Cambiar a Microsoft Defender para endpoint - Fase 3: Incorporación

Se aplica a:

Fase 1: Prepare3.
Fase 1: Preparación
Fase 2: Configuración
Fase 2: Configuración
Fase 3: Incorporación
Fase 3: Incorporación
¡Estás aquí!

Bienvenido a la fase 3 de cambiar a Defender para endpoint. Esta fase de migración incluye los siguientes pasos:

  1. Incorporar dispositivos a Defender para endpoint.
  2. Ejecute una prueba de detección.
  3. Confirme que Antivirus de Microsoft Defender está en modo pasivo en los puntos de conexión.
  4. Obtener actualizaciones para Antivirus de Microsoft Defender.
  5. Desinstale la solución que no es de Microsoft.
  6. Asegúrese de que Defender for Endpoint funciona correctamente.

Incorporar dispositivos a Microsoft Defender para punto de conexión

  1. Vaya al portal Microsoft 365 Defender (https://security.microsoft.com) e inicie sesión.

  2. Elija Configuración > incorporación de puntos de > conexión (en Administración de dispositivos).

  3. En la lista Seleccionar sistema operativo para iniciar el proceso de incorporación , seleccione un sistema operativo.

  4. En Método de implementación, seleccione una opción. Siga los vínculos y avisos para incorporar los dispositivos de la organización. ¿Necesita ayuda? Vea Métodos de incorporación (en este artículo).

Nota

Si algo sale mal durante la incorporación, consulta Solucionar problemas de incorporación de Puntos de conexión de Microsoft Defender. En ese artículo se describe cómo resolver problemas de incorporación y errores comunes en los puntos de conexión.

Métodos de incorporación

Importante

Si usa Microsoft Defender para la nube, consulte Integración con Microsoft Defender para la nube.

Los métodos de implementación varían según el sistema operativo y los métodos preferidos. En la tabla siguiente se enumeran los recursos que le ayudarán a incorporarse a Defender for Endpoint:

Sistemas operativos Métodos
Windows 10 o posterior

Windows Server 2019 o posterior

Windows Server, versión 1803 o posterior

Windows Server 2012 R2 y 2016[1]
Script local (hasta 10 dispositivos)

Directiva de grupo

Microsoft Endpoint Configuration Manager

Microsoft Endpoint Manager/ Administración de dispositivos móviles (Intune)
Scripts VDI

NOTA: Un script local es adecuado para una prueba de concepto, pero no debe usarse para la implementación de producción. Para una implementación de producción, se recomienda usar la directiva de grupo, Microsoft Endpoint Configuration Manager o Intune.
Windows Server 2008 R2 SP1 Microsoft Monitoring Agent (MMA) o Microsoft Defender para la nube

NOTA: Microsoft Monitoring Agent es ahora agente de Azure Log Analytics. Para obtener más información, consulta Introducción al agente de Log Analytics.
Windows 8,1 Enterprise

Windows 8.1 Pro

Windows 7 SP1 Pro

Windows 7 SP1
Microsoft Monitoring Agent (MMA)

NOTA: Microsoft Monitoring Agent es ahora agente de Azure Log Analytics. Para obtener más información, consulta Introducción al agente de Log Analytics.
macOS (consulte Requisitos del sistema Script local

Microsoft Endpoint Manager

JAMF Pro

Administración de dispositivos móviles
Linux (consulte Requisitos del sistema) Script local

Puppet

Ansible
iOS Microsoft Endpoint Manager
Android Microsoft Endpoint Manager

(1) Windows Server 2016 y Windows Server 2012 R2 tendrán que incorporarse con las instrucciones de Onboard Windows servers.

Ejecutar una prueba de detección

Para comprobar que los dispositivos incorporados están correctamente conectados a Defender for Endpoint, puedes ejecutar una prueba de detección.



Sistema operativo Instrucciones
Windows 10 o posterior

Windows Server 2022

Windows Server 2019

Windows server, versión 1803 o posterior

Windows Server 2016

Windows Server 2012 R2
Consulte Ejecutar una prueba de detección.

Visita el sitio defender para escenarios de demostración de extremo (https://demo.wd.microsoft.com) y prueba uno o varios de los escenarios. Por ejemplo, pruebe el escenario de demostración de protección entregado en la nube.
macOS (consulte Requisitos del sistema Descargue y use la aplicación DE BRICOLAJE en https://aka.ms/mdatpmacosdiy.

Para obtener más información, vea Defender for Endpoint on macOS.
Linux (consulte Requisitos del sistema) 1. Ejecute el siguiente comando y busque un resultado de 1: mdatp health --field real_time_protection_enabled.

2. Abra una ventana terminal y ejecute el siguiente comando: curl -o ~/Downloads/eicar.com.txt https://www.eicar.org/download/eicar.com.txt.

3. Ejecute el siguiente comando para enumerar las amenazas detectadas: mdatp threat list.

Para obtener más información, vea Defender for Endpoint on Linux.

Nota

El sitio de demostración de Defender para punto de conexión en demo.wd.microsoft.com está obsoleto y se eliminará en el futuro.

Confirme que Antivirus de Microsoft Defender está en modo pasivo en los puntos de conexión

Ahora que los puntos de conexión se han incorporado a Defender for Endpoint, el siguiente paso es asegurarse de que Antivirus de Microsoft Defender se ejecuta en modo pasivo. Puede usar uno de varios métodos, como se describe en la tabla siguiente:



Método Qué hacer
Símbolo del sistema 1. En un dispositivo Windows, abra el símbolo del sistema.

2. Escriba sc query windefendy, a continuación, presione ENTRAR.

3. Revise los resultados para confirmar que Antivirus de Microsoft Defender se está ejecutando en modo pasivo.
PowerShell 1. En un dispositivo Windows, abra Windows PowerShell como administrador.

2. Ejecute el siguiente cmdlet de PowerShell: Get-MpComputerStatus|select AMRunningMode.

3. Revise los resultados. Debería ver el modo pasivo.
Seguridad de Windows app 1. En un dispositivo Windows, abra la aplicación Seguridad de Windows usuario.

2. Seleccione Virus & protección contra amenazas.

3. ¿Quién está protegiendo? seleccione Administrar proveedores.

4. En la página Proveedores de seguridad, en Antivirus, busque Antivirus de Microsoft Defender está activado.
Administrador de tareas 1. En un dispositivo Windows, abra la aplicación Administrador de tareas.

2. Seleccione la pestaña Detalles. Busque MsMpEng.exeen la lista.

Nota

Es posible que Antivirus de Windows Defender en lugar de Antivirus de Microsoft Defender en algunas versiones de Windows. Para obtener más información sobre el modo pasivo y el modo activo, consulta Más detalles sobre Antivirus de Microsoft Defender estados.

Establecer Antivirus de Microsoft Defender en Windows server en modo pasivo manualmente

Para establecer Antivirus de Microsoft Defender en modo pasivo en Windows Server, versión 1803 o posterior, o Windows Server 2019 o Windows Server 2022, siga estos pasos:

  1. Abra el Editor del Registro y, a continuación, vaya a:

    Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Advanced Threat Protection.

  2. Edite (o cree) una entrada DWORD denominada ForceDefenderPassiveMode y especifique la siguiente configuración:

    • Establezca el valor de DWORD en 1.
    • En Base, seleccione Hexadecimal.

Nota

Puede usar otros métodos para establecer la clave del Registro, como los siguientes:

Inicie Antivirus de Microsoft Defender en Windows Server 2016

Si usas Windows Server 2016, es posible que deba empezar a Antivirus de Microsoft Defender manualmente. Puede realizar esta tarea mediante el cmdlet mpcmdrun.exe -wdenable de PowerShell en el dispositivo.

Obtener actualizaciones para Antivirus de Microsoft Defender

Mantener Antivirus de Microsoft Defender actualizado es fundamental para garantizar que los dispositivos tienen la tecnología y las características más recientes necesarias para protegerse contra nuevas técnicas de ataque y malware, incluso si Antivirus de Microsoft Defender se está ejecutando en modo pasivo. (Vea Antivirus de Microsoft Defender compatibilidad).

Hay dos tipos de actualizaciones relacionadas con mantener Antivirus de Microsoft Defender actualizado:

  • Actualizaciones de inteligencia de seguridad
  • Actualizaciones de productos

Para obtener las actualizaciones, siga las instrucciones de Manage Antivirus de Microsoft Defender updates y apply baselines.

Desinstalar la solución que no es de Microsoft

Si en este momento tiene:

  • Incorporó los dispositivos de la organización a Defender for Endpoint y
  • Antivirus de Microsoft Defender está instalado y habilitado,

A continuación, el siguiente paso es desinstalar la solución de antivirus, antimalware y endpoint protection que no sea de Microsoft. Al desinstalar la solución que no es de Microsoft, Antivirus de Microsoft Defender pasa del modo pasivo al modo activo. En la mayoría de los casos, esto ocurre automáticamente.

Para obtener ayuda con la desinstalación de la solución que no es de Microsoft, póngase en contacto con su equipo de soporte técnico.

Asegúrese de que Defender for Endpoint funciona correctamente

Ahora que has incorporado a Defender for Endpoint y has desinstalado la solución anterior que no es de Microsoft, el siguiente paso es asegurarte de que Defender for Endpoint funciona correctamente. Una buena forma de realizar esta tarea es visitando el sitio de escenarios de demostración de Defender para endpoint (https://demo.wd.microsoft.com). Pruebe uno o varios de los escenarios de demostración de esa página, incluidos al menos los siguientes:

  • Protección entregada en la nube
  • Aplicaciones potencialmente no deseadas (PUA)
  • Protección de red (NP)

Nota

El sitio de demostración de Defender para punto de conexión en demo.wd.microsoft.com está obsoleto y se eliminará en el futuro.

Siguientes pasos

¡Enhorabuena! Ha completado la migración a Defender for Endpoint.