Proteger puntos de conexión con Confianza cero

  • Artículo
  • Tiempo de lectura: 23 minutos

Fondo

La empresa moderna tiene una increíble diversidad de puntos de conexión que acceden a los datos. No todos los puntos de conexión se administran o incluso pertenecen a la organización, lo que lleva a diferentes configuraciones de dispositivo y niveles de revisión de software. Esto crea una superficie de ataque masivo y, si no se resuelven, el acceso a los datos de trabajo de los puntos de conexión que no son de confianza puede convertirse fácilmente en el vínculo más débil de la estrategia de seguridad Confianza cero.

Confianza cero se adhiere al principio " Nunca confíes, verifica siempre". En cuanto a los puntos de conexión, esto significa comprobar siempre todos los puntos de conexión. Esto incluye no solo los dispositivos de contratista, partner e invitado, sino también las aplicaciones y dispositivos que usan los empleados para acceder a los datos de trabajo, independientemente de la propiedad del dispositivo.

En un enfoque Confianza cero, se aplican las mismas directivas de seguridad independientemente de si el dispositivo es de propiedad corporativa o personal a través de bring your own device (BYOD); si el dispositivo está completamente administrado por TI, o solo las aplicaciones y los datos están protegidos. Las directivas se aplican a todos los puntos de conexión, tanto equipos PC, Mac, smartphones, tabletas, ponibles o dispositivos IoT dondequiera que estén conectados, ya sea la red corporativa segura, la banda ancha doméstica o la internet pública.

Lo que es más importante, el estado y la confianza de las aplicaciones que se ejecutan en esos puntos de conexión afecta a su posición de seguridad. Debes evitar que los datos corporativos se filtren a aplicaciones o servicios que no sean de confianza o desconocidos, ya sea accidentalmente o a través de malas intenciones.

Existen algunas reglas clave para proteger dispositivos y puntos de conexión en un modelo de Confianza cero:

  • Confianza cero directivas de seguridad se aplican de forma centralizada a través de la nube y cubren la seguridad del extremo, la configuración del dispositivo, la protección de aplicaciones, el cumplimiento del dispositivo y la postura de riesgo.

  • La plataforma y las aplicaciones que se ejecutan en los dispositivos se aprovisionan de forma segura, se configuran correctamente y se mantienen actualizadas.

  • Existe una respuesta automática y rápida que contiene el acceso a los datos corporativos dentro de las aplicaciones en caso de que la seguridad se vea comprometida.

  • El sistema de control de acceso garantiza que todos los controles de directiva estén en vigor antes de acceder a los datos.

Objetivos de implementación del punto de conexión Confianza cero

Antes de que la mayoría de las organizaciones inicien el Confianza cero viaje, la seguridad del punto de conexión se configura de la siguiente manera:

  • Los puntos de conexión se unen a un dominio y se administran con soluciones como Objetos de directiva de grupo o Configuration Manager. Son excelentes opciones, pero no aprovechan los csp de Windows 10 modernos ni requieren un dispositivo de puerta de enlace de administración de la nube independiente para dar servicio a los dispositivos basados en la nube.

  • Los puntos de conexión deben estar en una red corporativa para tener acceso a los datos. Esto podría significar que los dispositivos tienen que estar físicamente en el sitio para acceder a la red corporativa, o que requieren acceso VPN, lo que aumenta el riesgo de que un dispositivo en peligro pueda acceder a recursos corporativos confidenciales.

Al implementar un marco de Confianza cero de un extremo a otro para proteger los puntos de conexión, le recomendamos que se centre primero en estos objetivos de implementación iniciales:

List icon with one checkmark.

I.Endpoints está registrado con proveedores de identidades de nube. Para supervisar la seguridad y el riesgo en varios puntos de conexión usados por una sola persona, necesita visibilidad en todos los dispositivos y puntos de acceso que puedan tener acceso a sus recursos.

II.El acceso solo se concede a aplicaciones y extremos administrados en la nube y compatibles. Establezca reglas de cumplimiento para asegurarse de que los dispositivos cumplan los requisitos de seguridad mínimos antes de conceder acceso. Además, establece reglas de corrección para dispositivos no conformes para que los usuarios sepan cómo resolver el problema.

