Estrategia de Confianza cero del DoD para el pilar del dispositivo

Artículo
2024-05-08

La estrategia y la hoja de ruta de confianza cero de DoD describen una ruta para los componentes del Departamento de Defensa y los asociados de base industrial de defensa (DIB) para adoptar un nuevo marco de ciberseguridad basado en principios de confianza cero. Confianza cero al elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, la experiencia del usuario y el rendimiento de la misión.

En esta guía se incluyen recomendaciones para las actividades de confianza cero de 152 en la hoja de ruta de ejecución de la funcionalidad de confianza cero de DoD. Las secciones corresponden a los siete pilares del modelo de confianza cero de DoD.

Use los vínculos siguientes para ir a las secciones de la guía.

2 Dispositivo

En esta sección se incluyen instrucciones y recomendaciones de Microsoft para las actividades de Confianza cero de DoD en el pilar del dispositivo. Para más información, consulta Protección de los puntos de conexión con Confianza cero.

2.1 Inventario de dispositivos

Microsoft Intune y Microsoft Defender para punto de conexión configuran, evalúan el estado y detectan vulnerabilidades de software para dispositivos. Usa Microsoft Entra ID y la integración de Microsoft Intune a fin de aplicar directivas de dispositivo compatibles para el acceso a los recursos.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 2.1.1 Análisis de lagunas de la herramienta Estado del dispositivo Las organizaciones de DoD desarrollan un inventario manual de dispositivos en el entorno. Atributos de dispositivo de los que se realiza un seguimiento en la función de habilitación del inventario que se describe en el nivel de destino de ZTA. Resultado: - Se crea un inventario manual de dispositivos por organización con propietarios.	Microsoft Entra ID Registra dispositivos de usuario final con Microsoft Entra ID y administra identidades de dispositivo desde el Centro de administración de Microsoft Entra. La página Información general de dispositivos realiza un seguimiento de los recursos del dispositivo, el estado de administración, el sistema operativo, el tipo de combinación y el propietario. - Dispositivos registrados - Dispositivos unidos híbridos - Enumerar dispositivos - Administrar identidades de dispositivo Microsoft Entra Connect Sync Usa Connect Sync para sincronizar dispositivos administrados de Active Directory con Microsoft Entra ID. - Dispositivos unidos híbridos Microsoft Intune Visualiza información de dispositivos administrados desde el Centro de administración de Microsoft Intune. Recupera diagnósticos de dispositivos Windows mediante la acción remota Recopilar diagnósticos. - Detalles del dispositivo - Diagnóstico de dispositivos Windows Microsoft Endpoint Configuration Manager Usa la administración conjunta para adjuntar una implementación de Configuration Manager a la nube de Microsoft 365. - Administración conjunta Microsoft Defender para punto de conexión Visualiza dispositivos que protege Defender para punto de conexión en el portal de Microsoft Defender. - Inventario de dispositivos
`Target` 2.1.2 NPE/PKI, dispositivo bajo administración Las organizaciones de DoD usan el servicio o solución PKI de DoD Enterprise para implementar certificados x509 en todos los dispositivos compatibles y administrados. Otras entidades que no son personas físicas (NPE) que admiten certificados x509 se asignan en los sistemas PKI o IdP. Resultado: - Las entidades que no son personas físicas se administran mediante la PKI de la organización i el IDP de la organización	Microsoft Intune Agrega Intune Certificate Connector para el aprovisionamiento de certificados en puntos de conexión. - Certificate Connector - Certificados para la autenticación Usa perfiles de red de Intune para ayudar a los dispositivos administrados a autenticarse en la red. Agrega un certificado simple de Protocolo de inscripción de certificados (SCEP). - Configuración de Wi-Fi del dispositivo - Configuración de red cableada de dispositivos Windows Integra Intune con asociados de control de acceso a la red (NAC) para proteger los datos cuando los dispositivos acceden a los recursos locales. - Integración de NAC Directiva de administración de aplicaciones Configura la directiva de administración de aplicaciones de inquilino para restringir las credenciales de aplicación a los certificados que emite la PKI empresarial. Consulta la guía de Microsoft 1.9.1 en Usuario. Azure IoT Hub Configuración de Azure IoT Hub para usar y aplicar la autenticación X.509. - Autenticar identidades con certificados x509 Microsoft Defender for Identity Si tu organización hospeda su PKI con Servicios de certificados de Active Directory (AD CS), implementa sensores de Defender for Identity y configura la auditoría para AD CS. - Sensor de AD CS - Configurar auditorías para AD CS
`Target` 2.1.3 IDP de empresa Pt1 El proveedor de identidades (IdP) empresarial de DoD, ya sea utilizando una tecnología centralizada o tecnologías organizativas federadas, integra entidades que no son personas físicas (NPE), como dispositivos y cuentas de servicio. Se realiza un seguimiento de la integración en la solución de Administración de dispositivos empresariales cuando sea aplicable a si está integrada o no. Las NPE que no se pueden integrar con el IdP se marcan para retirarse o como excepción mediante un enfoque metódico basado en riesgos. Resultado: - Las NPE, incluidos los dispositivos, se integran con el IdP empresarial	Registro de dispositivos unidos a Microsoft Entra Usa dispositivos unidos a Microsoft Entra para dispositivos cliente Windows nuevos y en los que se ha vuelto a crear una imagen. Los dispositivos unidos a Microsoft Entra tienen una experiencia de usuario mejorada para el inicio de sesión en aplicaciones en la nube como Microsoft 365. Los usuarios acceden a los recursos locales mediante dispositivos unidos a Microsoft Entra. - Dispositivos unidos - SSO a recursos locales en dispositivos unidos Microsoft Intune Configura la inscripción automática para dispositivos Windows 10 u 11 unidos a un inquilino de Microsoft Entra. - Inscripción automática Microsoft Entra Connect Sync Si tu organización sincroniza Active Directory con Microsoft Entra ID mediante Connect Sync. Para registrar automáticamente dispositivos con Microsoft Entra ID, configura dispositivos unidos a híbridos. - Dispositivos unidos a híbridos Aplicaciones de Microsoft Entra Registra aplicaciones con Microsoft Entra y usa entidades de servicio para el acceso mediante programación a Microsoft Entra y API protegidas como Microsoft Graph. Configura directivas de administración de aplicaciones para restringir los tipos de credenciales de aplicación. Consulta la guía de Microsoft 2.1.2. Id. de carga de trabajo de Microsoft Entra Usa la federación de identidades de carga de trabajo para acceder a los recursos protegidos de Microsoft Entra en Acciones de GitHub y otros escenarios admitidos. - Federación de identidades de carga de trabajo Identidades administradas Usa identidades administradas para recursos de Azure compatibles y máquinas virtuales habilitadas para Azure Arc. - Identidades administradas para recursos de Azure - servidores habilitados para Azure Arc Azure IoT Hub Usa Microsoft Entra ID para autenticar las solicitudes a las API de servicio de Azure IoT Hub. - Control del acceso a IoT Hub
`Advanced` 2.1.4 IDP empresarial Pt2 El proveedor de identidades (IdP) empresarial de DoD ya sea mediante una tecnología centralizada o tecnologías organizativas federadas, agrega atributos dinámicos adicionales para las NPE, como la ubicación, los patrones de uso, etc. Resultado: - Los atributos de dispositivo condicional forman parte del perfil de IdP.	Microsoft Defender para punto de conexión Implementa Defender para punto de conexión en dispositivos de escritorio de usuario final, dispositivos móviles administrados y servidores. - Incorporación de dispositivos - Defender para punto de conexión en dispositivos con Intune - Incorporación de servidores Windows Microsoft Intune Administra dispositivos de usuario final con Intune. Configura directivas de cumplimiento de Intune para dispositivos administrados. Incluye la puntuación de riesgo de la máquina de Microsoft Defender para punto de conexión en las directivas de cumplimiento de Intune. - Planificación de directivas de cumplimiento - Directiva de cumplimiento para el nivel de riesgo del dispositivo - Directivas de cumplimiento personalizadas - Configuración de dispositivos Windows en Intune - Configuración de seguridad de Android Enterprise - Dispositivos iOS y iPadOS en Intune Si tu organización usa una solución de Mobile Threat Defense (MTD) de terceros, configura el conector de Intune. - Configuración de MTD Administración de aplicaciones móviles Usa MAM de Intune para dispositivos no inscritos a fin de configurar y proteger aplicaciones para traer tus propios dispositivos (BYOD). - Administración de aplicaciones

2.2 Detección y cumplimiento de dispositivos

Las directivas de cumplimiento de Microsoft Intune garantizan que los dispositivos cumplan los estándares de la organización. Las directivas de cumplimiento pueden evaluar la configuración del dispositivo en una línea de base de seguridad. Las directivas usan el estado de protección de Microsoft Defender para punto de conexión y la puntuación de riesgo de la máquina para determinar el cumplimiento. El acceso condicional usa el estado de cumplimiento de dispositivos a fin de tomar decisiones de acceso dinámico para usuarios y dispositivos, incluidos los de tipo traer tus propios dispositivos (BYOD).

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft

Target 2.2.1 Implementación de la autorización de red basada en C2C o cumplimiento Pt1
La empresa DoD que trabaja con las organizaciones desarrolla una directiva, una norma y requisitos para Cumplimiento para conectarse. Una vez alcanzado el acuerdo, se inicia la adquisición de soluciones, se selecciona un proveedor y la implementación comienza con la función de nivel base en entornos de destino ZT (bajo riesgo). Las comprobaciones de nivel base se implementan en la nueva solución Cumplir con la conexión, lo que permite cumplir las funciones de destino de ZTA.

Resultados:
- C2C se aplica en el nivel empresarial para entornos de bajo riesgo y pruebas
- Las comprobaciones básicas de dispositivos se implementan mediante C2C. Microsoft Intune
Administra dispositivos con Intune y configura directivas de cumplimiento de dispositivos. Usa la administración de aplicaciones móviles (MAM) de Intune para proteger las aplicaciones en BYOD no inscritos.

Consulta la guía de Microsoft en 2.1.4.

Acceso condicional
Usa señales del dispositivo compatibles con Intune, ubicación y señales de riesgo de inicio de sesión en directivas de acceso condicional. Usa filtros de dispositivo para las directivas de acceso condicional, en función de los atributos del dispositivo.
- Requerimiento de dispositivos de cumplimiento
- Condiciones
- Filtro para dispositivos
- Acceso condicional con Intune

Id. de carga de trabajo de Microsoft Entra
Crea directivas de acceso condicional para identidades de carga de trabajo mediante controles de riesgo y ubicación.
- Acceso condicional para identidades de carga de trabajo
- Protección de identidades de carga de trabajo

Advanced 2.2.2 Implementación de la autorización de red basada en C2C o cumplimiento Pt2
Las organizaciones DoD amplían la implementación y el uso de Cumplir para conectarse a todos los entornos admitidos necesarios a fin de cumplir las funciones avanzadas de ZT. Los equipos de Cumplimiento para conectarse integran sus soluciones con el IdP empresarial y la Autorización de puestas de enlace para administrar mejor el acceso y las autorizaciones a los recursos.

