Compartir por

Administración de seguridad de puntos de conexión en Microsoft Intune

  • Artigo

Como administrador de seguridad, use el nodo Seguridad del punto de conexión en Intune para configurar la seguridad de los dispositivos y administrar las tareas de seguridad de los dispositivos cuando esos dispositivos están en riesgo. Las directivas de seguridad de punto de conexión están diseñadas para ayudarle a centrarse en la seguridad de los dispositivos y mitigar el riesgo. Las tareas disponibles pueden ayudarle a identificar dispositivos en riesgo, corregirlos y restaurarlos a un estado compatible o más seguro.

El nodo seguridad de punto de conexión agrupa las herramientas que están disponibles a través de Intune que puede usar para proteger los dispositivos:

  • Revise el estado de todos los dispositivos administrados. Use la vista Todos los dispositivos donde puede ver el cumplimiento de dispositivos desde un nivel alto. A continuación, profundice en dispositivos específicos para comprender qué directivas de cumplimiento no se cumplen para que pueda resolverlas.

  • Implemente líneas base de seguridad que establezcan configuraciones de seguridad de procedimientos recomendados para los dispositivos. Intune incluye líneas base de seguridad para dispositivos Windows y una lista creciente de aplicaciones, como Microsoft Defender para punto de conexión y Microsoft Edge. Las líneas base de seguridad son grupos preconfigurados de configuración de Windows que le ayudan a aplicar una configuración recomendada de los equipos de seguridad pertinentes.

  • Administre las configuraciones de seguridad en los dispositivos a través de directivas estrechamente centradas. Cada directiva de seguridad de punto de conexión se centra en aspectos de la seguridad del dispositivo, como antivirus, cifrado de disco, firewalls y varias áreas disponibles a través de la integración con Microsoft Defender para punto de conexión.

  • Establezca los requisitos de dispositivo y usuario a través de la directiva de cumplimiento. Con las directivas de cumplimiento, establece las reglas que los dispositivos y los usuarios deben cumplir para que se consideren compatibles. Las reglas pueden incluir versiones del sistema operativo, requisitos de contraseña, niveles de amenazas de dispositivo y mucho más.

    Al integrar con las directivas de acceso condicional de Microsoft Entra para aplicar las directivas de cumplimiento, puede gatear el acceso a los recursos corporativos para los dispositivos administrados y los dispositivos que aún no se administran.

  • Integre Intune con el equipo de Microsoft Defender para punto de conexión. Al integrar con Microsoft Defender para punto de conexión , obtiene acceso a las tareas de seguridad. Las tareas de seguridad vinculan estrechamente Microsoft Defender para punto de conexión e Intune para ayudar al equipo de seguridad a identificar los dispositivos que están en riesgo y entregar pasos de corrección detallados a los administradores de Intune que luego pueden realizar acciones.

En las secciones siguientes de este artículo se describen las diferentes tareas que puede realizar desde el nodo de seguridad de punto de conexión del centro de administración y los permisos de control de acceso basado en rol (RBAC) necesarios para usarlas.

Información general sobre la seguridad de los puntos de conexión

Al abrir el nodo Seguridad del punto de conexión en el Centro de administración de Microsoft Intune, el valor predeterminado es la página Información general.

La página Información general sobre la seguridad del punto de conexión presenta un panel consolidado con pantallas e información que se extrae de los nodos más centrados de la seguridad del punto de conexión, incluidos Antivirus, Detección y respuesta de puntos de conexión y Microsoft Defender para punto de conexión:

  • Estado del conector de Defender para punto de conexión : esta vista muestra el estado actual del conector de Defender para punto de conexión para todo el inquilino. La etiqueta de esta vista también sirve como vínculo para abrir el portal de Microsoft Defender para punto de conexión.

    Esta misma vista está disponible en la pestaña Resumen del nodo Directiva de respuesta y detección de puntos de conexión .

  • Dispositivos Windows incorporados a Defender para punto de conexión : en esta tabla se muestra el estado de todo el inquilino para la incorporación de la detección y respuesta de puntos de conexión (EDR), con recuentos de dispositivos que son y no están incorporados. La etiqueta de esta vista es un vínculo que abre la pestaña Resumen del nodo Detección de puntos de conexión y directiva de respuesta.

    Se incluyen dos vínculos adicionales:

    • Implementar directiva preconfigurada : este vínculo abre el nodo de directiva para la detección y respuesta de puntos de conexión, donde puede implementar una directiva para incorporar dispositivos a Defender.

