Compartir a través de

Administrar la seguridad de los dispositivos con directivas de seguridad de puntos de conexión en Microsoft Intune

Como administrador de seguridad, use Intune directivas de seguridad de punto de conexión para configurar y administrar la configuración de seguridad en los dispositivos administrados. Las directivas de seguridad de puntos de conexión son perfiles de seguridad creados específicamente que se centran en escenarios de seguridad de dispositivos específicos, lo que proporciona un enfoque simplificado para implementar y administrar controles de seguridad en toda la organización.

En comparación con la administración de la configuración de seguridad a través de directivas de configuración de dispositivos, las directivas de seguridad de punto de conexión ofrecen varias ventajas clave:

  • Administración de seguridad centrada: cada tipo de directiva se dirige a áreas de seguridad específicas (antivirus, firewall, cifrado de disco, etc.) sin la complejidad de perfiles de configuración de dispositivos más amplios.
  • Enfoque basado en la seguridad: directivas diseñadas específicamente para escenarios de seguridad en lugar de administración general de dispositivos.
  • Organizada por función de seguridad: agrupada por carga de trabajo de seguridad (antivirus, firewall, etc.) en lugar de mezclarse con la configuración general de administración de dispositivos.
  • Supervisión completa: informes integrados y detección de conflictos para garantizar que las directivas de seguridad se implementen correctamente.

Descripción de la integración de directivas de seguridad de puntos de conexión

Al implementar directivas de seguridad de puntos de conexión junto con otros tipos de directivas de Intune, planee el enfoque para minimizar los conflictos de configuración. Todos los tipos de directiva de Intune se tratan como orígenes iguales de la configuración del dispositivo, lo que significa que se producen conflictos cuando un dispositivo recibe configuraciones diferentes para la misma configuración de varias directivas.

Escenarios de conflicto comunes:

  • Las líneas base de seguridad pueden establecer valores no predeterminados para que los valores cumplan con las configuraciones recomendadas, mientras que las directivas de configuración de dispositivos y seguridad de puntos de conexión suelen ser predeterminadas como No configurados . La combinación de estos enfoques puede crear conflictos (resolver conflictos).
  • Directivas de configuración de dispositivos que administran la misma configuración que las directivas de seguridad de punto de conexión (resolver conflictos).
  • Varias directivas de seguridad de punto de conexión establecen valores diferentes para la misma configuración (administrar conflictos).

Cuando se producen conflictos, es posible que la configuración afectada no se aplique correctamente. Planee la arquitectura de la directiva y use las instrucciones vinculadas para identificar y resolver conflictos.

Tipos de directivas de seguridad de punto de conexión disponibles

Acceda a las directivas de seguridad de punto de conexión desde Seguridad de puntos de conexión>Administrar en el centro de administración de Microsoft Intune.

Administración de directivas de seguridad de puntos de conexión en el centro de administración de Microsoft Intune

Protección de cuentas

  • Propósito: Proteger las identidades de usuario y las cuentas a través de métodos de autenticación modernos
  • Compatibilidad con la plataforma: Windows
  • Perfiles disponibles: Protección de cuentas, Solución de contraseña de administrador local (Windows LAPS), Pertenencia a grupos de usuarios locales
  • Caso de uso: Implementación de la autenticación sin contraseña y la protección de credenciales

Antivirus

  • Propósito: Configurar y administrar la configuración de protección antivirus
  • Compatibilidad con la plataforma: Windows, macOS, Linux
  • Perfiles disponibles: controles de actualización de Defender, antivirus de Microsoft Defender, exclusiones Microsoft Defender antivirus, experiencia de Seguridad de Windows, antivirus de seguridad de punto de conexión de macOS
  • Caso de uso: Administrar de forma centralizada las directivas Microsoft Defender Antivirus en dispositivos Windows

Control de aplicaciones para empresas

  • Propósito: Controlar qué aplicaciones se pueden ejecutar en dispositivos Windows mediante el Control de aplicaciones de Windows Defender (WDAC)
  • Compatibilidad con la plataforma: Windows
  • Perfiles disponibles: Control de aplicaciones de Windows Defender (WDAC)
  • Caso de uso: Implementación de la lista de permitidos de aplicaciones y la ejecución de software de control

Reducción de la superficie expuesta a ataques

  • Propósito: Reducir posibles vectores de ataque y vulnerabilidades del sistema
  • Compatibilidad con la plataforma: Windows
  • Perfiles disponibles: Aislamiento de aplicaciones y exploradores, Reglas de reducción de superficie expuesta a ataques, Control de dispositivos, Protección contra vulnerabilidades de seguridad, Control de aplicaciones
  • Caso de uso: Protección de dispositivos contra métodos y técnicas comunes de ataque
  • Requisitos: Microsoft Defender Antivirus debe ser la solución antivirus principal

Cifrado de disco

  • Propósito: Administrar métodos de cifrado integrados para la protección de datos
  • Compatibilidad con la plataforma: Windows, macOS
  • Perfiles disponibles: BitLocker, Cifrado de datos personales (PDE), macOS FileVault
  • Caso de uso: Garantizar la protección de datos en reposo con tecnologías de cifrado nativas

Detección y respuesta de puntos de conexión

  • Propósito: Configurar la integración y la incorporación de Microsoft Defender para punto de conexión
  • Compatibilidad con la plataforma: Windows, macOS, Linux
  • Perfiles disponibles: detección y respuesta de puntos de conexión (para la incorporación y configuración)
  • Caso de uso: Habilitación de funcionalidades avanzadas de detección y respuesta de amenazas
  • Requisitos: Microsoft Defender para punto de conexión licencias y conexión de inquilino

Firewall

  • Propósito: Configurar la protección de firewall integrada
  • Compatibilidad con la plataforma: Windows, macOS
  • Perfiles disponibles: Firewall de Windows, reglas de Firewall de Windows, firewall de macOS
  • Caso de uso: Controlar el acceso a la red e implementar la segmentación de red

Características de administración mejoradas

Las directivas de seguridad de punto de conexión incluyen las siguientes funcionalidades de administración más allá de la implementación básica de directivas:

Grupos de configuración reutilizables: cree configuraciones estandarizadas que se puedan compartir entre varias directivas, lo que reduce la sobrecarga administrativa y garantiza la coherencia. Compatible con:

  • Cortafuegos>Perfil de reglas de Firewall de Windows (plataforma Windows)
  • Reducción de la superficie expuesta a ataques>Perfil de control de dispositivo (plataforma Windows)

Administración de la configuración de seguridad a través de Microsoft Defender portal: cuando los dispositivos tienen Microsoft Defender para punto de conexión pero no están inscritos con Intune, puede usar directivas de seguridad de puntos de conexión (Antivirus, Reducción de superficie expuesta a ataques, EDR) directamente desde el portal de Defender. Esto proporciona:

  • Administración de seguridad extendida a los dispositivos que no están inscritos con Intune en su entorno.
  • Experiencia unificada de administración de directivas a través del portal de Defender.
  • Controles de seguridad coherentes entre dispositivos inscritos y no inscritos.

Control de acceso basado en rol para la seguridad del punto de conexión

La administración de directivas de seguridad de puntos de conexión requiere los permisos adecuados Intune control de acceso basado en rol (RBAC). Comprender el modelo de permisos RBAC actual es esencial para la asignación de roles adecuada y el acceso a la administración de directivas.

Nota:

Intune está pasando de usar el permiso de líneas base de seguridad unificadas para todas las cargas de trabajo de seguridad de punto de conexión a permisos granulares para tipos de directiva individuales. Esta transición proporciona un control de acceso más preciso, pero da lugar a diferentes requisitos de permisos entre tipos de directiva.

Permisos de RBAC necesarios

Las directivas de seguridad de punto de conexión usan permisos granulares para cargas de trabajo específicas o el permiso Líneas base de seguridad . El permiso necesario varía según el tipo de directiva:

Permisos granulares (acceso específico de la directiva):

  • Control de aplicaciones para empresas : directivas e informes de control de aplicaciones
  • Reducción de superficie expuesta a ataques : la mayoría de las directivas de reducción de superficie expuesta a ataques. (Consulte la siguiente nota importante)
  • Detección y respuesta de puntos de conexión : directivas e informes de EDR

Permiso de líneas base de seguridad (acceso unificado):

  • Directivas antivirus (todos los perfiles)
  • Directivas de protección de cuentas
  • Directivas de cifrado de disco
  • Directivas de firewall
  • Algunos perfiles de reducción de superficie expuesta a ataques : aislamiento de aplicaciones y exploradores, protección web, protección contra vulnerabilidades de seguridad, acceso controlado a carpetas

Importante

En Las directivas de reducción de superficie expuesta a ataques, compruebe los requisitos de perfil específicos. Algunos perfiles usan el permiso de reducción de superficie expuesta a ataques pormenorizada, mientras que otros requieren el permiso líneas base de seguridad .

Para obtener información detallada sobre los requisitos específicos del perfil, consulte Consideraciones de roles personalizados.

Importante

El permiso granular de Antivirus para las directivas de seguridad de puntos de conexión podría estar visible temporalmente en algunos inquilinos. Este permiso no se publica y no se admite para su uso. Intune omite las configuraciones del permiso Antivirus. Cuando Antivirus esté disponible para su uso como permiso pormenorizada, anuncie bien su disponibilidad en el artículo Novedades de Microsoft Intune.

Roles de RBAC integrados

Los siguientes Intune roles integrados proporcionan acceso a las cargas de trabajo de seguridad de punto de conexión:

  • Endpoint Security Manager : funcionalidades de administración completa en todas las directivas de seguridad de puntos de conexión.
  • Operador del departamento de soporte técnico : tareas operativas limitadas y acceso de lectura.
  • Operador de solo lectura : acceso de solo visualización a directivas e informes.

Consideraciones sobre roles personalizados

Acceso a informes: el derecho Ver informes para configuraciones de dispositivo también proporciona acceso a los informes de directivas de seguridad de punto de conexión.

Integración del portal de Defender: la administración de la configuración de seguridad a través del portal de Defender usa los mismos permisos de RBAC Intune.

Aprobación de varios Administración: las modificaciones de roles pueden requerir la aprobación de dos administradores en función de la configuración de gobernanza de la organización.

Creación de directivas de seguridad de puntos de conexión

Siga este flujo de trabajo general para crear directivas de seguridad de puntos de conexión:

  1. Vaya a creación de directivas:

  2. Configuración de los conceptos básicos de la directiva:

    • Plataforma: elija la plataforma de dispositivo de destino (las opciones varían según el tipo de directiva).
    • Perfil: seleccione entre los perfiles disponibles para la plataforma elegida.
    • Seleccione Crear para continuar.

  3. Configuración de directiva completa:

    • Conceptos básicos: proporcione un nombre descriptivo y una descripción opcional para el perfil.
    • Configuración: expanda cada grupo de opciones y configure las opciones que desea administrar con este perfil. Cuando haya terminado de configurar las opciones, seleccione Siguiente.
    • Etiquetas de ámbito: elija Seleccionar etiquetas de ámbito para abrir el panel Seleccionar etiquetas para asignar etiquetas de ámbito al perfil (opcional).
    • Asignaciones: seleccione los grupos para recibir este perfil. Consulte Asignación de perfiles de usuario y dispositivo.
    • Revisar y crear: revise la configuración y seleccione Crear cuando esté listo. A continuación, el nuevo perfil aparece en la lista de directivas.

Administración avanzada de directivas

Directivas duplicadas

La duplicación de directivas simplifica la implementación, ya que permite copiar las configuraciones existentes y modificarlas para distintos escenarios, en lugar de volver a crear directivas complejas desde cero.

Casos de uso comunes para la duplicación de directivas:

  • Implementación del entorno: copie las directivas de producción en entornos de ensayo o de prueba.
  • Variaciones de grupo: cree directivas similares para diferentes grupos de usuarios (por ejemplo, ejecutivos frente a usuarios generales con requisitos de seguridad ligeramente diferentes).
  • Personalización regional: adapte las directivas para diferentes ubicaciones geográficas con requisitos de cumplimiento variables.
  • Implementaciones incrementales: cree varias versiones de la misma directiva para implementaciones por fases.

Flujo de trabajo de duplicación:

  1. Busque la directiva de origen en la lista de directivas.
  2. Seleccione los puntos suspensivos (...) >Duplicado.
  3. Proporcione un nuevo nombre descriptivo y guárdelo.
  4. Edite la directiva duplicada para personalizar la configuración de su caso de uso específico.
  5. Configure nuevas asignaciones de grupos para el escenario de destino.

Nota:

Las directivas duplicadas conservan todas las opciones de configuración y las etiquetas de ámbito de la directiva original, pero no heredan las asignaciones. Debe configurar nuevas asignaciones y, normalmente, modificar algunas opciones para que coincidan con el escenario de destino.

Modificación de directivas existentes

Actualice las directivas a través de la vista Propiedades:

  1. Seleccione la directiva que desea modificar.
  2. Seleccione Editar para cada sección que requiera cambios (Aspectos básicos, Asignaciones, Etiquetas de ámbito, Configuración).
  3. Guarde los cambios después de editar una sección antes de continuar con la siguiente.

Administración de conflictos de directivas

Prevención y resolución de conflictos de directivas mediante la planificación estratégica y la supervisión:

Estrategias de prevención:

  • Planee la arquitectura de directivas antes de la implementación y documente qué tipos de directiva administran configuraciones específicas.
  • Use enfoques de configuración coherentes entre tipos de directiva.
  • Aplique las líneas base de seguridad como orígenes de configuración principales cuando corresponda.

Descripción de los límites de la directiva:

  • Superposición de configuración: muchas opciones administradas por directivas de seguridad de punto de conexión también están disponibles en las directivas de configuración de dispositivos y las líneas base de seguridad.
  • Prioridad igual: todos los tipos de directiva tienen la misma prioridad cuando Intune evalúa la configuración del dispositivo.
  • Comportamiento de conflicto: cuando varias directivas configuran la misma configuración con valores diferentes, es posible que no se aplique y se marque como en conflicto.

Flujo de trabajo de solución de problemas de conflictos:

  1. Identificar conflictos: supervise los informes de implementación de directivas en busca de marcas de estado de error o conflicto.
  2. Comprobar la configuración: compruebe qué tipos de directiva tienen como destino la misma configuración en varias directivas.
  3. Revisar el estado por configuración: use informes de nivel de dispositivo para identificar qué directivas se aplican.
  4. Comprobar líneas base: determine si las líneas base de seguridad establecen valores no predeterminados que entran en conflicto con otras directivas.
  5. Aplicar resolución: use instrucciones específicas de la directiva para resolver los conflictos sistemáticamente.

Recursos de resolución: solución de problemas de directivas y perfiles en Intune y supervisión de líneas base de seguridad.

Integración con Microsoft Defender para punto de conexión

Muchas directivas de seguridad de puntos de conexión tienen una integración profunda con Microsoft Defender para punto de conexión, que van desde la mejora opcional hasta la integración esencial. Comprender estas relaciones es esencial para una implementación correcta.

Dependencias de Defender específicas de la directiva

Detección y respuesta de puntos de conexión (EDR):

  • Requiere integración: conexión de inquilino de Defender para punto de conexión con Intune.
  • Paquetes de incorporación: usa configuraciones de incorporación específicas de Defender para cada plataforma.
  • Funcionalidad básica: proporciona capacidades de respuesta y detección de ataques en tiempo real.

Antivirus:

  • Administración multiplataforma: los dispositivos Windows usan el antivirus de Microsoft Defender integrado, mientras que los dispositivos macOS usan Microsoft Defender para punto de conexión.
  • Protección contra alteraciones: disponible en Windows y macOS con licencias de Defender para punto de conexión P1 o superior.

Reducción de la superficie expuesta a ataques:

  • Requisitos: Microsoft Defender Antivirus debe ser la solución antivirus principal.
  • Reglas de ASR: las reglas de reducción de la superficie expuesta a ataques son características nativas Microsoft Defender Antivirus que se integran con Defender para punto de conexión.
  • Control de dispositivos: las directivas avanzadas de control de dispositivos usan las funcionalidades de supervisión de periféricos de Defender.

Control de aplicación:

  • Instaladores administrados: integración con los mecanismos de etiquetado y confianza de aplicaciones de Defender.
  • Aplicación de directivas: usa la infraestructura de Defender para tomar decisiones de control de aplicaciones.

Ventajas de integración de Defender

  • Postura de seguridad unificada: visibilidad centralizada entre las directivas de seguridad de los puntos de conexión y la detección de amenazas.
  • Informes avanzados: datos combinados de cumplimiento de dispositivos e inteligencia sobre amenazas.
  • Administración multiplataforma: Implementación coherente de directivas de seguridad en Windows, macOS y Linux a través del agente de Defender.
  • Administración de la configuración de seguridad: administre directivas de seguridad de puntos de conexión selectos (Antivirus, Reducción de superficie expuesta a ataques, EDR) en dispositivos no inscritos a través del portal de Defender. Consulte Microsoft Defender para punto de conexión administración de la configuración de seguridad.

Requisitos previos para la integración de Defender

  • Licencias: Microsoft Defender para punto de conexión licencia P1 o superior.
  • Conexión de inquilino: conexión de servicio a servicio entre Intune y los inquilinos de Defender para punto de conexión.
  • Implementación del agente: agente de Defender para punto de conexión instalado en dispositivos de destino (necesario para algunos tipos de directiva).
  • Conectividad de red: acceso del dispositivo a *.dm.microsoft.com puntos de conexión para la administración de la configuración de seguridad de Defender y la comunicación de directivas.

Pasos siguientes

  • Last updated on