Incorporación de dispositivos Windows 10 y Windows 11 mediante Microsoft Configuration Manager

Se aplica a:

• Prevención de perdida de datos en el punto de conexión (DLP)
• Administración de riesgos internos

Incorporación de dispositivos mediante Configuration Manager

1. Obtenga el archivo de .zip del paquete de configuración (DeviceComplianceOnboardingPackage.zip) de portal de cumplimiento Microsoft Purview.

2. En el panel de navegación, seleccione Configuración>Incorporación de> dispositivos.

3. En el campo Método de implementación, seleccione Microsoft Configuration Manager.

4. Seleccione Descargar paquete y guarde el archivo .zip.

5. Extraiga el contenido del archivo .zip en una ubicación compartida de solo lectura a la que puedan acceder los administradores de red que implementarán el paquete. Debe tener un archivo denominado DeviceCompliance.onboarding.

6. Implemente el paquete siguiendo los pasos del artículo Paquetes y programas: Configuration Manager.

7. Elija una colección de dispositivos predefinida en la que implementar el paquete.

Nota:

La protección de la información de Microsoft 365 no admite la incorporación durante la fase de experiencia rápida (OOBE). Asegúrese de que los usuarios completen OOBE después de ejecutar la instalación o actualización de Windows.

Sugerencia

Es posible crear una regla de detección en una aplicación Configuration Manager para comprobar continuamente si se ha incorporado un dispositivo. Una aplicación es un tipo de objeto diferente que un paquete y un programa. Si un dispositivo aún no está incorporado (debido a la finalización de OOBE pendiente o por cualquier otro motivo), Configuration Manager volverá a intentar incorporarlo hasta que la regla detecte el cambio de estado.

Este comportamiento se puede realizar mediante la creación de una regla de detección para determinar si el valor del OnboardingState Registro (de tipo REG_DWORD) = 1. Este valor del Registro se encuentra en HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status".

Para obtener más información, vea Opciones del método de detección de tipos de implementación.

Configuración de la colección de ejemplo

Para cada dispositivo, puede establecer un valor de configuración para indicar si se pueden recopilar muestras del dispositivo cuando se realiza una solicitud a través de Centro de seguridad de Microsoft Defender enviar un archivo para un análisis profundo.

Nota:

Normalmente, estas opciones de configuración se realizan a través de Configuration Manager.

Puede establecer una regla de cumplimiento para el elemento de configuración en Configuration Manager para cambiar la configuración del recurso compartido de ejemplo en un dispositivo.

Esta regla debe ser un elemento de configuración de regla de cumplimiento que establezca el valor de una clave del Registro en los dispositivos de destino para asegurarse de que son quejas.

La configuración se establece a través de la siguiente entrada de clave del Registro:

Path: "HKLM\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection"
Name: "AllowSampleCollection"
Value: 0 or 1

Donde:

El tipo de clave es D-WORD.

Los posibles valores son:

• 0: no permite el uso compartido de ejemplos desde este dispositivo
• 1: permite compartir todos los tipos de archivo de este dispositivo.

El valor predeterminado en caso de que la clave del Registro no exista es 1. Configuration Manager, consulte Create elementos de configuración personalizados para equipos de escritorio y servidor windows administrados con el cliente Configuration Manager.

Sugerencia

Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas del portal de cumplimiento de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.

Otras opciones de configuración recomendadas

Después de incorporar dispositivos al servicio, es importante aprovechar las funcionalidades de protección contra amenazas incluidas al habilitarlos con las siguientes opciones de configuración recomendadas.

Configuración de protección de próxima generación

Se recomiendan los siguientes valores de configuración:

Escanear

• Examinar dispositivos de almacenamiento extraíbles, como unidades USB: Sí

Protección en tiempo real

• Habilitación de la supervisión del comportamiento: sí
• Habilitar la protección contra aplicaciones potencialmente no deseadas en la descarga y antes de la instalación: Sí

Servicio de protección en la nube

• Tipo de pertenencia de Cloud Protection Service: pertenencia avanzada

Reducción de la superficie expuesta a ataques Configure todas las reglas disponibles en Auditar.

Nota:

Bloquear estas actividades puede interrumpir procesos empresariales legítimos. El mejor enfoque es establecer todo para auditar, identificar cuáles son seguras de activar y, a continuación, habilitar esa configuración en puntos de conexión que no tienen detecciones de falsos positivos.

Protección de red

Antes de habilitar la protección de red en modo de auditoría o bloqueo, asegúrese de que ha instalado la actualización de la plataforma antimalware, que se puede obtener de la página de soporte técnico.

Acceso controlado a carpetas

Habilite la característica en modo de auditoría durante al menos 30 días. Después de este período, revise las detecciones y cree una lista de aplicaciones que pueden escribir en directorios protegidos.

Para obtener más información, consulte Evaluación del acceso controlado a carpetas.

Dispositivos fuera de la placa con Configuration Manager

Por motivos de seguridad, el paquete usado para los dispositivos offboard expirará 30 días después de la fecha en que se descargó. Se rechazarán los paquetes de offboarding expirados enviados a un dispositivo. Al descargar un paquete de offboarding, se le notificará la fecha de expiración de los paquetes y también se incluirá en el nombre del paquete.

Nota:

Las directivas de incorporación y retirada no deben implementarse en el mismo dispositivo al mismo tiempo; de lo contrario, esto provocará colisiones imprevisibles.

Dispositivos fuera del panel con Microsoft Configuration Manager rama actual

Si usa Microsoft Configuration Manager rama actual, consulte Create un archivo de configuración de offboarding.

Supervisión de la configuración del dispositivo

Con Microsoft Configuration Manager rama actual, use el panel de Microsoft Defender para punto de conexión integrado en la consola de Configuration Manager. Para obtener más información, consulte Microsoft Defender Advanced Threat Protection - Monitor.

Compruebe que los dispositivos son compatibles con el servicio de prevención de pérdida de datos del punto de conexión.

Puede establecer una regla de cumplimiento para el elemento de configuración en Configuration Manager para supervisar la implementación.

Nota:

Este procedimiento y entrada del Registro se aplican a DLP de punto de conexión, así como a Defender para punto de conexión.

Esta regla debe ser un elemento de configuración de regla de cumplimiento no correctivo que supervise el valor de una clave del Registro en los dispositivos de destino.

Supervise la siguiente entrada de clave del Registro:

Path: "HKLM\SOFTWARE\Microsoft\Windows Advanced Threat Protection\Status"
Name: "OnboardingState"
Value: "1"

Para obtener más información, vea Planear y configurar las opciones de cumplimiento.

Temas relacionados

• Incorporación de dispositivos Windows 10 y Windows 11 mediante directiva de grupo
• Incorporar dispositivos Windows 10 y Windows 11 con herramientas de Administración de dispositivos móviles
• Incorporar dispositivos Windows 10 y Windows 11 mediante un script local
• Incorporar dispositivos de infraestructura de escritorio virtual (VDI) no persistente
• Ejecución de una prueba de detección en un dispositivo Microsoft Defender para punto de conexión recién incorporado
• Solución de problemas de incorporación de Microsoft Defender para punto de conexión