    • Incorporación de dispositivos a Defender para punto de conexión : vínculo para abrir el portal de Defender, donde puede realizar otros pasos para incorporar dispositivos fuera del flujo de trabajo optimizado de Intune.

  • Estado del agente antivirus : esta vista muestra los detalles de resumen del informe de estado del agente antivirus de Intune, de lo contrario, está disponible en el Centro de administración de Intune. Para ello, vaya a Informes>del Antivirus de Microsoft Defender , donde el informe se encuentra en la pestaña Resumen .

  • Otros informes de supervisión : esta sección incluye iconos que abren informes adicionales del Antivirus de Microsoft Defender, incluido el estado de firewall de malware detectado. Otro icono abre el portal de Defender , donde puede ver los datos de estado del sensor y antivirus.

Administración de dispositivos

El nodo Seguridad del punto de conexión incluye la vista Todos los dispositivos , donde puede ver una lista de todos los dispositivos del identificador de Microsoft Entra que están disponibles en Microsoft Intune.

En esta vista, puede seleccionar los dispositivos con los que explorar en profundidad para obtener más información, como las directivas con las que un dispositivo no es compatible. También puede usar el acceso desde esta vista para corregir los problemas de un dispositivo, como reiniciar un dispositivo, iniciar un examen de malware o rotar las claves de BitLocker en un dispositivo De Ventana 10.

Para obtener más información, consulte Administración de dispositivos con seguridad de puntos de conexión en Microsoft Intune.

Administrar líneas base de seguridad

Las líneas base de seguridad de Intune son grupos preconfigurados de configuración que son recomendaciones de procedimientos recomendados de los equipos de seguridad de Microsoft pertinentes para el producto. Intune admite líneas base de seguridad para la configuración del dispositivo Windows 10/11, Microsoft Edge, Microsoft Defender para Endpoint Protection, etc.

Puede usar líneas base de seguridad para implementar rápidamente una configuración de procedimientos recomendados de configuración de dispositivos y aplicaciones para proteger a los usuarios y dispositivos. Las líneas base de seguridad son compatibles con los dispositivos que ejecutan Windows 10, versión 1809 y versiones posteriores, y Windows 11.

Para más información, vea Uso de líneas base de seguridad para configurar dispositivos Windows en Intune.

Las líneas base de seguridad son uno de los varios métodos de Intune para configurar la configuración en los dispositivos. Al administrar la configuración, es importante comprender qué otros métodos están en uso en el entorno que pueden configurar los dispositivos para que pueda evitar conflictos. Consulte Evitar conflictos de directivas más adelante en este artículo.

Revisión de las tareas de seguridad desde Microsoft Defender para punto de conexión

Al integrar Intune con Microsoft Defender para punto de conexión, puede revisar las tareas de seguridad de Intune que identifican dispositivos en riesgo y proporcionan pasos para mitigar ese riesgo. A continuación, puede usar las tareas para informar de nuevo a Microsoft Defender para punto de conexión cuando esos riesgos se mitigan correctamente.

  • El equipo de Microsoft Defender para punto de conexión determina qué dispositivos están en riesgo y pasa esa información al equipo de Intune como una tarea de seguridad. Con unos pocos clics, crean una tarea de seguridad para Intune que identifica los dispositivos en riesgo, la vulnerabilidad y proporciona instrucciones sobre cómo mitigar ese riesgo.

  • Los administradores de Intune revisan las tareas de seguridad y, a continuación, actúan dentro de Intune para corregir esas tareas. Una vez mitigada, establecen que la tarea se complete, lo que comunica ese estado al equipo de Microsoft Defender para punto de conexión.

A través de las tareas de seguridad, ambos equipos permanecen sincronizados en cuanto a qué dispositivos están en riesgo y cómo y cuándo se corrigen esos riesgos.

Para más información sobre el uso de tareas de seguridad, consulte Uso de Intune para corregir las vulnerabilidades identificadas por Microsoft Defender para punto de conexión.

Uso de directivas para administrar la seguridad del dispositivo

Como administrador de seguridad, use las directivas de seguridad que se encuentran en Administrar en el nodo Seguridad del punto de conexión. Con estas directivas, puede configurar la seguridad del dispositivo sin tener que navegar por el cuerpo y el intervalo de opciones más grandes en los perfiles de configuración del dispositivo o las líneas base de seguridad.

Administrar directivas

Para más información sobre el uso de estas directivas de seguridad, consulte Administración de la seguridad de dispositivos con directivas de seguridad de punto de conexión.

