Configuración del acceso condicional en Microsoft Defender para punto de conexión

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender XDR

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Esta sección le guía por todos los pasos que debe seguir para implementar correctamente el acceso condicional.

Antes de empezar

Advertencia

Es importante tener en cuenta que Microsoft Entra dispositivos registrados no se admiten en este escenario.
Solo se admiten Intune dispositivos inscritos.

Debe asegurarse de que todos los dispositivos están inscritos en Intune. Puede usar cualquiera de las siguientes opciones para inscribir dispositivos en Intune:

• Administración de TI: para obtener más información sobre cómo habilitar la inscripción automática, vea Inscripción de Windows.
• Usuario final: para obtener más información sobre cómo inscribir el dispositivo Windows 10 y Windows 11 en Intune, consulte Inscripción del dispositivo Windows 10 en Intune
• Alternativa para el usuario final: para obtener más información sobre cómo unirse a un dominio de Microsoft Entra, vea How to: Plan your Microsoft Entra join implementation (Cómo: Planear la implementación de la combinación de Microsoft Entra).

Hay pasos que deberá seguir en Microsoft Defender XDR, el portal de Intune y Centro de administración Microsoft Entra.

Es importante tener en cuenta los roles necesarios para acceder a estos portales e implementar el acceso condicional:

• Microsoft Defender XDR: deberá iniciar sesión en el portal con un rol de administrador global para activar la integración.
• Intune: deberá iniciar sesión en el portal con derechos de administrador de seguridad con permisos de administración.
• Centro de administración Microsoft Entra: deberá iniciar sesión como administrador global, administrador de seguridad o administrador de acceso condicional.

Nota:

Necesitará un entorno de Microsoft Intune, con Intune dispositivos de Windows 10 Microsoft Entra y Windows 11 administrados y unidos.

Siga estos pasos para habilitar el acceso condicional:

• Paso 1: Activar la conexión Microsoft Intune desde Microsoft Defender XDR
• Paso 2: Activar la integración de Defender para punto de conexión en Intune
• Paso 3: Create la directiva de cumplimiento en Intune
• Paso 4: Asignar la directiva
• Paso 5: Create una directiva de acceso condicional de Microsoft Entra

Paso 1: Activar la conexión Microsoft Intune

1. En el panel de navegación, seleccione Configuración>Puntos de conexiónCaracterísticas>avanzadas> generales >Microsoft Intune conexión.
2. Cambie el valor de Microsoft Intune a Activado.
3. Haga clic en Guardar preferencias.

Paso 2: Activar la integración de Defender para punto de conexión en Intune

1. Inicio de sesión en el portal de Intune
2. Seleccione Seguridad> del punto de conexión Microsoft Defender para punto de conexión.
3. Establezca Conectar dispositivos Windows 10.0.15063+ en Microsoft Defender Advanced Threat Protectionen Activado.
4. Haga clic en Guardar.

Paso 3: Create la directiva de cumplimiento en Intune

1. En el Azure Portal, seleccione Todos los servicios, filtre por Intune y seleccione Microsoft Intune.

2. SeleccioneDirectivas>de cumplimiento> de dispositivos Create directiva.

3. Escriba un nombre y una descripción.

4. En Plataforma, seleccione Windows 10 y versiones posteriores.

5. En la configuración de Estado del dispositivo, establezca Requerir que el dispositivo esté en el nivel de amenaza del dispositivo o en el nivel de amenaza del dispositivo en el nivel que prefiera:

   • Protegido: este nivel es el más seguro. El dispositivo no puede tener ninguna amenaza existente y seguir teniendo acceso a los recursos de la empresa. Si se encuentra alguna amenaza, el dispositivo se clasificará como no conforme.
   • Bajo: el dispositivo se evalúa como compatible solo si hay amenazas de nivel bajo. Los dispositivos con niveles de amenaza medio o alto no son compatibles.
   • Medio: el dispositivo se evalúa como compatible si las amenazas que se encuentran en él son de nivel bajo o medio. Si se detectan amenazas de nivel alto, se determinará que el dispositivo no es compatible.
   • Alto: este nivel es el menos seguro y permite todos los niveles de amenaza. Por lo tanto, los dispositivos que tienen niveles de amenaza altos, medios o bajos se consideran compatibles.

6. Seleccione Aceptar y Create para guardar los cambios (y crear la directiva).

Paso 4: Asignar la directiva

1. En el Azure Portal, seleccione Todos los servicios, filtre por Intune y seleccione Microsoft Intune.
2. Seleccione Directivas de cumplimiento>de> dispositivos y seleccione la directiva de cumplimiento de Microsoft Defender para punto de conexión.
3. Seleccione Asignaciones.
4. Incluya o excluya los grupos de Microsoft Entra para asignarles la directiva.
5. Para implementar la directiva en los grupos, seleccione Guardar. Los dispositivos de usuario de destino de la directiva se evalúan para el cumplimiento.

Paso 5: Create una directiva de acceso condicional de Microsoft Entra

1. En el Azure Portal, abra Microsoft Entra ID>Acondicionar nuevadirectiva de acceso >condicional.

2. Escriba un nombre de directiva y seleccione Usuarios y grupos. Utilice las opciones Incluir o Excluir para agregar los grupos para la directiva y seleccione Listo.

3. Seleccione Aplicaciones en la nube y elija qué aplicaciones proteger. Por ejemplo, elija Seleccionar aplicaciones y seleccione Office 365 SharePoint Online y Office 365 Exchange Online. Seleccione Listo para guardar los cambios.

4. Seleccione Condiciones>Aplicaciones cliente para aplicar la directiva a las aplicaciones y los exploradores. Por ejemplo, seleccione Sí y habilite Explorador y Aplicaciones móviles y aplicaciones de escritorio. Seleccione Listo para guardar los cambios.

5. Seleccione Conceder para aplicar el acceso condicional basado en el cumplimiento del dispositivo. Por ejemplo, seleccione Conceder acceso>requieren que los dispositivos se marquen como compatibles. Elija Seleccionar para guardar los cambios.

6. Seleccione Habilitar directiva y luego crear para guardar los cambios.

Nota:

Puede usar la aplicación Microsoft Defender para punto de conexión junto con la aplicación cliente aprobada, la directiva de Protección de aplicaciones y los controles de dispositivo compatible (requerir que el dispositivo se marque como compatible) en Microsoft Entra directivas de acceso condicional. No se requiere ninguna exclusión para la aplicación Microsoft Defender para punto de conexión al configurar el acceso condicional. Aunque Microsoft Defender para punto de conexión en Android & iOS (id. de aplicación - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) no es una aplicación aprobada, es capaz de notificar la posición de seguridad del dispositivo en los tres permisos de concesión.

Sin embargo, Defender solicita internamente el ámbito MSGraph/User.read y Intune ámbito de Túnel (en el caso de escenarios de Defender+Túnel). Por lo tanto, estos ámbitos deben excluirse*. Para excluir el ámbito MSGraph/User.read, se puede excluir cualquier aplicación en la nube. Para excluir el ámbito de Tunnel, debe excluir "Puerta de enlace de Microsoft Tunnel". Estos permisos y exclusiones permiten el flujo de información de cumplimiento al acceso condicional.

*Tenga en cuenta que la aplicación de una directiva de acceso condicional a Todas las aplicaciones en la nube podría bloquear involuntariamente el acceso de los usuarios en algunos casos, por lo que no se recomienda. Obtenga más información sobre las directivas de acceso condicional en Cloud Apps.

Para obtener más información, consulte Exigencia del cumplimiento de Microsoft Defender para punto de conexión con acceso condicional en Intune.

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.