Control de dispositivo en Microsoft Defender para punto de conexión
Se aplica a:
- Microsoft Defender para punto de conexión Plan 1
- Microsoft Defender para punto de conexión Plan 2
- Microsoft Defender para Empresas
Las funcionalidades de control de dispositivos en Microsoft Defender para punto de conexión permiten al equipo de seguridad controlar si los usuarios pueden instalar y usar dispositivos periféricos, como almacenamiento extraíble (unidades usb, CD, discos, etc.), impresoras, dispositivos Bluetooth u otros dispositivos con sus equipos. El equipo de seguridad puede configurar directivas de control de dispositivos para configurar reglas como estas:
- Impedir que los usuarios instalen y usen determinados dispositivos (como unidades USB)
- Impedir que los usuarios instalen y usen dispositivos externos con excepciones específicas
- Permitir a los usuarios instalar y usar dispositivos específicos
- Permitir a los usuarios instalar y usar solo dispositivos cifrados con BitLocker con equipos Windows
Esta lista está pensada para proporcionar algunos ejemplos. No es una lista exhaustiva; hay otros ejemplos a tener en cuenta (consulte la sección control de dispositivos en Windows de este artículo).
El control de dispositivos ayuda a proteger su organización de posibles pérdidas de datos, malware u otras ciberamenazas al permitir o impedir que determinados dispositivos se conecten a los equipos de los usuarios. Con el control de dispositivos, el equipo de seguridad puede determinar si los usuarios de dispositivos periféricos pueden instalar y usar en sus equipos y qué dispositivos periféricos.
Control de dispositivo en Windows
En esta sección se enumeran los escenarios para el control de dispositivos en Windows.
Sugerencia
Si usa Mac, el control de dispositivos puede controlar el acceso a Bluetooth, dispositivos iOS, dispositivos portátiles como cámaras y medios extraíbles, como dispositivos USB. Consulte Control de dispositivos para macOS.
Seleccione una pestaña, revise los escenarios e identifique el tipo de directiva de control de dispositivos que se va a crear.
Escenario | Directiva de control de dispositivos |
---|---|
Impedir la instalación de un dispositivo USB específico | Control de dispositivo en Windows. Consulte Directivas de control de dispositivos. |
Impedir la instalación de todos los dispositivos USB a la vez que se permite la instalación de solo un USB autorizado | Control de dispositivo en Windows. Consulte Directivas de control de dispositivos. |
Impedir el acceso de escritura y ejecución a todos, pero permitir USB aprobados específicos | Control de dispositivos en Defender para punto de conexión. Consulte Directivas de control de dispositivos. |
Auditar el acceso de escritura y ejecución para todos los USB bloqueados, pero bloqueados específicos | Control de dispositivos en Defender para punto de conexión. Consulte Directivas de control de dispositivos. |
Bloquear el acceso de lectura y ejecución a una extensión de archivo específica | Control del dispositivo en Microsoft Defender. Consulte Directivas de control de dispositivos. |
Impedir que las personas accedan al almacenamiento extraíble cuando la máquina no se conecta a la red corporativa | Control del dispositivo en Microsoft Defender. Consulte Directivas de control de dispositivos. |
Bloquear el acceso de escritura a unidades de datos extraíbles no protegidas por BitLocker | Control de dispositivo en Windows. Consulte BitLocker. |
Bloquear el acceso de escritura a dispositivos configurados en otra organización | Control de dispositivo en Windows. Consulte BitLocker. |
Impedir la copia de archivos confidenciales en USB | DLP de punto de conexión |
Dispositivos admitidos
El control de dispositivos admite dispositivos Bluetooth, CD/ROMs y dvd, impresoras, dispositivos USB y otros tipos de dispositivos portátiles. En un dispositivo Windows, en función del controlador, algunos dispositivos periféricos se marcan como extraíbles. En la tabla siguiente se enumeran ejemplos de dispositivos que el control de dispositivos admite con sus primary_id
valores y nombres de clase multimedia:
Tipo de dispositivo | PrimaryId en Windows |
primary_id en macOS |
Nombre de clase media |
---|---|---|---|
Dispositivos Bluetooth | bluetoothDevice |
Bluetooth Devices |
|
CD/ROMs, DVDs | CdRomDevices |
CD-Roms |
|
Dispositivos iOS | appleDevice |
||
Dispositivos portátiles (como cámaras) | portableDevice |
||
Impresoras | PrinterDevices |
Printers |
|
Dispositivos USB (medios extraíbles) | RemovableMediaDevices |
removableMedia |
USB |
Dispositivos portátiles windows | WpdDevices |
Windows Portable Devices (WPD) |
Categorías de funcionalidades de control de dispositivos de Microsoft
Las funcionalidades de control de dispositivos de Microsoft se pueden organizar en tres categorías principales: control de dispositivos en Windows, control de dispositivos en Defender para punto de conexión y Prevención de pérdida de datos de punto de conexión (DLP de punto de conexión).
Control de dispositivo en Windows. El sistema operativo Windows tiene funcionalidades integradas de control de dispositivos. El equipo de seguridad puede configurar las opciones de instalación de dispositivos para evitar (o permitir) que los usuarios instalen determinados dispositivos en sus equipos. Las directivas se aplican en el nivel de dispositivo y usan varias propiedades de dispositivo para determinar si un usuario puede instalar o usar un dispositivo. El control de dispositivos en Windows funciona con plantillas de BitLocker y ADMX y se puede administrar mediante Intune.
BitLocker y Intune. BitLocker es una característica de seguridad de Windows que proporciona cifrado para volúmenes completos. Junto con Intune, las directivas se pueden configurar para aplicar el cifrado en dispositivos mediante BitLocker para Windows (y FileVault para Mac). Para obtener más información, consulte Configuración de directivas de cifrado de disco para la seguridad del punto de conexión en Intune.
Plantillas administrativas (ADMX) y Intune. Puede usar plantillas ADMX para crear directivas que restrinjan o permitan que determinados tipos de dispositivos USB se usen con equipos. Para obtener más información, consulte Restricción de dispositivos USB y permitir dispositivos USB específicos mediante plantillas ADMX en Intune.
Control de dispositivos en Defender para punto de conexión. El control de dispositivos en Defender para punto de conexión proporciona funcionalidades más avanzadas y es multiplataforma. Puede configurar las opciones de control de dispositivos para evitar (o permitir) que los usuarios tengan acceso de lectura, escritura o ejecución al contenido en dispositivos de almacenamiento extraíbles. Puede definir excepciones y puede optar por emplear directivas de auditoría que detecten pero no bloqueen el acceso de los usuarios a sus dispositivos de almacenamiento extraíbles. Las directivas se aplican en el nivel de dispositivo, en el nivel de usuario o en ambos. El control de dispositivo en Microsoft Defender se puede administrar mediante Intune.
- Control del dispositivo en Microsoft Defender y Intune. Intune proporciona una experiencia enriquecida para administrar directivas complejas de control de dispositivos para las organizaciones. Por ejemplo, puede configurar e implementar opciones de restricción de dispositivos en Defender para punto de conexión. Consulte Configuración de las opciones de restricción de dispositivos en Microsoft Intune.
Prevención de pérdida de datos de punto de conexión (DLP de punto de conexión). DLP de punto de conexión supervisa la información confidencial de los dispositivos que se incorporan a las soluciones de Microsoft Purview. Las directivas DLP pueden aplicar acciones de protección sobre información confidencial y dónde se almacenan o usan. Obtenga información sobre DLP de punto de conexión.
Consulte la sección escenarios de control de dispositivos (en este artículo) para obtener más detalles sobre estas funcionalidades.
Ejemplos y escenarios de control de dispositivos
El control de dispositivos en Defender para punto de conexión proporciona al equipo de seguridad un sólido modelo de control de acceso que permite una amplia gama de escenarios (consulte Directivas de control de dispositivos). Hemos reunido un repositorio de GitHub que contiene ejemplos y escenarios que puede explorar. Vea los siguientes recursos:
- Ejemplos de control de dispositivos LÉAME
- Introducción a los ejemplos de control de dispositivos en dispositivos Windows
- Control de dispositivos para ejemplos de macOS
Si no está familiarizado con el control de dispositivos, consulte Tutoriales de control de dispositivos.
Requisitos previos
El control de dispositivo en Defender para punto de conexión se puede aplicar a los dispositivos que ejecutan Windows 10 o Windows 11 que tienen la versión 4.18.2103.3
de cliente antimalware o posterior. (Actualmente, no se admiten servidores).
4.18.2104
o posterior: agregarSerialNumberId
, ,VID_PID
compatibilidad con GPO basado en filepath yComputerSid
4.18.2105
o posterior: agregue compatibilidad con caracteres comodín paraHardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId
, la combinación de un usuario específico en una máquina específica, ssd extraíbles (un SSD extremo sandisk) o compatibilidad con SCSI conectado a USB (UAS)4.18.2107
o posterior: agregar compatibilidad con dispositivos portátiles Windows (WPD) (para dispositivos móviles, como tabletas); agregarAccountName
a la búsqueda avanzada4.18.2205
o posterior: expanda la aplicación predeterminada a Impresora. Si lo establece en Denegar, también bloquea la impresora, por lo que si solo desea administrar el almacenamiento, asegúrese de crear una directiva personalizada para permitir la impresora.4.18.2207
o posterior: Agregar compatibilidad con archivos; el caso de uso común puede ser: bloquear a los usuarios de un archivo específico de acceso de lectura, escritura o ejecución en el almacenamiento extraíble. Agregar compatibilidad con la red y la conexión VPN; el caso de uso común puede ser: impedir que las personas accedan al almacenamiento extraíble cuando la máquina no se conecta a la red corporativa.
Para Mac, consulte Control de dispositivos para macOS.
Actualmente, el control de dispositivos no se admite en los servidores.
Pasos siguientes
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de