Ver y editar directivas de protección de dispositivos

En Microsoft 365 Empresa Premium, la configuración de seguridad de los dispositivos administrados se configura mediante directivas de protección de dispositivos en el portal de Microsoft Defender o en el centro de administración de Microsoft Intune. Para simplificar la experiencia de configuración, hay una serie de directivas preconfiguradas que ayudan a proteger los dispositivos de la organización en cuanto se incorporan. Use las directivas predeterminadas, edite las directivas existentes o cree sus propias directivas.

Esta guía indica cómo:

• Obtener información general de las directivas predeterminadas
• Trabaje con directivas de dispositivo en el portal de Microsoft Defender o en el centro de administración de Microsoft Intune.

Información sobre las directivas de protección del dispositivo predeterminadas

Microsoft 365 Empresa Premium incluye dos tipos principales de directivas para proteger los dispositivos de la organización:

• Las directivas de protección de última generación, que determinan la forma en que se configura el Antivirus de Microsoft Defender y otras características de la protección contra amenazas.

• Las directivas de firewall, que determinan qué tipo tráfico de red puede fluir hacia y desde los dispositivos de la organización

Entre las directivas adicionales se incluyen:

• Filtrado de contenido web, que permite al equipo de seguridad realizar un seguimiento y regular el acceso a sitios web en función de las categorías de contenido (como contenido para adultos, alto ancho de banda, responsabilidad legal y ocio). Para obtener más información, vea Filtrado de contenido web en Microsoft Defender para Empresas.
• Acceso controlado a carpetas, que solo permite que las aplicaciones de confianza accedan a carpetas protegidas en dispositivos Windows. Piense en esta capacidad como protección contra ransomware. Para obtener más información, consulte Configuración o edición de la directiva de acceso a carpetas controladas en Microsoft Defender para Empresas.
• Reglas de reducción de la superficie expuesta a ataques que ayudan a reducir los lugares y las formas en que su empresa podría ser vulnerable a ciberataques y ataques. Para obtener más información, consulte Habilitar las reglas de reducción de superficie expuesta a ataques en Microsoft Defender para Empresas.

Estas directivas forman parte de Microsoft Defender para Empresas, que se incluye en la suscripción de Microsoft 365 Empresa Premium. Se proporciona información para trabajar con directivas en el portal de Microsoft Defender o en el centro de administración de Microsoft Intune.

Trabajar con directivas de dispositivo en el portal de Microsoft Defender

Los detalles siguientes se aplican al trabajo con las directivas en el portal de Microsoft Defender (https://security.microsoft.com).

Ver las directivas de protección de dispositivos existentes en Microsoft Defender XDR

1. En el portal de Microsoft Defender (https://security.microsoft.com), en el panel de navegación, elija Configuración del dispositivo. Las directivas se organizan por sistema operativo (por ejemplo, cliente de Windows) y por tipo de directiva (por ejemplo, protección de última generación y Firewall).

   

2. Seleccione una pestaña del sistema operativo (por ejemplo, clientes de Windows) y, a continuación, revise la lista de directivas en las categorías Protección de última generación y Firewall.

3. Para ver más detalles sobre una directiva, seleccione su nombre. Se abre un panel lateral que proporciona más información sobre la directiva, por ejemplo, qué dispositivos están protegidos por esa directiva.

   

Editar una directiva de protección de dispositivos existente en Microsoft Defender XDR

1. En el portal de Microsoft Defender (https://security.microsoft.com), en el panel de navegación, elija Configuración del dispositivo. Las directivas se organizan por sistema operativo (por ejemplo, cliente de Windows) y por tipo de directiva (por ejemplo, protección de última generación y Firewall).

2. Seleccione una pestaña del sistema operativo (por ejemplo, clientes de Windows) y, a continuación, revise la lista de directivas en las categorías Protección de última generación y Firewall.

3. Para editar una directiva, seleccione su nombre y, a continuación, elija Editar.

4. En la pestaña Información general, revise la información. Si es necesario, puede editar la descripción. A continuación, elija Siguiente.

