Configuración de Microsoft Defender para punto de conexión en Intune

Use la información y los procedimientos de este artículo para configurar la integración de Microsoft Defender para punto de conexión con Intune. La configuración incluye los siguientes pasos generales:

  • Habilitación de Microsoft Defender para punto de conexión para su inquilino
  • Incorporación de dispositivos que ejecutan Android, iOS/iPadOS y Windows 10
  • Uso de directivas de cumplimiento para establecer los niveles de riesgo del dispositivo
  • Uso de directivas de acceso condicional para bloquear los dispositivos que superan los niveles de riesgo esperados

Antes de comenzar, el entorno debe cumplir los requisitos previos para usar Microsoft Defender para punto de conexión con Intune.

Habilitación de Microsoft Defender para punto de conexión en Intune

El primer paso que debe realizar es configurar la conexión de servicio a servicio entre Intune y Microsoft Defender para punto de conexión. Para ello es necesario acceso administrativo al Centro de seguridad de Microsoft Defender y a Intune.

Solo tiene que habilitar Microsoft Defender para punto de conexión una vez por inquilino.

Para habilitar Microsoft Defender para punto de conexión

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.

  2. Seleccione Seguridad de los puntos de conexión > Microsoft Defender para punto de conexión y, luego, seleccione Abrir el Centro de seguridad de Microsoft Defender.

    Sugerencia

    Si el Estado de la conexión de la parte superior de la página ya está establecido en Habilitado, la conexión a Intune ya se ha realizado, y el Centro de administración muestra una interfaz de usuario diferente a la de la siguiente captura de pantalla. En este caso, puede usar el vínculo Abrir la consola de administración de Microsoft Defender para punto de conexión para abrir el Centro de seguridad de Microsoft Defender, y siga las instrucciones del siguiente paso para confirmar que la Conexión con Microsoft Intune está establecida en Activada.

    Captura de pantalla que muestra la revisión para abrir el Centro de seguridad de Microsoft Defender.

  3. En el Centro de seguridad de Microsoft Defender, siga estos pasos:

    1. Seleccione Configuración > Características avanzadas.

    2. Para Microsoft Intune connection (Conexión con Intune), elija Activado:

      Captura de pantalla de la configuración de conexión de Microsoft Intune.

    3. Seleccione Guardar preferencias.

  4. Vuelva a Microsoft Defender para punto de conexión en el Centro de administración de Microsoft Endpoint Manager. En Configuración de la directiva de cumplimiento de MDM, en función de las necesidades de su organización, haga lo siguiente:

    • Establezca Conectar dispositivos Android a Microsoft Defender para punto de conexión en Activado.
    • Establezca Conectar dispositivos iOS a Microsoft Defender para punto de conexión en Activado.
    • Establezca Conectar dispositivos Windows a Microsoft Defender para punto de conexión en Activado.

    Cuando estas opciones de configuración están en modo Activo, los dispositivos que se administran actualmente con Intune —y los dispositivos que se inscribirán en el futuro—, se conectan a Microsoft Defender para punto de conexión con fines de cumplimiento.

  5. Seleccione Guardar.

Sugerencia

Al integrar una nueva aplicación en Intune Mobile Threat Defense y habilitar la conexión con Intune, este servicio crea una directiva de acceso condicional clásica en Azure Active Directory. Todas las aplicaciones de MTD que integre, incluido Microsoft Defender para punto de conexión o cualquiera de nuestros asociados de MTD adicionales, crean una directiva de acceso condicional clásica. Estas directivas se pueden omitir, pero no se deben editar, eliminar ni deshabilitar.

Si se elimina la directiva clásica, deberá eliminar la conexión a Intune que era responsable de su creación y, a continuación, configurarla de nuevo. Esto vuelve a crear la directiva clásica. No se admite la migración de directivas clásicas para aplicaciones de MTD al nuevo tipo de directiva para el acceso condicional.

Directivas de acceso condicional clásicas para aplicaciones de MTD:

  • Las usa Intune MTD para requerir que los dispositivos estén registrados en Azure AD, de modo que dispongan de un id. de dispositivo antes de comunicarse con los asociados de MTD. El id. es necesario para que los dispositivos puedan informar de su estado correctamente a Intune.
  • No tiene ningún efecto en otros recursos o aplicaciones en la nube.
  • Son diferentes a las directivas de acceso condicional que puede crear para ayudarle con la administración de MTD.
  • No interactúan de forma predeterminada con otras directivas de acceso condicional usadas para la evaluación.

Para ver las directivas de acceso condicional clásicas, en Azure, vaya a Azure Active Directory > Acceso condicional > Directivas clásicas.

Incorporación de dispositivos

Cuando se habilita la compatibilidad con Microsoft Defender para punto de conexión en Intune, se establece una conexión de servicio a servicio entre Intune y Microsoft Defender para punto de conexión. Luego, puede incorporar los dispositivos que administra con Intune en Microsoft Defender para punto de conexión. La incorporación habilita la recopilación de datos sobre los niveles de riesgo de los dispositivos.

Incorporación de dispositivos Windows

Después de conectar Intune y Microsoft Defender para punto de conexión, Intune recibe un paquete de configuración de la incorporación de Microsoft Defender para punto de conexión. Use un perfil de configuración de dispositivo para Microsoft Defender para punto de conexión para implementar el paquete en los dispositivos Windows.

El paquete de configuración configura los dispositivos para que se comuniquen con los servicios de Microsoft Defender para punto de conexión para examinar archivos y detectar amenazas. El dispositivo también notifica su nivel de riesgo a Microsoft Defender para punto de conexión en función de las directivas de cumplimiento.

Después de incorporar un dispositivo mediante el paquete de configuración, no es necesario hacerlo de nuevo.

Además de la directiva de configuración de dispositivos, puede incorporar dispositivos mediante:

  • Directiva de detección de puntos de conexión y respuesta (EDR). La directiva de EDR de Intune forma parte de la seguridad de punto de conexión de Intune, que se puede usar para configurar la seguridad del dispositivo sin la sobrecarga del mayor volumen de configuración que se encuentra en los perfiles de configuración del dispositivo. También se puede usar la directiva de EDR con dispositivos asociados de inquilinos, que son los dispositivos que se administran con Configuration Manager.
  • Directiva de grupo o Microsoft Endpoint Configuration Manager.

Sugerencia

Al usar varias directivas o tipos de directivas, como la de configuración de dispositivos y la de detección de puntos de conexión y respuesta, para administrar la misma configuración de dispositivo (como la incorporación a Microsoft Defender para punto de conexión), se pueden crear conflictos de directivas en los dispositivos. Para obtener más información sobre los conflictos, vea Administración de conflictos en el artículo Administración de directivas de seguridad.

Creación del perfil de configuración de dispositivos para incorporar dispositivos Windows

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.

  2. Seleccione Seguridad de los puntos de conexión > Detección y respuesta de puntos de conexión > Crear directiva.

  3. En Plataforma, seleccione Windows 10 y versiones posteriores.

  4. En Tipo de perfil, seleccione Detección de puntos de conexión y respuesta y, después, Crear.

  5. En la página Aspectos básicos, rellene los campos Nombre y Descripción (opcional) del perfil y, luego, elija Siguiente.

  6. En la página Opciones de configuración, configure las opciones siguientes en Detección y respuesta de puntos de conexión:

    • Uso compartido de muestras para todos los archivos: devuelve o establece el parámetro de configuración de uso compartido de muestras de Microsoft Defender para punto de conexión.
    • Frecuencia de informes de telemetría urgentes: para los dispositivos que presentan un riesgo alto, habilite esta opción para informar de la telemetría al servicio Microsoft Defender para punto de conexión con más frecuencia.

    Incorporar máquinas Windows 10 con Microsoft Endpoint Configuration Manager tiene más detalles sobre estas configuraciones de Microsoft Defender para punto de conexión.

    Captura de pantalla de las opciones de configuración para Detección y respuesta de puntos de conexión.

    Nota

    En la captura de pantalla anterior se muestran las opciones de configuración después de haber configurado una conexión entre Intune y Microsoft Defender para punto de conexión. Cuando se conecta, los detalles de la incorporación y la retirada de blobs se generan y transfieren automáticamente a Intune.

    Si no ha configurado esta conexión correctamente, el valor de configuración Tipo de paquete de configuración de cliente de Microsoft Defender para punto de conexión se muestra con opciones para especificar la incorporación y la retirada de blobs.

  7. Seleccione Siguiente para abrir la página Etiquetas de ámbito. Las etiquetas de ámbito son opcionales. Seleccione Siguiente para continuar.

  8. En la página Asignaciones, seleccione los grupos que recibirán este perfil. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.

    Al implementar en grupos de usuarios, un usuario debe iniciar sesión en un dispositivo para que se aplique la directiva y el dispositivo pueda incorporarse a Defender para punto de conexión.

    Seleccione Siguiente.

  9. Cuando haya terminado, elija Crear en la página Revisar y crear. El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado. Seleccione Aceptar y, luego, Crear para guardar los cambios y crear el perfil.

Incorporación de dispositivos macOS

Después de establecer la conexión de servicio a servicio entre Intune y Microsoft Defender para punto de conexión, podrá incorporar dispositivos macOS a Microsoft Defender para punto de conexión. La incorporación configura los dispositivos para que se comuniquen con Microsoft Defender para punto de conexión, que luego recopila datos sobre el nivel de riesgo de los dispositivos.

Para obtener instrucciones sobre la configuración de Intune, consulte Microsoft Defender para punto de conexión para macOS.

Para obtener información adicional sobre Microsoft Defender para punto de conexión para Mac, incluidas las novedades de la versión más reciente, consulte Microsoft Defender para punto de conexión para Mac en la documentación de seguridad de Microsoft 365.

Incorporación de dispositivos Android

Después de establecer la conexión de servicio a servicio entre Intune y Microsoft Defender para punto de conexión, puede incorporar dispositivos Android a Microsoft Defender para punto de conexión. La incorporación configura los dispositivos para que se comuniquen con Defender para punto de conexión, que luego recopila datos sobre el nivel de riesgo de los dispositivos.

No hay un paquete de configuración para los dispositivos que ejecutan Android. En su lugar, consulte Introducción a Microsoft Defender para punto de conexión para Android en la documentación de Microsoft Defender para punto de conexión para ver los requisitos previos y las instrucciones de incorporación para Android.

En el caso de los dispositivos que ejecutan Android, también puede usar la directiva de Intune para modificar Microsoft Defender para punto de conexión en Android. Para obtener más información, vea Protección web de Microsoft Defender para punto de conexión.

Incorporación de dispositivos iOS/iPadOS

Después de establecer la conexión de servicio a servicio entre Intune y Microsoft Defender para punto de conexión, puede incorporar dispositivos iOS/iPadOS a Microsoft Defender para punto de conexión. La incorporación configura los dispositivos para que se comuniquen con Defender para punto de conexión, que luego recopila datos sobre el nivel de riesgo de los dispositivos.

No hay ningún paquete de configuración para los dispositivos que ejecutan iOS/iPadOS. En su lugar, consulte Introducción a Microsoft Defender para punto de conexión para iOS en la documentación de Microsoft Defender para punto de conexión para ver los requisitos previos y las instrucciones de incorporación para iOS/iPadOS.

En los dispositivos que ejecutan iOS/iPadOS (en modo supervisado) hay una destreza especializada dadas las mayores capacidades de administración que proporciona la plataforma sobre estos tipos de dispositivos. Para aprovechar estas capacidades, la aplicación Defender debe saber si un dispositivo está en modo supervisado. Intune permite configurar la aplicación Defender para iOS por medio de una directiva de App Configuration (para dispositivos administrados) que debe destinarse a todos los dispositivos iOS como procedimiento recomendado.

  1. Inicie sesión en el Centro de administración de Microsoft Endpoint Manager.

  2. Seleccione Aplicaciones > Directivas de configuración de aplicaciones > Dispositivos administrados.

  3. En la página Aspectos básicos, rellene los campos Nombre y Descripción (opcional) del perfil, seleccione Plataforma como iOS/iPadOS y luego Siguiente.

  4. Seleccione Aplicación de destino como Microsoft Defender para iOS.

  5. En la página Configuración, establezca la Clave de configuración en issupervised y Tipo de valor en cadena con {{issupervised}} como Valor de configuración.

  6. Seleccione Siguiente para abrir la página Etiquetas de ámbito. Las etiquetas de ámbito son opcionales. Seleccione Siguiente para continuar.

  7. En la página Asignaciones, seleccione los grupos que recibirán este perfil. En este escenario, se recomienda establecer como destino Todos los dispositivos. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.

    Al implementar en grupos de usuarios, un usuario debe iniciar sesión en un dispositivo para que se aplique la directiva.

    Seleccione Siguiente.

  8. Cuando haya terminado, elija Crear en la página Revisar y crear. El nuevo perfil se muestra en la lista de perfiles de configuración.

Además, en los dispositivos que ejecutan iOS/iPadOS (en modo supervisado), el equipo de Defender para iOS ha puesto a disposición de todos un perfil .mobileconfig personalizado para implementar en dispositivos iPad/iOS. Este perfil .mobileconfig se va a usar para analizar el tráfico de red a fin de garantizar una experiencia de exploración segura, una característica de Defender para iOS.

  1. Descargue el perfil .mobile hospedado aquí: https://aka.ms/mdatpiossupervisedprofile

  2. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.

  3. Seleccione Dispositivos > Perfiles de configuración > Crear perfil.

  4. En Plataforma, seleccione iOS/iPadOS.

  5. En Tipo de perfil, seleccione Personalizado y luego Crear.

  6. En la página Aspectos básicos, rellene los campos Nombre y Descripción (opcional) del perfil y, luego, elija Siguiente.

  7. Escriba un Nombre de perfil de configuración y seleccione el archivo para cargar .mobileconfig.

  8. Seleccione Siguiente para abrir la página Etiquetas de ámbito. Las etiquetas de ámbito son opcionales. Seleccione Siguiente para continuar.

  9. En la página Asignaciones, seleccione los grupos que recibirán este perfil. En este escenario, se recomienda establecer como destino Todos los dispositivos. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.

    Al implementar en grupos de usuarios, un usuario debe iniciar sesión en un dispositivo para que se aplique la directiva.

    Seleccione Siguiente.

  10. Cuando haya terminado, elija Crear en la página Revisar y crear. El nuevo perfil se muestra en la lista de perfiles de configuración.

Creación y asignación de una directiva de cumplimiento para establecer el nivel de riesgo del dispositivo

En los dispositivos Android, iOS/iPadOS y Windows, la directiva de cumplimiento determina el nivel de riesgo que se considera aceptable para un dispositivo.

Si no está familiarizado con la creación de una directiva de cumplimiento, consulte el procedimiento Creación de la directiva del artículo Creación de una directiva de cumplimiento en Microsoft Intune. La siguiente información es específica de la configuración de Microsoft Defender para punto de conexión como parte de una directiva de cumplimiento.

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.

  2. Seleccione Dispositivos > Directivas de cumplimiento > Directivas > Crear directiva.

  3. Para Plataforma, use el cuadro desplegable para seleccionar una de las opciones siguientes:

    • Administrador de dispositivos Android
    • Android Enterprise
    • iOS/iPadOS
    • Windows 10 y versiones posteriores

    Luego, seleccione Crear para abrir la ventana de configuración Crear directiva.

  4. Rellene el campo Nombre para que le ayude a identificar esta directiva más tarde. También puede especificar una descripción en Descripción.

  5. En la pestaña Configuración de compatibilidad, expanda el grupo Microsoft Defender para punto de conexión y establezca la opción Solicitar que el dispositivo tenga o esté por debajo de la puntuación de riesgo de la máquina en su nivel preferido.

    Las clasificaciones de nivel de amenaza vienen determinadas por Microsoft Defender para punto de conexión.

    • Borrar: este nivel es el más seguro. El dispositivo no puede tener ninguna amenaza existente y aún puede acceder a los recursos de la empresa. Si se encuentra alguna amenaza, el dispositivo se clasificará como no conforme. (Microsoft Defender para punto de conexión usa el valor Seguro).
    • Bajo: el dispositivo se evalúa como compatible si solo hay amenazas de nivel bajo. Los dispositivos con niveles de amenaza medio o alto no son compatibles.
    • Media: el dispositivo se evalúa como compatible si las amenazas que se encuentran en él son de nivel bajo o medio. Si se detectan amenazas de nivel alto, se determinará que el dispositivo no es compatible.
    • Alta: este nivel es el menos seguro, ya que permite todos los niveles de amenaza. Los dispositivos con niveles de amenaza alto, medio o bajo se consideran compatibles.
  6. Complete la configuración de la directiva, incluida la asignación de esta a los grupos correspondientes.

Creación y asignación de una directiva de protección de aplicaciones para establecer el nivel de riesgo de los dispositivos

Use el procedimiento para crear una directiva de protección de aplicaciones para iOS/iPadOS o Android y use la siguiente información en las páginas Aplicaciones, Inicio condicional y Asignaciones:

  • Aplicaciones: Seleccione las aplicaciones a las que quiere que se apliquen las directivas de protección de aplicaciones. En este conjunto de características, estas aplicaciones se bloquean o se borran de forma selectiva en función de la evaluación de riesgos del dispositivo del proveedor de Mobile Threat Defense elegido.

  • Inicio condicional: Bajo Condiciones del dispositivo, use el cuadro desplegable para seleccionar el Nivel máximo de amenazas de dispositivo permitido.

    Opciones para el Valor del nivel de amenaza:

    • Protegido: este nivel es el más seguro. El dispositivo no puede tener ninguna amenaza presente y aún puede tener acceso a los recursos de la empresa. Si se encuentra alguna amenaza, el dispositivo se clasificará como no conforme.
    • Bajo: el dispositivo se evalúa como compatible si solo hay amenazas de nivel bajo. Cualquier valor por encima coloca al dispositivo en un estado de no conformidad.
    • Media: el dispositivo se evalúa como compatible si las amenazas que se encuentran en él son de nivel bajo o medio. Si se detectan amenazas de nivel alto, se determinará que el dispositivo no es compatible.
    • Alta: este nivel es el menor seguro, ya que permite todos los niveles de amenaza y usa Mobile Threat Defense solo con fines informativos. Los dispositivos deben tener activada la aplicación MTD con esta configuración.

    Opciones para Acción:

    • Bloquear acceso
    • Borrar datos
  • Asignaciones: Asigne la directiva a los grupos de usuarios. Los dispositivos que utilicen los miembros de los grupos se evaluarán para determinar su acceso a los datos corporativos en las aplicaciones de destino a través de la protección de aplicaciones de Intune.

Importante

Si crea una directiva de protección de aplicaciones para una aplicación protegida, se evaluará el nivel de amenaza del dispositivo. En función de la configuración, los dispositivos que no cumplan un nivel aceptable se bloquearán o se borrarán de forma selectiva mediante el inicio condicional. Si se bloquean, se les impedirá acceder a los recursos corporativos hasta que se resuelva la amenaza en el dispositivo y se notifique a Intune a través del proveedor de MTD elegido.

Creación de una directiva de acceso condicional

Las directivas de acceso condicional pueden usar datos de Microsoft Defender para punto de conexión para bloquear el acceso a los recursos de los dispositivos que superan el nivel de amenaza establecido. Puede bloquear el acceso del dispositivo a los recursos corporativos, como SharePoint o Exchange Online.

Sugerencia

Acceso condicional es una tecnología de Azure Active Directory (Azure AD). El nodo Acceso condicional que se encuentra en el Centro de administración de Microsoft Endpoint Manager es el mismo nodo que el de Azure AD.

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.

  2. Seleccione Endpoint security (Seguridad del punto de conexión) > Acceso condicional > Nueva directiva.

  3. En Nombre, escriba un nombre de directiva y seleccione Usuarios y grupos. Utilice las opciones Incluir o Excluir para agregar los grupos para la directiva y seleccione Listo.

  4. Seleccione Aplicaciones en la nube y elija las aplicaciones que desea proteger. Por ejemplo, elija Seleccionar aplicaciones y seleccione Office 365 SharePoint Online y Office 365 Exchange Online.

    Haga clic en Listo para guardar los cambios.

  5. Seleccione Condiciones > Aplicaciones cliente para aplicar la directiva a las aplicaciones y los exploradores. Por ejemplo, seleccione y habilite Explorador y Aplicaciones móviles y aplicaciones de escritorio.

    Haga clic en Listo para guardar los cambios.

  6. Seleccione Conceder para aplicar el acceso condicional basado en el cumplimiento del dispositivo. Por ejemplo, seleccione Conceder acceso > requieren que el dispositivo se marquen como compatibles.

    Elija Seleccionar para guardar los cambios.

  7. Seleccione Habilitar directiva y luego crear para guardar los cambios.

Pasos siguientes

Obtenga más información en la documentación de Intune:

Obtenga más información en la documentación de Microsoft Defender para punto de conexión: