Proteger datos y dispositivos con Microsoft Intune

Microsoft Intune puede ayudarlo a mantener los dispositivos administrados protegidos y actualizados y a proteger los datos de su organización de los dispositivos en peligro. La protección de datos incluye el control de lo que hacen los usuarios con los datos de una organización en dispositivos administrados y no administrados. La protección de datos también comprende el bloqueo del acceso a los datos desde dispositivos que podrían estar en peligro.

En este artículo se resaltan muchas de las funcionalidades integradas de Intune y las tecnologías de asociados que puede integrar con Intune. A medida que obtenga más información sobre ellas, puede reunir varias para obtener soluciones más completas en su recorrido hacia un entorno de confianza cero.

Desde el centro de administración de Microsoft Endpoint Manager, Intune admite dispositivos administrados que ejecutan Android, iOS/iPad, macOS y Windows 10.

Cuando se usa Configuration Manager para administrar dispositivos locales, puede ampliar las directivas de Intune a esos dispositivos mediante la configuración de la asociación de inquilinos o la administración conjunta.

Intune también puede trabajar con la información de dispositivos que administra con productos de terceros que proporcionan el cumplimiento de dispositivos y la protección contra las amenazas móviles.

Protección de dispositivos mediante directivas

Implemente directivas de configuración y cumplimiento de dispositivos de Intune para configurar dispositivos que cumplan los objetivos de seguridad de las organizaciones. Las directivas admiten uno o varios perfiles, que son los conjuntos discretos de reglas específicas de la plataforma que se implementan en grupos de dispositivos inscritos.

  • Con las directivas de configuración de dispositivos, administre los perfiles que definen la configuración y las características que usan los dispositivos en su organización. Configure dispositivos para Endpoint Protection, aprovisione certificados para la autenticación, establezca comportamientos de actualización de software, etc.

  • Con las directivas de cumplimiento de dispositivos, se crean perfiles para distintas plataformas de dispositivos que establecen requisitos para el dispositivo. Los requisitos pueden incluir versiones del sistema operativo, el uso de cifrado de disco o estar en niveles de amenaza específicos (o por debajo de ellos) según lo definido por el software de administración de amenazas.

    Intune puede proteger los dispositivos que no cumplen con sus directivas y alertar al usuario del dispositivo para que consiga que el dispositivo esté conforme a lo requerido.

    Al agregar acceso condicional a la combinación, configure directivas que permitan que solo los dispositivos conformes accedan a los recursos de la red y la organización. Las restricciones de acceso pueden incluir recursos compartidos de archivos y correo electrónico de la empresa. Las directivas de acceso condicional también funcionan con los datos de estado del dispositivo notificados por asociados de cumplimiento de dispositivos de terceros que se integran con Intune.

A continuación, se muestran algunas de las opciones de configuración y tareas de seguridad que puede administrar a través de la directiva del dispositivo:

  • Cifrado de dispositivos: administre BitLocker en dispositivos con Windows 10 y FileVault en macOS.

  • Métodos de autenticación: configure cómo se autentican los dispositivos en los recursos, el correo electrónico y las aplicaciones de la organización.

    • Use certificados para la autenticación en aplicaciones y los recursos de su organización y para firmar y cifrar el correo electrónico mediante S/MIME. También puede configurar credenciales derivadas cuando su entorno requiera el uso de tarjetas inteligentes.

    • Configure opciones que ayuden a limitar el riesgo, como:

      • Requerir autenticación multifactor (MFA) para agregar una capa adicional de autenticación para los usuarios.
      • Establecer los requisitos de PIN y contraseña que deben cumplirse antes de obtener acceso a los recursos.
      • Habilitar Windows Hello para empresas para dispositivos con Windows 10.
  • Redes privadas virtuales (VPN): con los perfiles de VPN, asigne la configuración de VPN a los dispositivos para que puedan conectarse fácilmente a la red de su organización. Intune admite varios tipos de conexión de VPN y aplicaciones, que incluyen funcionalidades integradas para algunas plataformas y aplicaciones de VPN propias y de terceros para dispositivos.

  • Actualizaciones de software: administre cómo y cuándo obtienen las actualizaciones de software los dispositivos.

    • Para iOS, administre las versiones del sistema operativo del dispositivo y el momento en que los dispositivos buscan e instalan actualizaciones.
    • Para Windows 10, puede administrar la experiencia de Windows Update para los dispositivos. Puede configurar en qué momento los dispositivos examinan o instalan actualizaciones, cuándo mantienen un conjunto de dispositivos administrados en versiones de características específicas, etc.
  • Líneas de base de seguridad: implemente líneas de base de seguridad para establecer una posición de seguridad básica en los dispositivos Windows 10. Las líneas de base de seguridad son grupos preconfigurados de opciones de Windows que recomiendan los equipos de seguridad correspondientes. Puede usar líneas de base tal y como se proporcionan o bien editar instancias de ellas para cumplir los objetivos de seguridad de los grupos de dispositivos de destino.

Protección de datos mediante directivas

Las aplicaciones administradas por Intune y las directivas de protección de aplicaciones de Intune pueden ayudar a detener las pérdidas de datos y a proteger los datos de su organización. Estas protecciones se pueden aplicar a los dispositivos inscritos con Intune y a los dispositivos que no lo están.

  • Las aplicaciones administradas por Intune (o aplicaciones administradas, por abreviar) son aplicaciones que se han integrado con Intune App SDK o se han encapsulado mediante la herramienta App Wrapping Tool de Intune. Estas aplicaciones se pueden administrar mediante directivas de protección de aplicaciones de Intune. Para ver una lista de aplicaciones administradas disponibles públicamente, consulte Aplicaciones protegidas de Microsoft Intune.

    Los usuarios pueden usar aplicaciones administradas para trabajar con los datos de su organización y sus propios datos personales. Sin embargo, cuando las directivas de protección de aplicaciones requieren el uso de una aplicación administrada, la aplicación administrada es la única aplicación que se puede usar para acceder a los datos de la organización. Las reglas de protección de aplicaciones no se aplican a los datos personales de un usuario.

  • Las directivas de protección de aplicaciones son reglas que garantizan que los datos de la organización siguen siendo seguros o se encuentran en una aplicación administrada. Las reglas identifican la aplicación administrada que se debe usar y definen lo que se puede hacer con los datos mientras la aplicación está en uso.

A continuación se muestran ejemplos de protecciones y restricciones que puede establecer con directivas de protección de aplicaciones y aplicaciones administradas:

  • Configure protecciones de capa de aplicación, como exigir un PIN para abrir una aplicación en un contexto laboral.
  • Controle el uso compartido de los datos de una organización entre las aplicaciones de un dispositivo, como bloquear la copia y el pegado o las capturas de pantalla.
  • Impida el guardado de los datos de la organización en ubicaciones de almacenamiento personales.

Uso de acciones de dispositivo para proteger dispositivos y datos

Desde el centro de administración de Microsoft Endpoint Manager, puede ejecutar acciones de dispositivo que ayuden a mantener protegido un dispositivo seleccionado. Puede ejecutar un subconjunto de estas acciones como acciones de dispositivo masivas para que repercutan en varios dispositivos al mismo tiempo. Y también se pueden usar varias acciones remotas de Intune con dispositivos administrados de forma conjunta.

Las acciones del dispositivo no son directivas y surten efecto una sola vez cuando se invocan. Se aplican inmediatamente si se puede acceder al dispositivo en línea o cuando el dispositivo se inicia en Intune o se sincroniza con este servicio. Considere estas acciones como complementarias al uso de directivas que configuran y mantienen opciones de seguridad para un grupo de dispositivos.

A continuación se muestran ejemplos de acciones que puede ejecutar que ayudan a proteger los dispositivos y los datos:

Dispositivos administrados por Intune:

  • Rotación de claves de BitLocker (solo Windows)
  • Deshabilitar bloqueo de activación (solo iOS)
  • Examen rápido o completo (solo Windows 10)
  • Bloqueo remoto
  • Retirar (que quita los datos de la organización del dispositivo mientras deja intactos los datos personales)
  • Actualizar la inteligencia de seguridad de Microsoft Defender
  • Borrar (restablecimiento de fábrica del dispositivo, eliminación de todos los datos, aplicaciones y configuraciones)

Dispositivos administrados por Configuration Manager:

  • Retirar
  • Barrido
  • Sincronizar (forzar a un dispositivo para que se sincronice inmediatamente en Intune para buscar nuevas directivas o acciones pendientes)

Integración con otros productos

Intune admite la integración con aplicaciones de asociados de orígenes propios y de terceros, lo cual amplía sus funcionalidades integradas. También puede integrar Intune con varias tecnologías de Microsoft.

Tecnologías de asociados

Intune puede usar datos de asociados de cumplimiento y asociados de defensa contra amenazas móviles integrados:

  • Asociados de cumplimiento: obtenga información sobre los asociados de cumplimiento de dispositivos con Intune. Al administrar un dispositivo con un asociado de administración de dispositivos móviles distinto de Intune, puede integrar los datos de cumplimiento con Azure Active Directory. Cuando se integran, las directivas de acceso condicional pueden usar los datos de los asociados junto con los datos de cumplimiento de Intune.

  • Defensa contra amenazas móviles: las aplicaciones de defensa contra amenazas móviles pueden examinar los dispositivos en busca de amenazas y ayudarle a identificar el riesgo de permitir que el dispositivo acceda a los recursos y datos de la organización. A continuación, puede usar ese nivel de riesgo en varias directivas, como las directivas de acceso condicional, para ayudar a controlar el acceso a esos recursos.

Configuration Manager

Puede usar muchas directivas y acciones de dispositivo de Intune para proteger los dispositivos que administra con Configuration Manager. Para admitir esos dispositivos, configure la administración conjunta o la asociación de inquilinos. También puede usar ambos junto con Intune.

  • La administración conjunta le permite administrar de manera simultánea un dispositivo Windows 10 con Configuration Manager e Intune. Tendrá que instalar el cliente de Configuration Manager e inscribir el dispositivo en Intune. El dispositivo se comunica con los dos servicios.

  • La asociación de inquilinos configura la sincronización entre el sitio de Configuration Manager y el inquilino de Intune. Esta sincronización proporciona una vista única para todos los dispositivos que administra con Microsoft Endpoint Manager.

Después de establecer una conexión entre Intune y Configuration Manager, los dispositivos de Configuration Manager están disponibles en el Centro de administración de Microsoft Endpoint Manager. A continuación, puede implementar directivas de Intune en esos dispositivos o usar acciones de dispositivo para protegerlos.

Entre de las protecciones que puede aplicar figuran las siguientes:

  • Implemente certificados en dispositivos mediante el Protocolo de inscripción de certificados simple (SCEP) de Intune o perfiles de certificados de par de claves privadas y públicas (PKCS).
  • Use una directiva de cumplimiento.
  • Use directivas de seguridad de puntos de conexión, como antivirus, detección de puntos de conexión y respuesta y reglas de firewall.
  • Aplique líneas de base de seguridad.
  • Administre las actualizaciones de Windows Update.

Aplicaciones de Mobile Threat Defense

Las aplicaciones de Mobile Threat Defense (MTD) analizan y analizan activamente los dispositivos en busca de amenazas. Al integrar (conectar) aplicaciones de Mobile Threat Defense con Intune, obtiene la evaluación de aplicaciones del nivel de amenaza de un dispositivo. La evaluación del nivel de amenaza de un dispositivo es una herramienta importante para proteger los recursos de la organización frente a dispositivos móviles en peligro.

Use datos de nivel de amenaza con directivas para el cumplimiento de dispositivos, la protección de aplicaciones y el acceso condicional. Estas directivas usan los datos para impedir que los dispositivos no conformes accedan a los recursos de la organización.

Con una aplicación de MTD integrada:

  • Para los dispositivos inscritos:

    • Use Intune para implementar y administrar la aplicación de MTD en dispositivos.
    • Implemente directivas de cumplimiento de dispositivos que usen el nivel de amenaza notificado para evaluar el cumplimiento.
    • Defina directivas de acceso condicional que consideren un nivel de amenaza en los dispositivos.
    • Defina directivas de protección de aplicaciones para determinar cuándo bloquear o permitir el acceso a los datos, en función del nivel de amenaza del dispositivo.
  • En el caso de los dispositivos que no se inscriben en Intune pero ejecutan una aplicación de MTD integrada con Intune, use sus datos de nivel de amenaza con las directivas de protección de aplicaciones para ayudar a bloquear el acceso a los datos de la organización.

Intune admite la integración con:

Microsoft Defender para punto de conexión

Por sí solo, Microsoft Defender para punto de conexión proporciona varias ventajas centradas en la seguridad. Microsoft Defender para punto de conexión también se integra con Intune y se admite en varias plataformas de dispositivos. Con la integración, obtendrá una aplicación de defensa contra amenazas móviles y agregará funcionalidades a Intune para mantener seguros los datos y los dispositivos. Estas funciones incluyen:

  • Compatibilidad con Microsoft Tunnel: En los dispositivos Android, Microsoft Defender para punto de conexión es la aplicación cliente que se usa con Microsoft Tunnel, una solución de puerta de enlace de VPN para Intune. Cuando se usa como aplicación cliente de Microsoft Tunnel, no necesita una suscripción para Microsoft Defender para punto de conexión.

  • Tareas de seguridad: con las tareas de seguridad, los administradores de Intune pueden aprovechar las funcionalidades de administración de amenazas y vulnerabilidades de Microsoft Defender para punto de conexión. Cómo funciona:

    • El equipo de Defender para punto de conexión identifica los dispositivos en riesgo y crea las tareas de seguridad para Intune en el centro de seguridad de Defender para punto de conexión.
    • Esas tareas se muestran en Intune con consejos de mitigación que los administradores de Intune pueden usar para mitigar el riesgo.
    • Cuando se resuelve una tarea en Intune, ese estado vuelve al centro de seguridad de Defender para punto de conexión, donde se pueden evaluar los resultados de la mitigación.
  • Directivas de seguridad de puntos de conexión: las siguientes directivas de seguridad de puntos de conexión de Intune requieren la integración con Microsoft Defender para punto de conexión. Cuando se usa la asociación de inquilinos, se pueden implementar estas directivas en los dispositivos que administra con Intune o Configuration Manager.

    • Directiva antivirus: administre la configuración del Antivirus de Microsoft Defender y la experiencia de seguridad de Windows en dispositivos compatibles, como Windows 10 y macOS.

    • Directiva de detección de puntos de conexión y respuesta: use esta directiva para configurar la detección de puntos de conexión y respuesta, que es una funcionalidad de Microsoft Defender para punto de conexión.

Acceso condicional

El acceso condicional es una funcionalidad de Azure Active Directory (Azure AD) que funciona con Intune para ayudar a proteger los dispositivos. En el caso de los dispositivos que se registran con Azure AD, las directivas de acceso condicional pueden usar los detalles de cumplimiento y dispositivo de Intune para aplicar decisiones de acceso para usuarios y dispositivos.

Combine la directiva de acceso condicional con:

  • Las directivas de cumplimiento de dispositivos pueden requerir que un dispositivo se marque como conforme antes de que se pueda usar para acceder a los recursos de la organización. Las directivas de acceso condicional especifican los servicios de las aplicaciones que desea proteger, las condiciones bajo las que se puede acceder a las aplicaciones o a los servicios y los usuarios a los que se aplica la directiva.

  • Las directivas de protección de las aplicaciones pueden agregar una capa de seguridad que garantice que solo las aplicaciones cliente compatibles con las directivas de protección de aplicaciones de Intune puedan acceder a los recursos en línea, como Exchange u otros servicios de Microsoft 365.

El acceso condicional también funciona con lo siguiente para ayudarle a proteger los dispositivos:

  • Microsoft Defender para punto de conexión y aplicaciones de MTD de terceros
  • Aplicaciones de asociados de cumplimiento de dispositivos
  • Microsoft Tunnel

Siguientes pasos

Planifique el uso de las funcionalidades de Intune para respaldar su viaje hacia un entorno de confianza cero mediante la protección de sus datos y dispositivos. Más allá de los vínculos incluidos anteriormente para obtener más información sobre esas funcionalidades, obtenga más información sobre la seguridad de los datos y el uso compartido en Intune .