5. En la pestaña Grupos de dispositivos, determine qué grupos de dispositivos deben recibir esta directiva.

   • Para dejar el grupo de dispositivos seleccionado tal y como está, elija Siguiente.
   • Para quitar un grupo de dispositivos de la directiva, seleccione Quitar.
   • Para configurar un nuevo grupo de dispositivos, seleccione Crear nuevo grupo y, a continuación, configure el grupo de dispositivos. (Para obtener ayuda con esta tarea, consulte Grupos de dispositivos en Microsoft 365 Empresa Premium).
   • Para aplicar la directiva a otro grupo de dispositivos, seleccione Usar grupo existente.

   Después de especificar qué grupos de dispositivos deben recibir la directiva, elija Siguiente.

6. En la pestaña Opciones de configuración, revise la configuración. Si es necesario, puede editar la configuración de la directiva. Para obtener ayuda con esta tarea, consulte los artículos siguientes:

   • Comprender las opciones de configuración de última generación
   • Configuración de firewall

   Una vez que haya especificado las opciones de configuración de protección de última generación, elija Siguiente.

7. En la pestaña Revisar la directiva, revise la información general, los dispositivos de destino y las opciones de configuración.

   • Si necesita realizar cambios, seleccione Editar.
   • Cuando esté listo para continuar, elija Actualizar directiva.

Creación de una nueva directiva de protección de dispositivos en Microsoft Defender XDR

1. En el portal de Microsoft Defender (https://security.microsoft.com), en el panel de navegación, elija Configuración del dispositivo. Las directivas se organizan por sistema operativo (por ejemplo, cliente de Windows) y por tipo de directiva (por ejemplo, protección de última generación y Firewall).

2. Seleccione una pestaña del sistema operativo (por ejemplo, clientes de Windows) y, a continuación, revise la lista de directivas de Protección de última generación.

3. En Protección de última generación o Firewall, seleccione + Agregar.

4. En la pestaña Información general, siga estos pasos:

   1. Especifique un nombre y una descripción. Esta información le ayudará a usted y a su equipo a identificar la directiva más adelante.
   2. Revise el orden de la directiva y edítelo si fuera necesario. (Para obtener más información, consulte Orden de directiva).
   3. Elija Siguiente.

5. En la pestaña Grupos de dispositivos, cree un nuevo grupo de dispositivos o use un grupo existente. Las directivas se asignan a los dispositivos a través de grupos de dispositivos. Estos son algunos aspectos que debe tener en cuenta:

   • Inicialmente, es posible que solo tenga el grupo de dispositivos predeterminado, que incluye los dispositivos que usan los usuarios de la organización para acceder a los datos y al correo electrónico de la organización. Puede conservar y usar el grupo de dispositivos predeterminado.
   • Cree un nuevo grupo de dispositivos para aplicar una directiva con una configuración específica que sea diferente de la directiva predeterminada.
   • Al configurar el grupo de dispositivos, se especifican determinados criterios, como la versión del sistema operativo. Los dispositivos que cumplen los criterios se incluyen en ese grupo de dispositivos, a menos que se excluyan.
   • Todos los grupos de dispositivos, incluidos los grupos de dispositivos predeterminados y personalizados que defina, se almacenan en Microsoft Entra identificador.

   Para más información sobre los grupos de dispositivos, consulte Grupos de dispositivos en Microsoft Defender para Empresas.

6. En la pestaña Opciones de configuración, especifique la configuración de la directiva y, a continuación, elija Siguiente. Para obtener más información sobre la configuración individual, consulte Comprender las opciones de configuración de última generación en Microsoft Defender para Empresas.

7. En la pestaña Revisar la directiva, revise la información general, los dispositivos de destino y las opciones de configuración.

   • Si necesita realizar cambios, seleccione Editar.
   • Cuando esté listo para continuar, elija Crear directiva.

Trabajar con directivas de dispositivo en el centro de administración de Microsoft Intune

Use la siguiente información para crear y administrar directivas de dispositivo en Intune, realizadas a través de seguridad de puntos de conexión en el centro de administración de Microsoft Intune (https://intune.microsoft.com).

Creación de directivas en Intune

1. En el centro de administración de Microsoft Intune (https://intune.microsoft.com), seleccione Seguridad del punto de conexión y el tipo de directiva que desea configurar y, a continuación, seleccione Crear directiva.

2. Elija entre los siguientes tipos de directiva:

   • Antivirus
   • Cifrado de disco
   • Firewall
   • Detección y respuesta de puntos de conexión
   • Reducción de la superficie expuesta a ataques
   • Protección de cuentas

3. Especifique las propiedades siguientes:

   • Plataforma: elija la plataforma para la que va a crear la directiva. Las opciones disponibles dependen del tipo de directiva que seleccione.
   • Perfil: elija entre los perfiles disponibles para la plataforma que seleccionó. Para obtener información sobre los perfiles, consulte la sección dedicada en este artículo para el tipo de directiva elegido.

   Luego, seleccione Crear.

4. En la página Datos básicos, escriba un nombre y una descripción para el perfil y, después, elija Siguiente.

5. En la página Opciones de configuración, expanda cada grupo de opciones y configure las opciones que desea administrar con este perfil. Después, seleccione Siguiente.

6. En la página Asignaciones, seleccione los grupos que recibirán este perfil. Para obtener más información sobre la asignación de perfiles, vea Asignación de perfiles de usuario y dispositivo. Después, seleccione Siguiente.

7. Cuando haya terminado, elija Crear en la página Revisar y crear. El nuevo perfil se muestra en la lista cuando se selecciona el tipo de directiva del perfil creado.

Duplicar una directiva en Intune

1. En el centro de administración de Microsoft Intune (https://intune.microsoft.com), seleccione la directiva que desea copiar. A continuación, seleccione Duplicar o seleccione los puntos suspensivos (...) a la derecha de la directiva y seleccione Duplicar.

2. Proporcione un Nuevo nombre a la directiva y seleccione Guardar.

Edición de una directiva en Intune

1. En el centro de administración de Microsoft Intune (https://intune.microsoft.com), seleccione una directiva y, después, propiedades.

2. Seleccione Configuración para expandir una lista de las opciones de configuración de la directiva. No puede modificar la configuración de esta vista, pero puede revisar cómo se configuran.

3. Para modificar la directiva, seleccione Editar en cada una de las categorías en las que quiera realizar cambios:

   • Conceptos básicos
   • Tareas
   • Etiquetas de ámbito
   • Opciones de configuración

4. Una vez realizados los cambios, seleccione Guardar para guardar las modificaciones. Las ediciones en una categoría deben guardarse para poder introducir ediciones en otras categorías.

Administrar conflictos

Muchas de las configuraciones del dispositivo que puede administrar con las Directivas de seguridad de puntos de conexión también están disponibles a través de otros tipos de directivas en Intune. Estos otros tipos de directiva incluyen directivas de configuración de dispositivos y líneas de base de seguridad. Debido a que la configuración se puede administrar a través de varios tipos de directiva diferentes o mediante varias instancias del mismo tipo de directiva, prepárese para identificar y resolver los conflictos de directivas de los dispositivos que no cumplan las configuraciones esperadas.

Las líneas de base de seguridad pueden establecer un valor no predeterminado para que un ajuste cumpla con la configuración recomendada a la que se dirige la línea de base.

Otros tipos de directiva, incluidas las directivas de seguridad del punto de conexión, están establecidas en el valor No configurado de forma predeterminada. Estos otros tipos de directiva requieren que configure explícitamente las opciones de la directiva.

Independientemente del método de la directiva, la administración de la misma configuración en el mismo dispositivo a través de varios tipos de directiva, o a través de varias instancias del mismo tipo de directiva, puede dar lugar a conflictos que deben evitarse.

Si se encuentra con conflictos de directivas, consulte Solución de problemas de directivas y perfiles en Microsoft Intune.

Vea también

Administración de seguridad de puntos de conexión en Microsoft Intune

Procedimientos recomendados para proteger Microsoft 365 para planes empresariales

Paso siguiente

Configurar y administrar grupos de dispositivos