Configuración de Microsoft Intune para Confianza cero: Inquilinos seguros (versión preliminar)

La protección del inquilino de Intune es esencial para aplicar los principios de Confianza cero y mantener un entorno seguro y bien administrado. Estas recomendaciones se alinean con la Iniciativa de futuro seguro de Microsoft al limitar el radio de explosión y aplicar el acceso con privilegios mínimos mediante el control administrativo segmentado, la incorporación segura de dispositivos y las protecciones basadas en directivas. Juntos, ayudan a reducir el riesgo, a mantener la higiene de los inquilinos y a reforzar el cumplimiento entre plataformas.

recomendaciones de seguridad de Confianza cero

La configuración de etiquetas de ámbito se aplica para admitir la administración delegada y el acceso con privilegios mínimos

Si Intune etiquetas de ámbito no están configuradas correctamente para la administración delegada, los atacantes que obtienen acceso con privilegios a Intune o Microsoft Entra ID pueden escalar privilegios y acceder a configuraciones de dispositivos confidenciales en todo el inquilino. Sin etiquetas de ámbito pormenorizadas, los límites administrativos no están claros, lo que permite que los atacantes se muevan lateralmente, manipulen directivas de dispositivo, exfiltren datos de configuración o implementen configuraciones malintencionadas en todos los usuarios y dispositivos. Una sola cuenta de administrador en peligro puede afectar a todo el entorno. La ausencia de administración delegada también socava el acceso con privilegios mínimos, lo que dificulta contener infracciones y exigir la rendición de cuentas. Los atacantes pueden aprovechar los roles de administrador global o las asignaciones de control de acceso basado en rol (RBAC) mal configuradas para omitir las directivas de cumplimiento y obtener un amplio control sobre la administración de dispositivos.

La aplicación de etiquetas de ámbito segmenta el acceso administrativo y lo alinea con los límites de la organización. Esto limita el radio de expansión de las cuentas en peligro, admite el acceso con privilegios mínimos y se alinea con Confianza cero principios de segmentación, control basado en roles y contención.

Acción de corrección

Use Intune etiquetas de ámbito y roles de RBAC para limitar el acceso de administrador en función del rol, la geografía o la unidad de negocio:

• Aprenda a crear e implementar etiquetas de ámbito para TI distribuida.
• Implementación del control de acceso basado en rol con Microsoft Intune

Las notificaciones de inscripción de dispositivos se aplican para garantizar el reconocimiento del usuario y la incorporación segura

Sin notificaciones de inscripción de dispositivos, es posible que los usuarios no sean conscientes de que su dispositivo se ha inscrito en Intune, especialmente en casos de inscripción no autorizada o inesperada. Esta falta de visibilidad puede retrasar la generación de informes de actividad sospechosa por parte de los usuarios y aumentar el riesgo de que los dispositivos no administrados o en peligro obtengan acceso a los recursos corporativos. Los atacantes que obtienen credenciales de usuario o aprovechan los flujos de autoinscripción pueden incorporar dispositivos de forma silenciosa, omitiendo el examen del usuario y habilitando la exposición de datos o el movimiento lateral.

Las notificaciones de inscripción proporcionan a los usuarios una visibilidad mejorada de la actividad de incorporación de dispositivos. Ayudan a detectar la inscripción no autorizada, refuerzan las prácticas de aprovisionamiento seguras y admiten Confianza cero principios de visibilidad, verificación y participación del usuario.

Acción de corrección

Configure Intune notificaciones de inscripción para alertar a los usuarios cuando su dispositivo esté inscrito y reforzar las prácticas de incorporación seguras:

• Configuración de notificaciones de inscripción en Intune

La inscripción automática de dispositivos de Windows se aplica para eliminar los riesgos de los puntos de conexión no administrados

Si la inscripción automática de Windows no está habilitada, los dispositivos no administrados pueden convertirse en un punto de entrada para los atacantes. Los actores de amenazas pueden usar estos dispositivos para acceder a datos corporativos, omitir directivas de cumplimiento e introducir vulnerabilidades en el entorno. Los dispositivos unidos a Microsoft Entra sin Intune inscripción crean brechas en la visibilidad y el control. Estos puntos de conexión no administrados pueden exponer debilidades en el sistema operativo o aplicaciones mal configuradas que los atacantes pueden aprovechar.

