Configuración del acceso condicional en Microsoft Defender para punto de conexión
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender XDR
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Esta sección le guía por todos los pasos que debe seguir para implementar correctamente el acceso condicional.
Antes de empezar
Advertencia
Es importante tener en cuenta que Microsoft Entra dispositivos registrados no se admiten en este escenario. Solo se admiten Intune dispositivos inscritos.
Debe asegurarse de que todos los dispositivos están inscritos en Intune. Puede usar cualquiera de las siguientes opciones para inscribir dispositivos en Intune:
- Administración de TI: para obtener más información sobre cómo habilitar la inscripción automática, vea Habilitar la inscripción automática de Windows.
- Usuario final: para obtener más información sobre cómo inscribir el dispositivo Windows 10 y Windows 11 en Intune, consulte Inscripción del dispositivo Windows en Intune.
- Alternativa para el usuario final: para obtener más información sobre cómo unirse a un dominio de Microsoft Entra, vea How to: Plan your Microsoft Entra join implementation (Cómo: Planear la implementación de la combinación de Microsoft Entra).
Hay pasos que debe seguir en el portal de Microsoft Defender, el portal de Intune y Centro de administración Microsoft Entra.
Es importante tener en cuenta los roles necesarios para acceder a estos portales e implementar el acceso condicional:
- Microsoft Defender portal: tendrá que iniciar sesión en el portal con un rol adecuado para activar la integración. Consulte Opciones de permisos.
- Intune: deberá iniciar sesión en el portal con derechos de administrador de seguridad con permisos de administración.
- Centro de administración Microsoft Entra: deberá iniciar sesión como administrador de seguridad o administrador de acceso condicional.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Necesitará un entorno de Microsoft Intune, con Intune dispositivos de Windows 10 Microsoft Entra y Windows 11 administrados y unidos.
Siga estos pasos para habilitar el acceso condicional:
- Paso 1: Activar la conexión Microsoft Intune desde Microsoft Defender XDR
- Paso 2: Activar la integración de Defender para punto de conexión en Intune
- Paso 3: Crear la directiva de cumplimiento en Intune
- Paso 4: Asignar la directiva
- Paso 5: Creación de una directiva de acceso condicional de Microsoft Entra
Paso 1: Activar la conexión Microsoft Intune
En el panel de navegación, seleccione Configuración>Puntos de conexiónCaracterísticas>avanzadas> generales >Microsoft Intune conexión.
Cambie el valor de Microsoft Intune a Activado.
Haga clic en Guardar preferencias.
Paso 2: Activar la integración de Defender para punto de conexión en Intune
Inicio de sesión en el portal de Intune
Seleccione Seguridad> del punto de conexión Microsoft Defender para punto de conexión.
Establezca Conectar dispositivos Windows 10.0.15063+ en Microsoft Defender Advanced Threat Protectionen Activado.
Haga clic en Guardar.
Paso 3: Crear la directiva de cumplimiento en Intune
En el Azure Portal, seleccione Todos los servicios, filtre por Intune y seleccione Microsoft Intune.
Seleccione Directivas de cumplimiento>de>dispositivos Crear directiva.
Escriba un nombre y una descripción.
En Plataforma, seleccione Windows 10 y versiones posteriores.
En la configuración de Estado del dispositivo, establezca Requerir que el dispositivo esté en el nivel de amenaza del dispositivo o en el nivel de amenaza del dispositivo en el nivel que prefiera:
- Protegido: este nivel es el más seguro. El dispositivo no puede tener ninguna amenaza existente y seguir teniendo acceso a los recursos de la empresa. Si se encuentra alguna amenaza, el dispositivo se clasificará como no conforme.
- Bajo: el dispositivo se evalúa como compatible solo si hay amenazas de nivel bajo. Los dispositivos con niveles de amenaza medio o alto no son compatibles.
- Medio: el dispositivo se evalúa como compatible si las amenazas que se encuentran en él son de nivel bajo o medio. Si se detectan amenazas de nivel alto, se determinará que el dispositivo no es compatible.
- Alto: este nivel es el menos seguro y permite todos los niveles de amenaza. Por lo tanto, los dispositivos que tienen niveles de amenaza altos, medios o bajos se consideran compatibles.
Seleccione Aceptar y Crear para guardar los cambios (y crear la directiva).
Paso 4: Asignar la directiva
En el Azure Portal, seleccione Todos los servicios, filtre por Intune y seleccione Microsoft Intune.
Seleccione Directivas de cumplimiento>de> dispositivos y seleccione la directiva de cumplimiento de Microsoft Defender para punto de conexión.
Seleccione Asignaciones.
Incluya o excluya los grupos de Microsoft Entra para asignarles la directiva.
Para implementar la directiva en los grupos, seleccione Guardar. Los dispositivos de usuario de destino de la directiva se evalúan para el cumplimiento.
Paso 5: Creación de una directiva de acceso condicional de Microsoft Entra
En el Azure Portal, abra Microsoft Entra ID>Acondicionar nuevadirectiva de acceso >condicional.
Escriba un nombre de directiva y seleccione Usuarios y grupos. Utilice las opciones Incluir o Excluir para agregar los grupos para la directiva y seleccione Listo.
Seleccione Aplicaciones en la nube y elija qué aplicaciones proteger. Por ejemplo, elija Seleccionar aplicaciones y seleccione Office 365 SharePoint Online y Office 365 Exchange Online. Seleccione Listo para guardar los cambios.
Seleccione Condiciones>Aplicaciones cliente para aplicar la directiva a las aplicaciones y los exploradores. Por ejemplo, seleccione Sí y habilite Explorador y Aplicaciones móviles y aplicaciones de escritorio. Seleccione Listo para guardar los cambios.
Seleccione Conceder para aplicar el acceso condicional basado en el cumplimiento del dispositivo. Por ejemplo, seleccione Conceder acceso>requieren que los dispositivos se marquen como compatibles. Elija Seleccionar para guardar los cambios.
Seleccione Habilitar directiva y luego crear para guardar los cambios.
Nota:
Puede usar la aplicación Microsoft Defender para punto de conexión junto con la aplicación cliente aprobada, la directiva de Protección de aplicaciones y los controles de dispositivo compatible (requerir que el dispositivo se marque como compatible) en Microsoft Entra directivas de acceso condicional. No se requiere ninguna exclusión para la aplicación Microsoft Defender para punto de conexión al configurar el acceso condicional. Aunque Microsoft Defender para punto de conexión en Android & iOS (id. de aplicación - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) no es una aplicación aprobada, es capaz de notificar la posición de seguridad del dispositivo en los tres permisos de concesión.
Sin embargo, Defender solicita internamente el ámbito MSGraph/User.read y Intune ámbito de Túnel (en el caso de escenarios de Defender+Túnel). Por lo tanto, estos ámbitos deben excluirse*. Para excluir el ámbito MSGraph/User.read, se puede excluir cualquier aplicación en la nube. Para excluir el ámbito de Tunnel, debe excluir "Puerta de enlace de Microsoft Tunnel". Estos permisos y exclusiones permiten el flujo de información de cumplimiento al acceso condicional.
La aplicación de una directiva de acceso condicional a Todas las aplicaciones en la nube podría bloquear involuntariamente el acceso de los usuarios en algunos casos, por lo que no se recomienda. Obtenga más información sobre las directivas de acceso condicional en Cloud Apps.
Para obtener más información, consulte Exigencia del cumplimiento de Microsoft Defender para punto de conexión con acceso condicional en Intune.
¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.