Información general para administrar dispositivos con Intune

Un componente básico de la seguridad a nivel empresarial incluye la administración y protección de dispositivos. Tanto si va a crear una arquitectura de seguridad de Confianza cero, proteger su entorno contra ransomware o crear protecciones para admitir trabajadores remotos, la administración de dispositivos forma parte de la estrategia. Aunque Microsoft 365 incluye varias herramientas y metodologías para administrar y proteger dispositivos, esta guía explica las recomendaciones de Microsoft en Microsoft Intune. Esta es la guía adecuada para ti si:

  • Planee inscribir dispositivos en Intune a través de Microsoft Entra unión (incluida Microsoft Entra unión híbrida).
  • Tienes pensado inscribir manualmente dispositivos en Intune.
  • Permites dispositivos BYOD con planes para implementar la protección de aplicaciones y datos o inscribes estos dispositivos en Intune.

Por otro lado, si el entorno incluye planes para la administración conjunta, incluidos Microsoft Configuration Manager, consulte la documentación de administración conjunta para desarrollar la mejor ruta de acceso para su organización. Si tu entorno incluye planes para PC en la nube Windows 365, consulta la Documentación de Windows 365 Enterprise para desarrollar la mejor ruta de acceso para tu organización.

Vea este vídeo para obtener información general del proceso.

¿Por qué administrar puntos de conexión?

La empresa moderna tiene una diversidad increíble de puntos de conexión que acceden a sus datos. Esta configuración crea una gran superficie expuesta a ataques y, como resultado, los puntos de conexión pueden convertirse fácilmente en el vínculo más débil de la estrategia de seguridad de Confianza cero.

Principalmente controlado por la necesidad a medida que el mundo cambia a un modelo de trabajo remoto o híbrido, los usuarios trabajan desde cualquier lugar, desde cualquier dispositivo, más que en cualquier momento de la historia. Los atacantes están ajustando rápidamente sus tácticas para aprovechar este cambio. Muchas organizaciones se enfrentan a recursos restringidos a medida que se enfrentan a estos nuevos desafíos empresariales. Prácticamente de la noche a la mañana, las empresas han acelerado la transformación digital. Simplemente dicho, la forma en que la gente trabaja ha cambiado. Ya no esperamos acceder a la infinidad de recursos corporativos solo desde la oficina y en dispositivos propiedad de la empresa.

Obtener visibilidad de los puntos de conexión que acceden a los recursos corporativos es el primer paso de la estrategia de los dispositivos de Confianza cero. Normalmente, las empresas son proactivas en la protección de los equipos frente a vulnerabilidades y ataques, mientras que los dispositivos móviles a menudo pasan a ser no supervisados y sin protecciones. Para asegurarse de no exponer los datos a riesgos, es necesario supervisar todos los puntos de conexión en busca de riesgos y emplear controles de acceso granulares para ofrecer el nivel adecuado de acceso en función de la directiva de la organización. Por ejemplo, si un dispositivo personal está liberado, puede bloquear el acceso para asegurarse de que las aplicaciones empresariales no se exponen a vulnerabilidades conocidas.

Esta serie de artículos te guían a través de un proceso recomendado para administrar los dispositivos que acceden a los recursos. Si sigues los pasos recomendados, tu organización logrará una protección muy sofisticada para los dispositivos y los recursos a los que acceden.

Implementación de las capas de protección en los dispositivos y para ellos

La protección de los datos y las aplicaciones en los dispositivos y para los propios dispositivos es un proceso de varias capas. Hay algunas protecciones que puedes obtener en dispositivos no administrados. Después de inscribir dispositivos en la administración, puedes implementar controles más sofisticados. Cuando se implementa la protección contra amenazas en los puntos de conexión, obtienes aún más información y la capacidad de corregir automáticamente algunos ataques. Por último, si su organización ha puesto el trabajo en la identificación de datos confidenciales, la aplicación de la clasificación y las etiquetas y la configuración de directivas de Prevención de pérdida de datos de Microsoft Purview, puede obtener una protección aún más pormenorizada para los datos de los puntos de conexión.

En el diagrama siguiente se muestran los bloques de creación para lograr una posición de seguridad de Confianza cero para Microsoft 365 y otras aplicaciones SaaS que se introducen en este entorno. Los elementos relacionados con los dispositivos se numeran del 1 al 7. Los administradores de dispositivos se coordinarán con otros administradores para lograr estas capas de protección.

Desc.

En esta ilustración:

  Paso Descripción Requisitos de licencias
1 Configurar el punto de partida de directivas de acceso de dispositivos e identidad de Confianza cero Trabajar con el administrador de identidades para Implementar la protección de datos de directivas de protección de aplicaciones (APP) de nivel 2. Estas directivas no requieren que administre dispositivos. Las directivas de APP se configuran en Intune. El administrador de identidades configura una directiva de acceso condicional para requerir las aplicaciones aprobadas. E3, E5, F1, F3, F5
2 Inscribir dispositivos en Intune Esta tarea requiere más planeamiento y tiempo para implementar. Microsoft recomienda usar Intune para inscribir dispositivos, ya que esta herramienta proporciona una integración óptima. Hay varias opciones para inscribir dispositivos, en función de la plataforma. Por ejemplo, los dispositivos Windows se pueden inscribir mediante Microsoft Entra combinación o mediante Autopilot. Debe revisar las opciones de cada plataforma y decidir qué opción de inscripción es la mejor para su entorno. Consulte Paso 2. Inscribir dispositivos en Intune para obtener más información. E3, E5, F1, F3, F5
3 Configurar directivas de cumplimiento Quieres asegurarte de que los dispositivos que tienen acceso a tus aplicaciones y datos cumplen los requisitos mínimos, por ejemplo, los dispositivos están protegidos con contraseña o patillas y el sistema operativo está actualizado. Las directivas de cumplimiento son la manera de definir los requisitos que los dispositivos deben cumplir. Paso 3. Configurar directivas de cumplimiento ayuda a configurar estas directivas. E3, E5, F3, F5
4 Configurar directivas de acceso a dispositivos e identidades de Enterprise (recomendado) de Confianza cero Ahora que los dispositivos están inscritos, puede trabajar con el administrador de identidades para ajustar directivas de acceso condicional y requerir dispositivos correctos y compatibles. E3, E5, F3, F5
5 Implementar perfiles de configuración En lugar de las directivas de cumplimiento de dispositivos que simplemente marcan un dispositivo como compatible o no en función de los criterios que configures, los perfiles de configuración cambian realmente la configuración de los valores de un dispositivo. Puede usar directivas de configuración para proteger los dispositivos frente a ciberamenazas. Consulte Paso 5. Implementar perfiles de configuración. E3, E5, F3, F5
6 Supervisión del riesgo y el cumplimiento de los dispositivos con las líneas base de seguridad En este paso, conectará Intune a Microsoft Defender para punto de conexión. Con esta integración, puedes supervisar el riesgo del dispositivo como una condición de acceso. Se bloquean los dispositivos que se encuentran en un estado de riesgo. También puede supervisar el cumplimiento de las líneas de base de seguridad. Consulte Paso 6. Supervisar el riesgo del dispositivo y el cumplimiento de las líneas base de seguridad. E5, F5
7 Implementar la prevención de pérdida de datos (DLP) con funcionalidades de protección de la información Si la organización se ha enfocado en identificar datos confidenciales y etiquetar documentos, puede trabajar con el administrador de protección de la información para proteger la información confidencial y los documentos en los dispositivos. Complemento de cumplimiento E5, F5

Coordinación de la administración de puntos de conexión con directivas de acceso de dispositivos e identidad de Cero confianza

Esta guía está en estrecha coordinación con las directivas de acceso de dispositivos e identidad de Confianza cero recomendadas. Trabajará con el equipo de identidades para llevar a cabo la protección que configure con Intune en directivas de acceso condicional en Microsoft Entra ID.

Esta es una ilustración del conjunto de directivas recomendado con llamadas paso a paso para el trabajo que va a realizar en Intune y las directivas de acceso condicional relacionadas que ayudará a coordinar en Microsoft Entra ID.

Confianza cero directivas de acceso a dispositivos e identidades.

En esta ilustración:

  • En el paso 1, Implementar directivas de protección de aplicaciones de nivel 2, se configura el nivel recomendado de protección de datos con directivas de APP. A continuación, trabajas con el equipo de identidad para configurar la regla de acceso condicional relacionada para requerir el uso de esta protección.
  • En los pasos 2, 3 y 4, inscribes los dispositivos en la administración con Intune, defines directivas de cumplimiento de dispositivos y, después, coordinas con el equipo de identidades para configurar la regla de acceso condicional relacionada para permitir solo el acceso a los dispositivos compatibles.

Inscripción de dispositivos frente a dispositivos de incorporación

Si sigue esta guía, inscribirá dispositivos en la administración mediante Intune e incorporará dispositivos para las siguientes funcionalidades de Microsoft 365:

  • Microsoft Defender para punto de conexión
  • Microsoft Purview (para la prevención de pérdida de datos em punto de conexión (DLP))

En la siguiente ilustración se detalla cómo funciona esto con Intune.

Proceso de inscripción e incorporación de dispositivos.

En la ilustración:

  1. Inscripción de dispositivos para la administración con Intune.
  2. Use Intune para incorporar dispositivos a Defender para punto de conexión.
  3. Los dispositivos que están incorporados a Defender para punto de conexión también se incluyen para Microsoft Purview, incluyendo la DLP en punto de conexión.

Tenga en cuenta que solo Intune administra dispositivos. La incorporación hace referencia a la capacidad de un dispositivo de compartir información con un servicio específico. En la tabla siguiente se resumen las diferencias entre la inscripción de dispositivos en la administración y la incorporación de dispositivos para un servicio específico.

  Inscribir Incorporación
Descripción La inscripción se aplica a la administración de dispositivos. Los dispositivos se inscriben para su administración con Intune o el Administrador de configuración. La incorporación configura un dispositivo para que funcione con un conjunto específico de funcionalidades en Microsoft 365. Actualmente, la incorporación se aplica a Microsoft Defender para las capacidades de cumplimiento de Microsoft y Punto de conexión.

En dispositivos Windows, la incorporación implica alternar una configuración en Windows Defender que permite a Defender conectarse al servicio en línea y aceptar las directivas que se aplican al dispositivo.
Ámbito Estas herramientas de administración de dispositivos administran todo el dispositivo, incluida la configuración del dispositivo para cumplir objetivos específicos, como la seguridad. La incorporación solo afecta a los servicios que se aplican.
Método recomendado Microsoft Entra unir automáticamente los dispositivos en Intune. Intune es el método preferido para incorporar dispositivos a Windows Defender para punto de conexión y, en consecuencia, las funcionalidades de Microsoft Purview.

Tenga en cuenta que los dispositivos que se incorporan a las funcionalidades de Microsoft Purview mediante otros métodos no se inscriben automáticamente para Defender para punto de conexión.
Otros métodos Otros métodos de inscripción dependen de la plataforma del dispositivo y de si es BYOD o administrado por su organización. Otros métodos para la incorporación de dispositivos incluyen, en el orden recomendado:
  • Configuration Manager
  • Otra herramienta de administración de dispositivos móviles (si el dispositivo está administrado por uno)
  • Script local
  • Paquete de configuración de VDI para incorporar dispositivos de infraestructura de escritorio virtual (VDI) no persistente
  • Directiva de grupo
  • Aprendizaje para administradores

    Los siguientes recursos ayudan a los administradores a aprender conceptos sobre el uso de Intune.

    • Simplificación de la administración de dispositivos con Microsoft Intune módulo de entrenamiento

      Obtenga información sobre cómo las soluciones de administración empresarial a través de Microsoft 365 proporcionan a los usuarios una experiencia de escritorio segura y personalizada, y ayude a las organizaciones a administrar fácilmente las actualizaciones de todos los dispositivos con una experiencia de administración simplificada.

    • Evaluar Microsoft Intune

      Microsoft Intune le ayuda a proteger los dispositivos, aplicaciones y datos que los usuarios de su organización usan para ser productivos. En este artículo se explica cómo configurar Microsoft Intune. El programa de instalación incluye revisar las configuraciones admitidas, registrarse para Intune, agregar usuarios y grupos, asignar licencias a los usuarios, conceder permisos de administrador y establecer la entidad de Administración de dispositivos móvil (MDM).

    Paso siguiente

    Vaya al paso 1. Implementar directivas de Protección de aplicaciones.