Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta sección le guía por todos los pasos que debe seguir para implementar correctamente el acceso condicional.
Antes de empezar
Advertencia
Es importante tener en cuenta que Microsoft Entra dispositivos registrados no se admiten en este escenario. Solo se admiten dispositivos inscritos en Intune.
Debe asegurarse de que todos los dispositivos están inscritos en Intune. Puede usar cualquiera de las siguientes opciones para inscribir dispositivos en Intune:
- Administración de TI: para obtener más información sobre cómo habilitar la inscripción automática, vea Habilitar la inscripción automática de Windows.
- Usuario final: para obtener más información sobre cómo inscribir el dispositivo Windows 10 y Windows 11 en Intune, consulte Inscripción del dispositivo Windows en Intune.
- Alternativa para el usuario final: para obtener más información sobre cómo unirse a un dominio de Microsoft Entra, vea How to: Plan your Microsoft Entra join implementation (Cómo: Planear la implementación de la combinación de Microsoft Entra).
Hay pasos que debe seguir en el portal de Microsoft Defender, el portal de Intune y Microsoft Entra centro de administración.
Es importante tener en cuenta los roles necesarios para acceder a estos portales e implementar el acceso condicional:
- Microsoft Defender portal: tendrá que iniciar sesión en el portal con un rol adecuado para activar la integración. Consulte Opciones de permisos.
- Intune : tendrá que iniciar sesión en el portal con derechos de administrador de seguridad con permisos de administración.
- Microsoft Entra centro de administración: deberá iniciar sesión como administrador de seguridad o administrador de acceso condicional.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Necesitará un entorno de Microsoft Intune, con dispositivos Windows 10 y Windows 11 administrados por Intune y unidos Microsoft Entra.
Siga estos pasos para habilitar el acceso condicional:
- Paso 1: Activar la conexión de Microsoft Intune desde Microsoft Defender XDR
- Paso 2: Activar la integración de Defender para punto de conexión en Intune
- Paso 3: Creación de la directiva de cumplimiento en Intune
- Paso 4: Asignar la directiva
- Paso 5: Creación de una directiva de acceso condicional de Microsoft Entra
Paso 1: Activar la conexión de Microsoft Intune
En el panel de navegación, seleccione Configuración>Puntos de conexiónCaracterísticas avanzadas> generales >Conexión> deMicrosoft Intune.
Cambie la configuración de Microsoft Intune a Activado.
Haga clic en Guardar preferencias.
Paso 2: Activar la integración de Defender para punto de conexión en Intune
Inicio de sesión en el portal de Intune
Seleccione Seguridad> del punto de conexión Microsoft Defender para punto de conexión.
Establezca Conectar dispositivos Windows 10.0.15063+ en Microsoft Defender Advanced Threat Protectionen Activado.
Haga clic en Guardar.
Paso 3: Creación de la directiva de cumplimiento en Intune
En el Azure Portal, seleccione Todos los servicios, filtre por Intune y seleccione Microsoft Intune.
Seleccione Directivas de cumplimiento>de>dispositivos Crear directiva.
Escriba un nombre y una descripción.
En Plataforma, seleccione Windows 10 y versiones posteriores.
En la configuración de Estado del dispositivo, establezca Requerir que el dispositivo esté en el nivel de amenaza del dispositivo o en el nivel de amenaza del dispositivo en el nivel que prefiera:
- Protegido: este nivel es el más seguro. El dispositivo no puede tener ninguna amenaza existente y seguir teniendo acceso a los recursos de la empresa. Si se encuentra alguna amenaza, el dispositivo se clasificará como no conforme.
- Bajo: el dispositivo se evalúa como compatible solo si hay amenazas de nivel bajo. Los dispositivos con niveles de amenaza medio o alto no son compatibles.
- Medio: el dispositivo se evalúa como compatible si las amenazas que se encuentran en él son de nivel bajo o medio. Si se detectan amenazas de nivel alto, se determinará que el dispositivo no es compatible.
- Alto: este nivel es el menos seguro y permite todos los niveles de amenaza. Por lo tanto, los dispositivos que tienen niveles de amenaza altos, medios o bajos se consideran compatibles.
Seleccione Aceptar y Crear para guardar los cambios (y crear la directiva).
Paso 4: Asignar la directiva
En el Azure Portal, seleccione Todos los servicios, filtre por Intune y seleccione Microsoft Intune.
Seleccione Directivas de cumplimiento>de> dispositivos y seleccione la directiva de cumplimiento de Microsoft Defender para punto de conexión.
Seleccione Asignaciones.
Incluya o excluya los grupos de Microsoft Entra para asignarles la directiva.
Para implementar la directiva en los grupos, seleccione Guardar. Los dispositivos de usuario de destino de la directiva se evalúan para el cumplimiento.
Paso 5: Creación de una directiva de acceso condicional de Microsoft Entra
- Inicie sesión en el centro de administración de Microsoft Entra como al menos un administrador de acceso condicional.
- Vaya a Entra ID>Directivas de acceso>condicional.
- Seleccione Nueva directiva.
- Asigne un nombre a la directiva. Se recomienda que las organizaciones creen un estándar significativo para los nombres de sus directivas.
- En Asignaciones, seleccione Usuarios o identidades de carga de trabajo.
- En Incluir, seleccione Todos los usuarios.
- En Excluir:
- Seleccione Usuarios y grupos
- Elija las cuentas de acceso de emergencia o de emergencia de su organización.
- Si usa soluciones de identidad híbrida como Microsoft Entra Connect o Microsoft Entra Connect Cloud Sync, seleccione Roles de directorio y, a continuación, seleccione Cuentas de sincronización de directorios.
- Seleccione Usuarios y grupos
- En Recursos de destino>Recursos (anteriormente aplicaciones en la nube)>Incluir, seleccione Todos los recursos (anteriormente "Todas las aplicaciones en la nube").
- En Controles> de acceso, conceda.
- Seleccione Requerir que el dispositivo esté marcado como compatible.
- Seleccione Seleccionar.
- Confirme la configuración y establezca Habilitar directiva en Solo informe.
- Seleccione Crear para crear para habilitar la directiva.
Después de confirmar la configuración mediante el impacto de la directiva o el modo de solo informe, mueva el botón de alternancia Habilitar directiva de Solo informe a Activado.
Nota:
Puede usar la aplicación Microsoft Defender para punto de conexión junto con la aplicación cliente aprobada, la directiva de Protección de aplicaciones y los controles de dispositivo compatible (requerir que el dispositivo se marque como compatible) en Microsoft Entra directivas de acceso condicional. No se requiere ninguna exclusión para la aplicación Microsoft Defender para punto de conexión al configurar el acceso condicional. Aunque Microsoft Defender para punto de conexión en Android & iOS (id. de aplicación - dd47d17a-3194-4d86-bfd5-c6ae6f5651e3) no es una aplicación aprobada, es capaz de notificar la posición de seguridad del dispositivo en los tres permisos de concesión.
Para obtener más información, consulte Exigencia del cumplimiento de Microsoft Defender para punto de conexión con acceso condicional en Intune.
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender para punto de conexión Tech Community.