Resultados:
- C2C se aplica en todos los entornos admitidos
- Las comprobaciones avanzadas de dispositivos se completan e integran con el acceso dinámico, el IdP empresarial y ZTNA. Aplicaciones de Microsoft Entra
Integra aplicaciones y controla el acceso de los usuarios con Microsoft Entra ID.

Consulta la guía 1.2.4 de Microsoft en Usuario.

Microsoft Intune y Microsoft Defender para punto de conexión
Administra dispositivos con Intune, implementa Defender para punto de conexión y configura una directiva de cumplimiento de dispositivos mediante la puntuación de riesgo de la máquina de Defender para punto de conexión.

Consulta la guía 2.1.4 de Microsoft en esta sección.

Acceso condicional
Crea directivas de acceso condicional que requieren un dispositivo compatible para el acceso a la aplicación.

Consulta la guía de Microsoft en 2.2.1.

Proxy de aplicación de Microsoft Entra
Implementa un proxy de aplicación o una solución de asociado de acceso híbrido seguro (SHA) a fin de habilitar el acceso condicional para aplicaciones locales y heredadas mediante el acceso de red de confianza cero (ZTNA).
- SHA con la integración de Microsoft Entra

Microsoft Tunnel
Tunnel es una solución de puerta de enlace de red privada virtual (VPN) para dispositivos administrados por Intune y dispositivos no inscritos con aplicaciones administradas por Intune. Tunnel usa Microsoft Entra ID para la autenticación y las directivas de acceso condicional para el acceso de dispositivos móviles a aplicaciones locales.
- Tunnel para Intune

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 2.2.1 Implementación de la autorización de red basada en C2C o cumplimiento Pt1 La empresa DoD que trabaja con las organizaciones desarrolla una directiva, una norma y requisitos para Cumplimiento para conectarse. Una vez alcanzado el acuerdo, se inicia la adquisición de soluciones, se selecciona un proveedor y la implementación comienza con la función de nivel base en entornos de destino ZT (bajo riesgo). Las comprobaciones de nivel base se implementan en la nueva solución Cumplir con la conexión, lo que permite cumplir las funciones de destino de ZTA. Resultados: - C2C se aplica en el nivel empresarial para entornos de bajo riesgo y pruebas - Las comprobaciones básicas de dispositivos se implementan mediante C2C.	Microsoft Intune Administra dispositivos con Intune y configura directivas de cumplimiento de dispositivos. Usa la administración de aplicaciones móviles (MAM) de Intune para proteger las aplicaciones en BYOD no inscritos. Consulta la guía de Microsoft en 2.1.4. Acceso condicional Usa señales del dispositivo compatibles con Intune, ubicación y señales de riesgo de inicio de sesión en directivas de acceso condicional. Usa filtros de dispositivo para las directivas de acceso condicional, en función de los atributos del dispositivo. - Requerimiento de dispositivos de cumplimiento - Condiciones - Filtro para dispositivos - Acceso condicional con Intune Id. de carga de trabajo de Microsoft Entra Crea directivas de acceso condicional para identidades de carga de trabajo mediante controles de riesgo y ubicación. - Acceso condicional para identidades de carga de trabajo - Protección de identidades de carga de trabajo
`Advanced` 2.2.2 Implementación de la autorización de red basada en C2C o cumplimiento Pt2 Las organizaciones DoD amplían la implementación y el uso de Cumplir para conectarse a todos los entornos admitidos necesarios a fin de cumplir las funciones avanzadas de ZT. Los equipos de Cumplimiento para conectarse integran sus soluciones con el IdP empresarial y la Autorización de puestas de enlace para administrar mejor el acceso y las autorizaciones a los recursos. Resultados: - C2C se aplica en todos los entornos admitidos - Las comprobaciones avanzadas de dispositivos se completan e integran con el acceso dinámico, el IdP empresarial y ZTNA.	Aplicaciones de Microsoft Entra Integra aplicaciones y controla el acceso de los usuarios con Microsoft Entra ID. Consulta la guía 1.2.4 de Microsoft en Usuario. Microsoft Intune y Microsoft Defender para punto de conexión Administra dispositivos con Intune, implementa Defender para punto de conexión y configura una directiva de cumplimiento de dispositivos mediante la puntuación de riesgo de la máquina de Defender para punto de conexión. Consulta la guía 2.1.4 de Microsoft en esta sección. Acceso condicional Crea directivas de acceso condicional que requieren un dispositivo compatible para el acceso a la aplicación. Consulta la guía de Microsoft en 2.2.1. Proxy de aplicación de Microsoft Entra Implementa un proxy de aplicación o una solución de asociado de acceso híbrido seguro (SHA) a fin de habilitar el acceso condicional para aplicaciones locales y heredadas mediante el acceso de red de confianza cero (ZTNA). - SHA con la integración de Microsoft Entra Microsoft Tunnel Tunnel es una solución de puerta de enlace de red privada virtual (VPN) para dispositivos administrados por Intune y dispositivos no inscritos con aplicaciones administradas por Intune. Tunnel usa Microsoft Entra ID para la autenticación y las directivas de acceso condicional para el acceso de dispositivos móviles a aplicaciones locales. - Tunnel para Intune

2.3 Autorización del dispositivo con inspección en tiempo real

El acceso condicional es el motor de directivas de Confianza cero para productos y servicios en la nube de Microsoft. La evaluación de las directivas de Confianza cero en el IdP avanza el modelo de cumplimiento para conectarse (C2C) mediante la aplicación de controles adaptables antes del acceso a los recursos. Las directivas de Acceso condicional usan señales de seguridad de Microsoft Entra ID, Microsoft Defender XDR y Microsoft Intune.

Los componentes de Microsoft Defender XDR evalúan los niveles de riesgo de dispositivos e identidades mediante detecciones de aprendizaje automático (ML) y habilitan decisiones dinámicas basadas en riesgos para permitir, bloquear o controlar el acceso a datos, aplicaciones, recursos y servicios (DAAS).

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Advanced` 2.3.1 Supervisión de actividades de la entidad Pt1 Mediante las líneas de base de usuario y dispositivo desarrolladas, las organizaciones DoD utilizan la solución Actividad de comportamiento de usuarios y entidades (UEBA) implementada para integrar líneas de base. Los atributos y líneas de base del dispositivo de UEBA están disponibles a fin de usarse para las detecciones de autorización de dispositivos. Resultados: - Los atributos UEBA están integrados para la línea de base del dispositivo - Los atributos UEBA están disponibles para su uso con acceso al dispositivo	Microsoft Intune y Microsoft Defender para punto de conexión Administra dispositivos con Intune, implementa Defender para punto de conexión y configura una directiva de cumplimiento de dispositivos mediante la puntuación de riesgo de la máquina de Defender para punto de conexión. Consulta la guía de Microsoft en 2.1.4. Acceso condicional Crea directivas de acceso condicional que requieran un dispositivo compatible para el acceso a la aplicación. Consulta la guía de Microsoft en 2.2.1. Protección de Microsoft Entra ID Configura directivas de acceso condicional para los niveles de riesgo de identidad en Protección de Microsoft Entra ID. Consulta la guía 1.6.1 de Microsoft en Usuario.
`Advanced` 2.3.2 Supervisión de actividades de la entidad Pt2 Las organizaciones DoD usan la solución Actividad de comportamiento de usuarios y entidades (UEBA) con soluciones de acceso de red para exigir atributos UEBA (por ejemplo, estado del dispositivo, patrones de inicio de sesión, etc.) a fin de acceder a entornos y recursos. Resultado: - Los atributos UEBA se exigen para el acceso al dispositivo	Acceso condicional Usa señales de estado, ubicación y riesgo de identidad compatibles con Intune en las directivas de acceso condicional. Usa filtros de dispositivo para establecer como destino las directivas de acceso condicional en función de los atributos del dispositivo. Consulta la guía de Microsoft en 2.2.1 y en 2.3.1.
`Target` 2.3.3 Implementación de herramientas de control de aplicaciones y supervisión de integridad de archivos (FIM) Las organizaciones DoD adquieren e implementan soluciones de supervisión de integridad de archivos (FIM) y de control de aplicaciones. FIM continúa el desarrollo y la expansión de la supervisión en el pilar de datos. El control de aplicaciones se implementa en entornos de bajo riesgo en un modo de solo supervisión que establece asignaciones de línea de base. Los equipos de control de aplicaciones que se están integrando con los entornos PKI de empresa y organización usan certificados para las asignaciones de aplicaciones. NextGen AV cubre todos los servicios y aplicaciones posibles Resultados: - Las herramientas AppControl y FIM se implementan en todos los servicios o aplicaciones críticos - Las herramientas EDR cubren la cantidad máxima de servicios o aplicaciones - Los datos de AppControl y FIM se envían a C2C según sea necesario.	Microsoft Defender para puntos de conexión Defender para puntos de conexión agrega señales de supervisión de integridad de archivos (FIM), control de aplicaciones, antivirus de próxima generación (NGAV), etc., para obtener una puntuación de riesgo del equipo. - Protección de próxima generación - Antivirus para dispositivos administrados - Acceso controlado a carpetas Microsoft Intune Configure las directivas de seguridad de puntos de conexión de App Control en Microsoft Intune. - Aplicaciones aprobadas con la directiva App Control for Business - Windows Defender AppControl y reglas de archivos Acceso condicional Para lograr el modelo "cumplir para conectarse" (C2C), integre aplicaciones con Microsoft Entra ID y exija un control de concesión de dispositivos que cumplan las normas en Acceso condicional. Consulte las directrices de Microsoft en 2.2.2.
`Advanced` 2.3.4 Integración de las herramientas NextGen AV C2C Las organizaciones DoD adquieren e implementan soluciones antivirus y antimalware de última generación según sea necesario. Estas soluciones se integran con la implementación inicial de Cumplimiento para conectarse en las comprobaciones de estado de línea de base de firmas, actualizaciones, etc. Resultados: - Se envían datos críticos de NextGen AV a C2C para realizar comprobaciones - Las herramientas de NextGen AV se implementan en todos los servicios o aplicaciones críticos	Microsoft Intune Crea directivas de cumplimiento de dispositivos para antivirus y la puntuación de riesgo de la máquina de Microsoft Defender para punto de conexión. - Directiva antivirus para la seguridad de puntos de conexión Consulta la guía de Microsoft en 2.2.2.
`Advanced` 2.3.5 Integración completa de la pila de seguridad de dispositivos con C2C según corresponda Las organizaciones DoD continúan la implementación del Control de aplicaciones en todos los entornos y en modo de prevención. La supervisión de la integridad de los archivos (FIM) y el análisis de Controles de aplicaciones se integran en Cumplimiento para conectarse para los puntos de datos de toma de decisiones de acceso expandidos. Los análisis de Cumplimiento para conectarse se evalúan para otros puntos de datos de la pila de seguridad de dispositivos o puntos de conexión, como UEDM, y se integran según sea necesario. Resultados: - La implementación de AppControl y FIM se expande a todos los servicios o aplicaciones necesarios - Se implementan los datos restantes de las herramientas de seguridad de dispositivos con C2C	Finalización de la actividad 2.3.4. Aplicaciones de Microsoft Defender for Cloud Identifica y controla aplicaciones en la nube de riesgo con directivas de aplicaciones de Defender for Cloud. - Control de aplicaciones en la nube con directivas
`Advanced` 2.3.6 PKI de empresa Pt1 La infraestructura de clave pública (PKI) de empresa de DoD se amplía para incluir la incorporación de certificados NPE y de dispositivo. Los NPE y los dispositivos que no admiten certificados PKI se marcan para la retirada y se inicia la retirada. Resultados: - Los dispositivos que no pueden tener certificados se eliminan o se mueven a entornos de acceso mínimos - Todos los dispositivos y NPE tienen certificados instalados para la autenticación en la PKI de empresa	Microsoft Intune Usa Microsoft Intune para implementar certificados PKI de DoD en dispositivos. Consulta la guía de Microsoft en 2.1.2. Directiva de administración de aplicaciones Configura la directiva de administración de aplicaciones de inquilino para restringir las credenciales de aplicación a los certificados que emite la PKI de empresa. Consulta la guía 1.5.3 de Microsoft en Usuario. Aplicaciones de Microsoft Defender for Cloud Configura directivas de acceso a fin de requerir certificados de cliente para el acceso a aplicaciones y bloquear el acceso no autorizado a dispositivos. - Directivas de acceso
`Advanced` 2.3.7 PKI de empresa Pt2 Las organizaciones DoD usan certificados para la autenticación de dispositivos y las comunicaciones de máquina a máquina. Los dispositivos no admitidos completan la retirada y las excepciones se aprueban mediante un enfoque metódico basado en riesgos. Resultado: - Los dispositivos deben autenticarse para comunicarse con otros servicios y dispositivos.	Microsoft Intune y el acceso condicional Integra aplicaciones con Microsoft Entra ID, administra dispositivos con Intune, protege dispositivos con Microsoft Defender para punto de conexión y configura directivas de cumplimiento. Incluye una directiva de cumplimiento para la puntuación de riesgo de la máquina de Defender para punto de conexión. Exige el control de concesión compatible en las directivas de acceso condicional. Consulta la guía de Microsoft en 2.2.2.

2.4 Acceso remoto

Microsoft Entra ID es un proveedor de identidades (IdP) con un enfoque de "denegar de manera predeterminada". Si usas Microsoft Entra para el inicio de sesión de la aplicación, los usuarios autentican y pasan comprobaciones de directiva de acceso condicional antes de que Microsoft Entra autorice el acceso. Puedes usar Microsoft Entra ID para proteger las aplicaciones hospedadas en la nube o en el entorno local.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 2.4.1 Denegación de dispositivo de manera predeterminada Las organizaciones DoD bloquean el acceso a los recursos a todos los dispositivos remotos y locales no administrados. A los dispositivos administrados compatibles se les proporciona acceso metódico basado en riesgos siguiendo los conceptos de nivel de destino de ZTA. Resultados: - Los componentes pueden bloquear el acceso de dispositivos de manera predeterminada a los recursos (aplicaciones o datos) y permitir explícitamente dispositivos compatibles por directiva - El acceso remoto está habilitado siguiendo un enfoque de "denegar dispositivo de manera predeterminada".	Aplicaciones de Microsoft Entra ID El acceso a aplicaciones y recursos que protege Microsoft Entra ID está denegado de manera predeterminada. El acceso a recursos requiere autenticación, derechos activos y autorización mediante directivas de acceso condicional. - Integración de aplicaciones - Integración de aplicaciones Microsoft Intune Administra dispositivos con Intune. Configura directivas de cumplimiento del dispositivo. Exige el cumplimiento del dispositivo en las directivas de acceso condicional para todos los usuarios y aplicaciones. Consulta la guía de Microsoft en 2.2.1.
`Target` 2.4.2 Soporte técnico de BYOD e IoT administrado y limitado Las organizaciones DoD usan la Administración unificada de dispositivos y puntos de conexión (UEDM) y soluciones similares para asegurarse de que los dispositivos administrados de tipo trae tu propio dispositivo (BYOD) e Internet de las cosas (IoT) están totalmente integrados con el IdP empresarial y se admite la autorización basada en usuarios y dispositivos. El acceso al dispositivo para todas las aplicaciones requiere directivas de acceso dinámico. Resultados: - Todas las aplicaciones requieren acceso de permisos dinámicos para dispositivos - Los permisos de dispositivo BYOD e IoT tienen línea de base y están integrados con el IdP empresarial	Finalización de la actividad 2.4.1 Microsoft Intune Usa la administración de dispositivos de Intune y la administración de aplicaciones móviles para traer tu propio dispositivo (BYOD). - Administración de aplicaciones móviles para dispositivos no inscritos - Directivas de protección de aplicaciones Acceso condicional Exige directivas de protección de aplicaciones o dispositivos compatibles en el acceso condicional para todos los usuarios y aplicaciones. - Directiva de protección de aplicaciones o aplicaciones aprobadas - Directiva de protección de aplicaciones en dispositivos Windows Id. externa de Microsoft Entra Configura opciones de acceso entre inquilinos para controles de dispositivos compatibles con confianza desde asociados de confianza. - Configuración de acceso entre inquilinos para la colaboración B2B Microsoft Defender para IoT Implementa sensores de Defender para IoT a fin de obtener visibilidad, y también para supervisar y proteger dispositivos IoT y de tecnología operativa (OT). Asegúrate de que el software del dispositivo esté actualizado y cambia las contraseñas locales. No uses contraseñas predeterminadas. - Defender para IoT - Seguridad de IoT y OT con Confianza cero - Estrategia de ciberseguridad nacional de EE. UU. para proteger dispositivos IoT
`Advanced` 2.4.3 Soporte técnico de BYOD e IoT administrado y completo Pt1 Las organizaciones DoD usan la Administración unificada de dispositivos y puntos de conexión (UEDM) y soluciones similares para permitir el acceso a dispositivos administrados y aprobados a aplicaciones o servicios críticos de misión y operativos mediante directivas de acceso dinámico. Los dispositivos BYOD y de Internet de las cosas (IoT) son necesarios para cumplir las comprobaciones de línea de base estándar antes de la autorización. Resultados: - Solo los dispositivos BYOD e IoT que cumplen los estándares de configuración obligatorios tienen permiso para acceder a los recursos - Los servicios críticos requieren acceso dinámico para los dispositivos	Finalización de la actividad 2.4.2 Aplicaciones de Microsoft Defender for Cloud Configura directivas de acceso a fin de requerir certificados de cliente para el acceso a aplicaciones. Bloquea el acceso desde dispositivos no autorizados. Consulta la guía de Microsoft en 2.3.6.
`Advanced` 2.4.4 Soporte técnico de BYOD e IoT administrado y completo Pt2 Las organizaciones DoD usan la Administración unificada de dispositivos y puntos de conexión (UEDM) y soluciones similares para permitir el acceso a dispositivos no administrados que cumplen comprobaciones de dispositivos y líneas de base estándar. Todos los servicios o aplicaciones posibles están integrados para permitir el acceso a dispositivos administrados. Los dispositivos no administrados se integran con servicios o aplicaciones basados en el enfoque de autorización metódica controlada por riesgos. Resultado: - Todos los servicios posibles requieren acceso dinámico para los dispositivos	Azure Virtual Desktop Implementa Azure Virtual Desktop (AVD) para admitir el acceso remoto desde dispositivos no administrados. Une las máquinas virtuales del host de sesión de AVD a Microsoft Entra y administra el cumplimiento con Microsoft Intune. Permite el inicio de sesión en AVD con autenticación sin contraseña o un autenticador resistente a la suplantación de identidad sin contraseña desde dispositivos no administrados. - Máquinas virtuales unidas a Microsoft Entra en AVD - Intensidad de autenticación Aplicaciones de Microsoft Defender for Cloud Usa el control de sesión de aplicaciones de Defender for Cloud para supervisar y restringir las sesiones web de dispositivos no administrados. - Directivas de sesión

2.5 Administración de recursos, vulnerabilidades y revisiones parcial y totalmente automatizada

Microsoft Endpoint Manager admite soluciones basadas en la nube e híbridas (administración conjunta) para la administración de dispositivos. Las directivas de configuración y cumplimiento garantizan que los dispositivos cumplan los requisitos de configuración de nivel de revisión y seguridad de tu organización.

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft

Target 2.5.1 Implementación de las herramientas de administración de activos, vulnerabilidades y revisiones
Las organizaciones DoD implementan soluciones para administrar configuraciones de recursos o dispositivos, vulnerabilidades y revisiones. El uso de estándares de cumplimiento mínimos (por ejemplo, STIG, etc.) puede confirmar o denegar el cumplimiento de dispositivos administrados. Como parte del proceso de adquisición e implementación de soluciones, las API u otras interfaces programáticas estarán en el ámbito de los niveles futuros de automatización e integración.

Resultados:
- Los componentes pueden confirmar si los dispositivos cumplen los estándares mínimos de cumplimiento
- Los componentes tienen sistemas de administración de recursos, vulnerabilidades y revisiones con API que permitirán la integración en los sistemas. Microsoft Intune
Administrar dispositivos en Intune.

Consulte las instrucciones de Microsoft en 2.1.4.

Usar la administración conjunta de Microsoft Endpoint Manager para dispositivos de punto de conexión heredados.
- Administración de puntos de conexión
- Administración conjunta

Configurar y actualizar directivas para plataformas de dispositivos administradas con Intune.
- Directivas de actualización de software de iOS y iPadOS
- Directivas de actualización de software de macOS
- Actualizaciones de Android FOTA
- Actualizaciones de Windows 10 y 11

Microsoft Defender para punto de conexión
Integrar Microsoft Defender para punto de conexión con Microsoft Intune. Corrija las vulnerabilidades del punto de conexión con las directivas de configuración de Microsoft Intune.
- Administración de vulnerabilidades de Microsoft Defender
- Usar Microsoft Intune y vulnerabilidades identificadas por Microsoft Defender para punto de conexión

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 2.5.1 Implementación de las herramientas de administración de activos, vulnerabilidades y revisiones Las organizaciones DoD implementan soluciones para administrar configuraciones de recursos o dispositivos, vulnerabilidades y revisiones. El uso de estándares de cumplimiento mínimos (por ejemplo, STIG, etc.) puede confirmar o denegar el cumplimiento de dispositivos administrados. Como parte del proceso de adquisición e implementación de soluciones, las API u otras interfaces programáticas estarán en el ámbito de los niveles futuros de automatización e integración. Resultados: - Los componentes pueden confirmar si los dispositivos cumplen los estándares mínimos de cumplimiento - Los componentes tienen sistemas de administración de recursos, vulnerabilidades y revisiones con API que permitirán la integración en los sistemas.	Microsoft Intune Administrar dispositivos en Intune. Consulte las instrucciones de Microsoft en 2.1.4. Usar la administración conjunta de Microsoft Endpoint Manager para dispositivos de punto de conexión heredados. - Administración de puntos de conexión - Administración conjunta Configurar y actualizar directivas para plataformas de dispositivos administradas con Intune. - Directivas de actualización de software de iOS y iPadOS - Directivas de actualización de software de macOS - Actualizaciones de Android FOTA - Actualizaciones de Windows 10 y 11 Microsoft Defender para punto de conexión Integrar Microsoft Defender para punto de conexión con Microsoft Intune. Corrija las vulnerabilidades del punto de conexión con las directivas de configuración de Microsoft Intune. - Administración de vulnerabilidades de Microsoft Defender - Usar Microsoft Intune y vulnerabilidades identificadas por Microsoft Defender para punto de conexión

2.6 Administración unificada de puntos de conexión y administración de dispositivos móviles

Las directivas de configuración y cumplimiento de Microsoft Intune garantizan que los dispositivos cumplan los requisitos de configuración de seguridad de la organización. Intune evalúa las directivas de cumplimiento y marca los dispositivos como compatibles o no compatibles. Las directivas de acceso condicional pueden usar el estado de cumplimiento de los dispositivos para impedir que los usuarios con dispositivos no compatibles accedan a los recursos que protege Microsoft Entra ID.

La configuración de acceso entre inquilinos de Id. externa de Microsoft Entra incluye la configuración de confianza para la colaboración de invitados. Esta configuración se puede personalizar para cada inquilino del asociado. Cuando confíe en dispositivos compatibles con otro inquilino, los invitados que usen dispositivos compatibles en su inquilino principal satisfarán las directivas de acceso condicional que requieran los dispositivos compatibles en el inquilino. No es necesario realizar excepciones a las directivas de acceso condicional para evitar el bloqueo de invitados externos.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 2.6.1 Implementación de UEDM o herramientas equivalentes Las organizaciones DoD trabajarán estrechamente con la actividad "Implementar herramientas de administración de activos, vulnerabilidades y revisiones" para adquirir e implementar soluciones de Administración unificada de dispositivos y puntos de conexión (UEDM) que garantizan que los requisitos se integren con el proceso de adquisición. Una vez que se adquiere una solución, los equipos de UEDM garantizan que las funciones de destino de ZT críticas, como el cumplimiento mínimo, la administración de recursos y la compatibilidad con las API estén en vigor. Resultados: - Los componentes pueden confirmar si los dispositivos cumplen los estándares mínimos de cumplimiento - Los componentes tienen sistemas de administración de recursos para dispositivos de usuario (teléfonos, escritorios, portátiles) que mantienen el cumplimiento de TI, que se notifica a DoD empresarial - Los sistemas de administración de recursos de componentes pueden proporcionar mediante programación, es decir, mediante API, el estado de cumplimiento del dispositivo y si cumple los estándares mínimos	Finalización de la actividad 2.3.2 Microsoft Intune El estado de cumplimiento del dispositivo está integrado con el proveedor de identidades (IdP), Microsoft Entra ID, mediante las señales de cumplimiento de Intune en el acceso condicional. Vea el estado de cumplimiento del dispositivo en el Centro de administración de Microsoft Entra o mediante Microsoft Graph API. - Directivas de cumplimiento - Informes de Intune Id. externa de Microsoft Entra Para ampliar las directivas de cumplimiento de dispositivos a los usuarios externos a la organización, configura las opciones de acceso entre inquilinos para confiar en MFA y las notificaciones de dispositivo compatibles de los inquilinos de DoD de confianza. - Acceso entre inquilinos Microsoft Graph API Las API de Microsoft Graph consultan el estado de cumplimiento del dispositivo. - API de cumplimiento y privacidad
`Target` 2.6.2 Administración de dispositivos empresariales Pt1 Las organizaciones DoD migran el inventario manual de dispositivos a un enfoque automatizado mediante la solución de Administración unificada de dispositivos y puntos de conexión. Los dispositivos aprobados se pueden administrar independientemente de la ubicación. Los dispositivos que forman parte de los servicios críticos deben administrarse mediante la solución de Administración unificada de dispositivos y puntos de conexión que admite la automatización. Resultados: - El inventario manual se integra con una solución de administración automatizada para servicios críticos - Habilitación de la administración de dispositivos ZT (desde cualquier ubicación, con o sin acceso remoto)	Microsoft Intune y el acceso condicional Administra dispositivos con Microsoft Intune. Configura directivas de cumplimiento del dispositivo. Exige el cumplimiento del dispositivo en las directivas de acceso condicional. Consulta la guía de Microsoft en 2.1.4.
`Target` 2.6.3 Administración de Dispositivos Empresariales Pt2 DoD Organizations migra los dispositivos restantes a la solución Enterprise Device Management. La solución EDM se integra con soluciones de riesgo y cumplimiento según corresponda. Resultado: - El inventario manual se integra con una solución de administración automatizada para todos los servicios	Microsoft Intune y el acceso condicional Administrar dispositivos con Intune. Configura directivas de cumplimiento del dispositivo. Requerir un dispositivo compatible en las directivas de acceso condicional. Consulte las instrucciones de Microsoft en 2.1.4.

2.7 Detección y respuesta ampliadas y de punto de conexión (EDR y XDR)

El conjunto de defensa unificada de Microsoft Defender XDR coordina la detección, prevención, investigación y respuesta entre puntos de conexión, identidades, correo electrónico y aplicaciones. Los componentes de Microsoft Defender XDR detectan ataques sofisticados y defienden frente a estos.

La integración de componentes de Microsoft Defender XDR amplía la protección más allá de los dispositivos. Consulta los eventos de detección de ejemplo que contribuyen al nivel de riesgo del usuario en Protección de Microsoft Entra ID:

Patrones de envío de correo electrónico sospechosos que detecta Microsoft Defender para Office.
Detecciones de viajes imposibles en aplicaciones de Microsoft Defender for Cloud.
Intentos de acceso al token de actualización principal que detecta Microsoft Defender para punto de conexión.

Las directivas de acceso condicional basadas en riesgos pueden proteger, limitar o bloquear el acceso a los servicios en la nube para el usuario de riesgo, incluso si usan un dispositivo compatible en una red de confianza.

Para obtener más información, consulta la habilitación de componentes de Microsoft Defender XDR y ¿Cuáles son los riesgos?

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 2.7.1 Implementación de herramientas de Detección y respuesta de puntos de conexión (EDR) e integración con C2C Las organizaciones DoD adquieren e implementan soluciones de Detección y respuesta de puntos de conexión (EDR) en los entornos. EDR protege, supervisa y responde a actividades malintencionadas y anómalas que permiten la función ZT Target y envía datos a la solución Cumplimiento para conectarse para comprobaciones ampliadas de dispositivos y usuarios. Resultados: - Implementación de las herramientas de Detección y respuesta de puntos de conexión - Envío de datos críticos de EDR a C2C para realizar comprobaciones - Las herramientas de NextGen AV cubren la cantidad máxima de servicios o aplicaciones	Microsoft Defender para punto de conexión Implementa Defender para punto de conexión para dispositivos de usuario final. Consulta la guía 2.3.1 de Microsoft en esta sección. Microsoft Intune Configuración de directivas de cumplimiento de dispositivos de Intune. Incluya la puntuación de riesgo de la máquina de Defender para punto de conexión para el cumplimiento de directivas. Consulte la guía de Microsoft 2.1.4. y en 2.3.2. Microsoft Defender for Cloud Habilitación de Microsoft Defender para Server para suscripciones con máquinas virtuales (VM) en Azure. Los planes de Defender for Server incluyen Defender for Cloud para servidores. - Defender para servidor Usa servidores habilitados para Azure Arc a fin de administrar y proteger servidores físicos y máquinas virtuales Windows y Linux fuera de Azure. Implementa el agente de Azure Arc para servidores hospedados fuera de Azure. Incorpora servidores habilitados para Arc a una suscripción que proteja Microsoft Defender for Server. - Servidores habilitados para Azure Arc - Agente de Azure Connected Machine
`Target` 2.7.2 Implementación de herramientas de Detección y respuesta ampliadas (XDR) e integración con C2C Pt1 Las organizaciones DoD adquieren e implementan soluciones de Detección y respuesta ampliadas (XDR). Los puntos de integración con capacidades de pilar cruzado se identifican y priorizan en función del riesgo. Los puntos de integración más arriesgados se accionan y se inicia la integración. EDR continúa la cobertura de puntos de conexión para incluir el número máximo de servicios y aplicaciones como parte de la implementación de XDR. Los análisis básicos se envían desde la pila de soluciones de XDR a la SIEM. Resultados: - Se han identificado puntos de integración según la capacidad - Los puntos de integración más arriesgados se han integrado con XDR - Las alertas básicas están en vigor con SIEM u otros mecanismos	Microsoft Defender XDR Piloto e implementación de componentes y servicios de Microsoft Defender XDR. - Defender XDR - Sentinel y Defender XDR para Confianza cero Configurar integraciones de componentes de Microsoft Defender XDR implementados. - Defender para punto de conexión con aplicaciones de Defender for Cloud - Defender for Identity y aplicaciones de Defender for Cloud - Information Protection de Purview y aplicaciones de Defender for Cloud Microsoft Sentinel Configurar conectores de datos de Sentinel para Microsoft Defender XDR. Habilita las reglas de análisis. - Instalación de Defender XDR - Conexión de los datos de Defender XDR a Sentinel
`Advanced` 2.7.3 Implementación de herramientas de Detección y respuesta ampliadas (XDR) e integración con C2C Pt2 La pila de soluciones XDR completa la identificación de los puntos de integración que amplían la cobertura a lo máximo posible. Se realiza un seguimiento de las excepciones y se administra mediante un enfoque metódico basado en riesgos para una operación continua. Los análisis ampliados que habilitan las funciones avanzadas de ZT se integran en SIEM y otras soluciones adecuadas. Resultados: - Se han integrado los puntos de integración restantes según corresponde - Las alertas y la respuesta ampliadas se habilitan con otras herramientas de análisis al menos mediante SIEM	Microsoft Defender XDR Usa Microsoft Defender XDR en la estrategia de operaciones de seguridad. - Integración de Defender XDR en operaciones de seguridad

Pasos siguientes

Configuración de servicios en la nube de Microsoft para la estrategia de confianza cero del DoD:

Compartir a través de