Las directivas de seguridad de puntos de conexión son uno de los varios métodos de Intune para configurar la configuración en los dispositivos. Al administrar la configuración, es importante comprender qué otros métodos están en uso en el entorno que pueden configurar los dispositivos y evitar conflictos. Consulte Evitar conflictos de directivas más adelante en este artículo.

También se encuentra en Administrar : Cumplimiento de dispositivos y Directivas de acceso condicional . Estos tipos de directivas no son directivas de seguridad centradas en la configuración de puntos de conexión, pero son herramientas importantes para administrar dispositivos y acceder a los recursos corporativos.

Uso de la directiva de cumplimiento de dispositivos

Use la directiva de cumplimiento de dispositivos para establecer las condiciones por las que los dispositivos y los usuarios pueden acceder a los recursos de la red y de la empresa.

La configuración de cumplimiento disponible depende de la plataforma que use, pero las reglas de directiva comunes incluyen:

  • Requerir que los dispositivos ejecuten una versión mínima o específica del sistema operativo
  • Configuración de los requisitos de contraseña
  • Especificación de un nivel máximo de amenaza de dispositivo permitido, según lo determinado por Microsoft Defender para punto de conexión u otro asociado de Mobile Threat Defense

Además de las reglas de directiva, las directivas de cumplimiento admiten Acciones para no cumplimiento. Estas acciones son una secuencia ordenada por el tiempo de las acciones que se aplicarán a los dispositivos no conformes. Entre las acciones se incluyen el envío de correo electrónico o notificaciones a los usuarios del dispositivo de alerta sobre el incumplimiento, el bloqueo remoto de dispositivos o incluso la retirada de dispositivos no conformes y la eliminación de los datos de la empresa que puedan estar en él.

Al integrar directivas de acceso condicional de Microsoft Entra de Intune para aplicar directivas de cumplimiento, el acceso condicional puede usar los datos de cumplimiento para garantizar el acceso a los recursos corporativos tanto para dispositivos administrados como para dispositivos que no administra.

Para más información, consulte Establecimiento de reglas en dispositivos para permitir el acceso a los recursos de su organización mediante Intune.

Las directivas de cumplimiento de dispositivos son uno de los varios métodos de Intune para configurar la configuración en los dispositivos. Al administrar la configuración, es importante comprender qué otros métodos están en uso en el entorno que pueden configurar los dispositivos y evitar conflictos. Consulte Evitar conflictos de directivas más adelante en este artículo.

Configurar el acceso condicional

Para proteger los dispositivos y los recursos corporativos, puede usar directivas de acceso condicional de Microsoft Entra con Intune.

Intune pasa los resultados de las directivas de cumplimiento de dispositivos a Microsoft Entra, que luego usa directivas de acceso condicional para aplicar qué dispositivos y aplicaciones pueden acceder a los recursos corporativos. Las directivas de acceso condicional también ayudan a proteger el acceso de los dispositivos que no administra con Intune y pueden usar los detalles de cumplimiento de los asociados de Mobile Threat Defense que integre con Intune.

A continuación se muestran dos métodos comunes de uso del acceso condicional con Intune:

  • Acceso condicional basado en dispositivos, para garantizar que solo los dispositivos administrados y compatibles puedan acceder a los recursos de red.
  • Acceso condicional basado en aplicaciones, que usa directivas de protección de aplicaciones para administrar el acceso a los recursos de red por parte de los usuarios en dispositivos que no administra con Intune.

Para más información sobre el uso del acceso condicional con Intune, consulte Información sobre el acceso condicional y Intune.

Configuración de la integración con Microsoft Defender para punto de conexión

Al integrar Microsoft Defender para punto de conexión con Intune, mejora la capacidad de identificar y responder a los riesgos.

Aunque Intune se puede integrar con varios asociados de Mobile Threat Defense, cuando se usa Microsoft Defender para punto de conexión se obtiene una estrecha integración entre Microsoft Defender para punto de conexión e Intune con acceso a opciones de protección de dispositivos profundas, entre las que se incluyen:

  • Tareas de seguridad: comunicación fluida entre los administradores de Defender para punto de conexión e Intune sobre los dispositivos en riesgo, cómo corregirlos y confirmación cuando se mitigan esos riesgos.
  • Incorporación simplificada para Microsoft Defender para punto de conexión en clientes.
  • Uso de señales de riesgo de dispositivos de Defender para punto de conexión en directivas de cumplimiento de Intune y directivas de protección de aplicaciones.
  • Acceso a las funcionalidades de protección contra alteraciones .

Para más información sobre el uso de Microsoft Defender para punto de conexión con Intune, consulte Aplicación del cumplimiento de Microsoft Defender para punto de conexión con acceso condicional en Intune.

Requisitos de control de acceso basado en rol

Para administrar las tareas en el nodo Seguridad del punto de conexión del Centro de administración de Microsoft Intune, una cuenta debe:

  • Se le asigna una licencia para Intune.
  • Tener permisos de control de acceso basado en rol (RBAC) iguales a los permisos proporcionados por el rol integrado de Intune de Endpoint Security Manager. El rol Administrador de seguridad de punto de conexión concede acceso al Centro de administración de Microsoft Intune. Este rol lo pueden usar las personas que administran las características de seguridad y cumplimiento, incluidas las líneas base de seguridad, el cumplimiento de dispositivos, el acceso condicional y Microsoft Defender para punto de conexión.

Para más información, vea Control de acceso basado en rol (RBAC) con Microsoft Intune.

Permisos concedidos por el rol Administrador de seguridad de puntos de conexión

Para ver la siguiente lista de permisos en el Centro de administración de Microsoft Intune, vaya aRoles> de administración> deinquilinos Todos los roles y seleccionePropiedadesde Endpoint Security Manager>.

Permisos:

  • Android FOTA
    • Lectura
  • Android para trabajar
    • Lectura
  • Datos de auditoría
    • Lectura
  • Conector de certificado
    • Lectura
  • Identificadores de dispositivos corporativos
    • Lectura
  • Credenciales derivadas
    • Lectura
  • Directivas de cumplimiento de dispositivos
    • Assign
    • Crear
    • Eliminar
    • Lectura
    • Actualizar
    • Ver informes
  • Configuraciones de dispositivos
    • Lectura
    • Ver informes
  • Administradores de inscripción de dispositivos
    • Lectura
  • Informes de Endpoint Protection
    • Lectura
  • Programas de inscripción
    • Leer dispositivo
    • Leer perfil
    • Token de lectura
  • Filters
    • Lectura
  • Almacenamiento de datos de Intune
    • Lectura
  • Aplicaciones administradas
    • Lectura
  • Dispositivos administrados
    • Delete
    • Lectura
    • Establecimiento de un usuario principal
    • Actualizar
    • Ver informes
  • ATP de Microsoft Defender
    • Lectura
  • Microsoft Store para Empresas
    • Lectura
  • Mobile Threat Defense
    • Modify
    • Lectura
  • Aplicaciones móviles
    • Lectura
  • Organización
    • Lectura
  • Administración de dispositivos asociados
    • Lectura
  • Conjuntos de directivas
    • Lectura
  • Conectores de asistencia remota
    • Lectura
    • Ver informes
  • Tareas remotas
    • Obtención de la clave de FileVault
    • Acción Iniciar administrador de configuración
    • Reiniciar ahora
    • Bloqueo remoto
    • Girar BitLockerKeys (versión preliminar)
    • Rotar la clave de FileVault
    • Cierre
    • Sincronización de dispositivos
    • Windows Defender
  • Roles
    • Lectura
  • Líneas base de seguridad
    • Assign
    • Crear
    • Eliminar
    • Lectura
    • Actualizar
  • Tareas de seguridad
    • Lectura
    • Actualizar
  • Términos y condiciones
    • Lectura
  • Certificado de Windows Enterprise
    • Lectura

Evitar conflictos de directivas

Muchas de las opciones que puede configurar para los dispositivos se pueden administrar mediante diferentes características en Intune. Estas características incluyen, entre otras:

  • Directivas de seguridad de puntos de conexión
  • Líneas base de seguridad
  • Directivas de configuración de dispositivos
  • Directivas de inscripción de Windows

Por ejemplo, la configuración que se encuentra en Directivas de seguridad de punto de conexión es un subconjunto de la configuración que se encuentra en los perfiles de protección de puntos de conexión y restricción de dispositivos en la directiva de configuración de dispositivos y que también se administran a través de varias líneas base de seguridad.

Una manera de evitar conflictos es no usar líneas base diferentes, instancias de la misma línea base o diferentes tipos de directiva e instancias para administrar la misma configuración en un dispositivo. Esto requiere planear qué métodos usar para implementar configuraciones en distintos dispositivos. Cuando use varios métodos o instancias del mismo método para configurar la misma configuración, asegúrese de que los distintos métodos están de acuerdo o no se implementan en los mismos dispositivos.

Si se producen conflictos, puede usar las herramientas integradas de Intune para identificar y resolver el origen de esos conflictos. Para más información, vea:

Siguientes pasos

Configurar: