Proteger datos y dispositivos con Microsoft Intune

Microsoft Intune puede ayudarle a mantener los dispositivos administrados seguros y actualizados mientras le ayuda a proteger los datos de su organización frente a dispositivos en peligro. La protección de datos incluye el control de lo que hacen los usuarios con los datos de una organización en dispositivos administrados y no administrados. La protección de datos también comprende el bloqueo del acceso a los datos desde dispositivos que podrían estar en peligro.

En este artículo se resaltan muchas de las funcionalidades integradas de Intune y las tecnologías de asociados que puede integrar con Intune. A medida que obtenga más información sobre ellas, puede reunir varias para obtener soluciones más completas en su recorrido hacia un entorno de confianza cero.

Desde el centro de administración de Microsoft Intune, Intune admite dispositivos administrados que ejecutan Android, iOS/iPad, Linux, macOS y Windows.

Cuando se usa Configuration Manager para administrar dispositivos locales, puede ampliar las directivas de Intune a esos dispositivos mediante la configuración de la asociación de inquilinos o la administración conjunta.

Intune también puede trabajar con la información de dispositivos que administra con productos de terceros que proporcionan el cumplimiento de dispositivos y la protección contra las amenazas móviles.

Protección de dispositivos mediante directivas

Implemente las directivas de seguridad de los puntos de conexión, configuración de dispositivos y cumplimiento de dispositivos de Intune para configurar los dispositivos con el fin de cumplir los objetivos de seguridad de las organizaciones. Las directivas admiten uno o varios perfiles, que son los conjuntos discretos de reglas específicas de la plataforma que se implementan en grupos de dispositivos inscritos.

  • Con las directivas de seguridad de punto de conexión, implemente directivas centradas en la seguridad diseñadas para ayudarle a centrarse en la seguridad de los dispositivos y mitigar el riesgo. Las tareas disponibles pueden ayudarle a identificar dispositivos en riesgo, corregirlos y restaurarlos a un estado compatible o más seguro.

  • Con las directivas de configuración de dispositivos, administre los perfiles que definen la configuración y las características que usan los dispositivos en su organización. Configure dispositivos para Endpoint Protection, aprovisione certificados para la autenticación, establezca comportamientos de actualización de software, etc.

  • Con las directivas de cumplimiento de dispositivos, se crean perfiles para distintas plataformas de dispositivos que establecen requisitos para el dispositivo. Los requisitos pueden incluir versiones del sistema operativo, el uso de cifrado de disco o estar en niveles de amenaza específicos (o por debajo de ellos) según lo definido por el software de administración de amenazas.

    Intune puede proteger los dispositivos que no cumplen con sus directivas y alertar al usuario del dispositivo para que consiga que el dispositivo esté conforme a lo requerido.

    Al agregar acceso condicional a la combinación, configure directivas que permitan que solo los dispositivos compatibles accedan a los recursos de la red y la organización. Las restricciones de acceso pueden incluir recursos compartidos de archivos y correo electrónico de la empresa. Las directivas de acceso condicional también funcionan con los datos de estado del dispositivo notificados por asociados de cumplimiento de dispositivos de terceros que se integran con Intune.

A continuación se muestran algunas de las tareas y la configuración de seguridad que puede administrar a través de las directivas disponibles:

  • Métodos de autenticación : configure cómo se autentican los dispositivos en los recursos, el correo electrónico y las aplicaciones de la organización.

    • Use certificados para la autenticación en aplicaciones, recursos de su organización y para firmar y cifrar el correo electrónico mediante S/MIME. También puede configurar credenciales derivadas cuando su entorno requiera el uso de tarjetas inteligentes.

    • Configure opciones que ayuden a limitar el riesgo, como:

      • Requerir autenticación multifactor (MFA) para agregar una capa adicional de autenticación para los usuarios.
      • Establecer los requisitos de PIN y contraseña que deben cumplirse antes de obtener acceso a los recursos.
      • Habilite Windows Hello para empresas para dispositivos Windows.
  • Cifrado de dispositivos : administre BitLocker en dispositivos Windows y FileVault en macOS.

  • Actualizaciones de software: administre cómo y cuándo obtienen las actualizaciones de software los dispositivos. Se admiten las siguientes opciones:

    • Actualizaciones de firmware de Android:
    • iOS : administre las versiones del sistema operativo del dispositivo y cuando los dispositivos busquen e instalen actualizaciones.
    • macOS : administre las actualizaciones de software para dispositivos macOS que se inscriban como dispositivos supervisados.
    • Windows: para administrar la experiencia de Windows Update para dispositivos, puede configurar cuándo los dispositivos examinan o instalan actualizaciones, mantener un conjunto de dispositivos administrados en versiones de características específicas, etc.
  • Líneas base de seguridad : implemente líneas base de seguridad para establecer una posición de seguridad básica en los dispositivos Windows. Las líneas base de seguridad son grupos preconfigurados de configuración de Windows que los equipos de producto pertinentes recomiendan. Puede usar líneas de base tal y como se proporcionan o bien editar instancias de ellas para cumplir los objetivos de seguridad de los grupos de dispositivos de destino.

  • Redes privadas virtuales (VPN): con perfiles de VPN, asigne la configuración de VPN a los dispositivos para que puedan conectarse fácilmente a la red de su organización. Intune admite varios tipos de conexión VPN y aplicaciones que incluyen funcionalidades integradas para algunas plataformas y aplicaciones VPN de terceros y de terceros para dispositivos.

  • Solución de contraseñas de administrador local de Windows (LAPS): con la directiva LAPS de Windows, puede hacer lo siguiente:

    • Aplicación de los requisitos de contraseña para las cuentas de administrador local
    • Copia de seguridad de una cuenta de administrador local desde dispositivos a Active Directory (AD) o Microsoft Entra
    • Programe la rotación de esas contraseñas de cuenta para protegerlas.

Protección de datos mediante directivas

Las aplicaciones administradas por Intune y las directivas de protección de aplicaciones de Intune pueden ayudar a detener las pérdidas de datos y a proteger los datos de su organización. Estas protecciones se pueden aplicar a los dispositivos inscritos con Intune y a los dispositivos que no lo están.

  • Intune aplicaciones administradas (o aplicaciones administradas para abreviar), son aplicaciones que integran el SDK de Intune App o están encapsuladas por el Intune App Wrapping Tool. Estas aplicaciones se pueden administrar mediante directivas de protección de aplicaciones de Intune. Para ver una lista de aplicaciones administradas disponibles públicamente, consulte Aplicaciones protegidas de Microsoft Intune.

    Los usuarios pueden usar aplicaciones administradas para trabajar tanto con los datos de la organización como con sus propios datos personales. Sin embargo, cuando las directivas de protección de aplicaciones requieren el uso de una aplicación administrada, la aplicación administrada es la única aplicación que se puede usar para acceder a los datos de la organización. Protección de aplicaciones reglas no se aplican a los datos personales de un usuario.

  • Las directivas de protección de aplicaciones son reglas que garantizan que los datos de la organización siguen siendo seguros o se encuentran en una aplicación administrada. Las reglas identifican la aplicación administrada que se debe usar y definen lo que se puede hacer con los datos mientras la aplicación está en uso.

A continuación se muestran ejemplos de protecciones y restricciones que puede establecer con directivas de protección de aplicaciones y aplicaciones administradas:

  • Configure protecciones de capa de aplicación, como exigir un PIN para abrir una aplicación en un contexto laboral.
  • Controlar el uso compartido de los datos de una organización entre las aplicaciones de un dispositivo, como el bloqueo de copiar y pegar, o las capturas de pantalla.
  • Evite guardar los datos de la organización en ubicaciones de almacenamiento personales.

Uso de acciones de dispositivo para proteger dispositivos y datos

Desde el centro de administración de Microsoft Intune, puede ejecutar acciones de dispositivo que ayuden a mantener un dispositivo seleccionado protegido. Puede ejecutar un subconjunto de estas acciones como acciones de dispositivo masivas para que repercutan en varios dispositivos al mismo tiempo. Y también se pueden usar varias acciones remotas de Intune con dispositivos administrados de forma conjunta.

Las acciones del dispositivo no son directivas y surten efecto una sola vez cuando se invocan. Se aplican inmediatamente si se puede acceder al dispositivo en línea o cuando el dispositivo se inicia en Intune o se sincroniza con este servicio. Considere estas acciones como complementarias al uso de directivas que configuran y mantienen opciones de seguridad para un grupo de dispositivos.

A continuación se muestran ejemplos de acciones que puede ejecutar que ayudan a proteger los dispositivos y los datos:

Dispositivos administrados por Intune:

  • Rotación de claves de BitLocker (solo Windows)
  • Deshabilitar el bloqueo de activación (solo dispositivos Apple, consulta cómo desactivar el bloqueo de activación mediante Apple Business Manager)
  • Examen completo o rápido (solo Windows)
  • Bloqueo remoto
  • Retirar (que quita los datos de la organización del dispositivo mientras deja intactos los datos personales)
  • Actualizar la inteligencia de seguridad de Microsoft Defender
  • Borrar (restablecimiento de fábrica del dispositivo, eliminación de todos los datos, aplicaciones y configuraciones)

Dispositivos administrados por Configuration Manager:

  • Retirar
  • Barrido
  • Sincronizar (forzar a un dispositivo para que se sincronice inmediatamente en Intune para buscar nuevas directivas o acciones pendientes)

Integración con otros productos y tecnologías de asociados

Intune admite la integración con aplicaciones de asociados de orígenes propios y de terceros, lo cual amplía sus funcionalidades integradas. También puede integrar Intune con varias tecnologías de Microsoft.

Asociados de cumplimiento

Obtenga información sobre el uso de asociados de cumplimiento de dispositivos con Intune. Al administrar un dispositivo con un asociado de administración de dispositivos móviles distinto de Intune, puede integrar esos datos de cumplimiento con Microsoft Entra ID. Cuando se integran, las directivas de acceso condicional pueden usar los datos del asociado junto con los datos de cumplimiento de Intune.

Configuration Manager

Puede usar muchas directivas y acciones de dispositivo de Intune para proteger los dispositivos que administra con Configuration Manager. Para admitir esos dispositivos, configure la administración conjunta o la asociación de inquilinos. También puede usar ambos junto con Intune.

  • Con la administración conjunta, puede administrar simultáneamente un dispositivo Windows con Configuration Manager y Intune. Tendrá que instalar el cliente de Configuration Manager e inscribir el dispositivo en Intune. El dispositivo se comunica con los dos servicios.

  • Con Asociación de inquilinos, configura la sincronización entre el sitio de Configuration Manager y el inquilino de Intune. Esta sincronización proporciona una sola vista para todos los dispositivos que administra con Microsoft Intune.

Una vez establecida una conexión entre Intune y Configuration Manager, los dispositivos de Configuration Manager están disponibles en el centro de administración de Microsoft Intune. A continuación, puede implementar directivas de Intune en esos dispositivos o usar acciones de dispositivo para protegerlos.

Entre de las protecciones que puede aplicar figuran las siguientes:

  • Implemente certificados en dispositivos mediante el Protocolo de inscripción de certificados simple (SCEP) de Intune o perfiles de certificados de par de claves privadas y públicas (PKCS).
  • Use una directiva de cumplimiento.
  • Use directivas de seguridad de puntos de conexión, como antivirus, detección de puntos de conexión y respuesta y reglas de firewall.
  • Aplique líneas de base de seguridad.
  • Administre las actualizaciones de Windows Update.

Aplicaciones de defensa contra amenazas móviles

Las aplicaciones de Mobile Threat Defense (MTD) analizan y analizan activamente los dispositivos en busca de amenazas. Al integrar (conectar) aplicaciones de Mobile Threat Defense con Intune, obtiene la evaluación de aplicaciones del nivel de amenaza de un dispositivo. La evaluación de un nivel de riesgo o amenaza de dispositivo es una herramienta importante para proteger los recursos de la organización frente a dispositivos móviles en peligro. A continuación, puede usar ese nivel de amenaza en varias directivas, como las directivas de acceso condicional, para ayudar a garantizar el acceso a esos recursos.

Use datos de nivel de amenaza con directivas para el cumplimiento de dispositivos, la protección de aplicaciones y el acceso condicional. Estas directivas usan los datos para impedir que los dispositivos no conformes accedan a los recursos de la organización.

Con una aplicación de MTD integrada:

  • Para los dispositivos inscritos:

    • Use Intune para implementar y administrar la aplicación de MTD en dispositivos.
    • Implemente directivas de cumplimiento de dispositivos que usen el nivel de amenaza notificado para evaluar el cumplimiento.
    • Defina directivas de acceso condicional que consideren un nivel de amenaza en los dispositivos.
    • Defina directivas de protección de aplicaciones para determinar cuándo bloquear o permitir el acceso a los datos, en función del nivel de amenaza del dispositivo.
  • En el caso de los dispositivos que no se inscriben con Intune pero ejecutan una aplicación MTD que se integra con Intune, use sus datos de nivel de amenaza con las directivas de protección de aplicaciones para bloquear el acceso a los datos de la organización.

Intune admite la integración con:

Microsoft Defender para punto de conexión

Por sí solo, Microsoft Defender para punto de conexión proporciona varias ventajas centradas en la seguridad. Microsoft Defender para punto de conexión también se integra con Intune y se admite en varias plataformas de dispositivos. Con la integración, obtendrá una aplicación de defensa contra amenazas móviles y agregará funcionalidades a Intune para mantener seguros los datos y los dispositivos. Estas funciones incluyen:

  • Compatibilidad con Microsoft Tunnel: En los dispositivos Android, Microsoft Defender para punto de conexión es la aplicación cliente que se usa con Microsoft Tunnel, una solución de puerta de enlace de VPN para Intune. Cuando se usa como aplicación cliente de Microsoft Tunnel, no necesita una suscripción para Microsoft Defender para punto de conexión.

  • Tareas de seguridad: con las tareas de seguridad, los administradores de Intune pueden aprovechar las funcionalidades de administración de amenazas y vulnerabilidades de Microsoft Defender para punto de conexión. Cómo funciona:

    • El equipo de Defender para punto de conexión identifica los dispositivos en riesgo y crea las tareas de seguridad para Intune en el centro de seguridad de Defender para punto de conexión.
    • Esas tareas se muestran en Intune con consejos de mitigación que los administradores de Intune pueden usar para mitigar el riesgo.
    • Cuando se resuelve una tarea en Intune, ese estado vuelve al centro de seguridad de Defender para punto de conexión, donde se pueden evaluar los resultados de la mitigación.
  • Directivas de seguridad de puntos de conexión: las siguientes directivas de seguridad de puntos de conexión de Intune requieren la integración con Microsoft Defender para punto de conexión. Cuando se usa la asociación de inquilinos, se pueden implementar estas directivas en los dispositivos que administra con Intune o Configuration Manager.

    • Directiva antivirus: administre la configuración de Microsoft Defender Antivirus y la experiencia de Seguridad de Windows en dispositivos compatibles, como Windows y macOS.

    • Directiva de detección de puntos de conexión y respuesta: use esta directiva para configurar la detección de puntos de conexión y respuesta, que es una funcionalidad de Microsoft Defender para punto de conexión.

Acceso condicional

El acceso condicional es una funcionalidad Microsoft Entra que funciona con Intune para ayudar a proteger los dispositivos. En el caso de los dispositivos que se registran con Microsoft Entra ID, las directivas de acceso condicional pueden usar los detalles de dispositivo y cumplimiento de Intune para aplicar las decisiones de acceso para usuarios y dispositivos.

Combine la directiva de acceso condicional con:

  • Las directivas de cumplimiento de dispositivos pueden requerir que un dispositivo se marque como compatible para poder usar ese dispositivo para acceder a los recursos de la organización. Las directivas de acceso condicional especifican los servicios de las aplicaciones que desea proteger, las condiciones bajo las que se puede acceder a las aplicaciones o a los servicios y los usuarios a los que se aplica la directiva.

  • Protección de aplicaciones directivas pueden agregar una capa de seguridad que garantice que solo las aplicaciones cliente que admiten Intune directivas de protección de aplicaciones puedan acceder a los recursos en línea, como Exchange u otros servicios de Microsoft 365.

El acceso condicional también funciona con lo siguiente para ayudarle a proteger los dispositivos:

  • Microsoft Defender para punto de conexión y aplicaciones de MTD de terceros
  • Aplicaciones de asociados de cumplimiento de dispositivos
  • Microsoft Tunnel

Agregar administración de privilegios de punto de conexión

Endpoint Privilege Management (EPM) le permite ejecutar los usuarios de Windows como usuarios estándar mientras eleva los privilegios solo cuando sea necesario, según lo diseñado por las reglas y los parámetros de la organización establecidos por su organización. Este diseño admite la aplicación del acceso con privilegios mínimos, un inquilino principal de una arquitectura de seguridad Confianza cero. EPM permite a los equipos de TI administrar usuarios estándar de forma más eficaz y limitar su superficie expuesta a ataques, ya que solo permiten a los empleados ejecutarse como administradores para aplicaciones o tareas específicas aprobadas.

Las tareas que normalmente requieren privilegios administrativos son las instalaciones de aplicaciones (como aplicaciones de Microsoft 365), la actualización de controladores de dispositivo y la ejecución de determinados diagnósticos de Windows.

Al implementar las reglas de elevación de EPM que defina, solo puede permitir que las aplicaciones en las que confía se ejecuten en el contexto con privilegios elevados. Por ejemplo, las reglas pueden requerir una coincidencia de hash de archivo o la presencia de un certificado para validar la integridad de los archivos antes de que se ejecute en un dispositivo.

Sugerencia

Endpoint Privilege Management está disponible como un complemento de Intune que requiere una licencia adicional para usar y admite dispositivos Windows 10 y Windows 11.

Para obtener más información, consulte Administración de privilegios de punto de conexión.

Siguientes pasos

Planifique el uso de las funcionalidades de Intune para respaldar su viaje hacia un entorno de confianza cero mediante la protección de sus datos y dispositivos. Más allá de los vínculos incluidos anteriormente para obtener más información sobre esas funcionalidades, obtenga más información sobre la seguridad de los datos y el uso compartido en Intune .