Administración de perfiles de línea de base de seguridad en Microsoft Intune

Administre perfiles para líneas de base de seguridad que le ayuden a proteger a los usuarios y los dispositivos. Las líneas de base de seguridad son grupos preconfigurados de configuraciones de Windows que representan la posición de seguridad recomendada por los equipos de seguridad correspondientes. Puede implementar una línea de base predeterminada (sin modificar) o crear un perfil personalizado para aplicar la configuración que necesita para su entorno.

Al crear un perfil de línea de base de seguridad en Intune, está creando una plantilla que consta de varios valores de configuración de dispositivos.

Esta característica se aplica a:

  • Windows 10, versión 1809 y posteriores
  • Windows 11

Consulte la lista de líneas de base de seguridad disponibles.

Las tareas comunes cuando se trabaja con líneas de base de seguridad incluyen:

Requisitos previos

  • Para administrar líneas base en Intune, la cuenta debe tener el rol Administrador de directiva y de perfil integrado.

  • El uso de algunas líneas de base podría exigirle tener una suscripción activa a servicios adicionales, como Microsoft Defender para punto de conexión.

Creación del perfil

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.

  2. Seleccione Seguridad de los puntos de conexión > Líneas base de seguridad para ver la lista de líneas base disponibles.

    Selección de una línea de base de seguridad para configurar

  3. Seleccione la línea de base que le gustaría usar y, luego, Crear perfil.

  4. En la pestaña Aspectos básicos, especifique estas propiedades:

    • Nombre: escriba un nombre para el perfil de las líneas de base de seguridad. Por ejemplo, escriba Perfil estándar para Defender para punto de conexión.

    • Descripción: escriba algún texto que describa lo que hace esta línea de base. La descripción es para que introduzca cualquier texto que desee. Es opcional, pero recomendable.

    Seleccione Siguiente para ir a la pestaña siguiente. Después de avanzar a una nueva pestaña, puede seleccionar el nombre de la pestaña para volver a una pestaña vista anteriormente.

  5. En la pestaña Opciones de configuración, consulte los grupos de Configuración que están disponibles en la línea de base seleccionada. Puede expandir un grupo para ver su configuración, además de los valores predeterminados de dicha configuración de la línea de base. Para encontrar la configuración específica:

    • Seleccione un grupo para expandir y revisar la configuración disponible.
    • Use la barra de búsqueda y especifique las palabras clave que filtran la vista para mostrar solo esos grupos que incluyen sus criterios de búsqueda.

    Cada uno de los valores de una línea de base cuenta con una configuración predeterminada para esa versión de línea de base. Vuelva a configurar los valores predeterminados para cumplir con las necesidades de su empresa. Diferentes líneas de base podrían incluir la misma configuración y usar valores predeterminados distintos de la configuración, según la intención de la línea de base.

    Expansión de un grupo para ver los valores de ese grupo

  6. En la pestaña Etiquetas de ámbito, seleccione Seleccionar etiquetas de ámbito para abrir el panel Seleccionar etiquetas para asignar etiquetas de ámbito al perfil.

  7. En la pestaña Asignaciones, seleccione Seleccionar grupos para incluir y, a continuación, asigne la línea de base a uno o varios grupos. Use Seleccionar grupos para excluir para ajustar la asignación.

    Asignar un perfil

  8. Cuando esté listo para implementar la línea de base, avance a la pestaña Revisar y crear para revisar los detalles de la línea de base. Seleccione Crear para guardar e implementar el perfil.

    Tan pronto como cree el perfil, se insertará en el grupo asignado y es posible que se aplique inmediatamente.

    Sugerencia

    Si guarda un perfil sin asignarlo primero a grupos, más tarde podrá editarlo para hacerlo.

    Revisión de la línea de base

  9. Después de crear un perfil, edítelo en Seguridad de los puntos de conexión > Líneas de base de seguridad, seleccione el tipo de línea de base que ha configurado y, luego, Perfiles. Seleccione el perfil en la lista de perfiles disponibles y, a continuación, seleccione Propiedades. Puede editar la configuración desde todas las pestañas de configuración disponibles y seleccionar Revisar y guardar para confirmar sus cambios.

Cambio de la versión de línea de base de un perfil

Cuando se lance una nueva versión de una línea de base, debe planear la actualización de los perfiles existentes a la nueva versión:

  • Los perfiles existentes no se actualizan automáticamente a las nuevas versiones.
  • La configuración de los perfiles de línea de base que no usan la versión más reciente pasará a ser de solo lectura. Puede seguir usando estos perfiles antiguos, e incluso editar el nombre, la descripción y las asignaciones, pero no podrá editar la configuración ni crear perfiles basados en las versiones anteriores.

Se recomienda probar la actualización de la versión en una copia de los perfiles existentes antes de actualizar los perfiles activos.

Al cambiar la versión del perfil:

  • Seleccione la instancia más reciente de la misma línea de base. No puede cambiar entre dos tipos de línea de base distintos, como cambiar un perfil que usa una línea de base para Defender para punto de conexión a usar la línea de base de seguridad MDM.

  • Tiene la opción de descargar un archivo CSV que muestra los cambios entre las dos versiones de línea de base implicadas.

  • Elija cómo actualizar el perfil:

    • Puede conservar todas las personalizaciones de la versión de línea de base original.
    • Puede optar por usar los valores predeterminados para todas las opciones de configuración de la nueva versión de línea de base.

    No se pueden cambiar solo algunas opciones de configuración de un perfil durante la actualización.

Durante la conversión:

  • Se agregan las opciones de configuración nuevas que no estaban en la versión anterior que usaba. Todas las opciones de la versión nueva usarán los valores predeterminados.

  • La configuración que no esté en la nueva versión de línea de base seleccionada se quitará y este perfil de la línea de base de seguridad ya no la aplicará.

    Si un perfil de línea de base deja de administrar una configuración, dicha configuración no se restablecerá en el dispositivo. En su lugar, la configuración del dispositivo seguirá estando establecida en su última configuración hasta que otro proceso la administre para cambiarla. Entre los ejemplos de procesos que pueden cambiar una configuración una vez que deja de administrarla se incluyen un perfil de línea de base diferente, una configuración de directiva de grupo o una configuración manual realizada en el dispositivo.

Una vez completada la conversión a la nueva versión de línea de base:

  • La línea de base se vuelve a implementar inmediatamente en los grupos asignados.
  • Puede editar la línea de base para cambiar la configuración individual.

Prueba de la conversión y la línea de base actualizada

Antes de actualizar un perfil de línea de base a una nueva versión, cree una copia de este para poder probar la nueva versión del perfil en un grupo de dispositivos. Consulte Duplicado de una línea de base de seguridad más adelante en este artículo.

  • Cuando se crea una copia, no se incluyen las asignaciones de grupo. Esto significa que la copia de la línea de base no se implementará en ningún dispositivo en el momento en que se realice una copia o en el momento en que se actualice a una nueva versión.
  • Después de actualizar el perfil a la versión más reciente, puede editar su configuración. Puede asignar la copia actualizada a un grupo de dispositivos y editarla para introducir cambios en la configuración individual del perfil.

Para cambiar la versión de línea de base de un perfil

Antes de actualizar la versión de un perfil asignado a grupos, pruebe la actualización de la versión en una copia del perfil para validar la nueva configuración de la línea de base en el grupo de dispositivos de prueba.

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.

  2. Seleccione Seguridad de los puntos de conexión > Líneas base de seguridad y, luego, seleccione el icono del tipo de línea base que tenga el perfil que quiere cambiar.

  3. A continuación, seleccione Perfiles, active la casilla del perfil que desea editar y seleccione Cambiar versión.

    seleccionar una línea de base

  4. En el panel Cambiar versión, use la lista desplegable Select a security baseline to update to (Seleccionar una línea de base de seguridad a la que actualizar) y seleccione la instancia de versión que desea usar.

    seleccionar una versión

  5. Seleccione Revisar actualización para descargar un archivo CSV que muestre la diferencia entre la versión de la instancia actual del perfil y la nueva versión seleccionada. Revise este archivo para comprender qué configuración es nueva o se quita, y cuáles son los valores predeterminados de esta configuración en el perfil actualizado.

    Cuando esté listo, continúe con el siguiente paso.

  6. Elija una de las dos opciones para Seleccionar un método para actualizar el perfil:

    • Aceptar los cambios en la línea de base, pero conservar mis personalizaciones de configuración existentes: esta opción conserva las personalizaciones que realizó en el perfil de la línea de base y las aplica a la nueva versión que ha seleccionado para su uso.
    • Aceptar los cambios en la línea de base y descartar las personalizaciones de configuración existentes: esta opción sobrescribe su perfil original por completo. El perfil actualizado usará los valores predeterminados de todas las configuraciones.
  7. Seleccione Enviar. El perfil se actualiza a la versión de línea de base seleccionada y, una vez que se ha completado la conversión, la línea de base vuelve a implementarse inmediatamente en grupos asignados.

Quitar una asignación de la línea de base de seguridad

Si una configuración de líneas de base de seguridad deja de aplicarse a un dispositivo o la configuración de una línea de base se establece en No configurado, esa configuración de un dispositivo no se revertirá a una configuración administrada previamente. En su lugar, la configuración administrada previamente del dispositivo conservará sus últimas configuraciones tal como se reciben de la línea de base hasta que otro proceso actualice esa configuración del dispositivo.

Otros procesos que podrían cambiar la configuración del dispositivo posteriormente incluyen una línea de base de seguridad nueva o diferente, un perfil de configuración de dispositivo, configuraciones de directiva de grupo o una edición manual de la configuración del dispositivo.

Duplicado de una línea base de seguridad

Puede crear duplicados de las líneas base de seguridad. El duplicado de una línea de base resulta útil cuando se quiere asignar una línea de base similar pero distinta a un subconjunto de dispositivos. Al crear un duplicado, no es necesario volver a crear manualmente toda la línea base. sino que se puede duplicar cualquiera de las líneas base actuales y luego incorporar solo los cambios que necesita la nueva instancia. Solo se puede cambiar un valor específico y el grupo al que está asignada la línea base.

Al crear un duplicado, se le asigna un nuevo nombre a la copia. La copia se realiza con las mismas opciones de configuración y etiquetas de ámbito que la original, pero no tiene ninguna asignación. Debe modificar la nueva línea base para agregar asignaciones.

Todas las líneas base de seguridad admiten la creación de un duplicado.

Después de duplicar una línea base, revise y edite la nueva instancia para realizar cambios en su configuración.

Para duplicar una línea base

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.
  2. Vaya a Seguridad de los puntos de conexión > Líneas base de seguridad, seleccione el tipo de línea base que quiere duplicar y luego Perfiles.
  3. Haga clic con el botón derecho en el perfil que quiere duplicar y seleccione Duplicar, o bien seleccione los puntos suspensivos (...) situados a la derecha de la línea base y luego Duplicar.
  4. Proporcione un Nuevo nombre a la línea base y seleccione Guardar.

Después de Actualizar, el nuevo perfil de línea base aparece en el centro de administración.

Para editar una línea base

  1. Seleccione la línea base y luego Propiedades.

  2. En esta vista, puede seleccionar Editar para las categorías siguientes a fin de modificar el perfil:

    • Conceptos básicos
    • Tareas
    • Etiquetas de ámbito
    • Opciones de configuración

    Puede Editar las Opciones de configuración de un perfil solo cuando dicho perfil usa la versión más reciente de esa línea de base de seguridad. En el caso de los perfiles que usan versiones anteriores, puede expandir Configuración para ver cómo se han establecido los valores del perfil, pero no puede modificarlos. Después de actualizar un perfil a la versión de línea de base más reciente, podrá editar la configuración del perfil.

  3. Una vez realizados los cambios, seleccione Guardar para guardar las modificaciones. Guarde las modificaciones realizadas en una categoría para poder especificar modificaciones en otras categorías.

Versiones de línea de base anteriores

Microsoft Endpoint Manager actualiza las versiones de las líneas de base de seguridad integradas en función de las necesidades cambiantes de una organización habitual. En cada versión nueva se genera una actualización de la versión de una línea de base determinada. Se espera que los clientes usen la versión de línea de base más reciente como punto de partida para sus perfiles de configuración de dispositivos.

Cuando ya no hay ningún perfil que use una línea base anterior enumerada en el inquilino, Microsoft Endpoint Manager solo muestra la versión de línea base más reciente disponible.

Si tiene un perfil asociado a una línea de base anterior, este seguirá apareciendo.

Dispositivos administrados conjuntamente

Las líneas de base de seguridad en dispositivos administrados por Intune son similares a los dispositivos administrados conjuntamente con Configuration Manager. Los dispositivos administrados conjuntamente usan Configuration Manager y Microsoft Intune para administrar los dispositivos Windows 10/11 al mismo tiempo. Le permite conectar a la nube su inversión existente de Configuration Manager a las ventajas de Intune. La introducción a la administración conjunta es un excelente recurso si usa Configuration Manager y también quiere las ventajas de la nube.

Cuando se usen dispositivos administrados conjuntamente, debe cambiar la carga de trabajo de la configuración del dispositivo (su configuración) a Intune. Las cargas de trabajo de configuración de dispositivo proporcionan más información.

Siguientes pasos