Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta sección le guía por todos los pasos que debe seguir para implementar correctamente el acceso condicional.
Antes de empezar
Advertencia
Es importante tener en cuenta que Microsoft Entra dispositivos registrados no se admiten en este escenario. Solo se admiten Intune dispositivos inscritos.
Debe asegurarse de que todos los dispositivos están inscritos en Intune. Puede usar cualquiera de las siguientes opciones para inscribir dispositivos en Intune:
- Administración de TI: para obtener más información sobre cómo habilitar la inscripción automática, vea Habilitar la inscripción automática de Windows.
- Usuario final: para obtener más información sobre cómo inscribir el dispositivo Windows 10 y Windows 11 en Intune, consulte Inscripción del dispositivo Windows en Intune.
- Alternativa para el usuario final: para obtener más información sobre cómo unirse a un dominio de Microsoft Entra, vea How to: Plan your Microsoft Entra join implementation (Cómo: Planear la implementación de la combinación de Microsoft Entra).
Hay pasos que debe seguir en el portal de Microsoft Defender, el portal de Intune y Centro de administración Microsoft Entra.
Es importante tener en cuenta los roles necesarios para acceder a estos portales e implementar el acceso condicional:
- Microsoft Defender portal: debe iniciar sesión con un rol adecuado para activar la integración. Consulte Opciones de permisos.
- Microsoft Intune centro de administración: debe iniciar sesión con derechos de administrador de seguridad con permisos de administración.
- Centro de administración Microsoft Entra: debe iniciar sesión como administrador de seguridad o administrador de acceso condicional.
Importante
Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.
Necesita un entorno de Microsoft Intune con Intune dispositivos Windows 10 y Windows 11 administrados y unidos a Microsoft Entra.
Siga estos pasos para habilitar el acceso condicional como se describe en este artículo:
- Active la conexión Microsoft Intune en el portal de Microsoft Defender.
- Active la integración de Defender para punto de conexión en el centro de administración de Microsoft Intune.
- Cree y asigne la directiva de cumplimiento en Intune.
- Cree una directiva de acceso condicional de Microsoft Entra.
Paso 1: Activar la conexión Microsoft Intune
En el portal de Microsoft Defender en https://security.microsoft.com, vaya a Característicasavanzadasgenerales> delos> puntos de conexiónde configuración> del sistema>. O bien, para ir directamente a la página Características avanzadas , use https://security.microsoft.com/securitysettings/endpoints/integration.
En la página Características avanzadas, compruebe que la configuración de conexión de Microsoft Intune es Activado. Si es necesario, deslice el botón de alternancia a Activado y, a continuación, seleccione Guardar preferencias.
Paso 2: Activar la integración de Defender para punto de conexión en Intune
En el centro de administración de Microsoft Intune, en https://intune.microsoft.com, seleccione la sección >Configuración de seguridad> del punto de conexión Microsoft Defender para punto de conexión. O bien, para ir directamente a la seguridad del punto de conexión | Microsoft Defender para punto de conexión página, use https://intune.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/atp.
En seguridad del punto de conexión | Microsoft Defender para punto de conexión página, en la sección Evaluación de directivas de cumplimiento, deslice la versión 10.0.15063 y posteriores de los dispositivos Windows para Microsoft Defender para punto de conexión cambie a Activado.
Seleccione Guardar en la parte superior de la página.
Paso 3: Crear y asignar la directiva de cumplimiento en Intune
En el centro de administración de Microsoft Intune en https://intune.microsoft.com, vaya a la sección >Dispositivos>administrar dispositivosCumplimiento. O bien, para ir directamente a los dispositivos | Página Cumplimiento , use https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMenu/~/compliance.
En la pestaña Directivas de dispositivos | Página Cumplimiento , seleccione Crear directiva.
En el control flotante Crear una directiva que se abre, configure los siguientes valores:
- Plataforma: seleccione Windows 10 y posteriores.
- Tipo de perfil: seleccione Windows 10/11 directiva de cumplimiento.
Seleccione Crear.
Se abre el asistente para directivas de cumplimiento Windows 10/11. En la pestaña Aspectos básicos , configure los siguientes valores:
- Nombre: escriba un nombre único y descriptivo para la directiva.
- Descripción: escriba una descripción opcional.
Seleccione Siguiente.
En la pestaña Configuración de cumplimiento, expanda Microsoft Defender para punto de conexión. Establezca Requerir que el dispositivo esté en o en el nivel de amenaza del dispositivo en el nivel que prefiera:
- Despejado: este nivel es el más seguro. El dispositivo no puede tener ninguna amenaza existente y seguir teniendo acceso a los recursos de la empresa. Si se encuentra alguna amenaza, el dispositivo se clasificará como no conforme.
- Bajo: el dispositivo se evalúa como compatible solo si hay amenazas de nivel bajo. Los dispositivos con niveles de amenaza medio o alto no son compatibles.
- Medio: el dispositivo se evalúa como compatible si las amenazas que se encuentran en él son de nivel bajo o medio. Si se detectan amenazas de nivel alto, se determinará que el dispositivo no es compatible.
- Alto: este nivel es el menos seguro y permite todos los niveles de amenaza. Por lo tanto, los dispositivos que tienen niveles de amenaza altos, medios o bajos se consideran compatibles.
Seleccione Siguiente.
En la pestaña Acciones para no cumplimiento , ya se han configurado las siguientes opciones (y no se pueden cambiar):
- Acción: marque el dispositivo no conforme.
- Programación (días después del incumplimiento): inmediatamente.
