Bloqueo de dispositivos en riesgo

  • 11 minutos

Para contener una amenaza, no permita que los dispositivos de riesgo obtengan acceso a los recursos corporativos a través del acceso condicional.

Necesitará un entorno de Microsoft Endpoint Manager, con dispositivos administrados de Intune y con Windows 10 o versiones posteriores unidos a Azure AD.

A continuación, se muestran los roles necesarios para tener acceso a estos portales e implementar el acceso condicional:

  • Portal de Microsoft Defender: debe iniciar sesión en el portal con un rol de administrador global para activar la integración.

  • Intune: debe iniciar sesión en el portal con derechos de administrador de seguridad con permisos de administración.

  • Portal de Azure AD: debe iniciar sesión como administrador global, administrador de seguridad o administrador de acceso condicional.

Diagrama de la arquitectura para el acceso condicional de M D E.

Siga estos pasos para habilitar el acceso condicional:

  1. Active la conexión de Microsoft Intune desde Microsoft Defender XDR.

  2. Activación de la integración de Defender para punto de conexión en Endpoint Manager

  3. Cree la directiva de cumplimiento en Intune.

  4. Asignación de la directiva

  5. Cree una directiva de acceso condicional de Azure AD.

Activación de la conexión de Microsoft Intune

  1. En el panel de navegación de Microsoft Defender XDR, seleccione Configuración > Puntos de conexión y, en la sección General, seleccione Características avanzadas.

  2. Cambie la configuración de conexión de Microsoft Intune a Activado.

  3. Seleccione Guardar preferencias.

Activación de la integración de Defender para punto de conexión en Endpoint Manager

  1. Inicie sesión en el centro de administración de Microsoft Endpoint Manager https://endpoint.microsoft.com.

  2. Seleccione Seguridad de los puntos de conexión > Microsoft Defender para punto de conexión.

  3. Establezca Allow Microsoft Defender for Endpoint to enforce Endpoint Security Configurations (Permitir que Microsoft Defender para punto de conexión aplique las configuraciones de seguridad de puntos de conexión) en Activado.

  4. Seleccione Save (Guardar).

Creación de la directiva de cumplimiento en Endpoint Manager

  1. En el centro de administración de Microsoft Endpoint Manager, seleccione Dispositivos y, a continuación, Directivas de cumplimiento.

  2. Seleccione + Crear directiva.

  3. En Plataforma, seleccione Windows 10 y versiones posteriores y elija Crear.

  4. Escriba un nombre y una descripción y seleccione Siguiente.

  5. En Estado de dispositivos, establezca Requerir que el dispositivo tenga el nivel de amenaza del dispositivo en el nivel que prefiera:

    • Protegido: este nivel es el más seguro. El dispositivo no puede tener ninguna amenaza existente y aún puede acceder a los recursos de la empresa. Si se encuentra alguna amenaza, el dispositivo se clasificará como no conforme.
    • Bajo: el dispositivo se evalúa como compatible si solo hay amenazas de nivel bajo. Los dispositivos con niveles de amenaza medio o alto no son compatibles.
    • Media: el dispositivo se evalúa como compatible si las amenazas que se encuentran en él son de nivel bajo o medio. Si se detectan amenazas de nivel alto, se determinará que el dispositivo no es compatible.
    • Alta: este nivel es el menos seguro, ya que permite todos los niveles de amenaza. Por tanto, los dispositivos con niveles de amenaza alto, medio o bajo se consideran compatibles.

  6. Seleccione Siguiente hasta que pueda seleccionar Crear y elija Crear para guardar los cambios (y crear la directiva).

Asignación de la directiva en Endpoint Manager

  1. En el centro de administración de Microsoft Endpoint Manager, abra la directiva que creó en el paso anterior y seleccione Propiedades.

  2. En la sección Asignaciones, seleccione Editar.

  3. Seleccione Asignaciones.

  4. Incluya o excluya los grupos de Azure AD para asignarlos a la directiva.

  5. Para implementar la directiva en los grupos, seleccione Revisar + guardar y, a continuación, seleccione Guardar. Se evalúa el cumplimiento por parte de los dispositivos de usuario a los que se aplique la directiva.

Creación de una directiva de acceso condicional de Azure AD

  1. En Azure Portal, seleccione Acceso condicional de Azure AD en el menú Servicios, seleccione la lista desplegable + Nueva directiva y, a continuación, seleccione Crear nueva directiva.

  2. Escriba un nombre de directiva y seleccione Users or workload entities (Usuarios o entidades de carga de trabajo). Use las opciones Incluir o Excluir para agregar los grupos de la directiva.

  3. En el área Aplicaciones en la nube o acciones, elija las aplicaciones que quiere proteger. Por ejemplo, elija Seleccionar aplicaciones y seleccione Office 365 SharePoint Online y Office 365 Exchange Online.

  4. En el área Condiciones, seleccione aplicar la directiva a los exploradores y aplicaciones cliente. Cuando haya terminado, seleccione Listo.

  5. En el área Conceder, aplique Acceso condicional en función del cumplimiento del dispositivo. Por ejemplo, seleccione Conceder acceso > Requerir que el dispositivo esté marcado como compatible. Elija Seleccionar para guardar los cambios.

  6. Seleccione la opción Habilitar directiva y, a continuación, Crear para guardar los cambios.