Administración de perfiles de línea de base de seguridad en Microsoft Intune

Para ayudar a proteger a los usuarios y los dispositivos Windows, puede configurar e implementar distintas instancias de Microsoft Intune perfiles de línea base de seguridad en diferentes grupos de dispositivos y usuarios de Windows. Hay líneas base diferentes para diferentes productos y cada una es un grupo de configuraciones preconfiguradas que representan la posición de seguridad recomendada de ese equipo de seguridad de los productos. Puede implementar una línea base predeterminada (sin modificar) o personalizar los perfiles para configurar dispositivos con la configuración que requiere su organización.

Para obtener una lista de las líneas base de seguridad disponibles, consulte Introducción a las líneas de base de seguridad.

Esta característica se aplica a:

• Windows 10, versión 1809 y posteriores
• Windows 11

Introducción a las líneas base de seguridad

Al crear un perfil de línea de base de seguridad en Intune, está creando una plantilla que consta de varios valores de configuración de dispositivos.

Cuando existen varias versiones de una línea base de seguridad, solo se puede usar la versión más reciente para crear una nueva instancia de esa línea base. Puede seguir usando instancias de líneas base anteriores que creó anteriormente y editar los grupos a los que están asignados. Sin embargo, las versiones obsoletas no admiten cambios en sus configuraciones de configuración. En su lugar, cree nuevas líneas base que usen la versión de línea de base más reciente o actualice las líneas base anteriores a esa versión más reciente si necesita introducir nuevas configuraciones para la configuración.

Se recomienda actualizar las versiones de línea base anteriores a la versión más reciente tan pronto como sea práctico hacerlo. Una versión más reciente puede:

• Incluya una nueva configuración que no estuviera disponible en las versiones anteriores.
• Retire y quite la configuración antigua que ya no se admite.
• Cambie la configuración predeterminada para que la configuración se alinee con las recomendaciones de seguridad actuales para el producto aplicable.

Las tareas comunes cuando se trabaja con líneas de base de seguridad incluyen:

• Creación de una nueva instancia de perfil : configure los valores que desea usar y asigne la línea base a los grupos.
• Actualizar una línea base de versión anterior a la versión de línea base más actual : cambie la versión de línea base en uso por un perfil.
• Quitar una asignación de línea de base: obtenga información sobre lo que ocurre cuando deja de administrar la configuración con una línea de base de seguridad.

Requisitos previos

• El uso de Intune para implementar líneas base de seguridad requiere una suscripción Microsoft Intune plan 1.

  Sugerencia

  Intune proporciona una interfaz de usuario fácil de usar para configurar e implementar líneas base de seguridad, pero no crea ni define las líneas base de seguridad. Fuera de Intune, hay disponibles otras opciones para implementar líneas base de seguridad, como las disponibles en security compliance toolkit.

• El uso de líneas base a través de Intune requiere que tenga una suscripción activa para el producto administrado, cuando corresponda. Por ejemplo, el uso de la línea base de Microsoft Defender para punto de conexión no concede derechos para usar Microsoft Defender. En su lugar, la línea base proporciona un método para configurar y administrar los valores que están presentes en los dispositivos con licencia y administrados por Microsoft Defender para punto de conexión.

• Para administrar líneas base en Intune, la cuenta debe tener el rol Administrador de directiva y de perfil integrado.

Creación de un perfil para una línea base de seguridad

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Seguridad de los puntos de conexión>Líneas base de seguridad para ver la lista de líneas base disponibles.

   

3. Seleccione la línea de base que le gustaría usar y, luego, Crear perfil.

4. En la pestaña Aspectos básicos, especifique estas propiedades:

   • Nombre: escriba un nombre para el perfil de las líneas de base de seguridad. Por ejemplo, escriba Perfil estándar para Defender para punto de conexión.

   • Descripción: escriba algún texto que describa lo que hace esta línea de base. La descripción es para que introduzca cualquier texto que desee. Es opcional, pero recomendable.

   Seleccione Siguiente para ir a la pestaña siguiente. Después de avanzar a una nueva pestaña, puede seleccionar el nombre de la pestaña para volver a una pestaña vista anteriormente.

5. En la pestaña Opciones de configuración, consulte los grupos de Configuración que están disponibles en la línea de base seleccionada. Puede expandir un grupo para ver su configuración, además de los valores predeterminados de dicha configuración de la línea de base. Para encontrar la configuración específica:

   • Seleccione un grupo para expandir y revisar la configuración disponible.
   • Las conclusiones de una configuración están disponibles junto a un icono de bombilla. Las conclusiones de configuración proporcionan confianza en las configuraciones agregando información que organizaciones similares adoptaron correctamente. Las conclusiones están disponibles para algunas opciones de configuración y no para todas. Para obtener más información, consulte Información de configuración.
   • Use la barra de búsqueda y especifique las palabras clave que filtran la vista para mostrar solo esos grupos que incluyen sus criterios de búsqueda.

   Cada uno de los valores de una línea de base cuenta con una configuración predeterminada para esa versión de línea de base. Vuelva a configurar los valores predeterminados para cumplir con las necesidades de su empresa. Diferentes líneas de base podrían incluir la misma configuración y usar valores predeterminados distintos de la configuración, según la intención de la línea de base.

   

6. En la pestaña Etiquetas de ámbito, seleccione Seleccionar etiquetas de ámbito para abrir el panel Seleccionar etiquetas para asignar etiquetas de ámbito al perfil.

7. En la pestaña Asignaciones , seleccione Seleccionar grupos para incluir y, a continuación, asigne la línea base a uno o varios grupos. Use Seleccionar grupos para excluir para ajustar la asignación.

   Nota:

   Las líneas base de seguridad se deben asignar a grupos de usuarios o grupos de dispositivos en función del ámbito de la configuración que se usa. Por este motivo, es posible que se necesiten varias líneas base al asignar la configuración basada en el usuario y el dispositivo.

   

8. Cuando esté listo para implementar la línea de base, avance a la pestaña Revisar y crear para revisar los detalles de la línea de base. Seleccione Crear para guardar e implementar el perfil.

   En cuanto cree el perfil, Intune lo inserta en el grupo asignado, que lo aplica inmediatamente.

   Sugerencia

   Si guarda un perfil sin asignarlo primero a grupos, más tarde podrá editarlo para hacerlo.

   

9. Después de crear un perfil, edítelo en Seguridad de los puntos de conexión>Líneas de base de seguridad, seleccione el tipo de línea de base que ha configurado y, luego, Perfiles. Seleccione el perfil en la lista de perfiles disponibles y, a continuación, seleccione Propiedades. Puede editar la configuración desde todas las pestañas de configuración disponibles y seleccionar Revisar y guardar para confirmar sus cambios.

Actualización de un perfil a la versión más reciente

La información de esta sección se aplica a la actualización de una instancia de línea base creada antes de mayo de 2023, a una versión de esa misma línea base que se publicó después de mayo de 2023.

Nota:

En mayo de 2023, Intune comenzó a implementar un nuevo formato de línea base de seguridad para cada nueva versión o actualización de línea base. Intune también introdujo un nuevo proceso de actualización para migrar un perfil de línea base de seguridad existente a una línea base de seguridad recién publicada. Este nuevo comportamiento reemplaza al comportamiento existente al pasar a una versión de línea base publicada en mayo de 2023 o posterior.

El comportamiento anterior sigue estando disponible para su uso al actualizar líneas base que aún no han recibido una nueva versión que usa el nuevo formato. Para obtener instrucciones, consulte Actualización de líneas base que usan el formato anterior.

Después de mayo de 2023, cuando se publique una nueva versión de una línea base, planee actualizar los perfiles existentes a la nueva versión. Al pasar de un formato anterior al nuevo formato de línea base (de una versión publicada antes de mayo de 2023 a una publicada en mayo de 2023 o posterior):

• Todos los perfiles nuevos para el tipo de línea base, como Microsoft Edge, usan el nuevo formato. No se admite la creación de una nueva línea base que use una versión de línea base anterior.

• Las versiones de línea base publicadas antes de mayo de 2023 no se actualizan al nuevo formato. En su lugar, cree un nuevo perfil que use el nuevo formato y configure los valores de la línea base antigua en ese nuevo formato de línea base. La recreación del perfil es un proceso único necesario para mover una línea base del formato anterior al nuevo formato de línea base.

  Para ayudarle en este proceso Intune puede exportar el perfil antiguo a un formato CSV que identifique cada configuración en función del nombre de la configuración tal como aparece en la nueva versión del perfil, junto con su configuración.

• Después de crear una nueva línea base que pueda reemplazar la versión de línea base anterior, el perfil anterior permanece sin cambios y puede seguir usándola. Puede seguir implementando, reasignando y editando la configuración en el formato de línea base anterior.

  Sugerencia

  La compatibilidad con la edición de la configuración en una versión de línea base anterior después de actualizar a una nueva versión es un cambio con respecto al comportamiento anterior. Este comportamiento solo es posible al pasar de las versiones de línea base creadas antes de mayo de 2023 a las versiones creadas en mayo de 2023 o posterior porque el nuevo formato de línea base existe en paralelo con el formato de línea de base anterior en lugar de reemplazarlo. Más adelante, al actualizar una instancia de línea base creada en mayo de 2023 o posterior a una versión más reciente, se devuelve el comportamiento original en el que no se puede editar la configuración de la versión anterior.

  Se recomienda planear la interrupción del uso del formato anterior e implementar un perfil basado en la versión más reciente lo antes posible. Los perfiles anteriores no reciben actualizaciones mientras que las versiones más recientes publicadas en mayo de 2023:

  • Use el nuevo formato de configuración en la interfaz de usuario de Intune que se alinea directamente con el origen del proveedor de servicios de configuración (CSP) para cada configuración.
  • Están preconfigurados con configuraciones predeterminadas que recomiendan los equipos de seguridad pertinentes.

Actualización de una línea base al nuevo formato

Para actualizar una línea base creada antes de mayo de 2023 al nuevo formato, debe crear una nueva instancia de línea base. Para ayudarle a volver a crear la configuración de líneas base originales, puede hacer que Intune exporte la configuración de las líneas base actuales como un archivo .CSV. La exportación incluye:

• Cada valor de la línea base anterior se identifica mediante el nombre de la configuración tal como aparece en la nueva línea base. Aunque el nombre de la configuración no se presenta textualmente en el .csv, puede encontrar la ruta de acceso de la configuración, que contiene parte del nombre de la configuración.
• Cómo se configuró cada valor de la línea base anterior.
• Si la configuración de un valor de la línea base antigua coincide con la configuración predeterminada de la nueva línea base.

Con la información de la exportación, puede volver a configurar rápidamente la nueva línea base para usar los mismos valores que la instancia de línea base anterior.

1. Inicie sesión en el centro de administración de Microsoft Intune y vaya aLíneas base> de seguridad> de punto de conexiónSeleccione el tipo de línea base y, a continuación, active la casilla del perfil de línea base (instancia) que desea replicar en el nuevo formato de línea base y, a continuación, seleccione Cambiar versión. Intune muestra el panel Cambiar versión.

   En la captura de pantalla siguiente, hemos profundizado en la línea base de seguridad para Microsoft Edge. Tenemos dos perfiles en este momento. Uno es un nuevo perfil para Microsoft Edge v112 y el otro es un perfil anterior de septiembre de 2020. El perfil anterior también muestra un icono de flecha para indicar que hay una versión más reciente para reemplazarlo.

   

2. En el panel Cambiar versión , hay instrucciones para mover los detalles de configuración de la línea base anterior a un perfil que usa el nuevo formato. El panel también identifica el nombre y la versión de las líneas base seleccionadas, y cuál es la versión de línea base más reciente.

   1. Seleccione Exportar configuración de perfil para crear un archivo .csv que muestre la configuración de la línea base seleccionada junto con sus configuraciones actuales si no están establecidas en el valor predeterminado de las líneas base. Al seleccionar la opción para exportar los detalles de línea base, Intune prepara la exportación y, a continuación, requiere que acepte continuar. Seleccione Sí para descargar la exportación de archivos .CSV.

   2. Después de descargar el archivo, puede abrirlo para ver la configuración actual de líneas base anteriores.

   El panel Cambiar versión también incluye un botón para Crear un nuevo perfil para la línea base seleccionada, que tiene la misma función que la opción Crear perfil que se usa más comúnmente para crear nuevas instancias de línea base.

   La captura de pantalla siguiente muestra una exportación para el perfil de Microsoft Edge versión 85, tal como se ve en Microsoft Excel. De las nuevas líneas base de Microsoft Edge 17 configuraciones que se encontraron en el perfil anterior, solo ha cambiado una configuración: Habilitar el aislamiento de sitio para cada sitio se estableció en Deshabilitado en la línea base anterior. En la línea base más reciente, el valor predeterminado ahora es Habilitado:

   

   En la imagen anterior, hay tres columnas de información. La información identifica la configuración en el nuevo perfil y la configuración de cada una de ellas que tenía en el perfil anterior.

   • DefinitionId : esta columna muestra el nombre del Registro de configuración. La información después del carácter de subrayado ( _ ) identifica el nombre de configuración tal como aparece en el nuevo perfil y formato de línea base, pero sin espacios en el nombre. Este valor también es el nombre de la configuración de CSP que administra esta configuración de línea base.

     Por ejemplo, nuestra configuración modificada habilitar el aislamiento de sitio para cada sitio aparece en esta exportación como admx--microsoftedge_SitePerProcess. La última parte, SitePerProcess, ayuda a identificar la configuración.

   • defaultJson : esta columna identifica la configuración predeterminada para esta configuración, tal como se muestra en el nuevo formato de línea base. Nuestra configuración de ejemplo para el CSP de SitePerProcess está establecida en habilitado de forma predeterminada.

   • customizedJson : la columna final muestra la configuración de cada configuración de la versión del perfil anterior. Esta información le ayuda a comprender qué opciones de configuración del nuevo perfil requieren modificaciones para que coincidan con la configuración de los perfiles anteriores. Nuestra configuración de ejemplo se estableció en deshabilitada. Todas las demás opciones muestran "NotApplicable" ya que no se modificaron de la configuración predeterminada en la versión de línea base anterior que hemos estado usando.

   Es posible que tenga en cuenta que el perfil de línea base de Microsoft Edge actualizado tiene más de las 17 configuraciones que se encuentran en el perfil anterior. La exportación de línea base no identifica esta nueva configuración, ya que no estaban disponibles en la versión de línea base anterior que está revisando.

   Más adelante, al crear y configurar el nuevo perfil, puede usar la lista de la exportación csv para asegurarse de que cada configuración del perfil anterior se establece en el nuevo perfil con la misma configuración.

Actualización de líneas base que usan el formato anterior

La información de esta sección se aplica a la actualización de una línea base existente creada antes de mayo de 2023 a una versión de esa misma línea base que también se publicó antes de mayo de 2023.

Nota:

En mayo de 2023, Intune comenzó a implementar un nuevo formato de línea base de seguridad para cada nueva versión o actualización de línea base. Intune también introdujo un nuevo proceso de actualización para migrar un perfil de línea base de seguridad existente a una línea base de seguridad recién publicada. Este nuevo comportamiento reemplaza al comportamiento existente al pasar a una versión de línea base publicada en mayo de 2023 o posterior.

La siguiente guía es para su uso al actualizar una línea base a una versión más reciente que se publicó antes de mayo de 2023. Si va a actualizar una línea base a una versión publicada en mayo de 2023 o posterior, consulte Actualización de un perfil a la versión más reciente.

Cuando una nueva versión de una línea base esté disponible, planee actualizar los perfiles existentes a la nueva versión:

• Los perfiles existentes no se actualizan automáticamente a las nuevas versiones.
• La configuración de los perfiles de línea de base que no usan la versión más reciente pasará a ser de solo lectura. Puede seguir usando esos perfiles anteriores, incluida la edición de su nombre, descripción y asignaciones, pero no puede editar la configuración de ellos ni crear perfiles nuevos basados en esas versiones anteriores.

Se recomienda probar la actualización de la versión en una copia de los perfiles existentes antes de actualizar los perfiles activos.

Al cambiar la versión del perfil:

• Seleccione la instancia más reciente de la misma línea de base. No puede cambiar entre dos tipos de línea de base distintos, como cambiar un perfil que usa una línea de base para Defender para punto de conexión a usar la línea de base de seguridad MDM.

• Puede exportar y descargar un archivo CSV que muestre los cambios entre las dos versiones de línea base implicadas.

• Elija cómo actualizar el perfil:

  • Puede conservar todas las personalizaciones de la versión de línea de base original.
  • Puede optar por usar los valores predeterminados para todas las opciones de configuración de la nueva versión de línea de base.

  No se pueden cambiar solo algunas opciones de configuración de un perfil durante la actualización.

Durante la conversión:

• Se agregan las opciones de configuración nuevas que no estaban en la versión anterior que usaba. Cualquier nueva configuración de la nueva versión usa sus valores predeterminados.

• La configuración que no esté en la nueva versión de línea de base seleccionada se quitará y este perfil de la línea de base de seguridad ya no la aplicará.

  Si un perfil de línea de base deja de administrar una configuración, dicha configuración no se restablecerá en el dispositivo. En su lugar, la configuración del dispositivo seguirá estando establecida en su última configuración hasta que otro proceso la administre para cambiarla. Entre los ejemplos de procesos que pueden cambiar una configuración una vez que deja de administrarla se incluyen un perfil de línea de base diferente, una configuración de directiva de grupo o una configuración manual realizada en el dispositivo.

Una vez completada la conversión a la nueva versión de línea de base:

• La línea de base se vuelve a implementar inmediatamente en los grupos asignados.
• Puede editar la línea de base para cambiar la configuración individual.

Prueba de la conversión y la línea de base actualizada

Antes de actualizar un perfil de línea de base a una nueva versión, cree una copia de este para poder probar la nueva versión del perfil en un grupo de dispositivos. Consulte Duplicado de una línea de base de seguridad más adelante en este artículo.

• Al crear una copia, no se incluyen las asignaciones de grupo, lo que significa que la copia de línea base no se implementará en ningún dispositivo en el momento en que realice una copia o en el momento en que la actualice a una nueva versión.
• Después de actualizar el perfil a la versión más reciente, puede editar su configuración. Puede asignar la copia actualizada a un grupo de dispositivos y editarla para introducir cambios en la configuración individual del perfil.

Para cambiar la versión de línea de base de un perfil

Antes de actualizar la versión de un perfil asignado a grupos, pruebe la actualización de la versión en una copia del perfil para validar la nueva configuración de la línea de base en el grupo de dispositivos de prueba.

1. Inicie sesión en el Centro de administración de Microsoft Intune.

2. Seleccione Seguridad de los puntos de conexión>Líneas base de seguridad y, luego, seleccione el icono del tipo de línea base que tenga el perfil que quiere cambiar.

3. A continuación, seleccione Perfiles, active la casilla del perfil que desea editar y seleccione Cambiar versión.

   

4. En el panel Cambiar versión, use la lista desplegable Select a security baseline to update to (Seleccionar una línea de base de seguridad a la que actualizar) y seleccione la instancia de versión que desea usar.

   

5. Seleccione Revisar actualización para descargar un archivo CSV que muestre la diferencia entre la versión de la instancia actual del perfil y la nueva versión seleccionada. Revise este archivo para comprender qué configuración es nueva o se quita, y cuáles son los valores predeterminados de esta configuración en el perfil actualizado.

   Cuando esté listo, continúe con el siguiente paso.

6. Elija una de las dos opciones para Seleccionar un método para actualizar el perfil:

   • Aceptar los cambios en la línea de base, pero conservar mis personalizaciones de configuración existentes: esta opción conserva las personalizaciones que realizó en el perfil de la línea de base y las aplica a la nueva versión que ha seleccionado para su uso.
   • Aceptar los cambios en la línea de base y descartar las personalizaciones de configuración existentes: esta opción sobrescribe su perfil original por completo. El perfil actualizado usa los valores predeterminados para toda la configuración.

7. Seleccione Enviar. El perfil se actualiza a la versión de línea de base seleccionada y, una vez que se ha completado la conversión, la línea de base vuelve a implementarse inmediatamente en grupos asignados.

Quitar una asignación de la línea de base de seguridad

Cuando una configuración de línea base de seguridad ya no se aplica a un dispositivo o la configuración de una línea base se establece en No configurada, es posible que dicha configuración en un dispositivo no se revierta a una configuración administrada previamente en función de la configuración de la línea base de seguridad. La configuración se basa en CSP y cada CSP puede controlar la eliminación de cambios de forma diferente.

Otros procesos que podrían cambiar la configuración del dispositivo posteriormente incluyen una línea de base de seguridad nueva o diferente, un perfil de configuración de dispositivo, configuraciones de directiva de grupo o una edición manual de la configuración del dispositivo.

Duplicado de una línea base de seguridad

Puede crear duplicados de las líneas base de seguridad. El duplicado de una línea de base resulta útil cuando se quiere asignar una línea de base similar pero distinta a un subconjunto de dispositivos. Al crear un duplicado, no es necesario volver a crear manualmente toda la línea base. sino que se puede duplicar cualquiera de las líneas base actuales y luego incorporar solo los cambios que necesita la nueva instancia. Solo se puede cambiar un valor específico y el grupo al que está asignada la línea base.

Al crear un duplicado, asigne a la copia un nombre nuevo. La copia se realiza con las mismas configuraciones de configuración y etiquetas de ámbito que el original, pero no tiene ninguna asignación. Debe editar la nueva línea base para agregar asignaciones.

Todas las líneas base de seguridad admiten la creación de un duplicado.

Después de duplicar una línea base, revise y edite la nueva instancia para realizar cambios en su configuración.

Para duplicar una línea base

1. Inicie sesión en el Centro de administración de Microsoft Intune.
2. Vaya a Seguridad de los puntos de conexión>Líneas base de seguridad, seleccione el tipo de línea base que quiere duplicar y luego Perfiles.
3. Haga clic con el botón derecho en el perfil que quiere duplicar y seleccione Duplicar, o bien seleccione los puntos suspensivos (...) situados a la derecha de la línea base y luego Duplicar.
4. Proporcione un Nuevo nombre a la línea base y seleccione Guardar.

Después de Actualizar, el nuevo perfil de línea base aparece en el centro de administración.

Para editar una línea base

1. Seleccione la línea base y luego Propiedades.

2. En esta vista, puede seleccionar Editar para las categorías siguientes a fin de modificar el perfil:

   • Conceptos básicos
   • Tareas
   • Etiquetas de ámbito
   • Opciones de configuración

   Puede Editar las Opciones de configuración de un perfil solo cuando dicho perfil usa la versión más reciente de esa línea de base de seguridad. En el caso de los perfiles que usan versiones anteriores, puede expandir Configuración para ver cómo se han establecido los valores del perfil, pero no puede modificarlos. Después de actualizar un perfil a la versión de línea de base más reciente, podrá editar la configuración del perfil.

3. Una vez realizados los cambios, seleccione Guardar para guardar las modificaciones. Guarde las modificaciones realizadas en una categoría para poder especificar modificaciones en otras categorías.

Versiones de línea de base anteriores

Microsoft Intune actualiza las versiones de las líneas base de seguridad integradas en función de las necesidades cambiantes de una organización típica. En cada versión nueva se genera una actualización de la versión de una línea de base determinada. La expectativa es que los clientes usen la versión de línea base más reciente como punto de partida para sus perfiles de configuración de dispositivos.

Cuando ya no haya perfiles que usen una línea base anterior en el inquilino, Microsoft Intune enumera la versión de línea base más reciente disponible.

Si tiene un perfil asociado a una línea base anterior, esa línea base anterior sigue aparecándose.

Dispositivos administrados conjuntamente

Las líneas de base de seguridad en dispositivos administrados por Intune son similares a los dispositivos administrados conjuntamente con Configuration Manager. Los dispositivos administrados conjuntamente usan Configuration Manager y Microsoft Intune para administrar los dispositivos Windows 10/11 al mismo tiempo. Le permite conectar a la nube su inversión existente de Configuration Manager a las ventajas de Intune. La introducción a la administración conjunta es un excelente recurso si usa Configuration Manager y también quiere las ventajas de la nube.

Cuando se usen dispositivos administrados conjuntamente, debe cambiar la carga de trabajo de la configuración del dispositivo (su configuración) a Intune. Las cargas de trabajo de configuración de dispositivo proporcionan más información.

Siguientes pasos

• Comprobación del estado y supervisión de la base de referencia y el perfil

• Consulte la configuración en las versiones más recientes de las líneas de base disponibles:

  • Windows 10 y versiones posteriores: línea base de seguridad de MDM
  • Línea base de Microsoft Defender para punto de conexión
  • Aplicaciones Microsoft 365 para Empresas (línea base de Office)
  • Microsoft Edge (versión 112 y posteriores)
  • Línea base de seguridad de Windows 365