Puede agregar las siguientes acciones:
Enviar correo electrónico al usuario final: están disponibles las siguientes opciones:
- Programación (días después del incumplimiento): el valor predeterminado es 0, pero puede escribir un valor diferente hasta 365.
- Plantilla de mensaje: seleccione Ninguno seleccionado para buscar y seleccionar una plantilla.
- Destinatarios adicionales (por correo electrónico): seleccione Ninguno seleccionado para buscar y seleccionar Microsoft Entra grupos para notificar.
Agregar dispositivo a la lista de retirada: la única opción disponible es Programar (días después del incumplimiento): el valor predeterminado es 0, pero puede escribir un valor diferente hasta 365.
Para eliminar una acción, seleccione ...>Eliminar en la entrada. Es posible que tenga que usar la barra de desplazamiento horizontal para ver ....
Cuando haya terminado en la pestaña Acciones para no cumplimiento , seleccione Siguiente.
En la pestaña Asignaciones , configure los siguientes valores:
-
Sección Grupos incluidos : seleccione una de las siguientes opciones:
- Agregar grupos: seleccione uno o varios grupos para incluir.
- Agregar todos los usuarios
- Agregar todos los dispositivos
- Grupos excluidos: seleccione Agregar grupos para especificar los grupos que se van a excluir.
Cuando haya terminado en la pestaña Asignaciones , seleccione Siguiente.
-
Sección Grupos incluidos : seleccione una de las siguientes opciones:
En la pestaña Revisar+ crear , revise la configuración y seleccione Crear.
Paso 4: Crear una directiva de acceso condicional de Microsoft Entra
Sugerencia
El procedimiento siguiente requiere el rol administrador de acceso condicional en Microsoft Entra ID.
En el centro de administración de Microsoft Intune en https://intune.microsoft.com, vaya a la sección > Id. de entraacceso condicional. O bien, para ir directamente al acceso condicional | Página información general , use https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Overview/menuId//fromNav/Identity.
En el acceso condicional | Página Información general , seleccione Directivas. O para ir directamente al acceso condicional | Página Directivas , use https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/menuId//fromNav/Identity.
En el acceso condicional | Página Directivas , seleccione Nueva directiva.
Configure los siguientes valores en la página Nueva directiva de acceso condicional que se abre:
Nombre: escriba un nombre descriptivo único.
Sección Asignaciones : Configure los siguientes valores:
-
Usuarios, agentes o identidades de carga de trabajo: seleccione el vínculo y, a continuación, configure los siguientes valores que aparecen:
- ¿A qué se aplica esta directiva?: Seleccionar usuarios y grupos
- Pestaña Incluir : seleccione Todos los usuarios.
- Pestaña Excluir :
- Seleccione Usuarios y grupos y, a continuación, busque y seleccione las cuentas de administrador de emergencia "break glass" de su organización.
- Si usa soluciones de identidad híbrida como Microsoft Entra Connect o Microsoft Entra Connect Cloud Sync, seleccione Roles de directorio y, a continuación, seleccione Cuentas de sincronización de directorios.
-
Recursos de destino: seleccione el vínculo y, a continuación, configure los siguientes valores que aparecen:
- Seleccione a qué se aplica esta directiva: se selecciona Comprobar recursos (anteriormente aplicaciones en la nube).
- Pestaña Incluir: seleccione Todos los recursos (anteriormente "Todas las aplicaciones en la nube").
-
Usuarios, agentes o identidades de carga de trabajo: seleccione el vínculo y, a continuación, configure los siguientes valores que aparecen:
Sección Controles de acceso : Configure los siguientes valores:
-
Conceder: seleccione el vínculo y, a continuación, configure los siguientes valores en el control flotante Conceder que se abre:
Compruebe que la opción Conceder acceso está seleccionada y, a continuación, seleccione Requerir que el dispositivo se marque como compatible.
Cuando haya terminado en el control flotante Conceder , seleccione Seleccionar.
-
Conceder: seleccione el vínculo y, a continuación, configure los siguientes valores en el control flotante Conceder que se abre:
Sección Habilitar directiva : comprobar que solo informe está seleccionado.
Cuando haya terminado en la página Nueva directiva de acceso condicional , seleccione Crear.
Después de confirmar la configuración mediante el impacto de la directiva o el modo de solo informe, modifique la configuración Habilitar directiva en la directiva de Solo informe a Activado:
Para modificar la directiva, vaya al acceso condicional | Página Directivas en https://entra.microsoft.com/#view/Microsoft_AAD_ConditionalAccess/ConditionalAccessBlade/~/Policies/menuId//fromNav/Identity, seleccione la directiva de la lista haciendo clic en el valor Nombre de directiva. En la pestaña Detalles de la directiva del control flotante de detalles que se abre, seleccione Editar.
Nota:
Puede usar la aplicación de Microsoft Defender para punto de conexión junto con la aplicación Cliente aprobado, la directiva de Protección de aplicaciones y los controles De dispositivo compatible (requerir que el dispositivo se marque como compatible) en Microsoft Entra directivas de acceso condicional. No se requiere ninguna exclusión para la aplicación Microsoft Defender para punto de conexión al configurar el acceso condicional. Aunque Microsoft Defender para punto de conexión en Android & iOS (Iddd47d17a-3194-4d86-bfd5-c6ae6f5651e3. de aplicación) no es una aplicación aprobada, puede notificar la posición de seguridad del dispositivo en los tres permisos de concesión.
Para obtener más información, consulte Exigencia del cumplimiento de Microsoft Defender para punto de conexión con acceso condicional en Intune.