III.Las directivas de prevención de pérdida de datos (DLP) se aplican para dispositivos corporativos y BYOD. Controle lo que el usuario puede hacer con los datos después de tener acceso. Por ejemplo, restrinja el guardado de archivos a ubicaciones que no sean de confianza (como el disco local) o restrinja el uso compartido de copiar y pegar con una aplicación de comunicación de consumidor o una aplicación de chat para proteger los datos.

Una vez completados, céntrese en estos objetivos de implementación adicionales:

List icon with two checkmarks.

IV.La detección de amenazas de extremo se usa para supervisar el riesgo del dispositivo. Use un único panel de cristal para administrar todos los puntos de conexión de forma coherente y use SIEM para enrutar los registros y transacciones de los puntos de conexión de forma que reciba menos alertas, pero que se puedan accionar.

El control de V.Accessse controla en caso de riesgo de extremo tanto para dispositivos corporativos como para BYOD. Integre datos de Microsoft Defender para punto de conexión u otros proveedores de Defensa contra amenazas móviles (MTD) como un origen de información para las directivas de cumplimiento de dispositivos y las reglas de acceso condicional del dispositivo. El riesgo del dispositivo influirá directamente en qué recursos será accesible para el usuario de ese dispositivo.

Guía de implementación de Endpoint Confianza cero

Esta guía te guiará por los pasos necesarios para proteger tus dispositivos siguiendo los principios de un marco de seguridad de Confianza cero.




Checklist icon with one checkmark.

Objetivos de implementación iniciales

I. Los puntos de conexión están registrados con un proveedor de identidades de nube

Para ayudar a limitar la exposición al riesgo, debe supervisar cada punto de conexión para asegurarse de que cada uno tiene una identidad de confianza, se aplican directivas de seguridad y se ha medido, remediado o considerado aceptable el nivel de riesgo para elementos como malware o exfiltración de datos.

Después de registrar un dispositivo, los usuarios pueden acceder a los recursos restringidos de la organización con su nombre de usuario y contraseña corporativos para iniciar sesión (o Windows Hello para empresas).

Diagram of the steps within phase 1 of the initial deployment objectives.

Registrar dispositivos corporativos con Azure Active Directory (AD)

Sigue estos pasos:

Nuevos dispositivos Windows 10

  1. Inicia tu nuevo dispositivo y comienza el proceso de configuración rápida (configuración rápida).

  2. En la pantalla Iniciar sesión con Microsoft , escriba su dirección de correo electrónico profesional o educativa.

  3. En la pantalla Escriba la contraseña , escriba la contraseña.

  4. En el dispositivo móvil, apruebe el dispositivo para que pueda acceder a su cuenta.

  5. Completa el proceso de OOBE, incluyendo la configuración de la privacidad y la configuración de Windows Hello (si es necesario).

  6. El dispositivo se ha unido a la red de su organización.

Dispositivos Windows 10 existentes

  1. Abre Configuración y luego selecciona Cuentas.

  2. Selecciona Acceso profesional o educativo y, a continuación, selecciona Conectar.

    Access work or school in Settings.

  3. En la pantalla Configurar una cuenta profesional o educativa, seleccione Unirse a este dispositivo para Azure AD.

    Set up a work or school account in Settings.

  4. En la pantalla Vamos a iniciar sesión , escribe tu dirección de correo electrónico (por ejemplo, ) y, a continuación, alain@contoso.comselecciona Siguiente.

  5. En la pantalla Escribir contraseña , escribe la contraseña y, a continuación, selecciona Iniciar sesión.

  6. En el dispositivo móvil, apruebe el dispositivo para que pueda acceder a su cuenta.

  7. En la pantalla Asegúrese de que esta es su organización , revise la información para asegurarse de que es correcta y, a continuación, seleccione Unirse.

  8. En la pantalla Todo listo , haga clic en Listo.

Registrar dispositivos Windows personales con Azure AD

Sigue estos pasos:

  1. Abre Configuración y luego selecciona Cuentas.

  2. Selecciona Access profesional o educativo y, a continuación, selecciona Conectar en la pantalla Access profesional o educativa.

    Access work or school in Settings.

