Control de dispositivo en Microsoft Defender para punto de conexión

Se aplica a:

• Microsoft Defender para punto de conexión Plan 1
• Microsoft Defender para punto de conexión Plan 2
• Microsoft Defender para Empresas

Las funcionalidades de control de dispositivos en Microsoft Defender para punto de conexión permiten al equipo de seguridad controlar si los usuarios pueden instalar y usar dispositivos periféricos, como almacenamiento extraíble (unidades usb, CD, discos, etc.), impresoras, dispositivos Bluetooth u otros dispositivos con sus equipos. El equipo de seguridad puede configurar directivas de control de dispositivos para configurar reglas como estas:

• Impedir que los usuarios instalen y usen determinados dispositivos (como unidades USB)
• Impedir que los usuarios instalen y usen dispositivos externos con excepciones específicas
• Permitir a los usuarios instalar y usar dispositivos específicos
• Permitir a los usuarios instalar y usar solo dispositivos cifrados con BitLocker con equipos Windows

Esta lista está pensada para proporcionar algunos ejemplos. No es una lista exhaustiva; hay otros ejemplos a tener en cuenta (consulte la sección control de dispositivos en Windows de este artículo).

El control de dispositivos ayuda a proteger su organización de posibles pérdidas de datos, malware u otras ciberamenazas al permitir o impedir que determinados dispositivos se conecten a los equipos de los usuarios. Con el control de dispositivos, el equipo de seguridad puede determinar si los usuarios de dispositivos periféricos pueden instalar y usar en sus equipos y qué dispositivos periféricos.

Control de dispositivo en Windows

En esta sección se enumeran los escenarios para el control de dispositivos en Windows.

Sugerencia

Si usa Mac, el control de dispositivos puede controlar el acceso a Bluetooth, dispositivos iOS, dispositivos portátiles como cámaras y medios extraíbles, como dispositivos USB. Consulte Control de dispositivos para macOS.

Seleccione una pestaña, revise los escenarios e identifique el tipo de directiva de control de dispositivos que se va a crear.

Almacenamiento extraíble

Escenario	Directiva de control de dispositivos
Impedir la instalación de un dispositivo USB específico	Control de dispositivo en Windows. Consulte Directivas de control de dispositivos.
Impedir la instalación de todos los dispositivos USB a la vez que se permite la instalación de solo un USB autorizado	Control de dispositivo en Windows. Consulte Directivas de control de dispositivos.
Impedir el acceso de escritura y ejecución a todos, pero permitir USB aprobados específicos	Control de dispositivos en Defender para punto de conexión. Consulte Directivas de control de dispositivos.
Auditar el acceso de escritura y ejecución para todos los USB bloqueados, pero bloqueados específicos	Control de dispositivos en Defender para punto de conexión. Consulte Directivas de control de dispositivos.
Bloquear el acceso de lectura y ejecución a una extensión de archivo específica	Control del dispositivo en Microsoft Defender. Consulte Directivas de control de dispositivos.
Impedir que las personas accedan al almacenamiento extraíble cuando la máquina no se conecta a la red corporativa	Control del dispositivo en Microsoft Defender. Consulte Directivas de control de dispositivos.
Bloquear el acceso de escritura a unidades de datos extraíbles no protegidas por BitLocker	Control de dispositivo en Windows. Consulte BitLocker.
Bloquear el acceso de escritura a dispositivos configurados en otra organización	Control de dispositivo en Windows. Consulte BitLocker.
Impedir la copia de archivos confidenciales en USB	DLP de punto de conexión

Impresoras

Escenario	Directiva de control de dispositivos
Impedir que las personas impriman a través de impresoras no incorporadas	Control de dispositivos en Defender para punto de conexión. Consulte Directivas de control de dispositivos.
Permitir solo impresoras USB específicas por VID/PID	Control de dispositivos en Defender para punto de conexión. Consulte Directivas de control de dispositivos.
Impedir la instalación de todas las impresoras	Control de dispositivo en Windows. Consulte Directivas de control de dispositivos.
Impedir la instalación de una impresora específica	Control de dispositivo en Windows. Consulte Directivas de control de dispositivos.
Impedir la instalación de todas las impresoras al tiempo que se permite instalar una impresora específica	Control de dispositivo en Windows. Consulte Directivas de control de dispositivos.
Bloquear la impresión de documentos confidenciales en cualquier impresora	DLP de punto de conexión

Bluetooth

Escenario	Directiva de control de dispositivos
Bloquear la copia de documentos confidenciales en cualquier dispositivo Bluetooth	DLP de punto de conexión

Dispositivos admitidos

El control de dispositivos admite dispositivos Bluetooth, CD/ROMs y dvd, impresoras, dispositivos USB y otros tipos de dispositivos portátiles. En un dispositivo Windows, en función del controlador, algunos dispositivos periféricos se marcan como extraíbles. En la tabla siguiente se enumeran ejemplos de dispositivos que el control de dispositivos admite con sus primary_id valores y nombres de clase multimedia:

Tipo de dispositivo	PrimaryId en Windows	primary_id en macOS	Nombre de clase media
Dispositivos Bluetooth		bluetoothDevice	Bluetooth Devices
CD/ROMs, DVDs	CdRomDevices		CD-Roms
Dispositivos iOS		appleDevice
Dispositivos portátiles (como cámaras)		portableDevice
Impresoras	PrinterDevices		Printers
Dispositivos USB (medios extraíbles)	RemovableMediaDevices	removableMedia	USB
Dispositivos portátiles windows	WpdDevices		Windows Portable Devices (WPD)

Categorías de funcionalidades de control de dispositivos de Microsoft

Las funcionalidades de control de dispositivos de Microsoft se pueden organizar en tres categorías principales: control de dispositivos en Windows, control de dispositivos en Defender para punto de conexión y Prevención de pérdida de datos de punto de conexión (DLP de punto de conexión).

• Control de dispositivo en Windows. El sistema operativo Windows tiene funcionalidades integradas de control de dispositivos. El equipo de seguridad puede configurar las opciones de instalación de dispositivos para evitar (o permitir) que los usuarios instalen determinados dispositivos en sus equipos. Las directivas se aplican en el nivel de dispositivo y usan varias propiedades de dispositivo para determinar si un usuario puede instalar o usar un dispositivo. El control de dispositivos en Windows funciona con plantillas de BitLocker y ADMX y se puede administrar mediante Intune.

  • BitLocker y Intune. BitLocker es una característica de seguridad de Windows que proporciona cifrado para volúmenes completos. Junto con Intune, las directivas se pueden configurar para aplicar el cifrado en dispositivos mediante BitLocker para Windows (y FileVault para Mac). Para obtener más información, consulte Configuración de directivas de cifrado de disco para la seguridad del punto de conexión en Intune.

  • Plantillas administrativas (ADMX) y Intune. Puede usar plantillas ADMX para crear directivas que restrinjan o permitan que determinados tipos de dispositivos USB se usen con equipos. Para obtener más información, consulte Restricción de dispositivos USB y permitir dispositivos USB específicos mediante plantillas ADMX en Intune.

• Control de dispositivos en Defender para punto de conexión. El control de dispositivos en Defender para punto de conexión proporciona funcionalidades más avanzadas y es multiplataforma. Puede configurar las opciones de control de dispositivos para evitar (o permitir) que los usuarios tengan acceso de lectura, escritura o ejecución al contenido en dispositivos de almacenamiento extraíbles. Puede definir excepciones y puede optar por emplear directivas de auditoría que detecten pero no bloqueen el acceso de los usuarios a sus dispositivos de almacenamiento extraíbles. Las directivas se aplican en el nivel de dispositivo, en el nivel de usuario o en ambos. El control de dispositivo en Microsoft Defender se puede administrar mediante Intune.

  • Control del dispositivo en Microsoft Defender y Intune. Intune proporciona una experiencia enriquecida para administrar directivas complejas de control de dispositivos para las organizaciones. Por ejemplo, puede configurar e implementar opciones de restricción de dispositivos en Defender para punto de conexión. Consulte Configuración de las opciones de restricción de dispositivos en Microsoft Intune.

• Prevención de pérdida de datos de punto de conexión (DLP de punto de conexión). DLP de punto de conexión supervisa la información confidencial de los dispositivos que se incorporan a las soluciones de Microsoft Purview. Las directivas DLP pueden aplicar acciones de protección sobre información confidencial y dónde se almacenan o usan. Obtenga información sobre DLP de punto de conexión.

Consulte la sección escenarios de control de dispositivos (en este artículo) para obtener más detalles sobre estas funcionalidades.

Ejemplos y escenarios de control de dispositivos

El control de dispositivos en Defender para punto de conexión proporciona al equipo de seguridad un sólido modelo de control de acceso que permite una amplia gama de escenarios (consulte Directivas de control de dispositivos). Hemos reunido un repositorio de GitHub que contiene ejemplos y escenarios que puede explorar. Vea los siguientes recursos:

• Ejemplos de control de dispositivos LÉAME
• Introducción a los ejemplos de control de dispositivos en dispositivos Windows
• Control de dispositivos para ejemplos de macOS

Si no está familiarizado con el control de dispositivos, consulte Tutoriales de control de dispositivos.

Requisitos previos

El control de dispositivo en Defender para punto de conexión se puede aplicar a los dispositivos que ejecutan Windows 10 o Windows 11 que tienen la versión 4.18.2103.3 de cliente antimalware o posterior. (Actualmente, no se admiten servidores).

• 4.18.2104 o posterior: agregar SerialNumberId, , VID_PIDcompatibilidad con GPO basado en filepath y ComputerSid
• 4.18.2105 o posterior: agregue compatibilidad con caracteres comodín para HardwareId/DeviceId/InstancePathId/FriendlyNameId/SerialNumberId, la combinación de un usuario específico en una máquina específica, ssd extraíbles (un SSD extremo sandisk) o compatibilidad con SCSI conectado a USB (UAS)
• 4.18.2107 o posterior: agregar compatibilidad con dispositivos portátiles Windows (WPD) (para dispositivos móviles, como tabletas); agregar AccountName a la búsqueda avanzada
• 4.18.2205 o posterior: expanda la aplicación predeterminada a Impresora. Si lo establece en Denegar, también bloquea la impresora, por lo que si solo desea administrar el almacenamiento, asegúrese de crear una directiva personalizada para permitir la impresora.
• 4.18.2207 o posterior: Agregar compatibilidad con archivos; el caso de uso común puede ser: bloquear a los usuarios de un archivo específico de acceso de lectura, escritura o ejecución en el almacenamiento extraíble. Agregar compatibilidad con la red y la conexión VPN; el caso de uso común puede ser: impedir que las personas accedan al almacenamiento extraíble cuando la máquina no se conecta a la red corporativa.

Para Mac, consulte Control de dispositivos para macOS.

Actualmente, el control de dispositivos no se admite en los servidores.

Pasos siguientes

• Tutoriales de control de dispositivos
• Más información sobre las directivas de control de dispositivos
• Visualización de informes de control de dispositivos