Configurar la conexión de inquilino para admitir directivas de seguridad de puntos de conexión de Intune

Al usar el escenario de conexión de inquilino de Configuration Manager, puede implementar directivas de seguridad de puntos de conexión de Intune en dispositivos que administre con Configuration Manager. Para usar este escenario, primero debe configurar la conexión de inquilino para Configuration Manager y habilitar colecciones de dispositivos de Configuration Manager para su uso con Intune. Después de habilitar las colecciones para su uso, use el centro de administración Microsoft Endpoint Manager para crear e implementar directivas.

Requisitos para usar la directiva de Intune para adjuntar inquilinos

Para admitir el uso de directivas de seguridad de extremo de Intune con dispositivos de Configuration Manager, el entorno de Configuration Manager requiere las siguientes configuraciones. En este artículo se proporcionan instrucciones de configuración:

Requisitos generales para adjuntar inquilinos

  • Configurar la conexión de inquilino: con el escenario de conexión de inquilino, se sincronizan los dispositivos desde Configuration Manager al centro Microsoft Endpoint Manager administración. A continuación, puede usar el Centro de administración para implementar directivas admitidas en esas colecciones.

    La asociación de inquilinos a menudo se configura con la administración en colaboración, pero puede configurar la adjunta de inquilino por su cuenta.

  • Sincronizar dispositivos y colecciones de Configuration Manager: después de configurar la conexión de inquilino, puede seleccionar los dispositivos de Configuration Manager para sincronizarse con Microsoft Endpoint Manager centro de administración. También puedes volver más tarde para modificar los dispositivos que sincronizas.

    Después de seleccionar los dispositivos que se sincronizarán, debe habilitar las colecciones para su uso con directivas de seguridad de puntos de conexión de Intune. Las directivas admitidas para dispositivos de Configuration Manager solo se pueden asignar a las colecciones que haya habilitado.

  • Permisos para Azure AD: para completar la configuración de la conexión de inquilino, necesitará una cuenta con permisos de administrador global para la suscripción de Azure.

  • Inquilino de Microsoft Defender para endpoint: el inquilino de Microsoft Defender para endpoint debe estar integrado con su inquilino de Microsoft Endpoint Manager (suscripción a Intune). Consulta Usar Microsoft Defender para endpoint en la documentación de Intune.

Requisitos de versión de Configuration Manager para directivas de seguridad de extremo de Intune

Antivirus

Administre la configuración del antivirus para Configuration Manager dispositivos cuando use la asociación de inquilinos.

Ruta de acceso de directiva:

  • Seguridad de los puntos de conexión > Antivirus > Windows 10, Windows 11 y Windows Server (ConfigMgr)

Perfiles:

  • Antivirus de Microsoft Defender (versión preliminar)
  • Seguridad de Windows experiencia (versión preliminar)

Versión necesaria de Configuration Manager:

  • Configuration Manager rama actual, versión 2006 o posterior

Plataformas de dispositivos Configuration Manager compatibles:

  • Windows 8.1 (x86, x64) a partir de la versión 2010 de Configuration Manager
  • Windows 10 y versiones posteriores (x86, x64, ARM64)
  • Windows 11 y versiones posteriores (x86, x64, ARM64)
  • Windows Server 2012 R2 (x64) a partir de la versión 2010 de Configuration Manager
  • Windows Server 2016 y versiones posteriores (x64)

Detección y respuesta de puntos de conexión

Administre la configuración de la directiva de respuesta y de detección de puntos de conexión para dispositivos Configuration Manager cuando use la asociación de inquilinos.

Ruta de acceso de directiva:

  • Seguridad del punto de conexión > > Windows 10 de detección y respuesta de puntos de conexión, Windows 11 y Windows Server (ConfigMgr)

Perfiles:

  • Detección y respuesta de puntos de conexión (ConfigMgr) (versión preliminar)

Versión necesaria de Configuration Manager:

  • Configuration Manager rama actual, versión 2002 o posterior, con actualización en consola Configuration Manager revisión de 2002 (KB4563473)
  • Configuration Manager technical preview 2003 o posterior

Plataformas de dispositivos Configuration Manager compatibles:

  • Windows 8.1 (x86, x64) a partir de la versión 2010 de Configuration Manager
  • Windows 10 y versiones posteriores (x86, x64, ARM64)
  • Windows 11 y versiones posteriores (x86, x64, ARM64)
  • Windows Server 2012 R2 (x64) a partir de la versión 2010 de Configuration Manager
  • Windows Server 2016 y versiones posteriores(x64)

Firewall

La compatibilidad con dispositivos administrados por Configuration Manager se encuentra en versión preliminar.

Administrar la configuración de directiva de firewall para dispositivos de Configuration Manager, cuando use la conexión de inquilino.

Ruta de acceso de directiva:

  • Endpoint security > Firewall > Windows 10 y versiones posteriores

Perfiles:

  • Firewall de Microsoft Defender (ConfigMgr) (versión preliminar)

Versión necesaria de Configuration Manager:

  • Configuration Manager current branch version 2006 or later, with in-console update Configuration Manager 2006 Hotfix (KB4578605)

Plataformas de dispositivos de Configuration Manager compatibles:

  • Windows 11 y posteriores (x86, x64, ARM64)
  • Windows 10 y posteriores (x86, x64, ARM64)

Configurar Configuration Manager para admitir directivas de Intune

Antes de implementar directivas de Intune en dispositivos de Configuration Manager, complete las configuraciones detalladas en las secciones siguientes. Estas configuraciones se incorporen a los dispositivos de Configuration Manager con Microsoft Defender para endpoint y les permiten trabajar con las directivas de Intune.

Las siguientes tareas se completan en la consola de Configuration Manager. Si no está familiarizado con Configuration Manager, trabaje con un administrador de Configuration Manager para completar estas tareas.

  1. Confirmar el entorno de Configuration Manager
  2. Configurar dispositivos de conexión y sincronización de inquilinos
  3. Seleccionar dispositivos para sincronizar
  4. Habilitar colecciones para directivas de seguridad de extremo

Sugerencia

Para obtener más información sobre cómo usar Microsoft Defender para endpoint con Configuration Manager, consulte los siguientes artículos en el contenido de Configuration Manager:

Tarea 1: Confirmar el entorno de Configuration Manager

Las directivas de Intune para dispositivos de Configuration Manager requieren diferentes versiones mínimas de Configuration Manager, en función de cuándo se publicó la directiva por primera vez. Revise los requisitos de versión de Configuration Manager para las directivas de seguridad de extremo de Intune que se encontraron anteriormente en este artículo para asegurarse de que el entorno admite las directivas que tiene previsto usar. Una versión más reciente de Configuration Manager admitirá directivas que requieren una versión anterior.

Cuando es necesaria una revisión de Configuration Manager, puede encontrar la revisión como una actualización en la consola de Configuration Manager. Para obtener más información, consulte Instalar actualizaciones en la consola en la documentación de Configuration Manager.

Después de instalar las actualizaciones necesarias, vuelva aquí para continuar configurando el entorno para admitir directivas de seguridad de puntos de conexión desde Microsoft Endpoint Manager centro de administración.

Tarea 2: Configurar dispositivos de conexión y sincronización de inquilinos

Con tenant attach, especifica colecciones de dispositivos de la implementación de Configuration Manager para sincronizarse con el centro Microsoft Endpoint Manager administración. Después de que las colecciones se sincronicen, use el Centro de administración para ver información sobre esos dispositivos e implementar la directiva de seguridad de puntos de conexión de Intune en ellos.

Para obtener más información sobre el escenario de adjuntar inquilino, vea Habilitar la conexión de inquilino en el contenido de Configuration Manager.

Habilitar la conexión de inquilino cuando no se haya habilitado la administración en colaboración

Sugerencia

Use el Asistente para la configuración de administración en la consola de Configuration Manager para habilitar la conexión de inquilinos, pero no es necesario habilitar la administración en colaboración.

Si tiene previsto habilitar la administración en colaboración, familiarícese con la co-administración, sus requisitos previos y cómo administrar las cargas de trabajo antes de continuar. Consulte ¿Qué es la administración en colaboración? en la documentación de Configuration Manager.

  1. En la consola de administración de Configuration Manager, vaya a Administración > Overview > Cloud Services > Co-management.

  2. En la cinta de opciones, haga clic en Configurar la co-administración para abrir el asistente.

  3. En la página Incorporación de inquilinos,, seleccione AzurePublicCloud para su entorno. No se admite la nube de Azure Government.

    1. Haga clic en Iniciar sesión. Use su cuenta de Administrador global para iniciar sesión.

    2. Asegúrese de que la Upload para Microsoft Endpoint Manager centro de administración esté seleccionada en la página Incorporación de inquilinos.

    3. Quite la comprobación de Habilitar la inscripción automática de cliente para la administración en colaboración.

      Cuando se selecciona esta opción, el Asistente presenta páginas adicionales para completar la configuración de la administración en conjunto. Para obtener más información, vea Enable co-management in the Configuration Manager content.

    Configurar la conexión de inquilinos

  4. Haga clic en Siguiente y, a continuación, en Sí para aceptar la notificación Crear AAD aplicación. Esta acción aprovisiona una entidad de servicio y crea un registro Azure AD aplicación para facilitar la sincronización de colecciones con el centro Microsoft Endpoint Manager administración.

  5. En la página Configurar carga, configure las colecciones de dispositivos que desea sincronizar. Puedes limitar la configuración a colecciones de dispositivos o usar la configuración de carga de dispositivos recomendada para Todos mis dispositivos administrados por Microsoft Endpoint Configuration Manager.

    Sugerencia

    Puede omitir la selección de colecciones ahora y, posteriormente, usar la información de la siguiente tarea, tarea 3, para configurar las colecciones de dispositivos que se sincronizarán con el centro de administración Microsoft Endpoint Manager administración.

  6. Haga clic en Resumen para revisar la selección y, a continuación, haga clic en Siguiente.

  7. Cuando se complete el asistente, haga clic en Cerrar.

    La conexión de inquilino ahora está configurada y los dispositivos seleccionados se sincronizan Microsoft Endpoint Manager centro de administración.

Habilitar la conexión de inquilino cuando ya usa la administración en colaboración

  1. En la consola de administración de Configuration Manager, vaya a Administración > Overview > Cloud Services > Co-management.

  2. Haga clic con el botón secundario en la configuración de administración y seleccione Propiedades.

  3. En la pestaña Configurar carga, seleccione Upload para Microsoft Endpoint Manager centro de administración. Haga clic en Aplicar.

    La configuración predeterminada para la carga de dispositivos es Todos mis dispositivos administrados por Microsoft Endpoint Configuration Manager. También puedes limitar la configuración a una o pocas colecciones de dispositivos.

    Ver la pestaña propiedades de administración en colaboración

  4. Inicie sesión con su cuenta de administrador global cuando se le pida.

  5. Haga clic en Sí para aceptar la notificación Crear AAD aplicación. Esta acción aprovisiona una entidad de servicio y crea un registro Azure AD aplicación para facilitar la sincronización.

  6. Haga clic en Aceptar para salir de las propiedades de co-administración si ha terminado de realizar cambios. De lo contrario, muévete a la tarea 3 para habilitar selectivamente la carga de dispositivos en el Microsoft Endpoint Manager de administración.

    La conexión de inquilino ahora está configurada y los dispositivos seleccionados se sincronizan Microsoft Endpoint Manager centro de administración.

Tarea 3: Seleccionar dispositivos para sincronizar

Cuando se configura la conexión de inquilino, puede seleccionar los dispositivos que desea sincronizar. Si aún no ha sincronizado dispositivos o necesita volver a configurar los que sincroniza, puede editar las propiedades de la administración en la consola de Configuration Manager para hacerlo.

Seleccionar dispositivos para cargar

  1. En la consola de administración de Configuration Manager, vaya a Administración > Overview > Cloud Services > Co-management.

  2. Haga clic con el botón secundario en la configuración de administración y seleccione Propiedades.

  3. En la pestaña Configurar carga, seleccione Upload para Microsoft Endpoint Manager centro de administración. Haga clic en Aplicar.

    La configuración predeterminada para la carga de dispositivos es Todos mis dispositivos administrados por Microsoft Endpoint Configuration Manager. También puedes limitar la configuración a una o pocas colecciones de dispositivos.

Tarea 4: Habilitar colecciones para directivas de seguridad de extremo

Después de configurar los dispositivos para que se sincronicen Microsoft Endpoint Manager centro de administración, debe habilitar las colecciones para que funcionen con directivas de seguridad de puntos de conexión. Cuando habilitas las colecciones de dispositivos para que funcionen con directivas de seguridad de puntos de conexión de Intune, estás haciendo que las colecciones configuradas estén disponibles para que estén dirigidas con directivas de seguridad de puntos de conexión.

Habilitar colecciones para su uso con directivas de seguridad de extremo

  1. Desde una consola de Configuration Manager conectada al sitio de nivel superior, haga clic con el botón secundario en una colección de dispositivos que sincronice con Microsoft Endpoint Manager centro de administración y seleccione Propiedades.

  2. En la pestaña Sincronización en la nube, habilite la opción Hacer que esta colección esté disponible para asignar directivas de seguridad de extremo desde Microsoft Endpoint Manager centro de administración.

    Configurar la sincronización en la nube

  3. Seleccione Agregar y, a continuación, seleccione Azure Active Directory grupo que desea sincronizar con Recopilar resultados de pertenencia.

  4. Seleccione Aceptar para guardar la configuración.

    Los dispositivos de esta colección ahora pueden incorporarse con Microsoft Defender para Endpoint y admitir el uso de directivas de seguridad de puntos de conexión de Intune.

Siguientes pasos