  3. En la pantalla Agregar una cuenta profesional o educativa , escriba su dirección de correo electrónico para su cuenta profesional o educativa y, a continuación, seleccione Siguiente. Por ejemplo, alain@contoso.com.

  4. Inicie sesión en su cuenta profesional o educativa y, a continuación, seleccione Iniciar sesión.

  5. Completa el resto del proceso de registro, incluida la aprobación de tu solicitud de verificación de identidad (si usas la verificación en dos pasos) y la configuración de Windows Hello (si es necesario).

Habilitar y configurar Windows Hello para empresas

Para permitir a los usuarios un método de inicio de sesión alternativo que reemplace una contraseña, como pin, autenticación biométrica o lector de huellas digitales, habilite Windows Hello para empresas en los dispositivos Windows 10 de los usuarios.

Las siguientes acciones de Microsoft Intune y Azure AD se completan en el centro de administración de Microsoft Endpoint Manager:

Comience creando una directiva de inscripción de Windows Hello para empresas en Microsoft Intune.

  1. Ve a Dispositivos >> dispositivos de inscripción > Windows Windows Hello para empresas de inscripción > .

    Windows Hello for Business in Microsoft Intune.

  2. Seleccione una de las siguientes opciones para Configurar Windows Hello para empresas:

    1. Deshabilitado. Si no quieres usar Windows Hello para empresas, selecciona esta configuración. Si está deshabilitada, los usuarios no podrán aprovisionar Windows Hello para empresas excepto en teléfonos móviles unidos a Azure AD, donde puede ser necesario realizar el aprovisionamiento.

    2. Habilitado. Seleccione esta opción si desea configurar Windows Hello para empresas opciones. Al seleccionar Habilitado, Windows Hello ver más opciones de configuración adicionales.

    3. No configurado. Seleccione esta opción si no desea usar Intune para controlar Windows Hello para empresas configuración. No se cambia ninguna configuración de Windows Hello para empresas existente en dispositivos Windows 10. El resto de las opciones de configuración del panel no están disponibles.

Si seleccionó Habilitado, configure las opciones necesarias que se aplicarán a todos los dispositivos de Windows 10 inscritos y Windows 10 dispositivos móviles.

  1. Use un módulo de plataforma segura (TPM). Un chip TPM proporciona una capa adicional de seguridad de datos. Elija uno de los siguientes valores:

    1. Necesario. Solo los dispositivos con un TPM accesible pueden aprovisionar Windows Hello para empresas.

    2. Preferido. Los dispositivos primero intentan usar un TPM. Si esta opción no está disponible, puede usar el cifrado de software.

  2. Establece una longitud mínima del PIN y una longitud máxima del PIN. Esto configura los dispositivos para usar las longitudes mínima y máxima de PIN que especifiques para ayudar a garantizar el inicio de sesión seguro. La longitud predeterminada del PIN es de seis caracteres, pero puede exigir una longitud mínima de cuatro caracteres. La longitud máxima del PIN es de 127 caracteres.

  3. Establecer una expiración del PIN (días). Es recomendable especificar un período de expiración para un PIN, tras el cual los usuarios deben cambiarlo. El valor predeterminado es 41 días.

  4. Recuerda el historial de PIN. Restringe la reutilización de códigos PIN usados anteriormente. De forma predeterminada, los últimos 5 PIN no se pueden volver a usar.

  5. Use la protección contra suplantación de identidad mejorada, cuando esté disponible. Esto configura cuándo se usan las características contra suplantación de identidad de Windows Hello en dispositivos que lo admiten. Por ejemplo, detectar una fotografía de una cara en lugar de una cara real.

  6. Permitir el inicio de sesión en el teléfono. Si esta opción se establece en Sí, los usuarios pueden usar un pasaporte remoto para servir como un dispositivo complementario portátil para la autenticación de equipos de escritorio. El equipo de escritorio debe estar Azure AD unido y el dispositivo complementario debe configurarse con un PIN de Windows Hello para empresas.

Después de configurar estas opciones, selecciona Guardar.

Después de configurar las opciones de configuración que se aplican a todos los dispositivos Windows 10 inscritos y a Windows 10 dispositivos móviles, configure los perfiles de protección de identidad de Windows Hello para empresas para personalizar Windows Hello para empresas configuración de seguridad para usuarios finales específicos. Dispositivos.

  1. Seleccione Perfiles de configuración de dispositivos >> Crear Windows 10 de perfil > y Protección de identidad posterior>.

    Screenshot of Create a profile with platform set to Windows 10 and profile set to Identity protection.

  2. Configurar Windows Hello para empresas. Elija cómo desea configurar Windows Hello para empresas.

    Screenshot of Configuration settings under Identity protection in Configuration profiles.

    1. Longitud mínima del PIN.

    2. Letras minúsculas en el PIN.

    3. Letras mayúsculas en el PIN.

    4. Caracteres especiales en el PIN.

    5. Expiración del PIN (días).

    6. Recuerda el historial de PIN.

    7. Habilita la recuperación de PIN. Permite al usuario usar el servicio de recuperación de PIN Windows Hello para empresas.

    8. Use un módulo de plataforma segura (TPM). Un chip TPM proporciona una capa adicional de seguridad de datos.

    9. Permitir la autenticación biométrica. Habilita la autenticación biométrica, como el reconocimiento facial o la huella digital, como alternativa a un PIN para Windows Hello para empresas. Los usuarios deben configurar un PIN en caso de errores de autenticación biométrica.

    10. Use la protección contra suplantación de identidad mejorada, cuando esté disponible. Configura cuándo se usan las funciones contra suplantación de identidad de Windows Hello en dispositivos que lo admiten (por ejemplo, la detección de una fotografía de una cara en lugar de una cara real).

    11. Usa las claves de seguridad para iniciar sesión. Esta configuración está disponible para dispositivos que ejecutan Windows 10 versión 1903 o posterior. Úsala para administrar la compatibilidad con el uso de Windows Hello claves de seguridad para iniciar sesión.

Por último, puede crear directivas de restricción de dispositivo adicionales para seguir bloqueando los dispositivos de propiedad corporativa.

Propina

Obtenga información sobre la implementación de una estrategia cero de identidad de un extremo a otro.

II. El acceso solo se concede a las aplicaciones y extremos administrados en la nube y compatibles

Una vez que tenga identidades para todos los puntos de conexión que tengan acceso a recursos corporativos y antes de que se conceda acceso, quiere asegurarse de que cumplen los requisitos de seguridad mínimos establecidos por su organización.

Después de establecer directivas de cumplimiento para garantizar el acceso de recursos corporativos a los puntos de conexión de confianza y las aplicaciones móviles y de escritorio, todos los usuarios pueden acceder a los datos de la organización en dispositivos móviles y se instala una versión mínima o máxima del sistema operativo en todos los dispositivos. Los dispositivos no están rotos ni arraigados.

Además, establece reglas de corrección para dispositivos no conformes, como bloquear un dispositivo no conforme o ofrecer al usuario un período de gracia para cumplir con las normativas.

Diagram of the steps within phase 2 of the initial deployment objectives.

Crear una directiva de cumplimiento con Microsoft Intune (todas las plataformas)

Siga estos pasos para crear una directiva de cumplimiento:

  1. Seleccione Directivas de cumplimiento > de dispositivos > Directivas > de creación de directivas.

  2. Seleccione una Plataforma para esta directiva (Windows 10 usa, por ejemplo, a continuación).

  3. Selecciona la configuración de estado del dispositivo deseada.

    Screenshot of Device Health in Windows 10 compliance policy settings.

  4. Configura las propiedades de dispositivo mínimas o máximas.

    Screenshot of Device Properties in Windows 10 compliance policy settings.

  5. Configurar Configuration Manager Cumplimiento. Esto requiere que todas las evaluaciones de cumplimiento de Configuration Manager sean compatibles y solo se aplican a dispositivos Windows 10 comanaged. Todos los dispositivos solo Intune devolverán N/A.

  6. Configura el Configuración de seguridad del sistema.

    Screenshot of System Security in Windows 10 compliance policy settings.

  7. Configura El antimalware de Microsoft Defender.

    Screenshot of Microsoft Defender for Cloud in Windows 10 compliance policy settings.

  8. Configure la puntuación de riesgo del equipo necesaria Microsoft Defender para punto de conexión.

    Screenshot of Defender for Endpoint in Windows 10 compliance policy settings.

  9. En la pestaña Acciones para incumplimiento, especifique una secuencia de acciones para aplicarlas automáticamente a los dispositivos que no cumplan esta directiva de cumplimiento.

    Screenshot of Actions for noncompliance in compliance policy settings.

Automatizar el correo electrónico de notificación y agregar acciones de corrección adicionales para dispositivos no conformes en Intune (todas las plataformas)

Cuando los puntos de conexión o las aplicaciones no cumplen las normativas, los usuarios se guían a través de la auto-corrección. Las alertas se generan automáticamente con alarmas adicionales y acciones automatizadas establecidas para determinados umbrales. Puede establecer acciones de corrección de no cumplimiento .

Sigue estos pasos:

  1. Seleccione Notificaciones crear notificaciones de directivas > de cumplimiento de dispositivos >>.

  2. Crear una plantilla de mensaje de notificación.

    Screenshot of Create notification in compliance policy settings.

  3. Selecciona Directivas de cumplimiento > de dispositivos>, selecciona una de las directivas y, a continuación, Propiedades.

  4. Seleccione Acciones para agregar no conformidad>.

  5. Agregar acciones para incumplimiento:

    Screenshot of Actions for noncompliance in compliance policy settings.

    1. Configure un correo electrónico automatizado para los usuarios con dispositivos no conformes.

    2. Configura una acción para bloquear de forma remota los dispositivos no conformes.

    3. Configura una acción para retirar automáticamente un dispositivo no conforme después de un número establecido de días.

III. Se aplican directivas de prevención de pérdida de datos (DLP) para dispositivos corporativos y BYOD

Una vez concedido el acceso a los datos, desea controlar lo que el usuario puede hacer con los datos. Por ejemplo, si un usuario accede a un documento con una identidad corporativa, quiere evitar que ese documento se guarde en una ubicación de almacenamiento de consumidor desprotegida o que se comparta con una aplicación de chat o comunicación de consumidor.

Diagram of the steps within phase 3 of the initial deployment objectives.

En primer lugar, aplica la configuración de seguridad recomendada por Microsoft para Windows 10 dispositivos para proteger los datos corporativos (requiere Windows 10 1809 y posteriores):

Use Intune líneas base de seguridad para ayudarle a proteger y proteger a los usuarios y dispositivos. Las líneas base de seguridad son grupos preconfigurados de configuración de Windows que le ayudan a aplicar un grupo conocido de opciones de configuración y valores predeterminados recomendados por los equipos de seguridad relevantes.

Sigue estos pasos:

  1. Seleccione Líneas base de seguridad de extremo > para ver la lista de líneas base disponibles.

  2. Seleccione la línea base que desea usar y, a continuación, seleccione Crear perfil.

  3. En la pestaña Configuración, vea los grupos de Configuración disponibles en la línea base seleccionada. Puede expandir un grupo para ver la configuración de ese grupo y los valores predeterminados de esa configuración en la línea base. Para buscar configuraciones específicas:

    1. Seleccione un grupo para expandir y revisar la configuración disponible.

    2. Use la barra de búsqueda y especifique palabras clave que filtren la vista para mostrar solo los grupos que contienen los criterios de búsqueda.

    3. Vuelva a configurar la configuración predeterminada para satisfacer sus necesidades empresariales.

      Screenshot of Application Management settings in Create Profile.

  4. En la pestaña Asignaciones, seleccione los grupos que desea incluir y, después, asigne la línea base a uno o más grupos. Para ajustar la asignación, use Seleccionar grupos para excluir.

Asegurarse de que las actualizaciones se implementan automáticamente en los puntos de conexión

Configurar dispositivos Windows 10

Configure las actualizaciones de Windows para empresas para simplificar la experiencia de administración de actualizaciones para los usuarios y asegurarse de que los dispositivos se actualizan automáticamente para cumplir con el nivel de cumplimiento requerido.

Sigue estos pasos:

  1. Administre Windows 10 actualizaciones de software en Intune creando anillos de actualización y habilitando una colección de opciones de configuración que configuren cuándo se instalarán las actualizaciones de Windows 10.

    1. Seleccione Dispositivos > Windows > Windows 10 Crear anillos de > actualización.

    2. En Configuración de anillos de actualización, configure las opciones para sus necesidades empresariales.

      Screenshot of Update settings and User experience settings.

    3. En Asignaciones, elija + Seleccionar los grupos que desea incluir y, a continuación, asigne la anillo de actualización a uno o más grupos. Para ajustar la tarea, use + Seleccionar grupos para excluir.

  2. Administre Windows 10 actualizaciones de características en Intune para llevar los dispositivos a la versión Windows que especifique (es decir, 1803 o 1809) e inmovilizar el conjunto de características en esos dispositivos hasta que decida actualizarlos a una versión posterior Windows.

    1. Selecciona Dispositivos > Windows > Windows 10 Crear actualizaciones de características>.

    2. En Conceptos básicos, especifique un nombre, una descripción (opcional) y, para que se implemente actualización de características, seleccione la versión de Windows con el conjunto de características que desee y, después, seleccione Siguiente.

    3. En Asignaciones, elija y seleccione los grupos que desea incluir y, después, asigne la implementación de la actualización de características a uno o más grupos.

Configurar dispositivos iOS

Para dispositivos inscritos en la empresa, configure las actualizaciones de iOS para simplificar la experiencia de administración de actualizaciones para los usuarios y asegurarse de que los dispositivos se actualizan automáticamente para cumplir con el nivel de cumplimiento requerido. Configurar la directiva de actualización de iOS.

Sigue estos pasos:

  1. Seleccione Directivas de actualización de dispositivos > para iOS o iPadOS > Crear perfil.

  2. En la pestaña Conceptos básicos, especifique un nombre para esta directiva, especifique una descripción (opcional) y, después, seleccione Siguiente.

  3. En la pestaña Actualizar configuración de directiva, configura lo siguiente:

    1. Seleccione la versión que desea instalar. Puede elegir entre:

      1. Última actualización: implementa la actualización más reciente para iOS/iPadOS.

      2. Cualquier versión anterior que esté disponible en el cuadro desplegable. Si seleccionas una versión anterior, también debes implementar una directiva de configuración de dispositivo para retrasar la visibilidad de las actualizaciones de software.

    2. Tipo de programación: configure la programación para esta directiva:

      1. Actualiza en la siguiente comprobación. La actualización se instala en el dispositivo la próxima vez que inicia sesión con Intune. Esta es la opción más sencilla y no tiene configuraciones adicionales.

      2. Actualizar durante el tiempo programado. Configura una o más ventanas de tiempo durante las cuales se instalará la actualización al hacer el registro.

      3. Actualización fuera de la hora programada. Configura una o más ventanas de tiempo durante las cuales las actualizaciones no se instalarán al hacer el registro.

    3. Programación semanal: si elige un tipo de programación que no sea actualización en la siguiente comprobación, configure las siguientes opciones:

      Screenshot of Update policy settings in Create profile.

  4. Elija una zona horaria.

  5. Definir un intervalo de tiempo. Defina uno o varios bloques de tiempo que restrinjan cuando se instalen las actualizaciones. Las opciones incluyen el día de inicio, la hora de inicio, el día de finalización y la hora de finalización. Mediante el uso de un día de inicio y un día de finalización, se admiten bloques durante la noche. Si no configura las horas de inicio o finalización, la configuración no produce ninguna restricción y las actualizaciones pueden instalarse en cualquier momento.

Asegúrate de que los dispositivos estén cifrados

Configurar BitLocker para cifrar dispositivos Windows 10

  1. Selecciona Perfiles de configuración de dispositivos >> Crear perfil.

  2. Establezca las siguientes opciones:

    1. Plataforma: Windows 10 y versiones posteriores

    2. Tipo de perfil: Endpoint Protection

      Screenshot of Create a profile in Devices Configuration profiles for Windows 10.

  3. Seleccione Configuración > cifrado Windows.

    Screenshot of Endpoint protection in Create profile.

  4. Configura las opciones de BitLocker para satisfacer tus necesidades empresariales y, a continuación, selecciona Aceptar.

Configurar el cifrado de FileVault en dispositivos macOS

  1. Selecciona Perfiles de configuración de dispositivos >> Crear perfil.

  2. Establezca las siguientes opciones:

    1. Plataforma: macOS.

    2. Tipo de perfil: Endpoint Protection.

      Screenshot of Create a profile in Devices Configuration profiles for mac OS.

  3. Seleccione Configuración > FileVault.

    Screenshot of File Vault under Endpoint protection in Create profile.

  4. Para FileVault, selecciona Habilitar.

  5. Para el tipo de clave de recuperación, solo se admite la clave personal.

  6. Configura las opciones restantes de FileVault para satisfacer tus necesidades empresariales y, a continuación, selecciona Aceptar.

Crear directivas de protección de aplicaciones para proteger datos corporativos en el nivel de aplicación

Para asegurarse de que los datos permanecen seguros o contenidos en una aplicación administrada, cree directivas de protección de aplicaciones (APP). Una directiva puede ser una regla que se aplica cuando el usuario intenta acceder a datos "corporativos" o moverlos, o bien un conjunto de acciones que están prohibidas o supervisadas cuando el usuario está dentro de la aplicación.

El marco de protección de datos app se organiza en tres niveles de configuración distintos, y cada nivel se basa en el nivel anterior:

  • Enterprise protección de datos básica (nivel 1) garantiza que las aplicaciones estén protegidas con un PIN y cifradas, y realiza operaciones de borrado selectivo. Para dispositivos Android, este nivel valida la atestación de dispositivos Android. Esta es una configuración de nivel de entrada que proporciona un control de protección de datos similar en Exchange Online directivas de buzón de correo e introduce TI y el grupo de usuarios en app.

  • Enterprise protección de datos mejorada (nivel 2) introduce mecanismos de prevención de fugas de datos app y requisitos mínimos del sistema operativo. Esta es la configuración que se aplica a la mayoría de los usuarios móviles que obtienen acceso a datos profesionales o educativos.

  • Enterprise alta protección de datos (nivel 3) introduce mecanismos avanzados de protección de datos, configuración mejorada de PIN y defensa contra amenazas móviles de aplicaciones. Esta configuración es deseable para los usuarios que tienen acceso a datos de alto riesgo.

Sigue estos pasos:

  1. En Intune portal, elija Directivasde Protección de aplicaciones aplicaciones>. Esta selección abre los detalles Protección de aplicaciones directivas, donde puede crear directivas y editar directivas existentes.

  2. Seleccione Crear directiva y seleccione iOS/iPadOS o Android. Se muestra el panel Crear directiva .

  3. Elige las aplicaciones a las que quieres aplicar la directiva de Protección de aplicaciones.

  4. Configurar Configuración de protección de datos:

    1. Protección de datos de iOS/iPadOS. Para obtener más información, consulte Configuración de la directiva de protección de aplicaciones de iOS/iPadOS: Protección de datos.

    2. Protección de datos de Android. Para obtener más información, consulta Configuración de directivas de protección de aplicaciones de Android: Protección de datos.

  5. Configurar Configuración de requisitos de acceso:

    1. Requisitos de acceso de iOS o iPadOS. Para obtener más información, consulte Configuración de la directiva de protección de aplicaciones de iOS/iPadOS: requisitos de Access.

    2. Requisitos de acceso a Android. Para obtener más información, consulte Configuración de directivas de protección de aplicaciones android: requisitos de Access.

  6. Configurar Configuración de inicio condicional:

    1. Inicio condicional de iOS/iPadOS. Para obtener más información, consulte Configuración de la directiva de protección de aplicaciones de iOS/iPadOS: inicio condicional.

    2. Inicio condicional de Android. Para obtener más información, consulta Configuración de directivas de protección de aplicaciones android: inicio condicional.

  7. Haga clic en Siguiente para mostrar la página Tareas .

  8. Cuando haya terminado, haga clic en Crear para crear la directiva de protección de aplicaciones en Intune.

Propina

Obtenga información sobre cómo implementar una estrategia de Confianza cero de un extremo a otro para los datos.




Checklist icon with two checkmarks.

Objetivos de implementación adicionales

IV. La detección de amenazas de extremo se usa para supervisar el riesgo del dispositivo

Una vez que haya cumplido los tres primeros objetivos, el siguiente paso es configurar la seguridad del extremo para que se aprovisione, active y supervise la protección avanzada. Se usa un único panel de vidrio para administrar de forma coherente todos los puntos de conexión juntos.

Redirigir registros y transacciones del punto de conexión a siem o Power BI

Mediante el almacenamiento de datos Intune, envíe datos de administración de aplicaciones y dispositivos a herramientas SIEM o informes para filtrar alertas de forma inteligente con el fin de reducir el ruido.

Sigue estos pasos:

  1. Seleccione Informes > Intune Almacenamiento de datos del almacén > de datos.

  2. Copie la dirección URL de fuente personalizada. Por ejemplo: https://fef.tenant.manage.microsoft.com/ReportingService/DataWarehouseFEService?api-version=v1.0

  3. Abra Power BI Desktop o su solución SIEM.

Desde su solución SIEM

Elija la opción para importar u obtener datos de una fuente de Odata.

Desde PowerBI

  1. En el menú, seleccione Obtener fuente de > OData de datos>.

  2. Pegue la dirección URL de la fuente personalizada que copió en el paso anterior en el cuadro URL de la ventana de la fuente de OData.

  3. Seleccione Básicos.

  4. Seleccione Aceptar.

  5. Seleccione Cuenta de la organización e inicie sesión con sus credenciales de Intune.

    Screenshot of OData feed setting in Organizational account.

  6. Seleccione Conectar. El Navegador abrirá y mostrará la lista de tablas en el Intune Data Warehouse.

  7. Seleccione los dispositivos y las tablas ownerTypes. Seleccione Cargar. Power BI carga datos en el modelo.

  8. Crear una relación. Puede importar varias tablas para analizar no solo los datos de una sola tabla, sino también los datos relacionados entre tablas. Power BI tiene una característica denominada detección automática que intenta buscar y crear relaciones por usted. Las tablas de la Data Warehouse se han creado para trabajar con la característica de detección automática en Power BI. Sin embargo, incluso si Power BI no encuentra automáticamente las relaciones, aún puede administrarlas.

  9. Seleccione Administrar relaciones.

  10. Seleccione Detección automática si Power BI aún no ha detectado las relaciones.

  11. Aprenda formas avanzadas de configurar visualizaciones de PowerBI.

V. El control de acceso se controla en caso de riesgo de extremo tanto para dispositivos corporativos como para BYOD

Los dispositivos corporativos se han inscrito con un servicio de inscripción en la nube como DEP, Android Enterprise o Windows AutoPilot

Crear y mantener imágenes personalizadas del sistema operativo es un proceso que requiere mucho tiempo y puede incluir dedicar tiempo a aplicar imágenes personalizadas del sistema operativo a nuevos dispositivos para prepararlas para su uso.

  • Con Microsoft Intune servicios de inscripción en la nube, puede dar nuevos dispositivos a los usuarios sin la necesidad de crear, mantener y aplicar imágenes personalizadas del sistema operativo a los dispositivos.

  • Windows AutoPilot es una colección de tecnologías usadas para configurar y preconfigurar nuevos dispositivos, preparándolos para su uso productivo. También puede usar Windows AutoPilot para restablecer, reutilizar y recuperar dispositivos.

  • Configure Windows AutoPilot para automatizar Azure AD Unirse e inscribir nuevos dispositivos de propiedad corporativa en Intune.

  • Configure Apple DEP para inscribir automáticamente dispositivos iOS y iPadOS.

Productos cubiertos en esta guía

Microsoft Azure

Azure Active Directory

Microsoft 365

Microsoft Endpoint Manager (incluye Microsoft Intune y Configuration Manager)

Microsoft Defender para punto de conexión

Bitlocker

Conclusión

Un enfoque Confianza cero puede reforzar significativamente la posición de seguridad de los dispositivos y los puntos de conexión. Para obtener más información o ayuda con la implementación, póngase en contacto con su equipo de Customer Success o continúe leyendo los demás capítulos de esta guía que abarcan todos los pilares Confianza cero.



Serie de la guía de implementación de Confianza cero

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration