Administrar las opciones de configuración de Microsoft Defender para punto de conexión en dispositivos con Microsoft Endpoint Manager

Se aplica a:

¿Quiere experimentar Defender para punto de conexión? Regístrese para obtener una prueba gratuita.

Administración de seguridad para Microsoft Defender para punto de conexión es una funcionalidad para dispositivos que no están administrados por un Microsoft Endpoint Manager, ya sea Microsoft Intune o Microsoft Endpoint Configuration Manager, para recibir configuraciones de seguridad para Microsoft Defender directamente desde Endpoint Manager.

Para obtener más información sobre la administración de configuración de seguridad, incluidos los requisitos previos, las plataformas admitidas, etc., consulte Administración de Microsoft Defender para punto de conexión en dispositivos con Microsoft Endpoint Manager.

Vea este vídeo para obtener información sobre cómo usar Microsoft Endpoint Manager para administrar la configuración de seguridad para Microsoft Defender para punto de conexión.

Requisitos previos

Revise las secciones siguientes para conocer los requisitos de Security Management para Microsoft Defender para punto de conexión Escenario:

Entorno

Cuando un dispositivo se incorpora a Microsoft Defender para punto de conexión:

  • El dispositivo se realiza una encuesta en busca de una presencia de Endpoint Manager existente, que es una inscripción de administración de dispositivos móviles (MDM) para Intune
  • Los dispositivos sin una presencia Endpoint Manager habilitarán la característica administración de seguridad
  • Se crea una confianza con Azure Active Directory si aún no existe.
  • Azure Active Directory confianza se usa para comunicarse con Endpoint Manager (Intune) y recuperar directivas
  • La recuperación de directivas de Endpoint Manager se aplica en el dispositivo mediante Microsoft Defender para punto de conexión

Requisitos de Active Directory

Cuando un dispositivo unido a un dominio crea una confianza con Azure Active Directory, este escenario se conoce como escenario híbrido Azure Active Directory unión. Security Management for Microsoft Defender para punto de conexión admite completamente este escenario con los siguientes requisitos:

  • Azure Active Directory Conectar (Conectar de AAD) debe sincronizarse con el inquilino que se usa desde Microsoft Defender para punto de conexión
  • La unión Azure Active Directory híbrida debe configurarse en el entorno (ya sea mediante federación o AAD Conectar Sync)
  • AAD Conectar Sync debe incluir los objetos de dispositivo en el ámbito para la sincronización con Azure Active Directory (cuando sea necesario para la unión)
  • Las reglas de Conectar de AAD para la sincronización deben modificarse para Server 2012 R2 (cuando se necesita compatibilidad con Server 2012 R2)
  • Todos los dispositivos deben registrarse en el Azure Active Directory del inquilino que hospeda Microsoft Defender para punto de conexión. No se admiten escenarios entre inquilinos.

Requisitos de conectividad

Los dispositivos deben tener acceso a los siguientes puntos de conexión:

  • enterpriseregistration.windows.net : para el registro de Azure AD.
  • login.microsoftonline.com : para el registro de Azure AD.
  • *.dm.microsoft.com - El uso de un carácter comodín admite los puntos de conexión de servicio en la nube que se usan para la inscripción, la protección y los informes, y que pueden cambiar a medida que el servicio se escala.

Nota

Si los usuarios de la organización inspeccionan capa de sockets seguros (SSL), los puntos de conexión deben excluirse de la inspección.

Plataformas compatibles

Las directivas para la administración de seguridad de Microsoft Defender para punto de conexión son compatibles con las siguientes plataformas de dispositivos:

Licencias y suscripciones

Para usar la administración de seguridad para Microsoft Defender para punto de conexión, necesita:

  • Una suscripción que concede licencias para Microsoft Defender para punto de conexión, como Microsoft 365, o una licencia independiente solo para Microsoft Defender para punto de conexión. Una suscripción que concede licencias de Microsoft Defender para punto de conexión también concede a su inquilino acceso al nodo Seguridad del punto de conexión del centro de administración de Microsoft Endpoint Manager.

    Nota

    Excepción: si tiene acceso a Microsoft Defender para punto de conexión como parte de una licencia de solo Microsoft Defender for Cloud (anteriormente Azure Security Center), la Administración de seguridad para Microsoft Defender para punto de conexión funcionalidad no está disponible.

El nodo Seguridad del punto de conexión es donde configurará e implementará directivas para administrar Microsoft Defender para punto de conexión de los dispositivos y supervisar el estado del dispositivo.

Para obtener información actual sobre las opciones, consulte Requisitos mínimos para Microsoft Defender para punto de conexión.

Arquitectura

El diagrama siguiente es una representación conceptual de la solución de administración de configuración de seguridad Microsoft Defender para punto de conexión.

Representación conceptual de la solución de administración de configuración de seguridad Microsoft Defender para punto de conexión

  1. Dispositivos incorporados a Microsoft Defender para punto de conexión.

  2. Se establece una confianza entre cada dispositivo y Azure AD. Cuando un dispositivo tiene una confianza existente, se usa. Cuando los dispositivos no se han registrado, se crea una nueva confianza.

  3. Los dispositivos usan su identidad de Azure AD para comunicarse con Endpoint Manager. Esta identidad permite a Microsoft Endpoint Manager distribuir directivas destinadas a los dispositivos cuando se registran.

  4. Defender para punto de conexión notifica el estado de la directiva a Endpoint Manager.

¿Qué solución debo usar?

Microsoft Endpoint Manager incluye varios métodos y tipos de directiva para administrar la configuración de Defender para punto de conexión en dispositivos.

Cuando la protección de dispositivos necesita ampliarse más allá de la administración de Defender para punto de conexión, consulte Información general sobre protección de dispositivos para obtener información sobre las funcionalidades adicionales proporcionadas por Microsoft Endpoint Manager para ayudar a proteger los dispositivos, como el cumplimiento de dispositivos, las aplicaciones administradas, las directivas de protección de aplicaciones y la integración con asociados de cumplimiento de terceros y de defensa contra amenazas móviles.

La tabla siguiente puede ayudarle a comprender qué directivas que pueden configurar la configuración de MDE son compatibles con los dispositivos administrados por los distintos escenarios. Al implementar una directiva compatible con la configuración de seguridad de MDE y Microsoft Endpoint Manager, los dispositivos que solo ejecutan Microsoft Defender para punto de conexión y los dispositivos administrados por Intune o Configuration Manager.

Microsoft Endpoint Manager Carga de trabajo Policy Configuración de seguridad de MDE Microsoft Endpoint Manager
Seguridad de punto de conexión Antivirus Antivirus Compatible Compatible
Antivirus Exclusiones de antivirus Compatible Compatible
Antivirus Experiencia de Seguridad de Windows Compatible
Cifrado de disco Todo Compatible
Firewall Firewall Compatible Compatible
Firewall Reglas de firewall Compatible Compatible
Detección y respuesta de puntos de conexión Detección y respuesta de puntos de conexión Compatible Compatible
Reducción de la superficie expuesta a ataques Todo Compatible
Protección de cuentas Todo Compatible
Cumplimiento de dispositivos Todo Compatible
Acceso condicional Todo Compatible
Líneas base de seguridad Todo Compatible

Las directivas de seguridad de puntos de conexión son grupos discretos de configuraciones diseñadas para su uso por los administradores de seguridad que se centran en la protección de dispositivos de su organización.

  • Las directivas antivirus administran las configuraciones de seguridad que se encuentran en Microsoft Defender para punto de conexión. Consulte la directiva antivirus para la seguridad de los puntos de conexión.
  • Las directivas de reducción de superficie expuesta a ataques se centran en minimizar los lugares donde la organización es vulnerable a ciberataques y ataques. Para obtener más información, consulte Introducción a la reducción de la superficie expuesta a ataques en la documentación Windows Protección contra amenazas y Directiva de reducción de superficie expuesta a ataques para la seguridad de los puntos de conexión.
  • Las directivas de detección y respuesta de puntos de conexión (EDR) administran las funcionalidades de Defender para punto de conexión que proporcionan detecciones avanzadas de ataques casi en tiempo real y accionables. En función de EDR configuraciones, los analistas de seguridad pueden priorizar las alertas de forma eficaz, obtener visibilidad del ámbito completo de una infracción y tomar medidas de respuesta para corregir las amenazas. Consulte detección y respuesta de puntos de conexión directiva para la seguridad de los puntos de conexión.
  • Las directivas de firewall se centran en el firewall de Defender en los dispositivos. Consulte directiva de firewall para obtener información sobre la seguridad de los puntos de conexión.
  • Las reglas de firewall configuran reglas granulares para firewalls, incluidos puertos, protocolos, aplicaciones y redes específicos. Consulte directiva de firewall para obtener información sobre la seguridad de los puntos de conexión.
  • Las líneas base de seguridad incluyen configuraciones de seguridad preconfiguradas que definen la posición de seguridad recomendada por Microsoft para diferentes productos, como Defender, Edge o Windows. Las recomendaciones predeterminadas proceden de los equipos de productos pertinentes y permiten implementar rápidamente esa configuración segura recomendada en los dispositivos. Aunque la configuración está preconfigurada en cada línea base, puede crear instancias personalizadas de ellas para establecer las expectativas de seguridad de su organización. Consulte las líneas base de seguridad para Intune.

Configuración del inquilino para admitir Microsoft Defender para punto de conexión Security Configuration Management

Para admitir Microsoft Defender para punto de conexión administración de la configuración de seguridad a través del centro de administración de Microsoft Endpoint Manager, debe habilitar la comunicación entre ellos desde cada consola.

  1. Inicie sesión en Microsoft 365 Defender portal y vaya a Configuración > EndpointsConfiguration > ManagementEnforcement > Scope y habilite las plataformas para la administración de la configuración de seguridad:

    Habilite la administración de la configuración de Microsoft Defender para punto de conexión en la consola de Defender.

  2. Configure el modo piloto y Configuration Manager las opciones de autoridad para satisfacer las necesidades de su organización:

    Configure el modo piloto para la administración de la configuración del punto de conexión en el portal de Microsoft 365 Defender.

Sugerencia

Use el modo piloto y las etiquetas de dispositivo adecuadas para probar y validar el lanzamiento en un pequeño número de dispositivos. Sin usar el modo piloto, cualquier dispositivo que entre en el ámbito configurado se inscribirá automáticamente.

  1. Asegúrese de que los usuarios pertinentes tengan permisos para administrar la configuración de seguridad del punto de conexión en Microsoft Endpoint Manager o conceda esos permisos mediante la configuración de un rol en el portal de Defender. Vaya a Configuración > RolesAgregar > elemento:

    Cree un nuevo rol en el portal de Defender.

    Sugerencia

    Puede modificar los roles existentes y agregar los permisos necesarios en lugar de crear roles adicionales en Microsoft Defender para punto de conexión

  2. Al configurar el rol, agregue usuarios y asegúrese de seleccionar Administrar la configuración de seguridad del punto de conexión en Microsoft Endpoint Manager:

    Conceda a los usuarios permisos para administrar la configuración.

  3. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.

  4. Seleccione Seguridad > de punto de conexión Microsoft Defender para punto de conexión y establezca Permitir Microsoft Defender para punto de conexión para aplicar configuraciones de seguridad de punto de conexión (versión preliminar) en Activado.

    Habilite la administración de la configuración de Microsoft Defender para punto de conexión en el centro de administración de Microsoft Endpoint Manager.

    Al establecer esta opción en Activado, todos los dispositivos del ámbito de la plataforma de Microsoft Defender para punto de conexión que no están administrados por Microsoft Endpoint Manager calificarán para incorporarse a Microsoft Defender para punto de conexión.

Incorporar dispositivos a Microsoft Defender para punto de conexión

Microsoft Defender para punto de conexión admite varias opciones para incorporar dispositivos. Para obtener instrucciones actuales, consulte Incorporación de herramientas y métodos para Windows dispositivos en la documentación de Defender para punto de conexión.

Importante

Una vez que un dispositivo se incorpora con Microsoft Defender para punto de conexión, debe y se debe etiquetar con MDE-Management para poder inscribirse en Security Management para Microsoft Defender para punto de conexión. Para obtener más información sobre el etiquetado de dispositivos en MDE, consulte Creación y administración de etiquetas de dispositivo.

Coexistencia con Microsoft Endpoint Configuration Manager

En algunos entornos, es posible que desee usar la administración de seguridad para Microsoft Defender para punto de conexión con Configuration Manager asociación de inquilinos. Si usa ambos, tendrá que controlar la directiva a través de un único canal, ya que el uso de más de un canal crea la oportunidad de conflictos y resultados no deseados.

Para admitir esto, configure los valores de Administración de seguridad mediante Configuration Manager cambie a Desactivado. Inicie sesión en el portal de Microsoft 365 Defender y vaya a Configuración > EndpointsConfiguration > ManagementEnforcement > Scope:

Administrar la configuración de seguridad mediante Configuration Manager configuración.

Nota

Cuando se usa Security Management para Microsoft Defender para punto de conexión con Configuration Manager, la directiva de seguridad de punto de conexión debe aislarse en un plano de control único. Controlar la directiva a través de ambos canales puede provocar conflictos y resultados no deseados.

Creación de grupos de Azure AD

Una vez que los dispositivos se incorporen a Defender para punto de conexión, deberá crear grupos de dispositivos para admitir la implementación de directivas para Microsoft Defender para punto de conexión.

Para identificar los dispositivos que se han inscrito con Microsoft Defender para punto de conexión pero no están administrados por Intune o Configuration Manager:

  1. Inicie sesión en Centro de administración de Microsoft Endpoint Manager.

  2. Vaya a DispositivosTodos > los dispositivos y, a continuación, seleccione la columna Administrado por para ordenar la vista de dispositivos.

    Los dispositivos que se incorporan a Microsoft Defender para punto de conexión y se han registrado pero no se administran mediante Intune muestran Microsoft Defender para punto de conexión en la columna Administrado por. Estos son los dispositivos que pueden recibir directivas de administración de seguridad para Microsoft Defender para punto de conexión.

    También encontrará dos etiquetas para los dispositivos que usan la administración de seguridad para Microsoft Defender para punto de conexión:

    • MDEJoined: se agrega a los dispositivos que están unidos al directorio como parte de este escenario.
    • MDEManaged: se agrega a los dispositivos que usan activamente el escenario de administración de seguridad. Esta etiqueta se quita del dispositivo si Defender para punto de conexión deja de administrar la configuración de seguridad.

Puede crear grupos para estos dispositivos en Azure AD o desde el centro de administración de Microsoft Endpoint Manager.

Implementar directiva

Después de crear uno o varios grupos de Azure AD que contienen dispositivos administrados por Microsoft Defender para punto de conexión, puede crear e implementar las siguientes directivas para Security Management para Microsoft Defender para punto de conexión en esos grupos:

  • Antivirus
  • Firewall
  • Reglas de firewall
  • Detección y respuesta de puntos de conexión

Sugerencia

Evite implementar varias directivas que administren la misma configuración en un dispositivo.

Microsoft Endpoint Manager admite la implementación de varias instancias de cada tipo de directiva de seguridad de punto de conexión en el mismo dispositivo, con cada instancia de directiva recibida por el dispositivo por separado. Por lo tanto, un dispositivo podría recibir configuraciones independientes para la misma configuración de directivas diferentes, lo que da lugar a un conflicto. Algunas opciones de configuración (como Exclusiones antivirus) se combinarán en el cliente y se aplicarán correctamente.

  1. Inicie sesión en el Centro de administración del Administrador de puntos de conexión de Microsoft.

  2. Vaya a Seguridad del punto de conexión y, a continuación, seleccione el tipo de directiva que desea configurar, antivirus o firewall y, a continuación, seleccione Crear directiva.

  3. Escriba las propiedades siguientes o el tipo de directiva que seleccionó:

    • En Directiva antivirus, seleccione:

      • Plataforma: Windows 10, Windows 11 y Windows Server (versión preliminar)
      • Perfil: Antivirus de Microsoft Defender (versión preliminar)
    • En Directiva de firewall, seleccione:

      • Plataforma: Windows 10, Windows 11 y Windows Server (versión preliminar)
      • Perfil: Firewall de Microsoft Defender (versión preliminar)
    • En Directiva de reglas de firewall, seleccione:

      • Plataforma: Windows 10, Windows 11 y Windows Server (versión preliminar)
      • Perfil: reglas de Firewall de Microsoft Defender (versión preliminar)
    • En Endpoint Detection and Response policy (Directiva de detección y respuesta de puntos de conexión), seleccione:

      • Plataforma: Windows 10, Windows 11 y Windows Server (versión preliminar)
      • Perfil: Detección y respuesta de puntos de conexión (versión preliminar)

    Nota

    Estos perfiles se aplican a ambos dispositivos que se comunican a través de Mobile Administración de dispositivos (MDM) con Microsoft Intune, así como a los dispositivos que se comunican mediante el cliente Microsoft Defender para punto de conexión.

    Asegúrese de revisar el destino y los grupos según sea necesario.

  4. Seleccione Crear.

  5. En la página Datos básicos, escriba un nombre y una descripción para el perfil y, después, elija Siguiente.

  6. En la página Configuración , seleccione la configuración que desea administrar con este perfil. Para obtener más información sobre una configuración, expanda su cuadro de diálogo de información y seleccione el vínculo Más información para ver la información de CSP de la configuración en la documentación en línea.

    Cuando haya finalizado la configuración, seleccione Siguiente.

  7. En la página Asignaciones , seleccione los grupos de Azure AD que recibirán este perfil. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo.

    Seleccione Siguiente para continuar.

    Sugerencia

    • Los filtros de asignación no se admiten para los perfiles de Administración de configuración de seguridad.
    • Solo los objetos de dispositivo son aplicables para la administración de Microsoft Defender para punto de conexión. No se admite la segmentación de usuarios.
    • Las directivas configuradas se aplicarán a los clientes Microsoft Intune y Microsoft Defender para punto de conexión
  8. Complete el proceso de creación de directivas y, a continuación, en la página Revisar y crear , seleccione Crear. El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado.

  9. Espere a que se asigne la directiva y vea una indicación correcta de que se aplicó la directiva.

  10. Puede validar que la configuración se ha aplicado localmente en el cliente mediante la utilidad de comandos Get-MpPreference .

Nota

Esta funcionalidad se está implementando gradualmente.

Para obtener más información sobre la administración de configuración de seguridad, consulte Administración de Microsoft Defender para punto de conexión en dispositivos con Microsoft Endpoint Manager.

Si tiene problemas de inscripción, consulte Solución de problemas de incorporación de Security Configuration Management.

Nota

Esta funcionalidad no se aplica a los dispositivos que ya están inscritos en Microsoft Endpoint Manager (ya sea Intune o Configuration Manager). Los dispositivos inscritos en Intune seguirán recibiendo directivas a través de su canal de administración establecido.

Identificación de dispositivos incorporados

Siga estos pasos para validar que los puntos de conexión han completado correctamente la administración de seguridad para Microsoft Defender para punto de conexión proceso de incorporación.

  1. Compruebe que el dispositivo aparece en la sección Inventario de dispositivos de Microsoft 365 Defender.

  2. En el portal de Azure Active Directory, compruebe que el dispositivo se ha inscrito correctamente.

  3. En el Centro de Microsoft Endpoint Manager Admin, compruebe que el dispositivo se ha inscrito correctamente buscándolo en la sección Dispositivos > Todos los dispositivos.

Dispositivos fuera del panel

Para dispositivos fuera del panel que se han incorporado a través de Security Management para Microsoft Defender para punto de conexión, consulte Dispositivos fuera del panel del servicio de Microsoft Defender para punto de conexión.

Nota

La desactivación deshabilitará la protección contra alteraciones si está habilitada.

Solución de problemas de administración de seguridad

Para solucionar problemas de administración de seguridad para Microsoft Defender para punto de conexión problemas de inscripción, consulte Solución de problemas de incorporación relacionados con la administración de seguridad para Microsoft Defender para punto de conexión.