa la protección contra alteraciones y que las exclusiones están protegidas contra alteraciones, compruebe la clave del TPExclusions Registro (ubicada en Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Features o HKLM\SOFTWARE\Microsoft\Windows Defender\Features).

   TPExclusions	Lo que significa el valor
   1	Se cumplen las condiciones necesarias y la nueva funcionalidad para proteger las exclusiones está habilitada en el dispositivo. (Las exclusiones están protegidas contra alteraciones).
   0	La protección contra alteraciones no protege actualmente las exclusiones en el dispositivo. (Si se cumplen todos los requisitos y este estado parece incorrecto, póngase en contacto con el soporte técnico).

Precaución

No cambie el valor de las claves del Registro. Use el procedimiento anterior solo para obtener información. Cambiar las claves no tiene ningún efecto en si la protección contra alteraciones se aplica a las exclusiones.

Vea también

• Preguntas más frecuentes sobre la protección contra alteraciones
• Defender para punto de conexión en dispositivos que no son de Windows
• Solución de problemas con la protección contra alteraciones
• Administración de Microsoft Defender para punto de conexión en dispositivos con Microsoft Intune

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.