La aplicación de la inscripción automática garantiza que los dispositivos Windows se administren desde el principio, lo que permite la aplicación coherente de directivas y la visibilidad del cumplimiento. Esto admite Confianza cero al asegurarse de que todos los dispositivos se comprueban, supervisan y rigen por controles de seguridad.

Acción de corrección

Habilite la inscripción automática para dispositivos Windows mediante Intune y Microsoft Entra para asegurarse de que se administran todos los dispositivos unidos a un dominio o unidos a Entra:

• Habilitación de la inscripción automática de Windows

Para más información, vea:

• Guía de implementación: inscripción para Windows

Las directivas de cumplimiento protegen los dispositivos Windows

Si las directivas de cumplimiento para dispositivos Windows no están configuradas y asignadas, los actores de amenazas pueden aprovechar los puntos de conexión no administrados o no compatibles para obtener acceso no autorizado a los recursos corporativos, omitir los controles de seguridad y conservarlos en el entorno. Sin el cumplimiento obligatorio, los dispositivos pueden carecer de configuraciones de seguridad críticas, como el cifrado de BitLocker, los requisitos de contraseña, la configuración del firewall y los controles de versión del sistema operativo. Estas brechas aumentan el riesgo de pérdida de datos, elevación de privilegios y movimiento lateral. El cumplimiento incoherente del dispositivo debilita la posición de seguridad de la organización y dificulta la detección y corrección de amenazas antes de que se produzcan daños importantes.

La aplicación de directivas de cumplimiento garantiza que los dispositivos Windows cumplen los requisitos de seguridad principales y admite Confianza cero mediante la validación del estado del dispositivo y la reducción de la exposición a puntos de conexión mal configurados.

Acción de corrección

Cree y asigne directivas de cumplimiento de Intune a dispositivos Windows para aplicar los estándares de la organización para el acceso y la administración seguros:

• Creación y asignación de directivas de cumplimiento de Intune
• Revise la configuración de cumplimiento de Windows que puede administrar con Intune

Las directivas de cumplimiento protegen los dispositivos macOS

Si las directivas de cumplimiento para dispositivos macOS no están configuradas y asignadas, los actores de amenazas pueden aprovechar los puntos de conexión no administrados o no conformes para obtener acceso no autorizado a los recursos corporativos, omitir los controles de seguridad y conservarlos en el entorno. Sin el cumplimiento obligatorio, los dispositivos macOS pueden carecer de configuraciones de seguridad críticas, como el cifrado de almacenamiento de datos, los requisitos de contraseña y los controles de versión del sistema operativo. Estas brechas aumentan el riesgo de pérdida de datos, elevación de privilegios y movimiento lateral. El cumplimiento incoherente del dispositivo debilita la posición de seguridad de la organización y dificulta la detección y corrección de amenazas antes de que se produzcan daños importantes.

La aplicación de directivas de cumplimiento garantiza que los dispositivos macOS cumplan los requisitos de seguridad principales y admitan Confianza cero mediante la validación del estado del dispositivo y la reducción de la exposición a puntos de conexión mal configurados.

Acciones de corrección

Cree y asigne directivas de cumplimiento de Intune a dispositivos macOS para aplicar los estándares de la organización para el acceso seguro y la administración:

• Creación y asignación de directivas de cumplimiento de Intune
• Revise la configuración de cumplimiento de macOS que puede administrar con Intune

Las directivas de cumplimiento protegen dispositivos Android totalmente administrados y corporativos

Si las directivas de cumplimiento no están asignadas a dispositivos Android Enterprise totalmente administrados en Intune, los actores de amenazas pueden aprovechar los puntos de conexión no conformes para obtener acceso no autorizado a los recursos corporativos, omitir controles de seguridad y persistir en el entorno. Sin el cumplimiento obligatorio, los dispositivos pueden carecer de configuraciones de seguridad críticas, como los requisitos de código de acceso, el cifrado de almacenamiento de datos y los controles de versión del sistema operativo. Estas brechas aumentan el riesgo de pérdida de datos, elevación de privilegios y movimiento lateral. El cumplimiento incoherente del dispositivo debilita la posición de seguridad de la organización y dificulta la detección y corrección de amenazas antes de que se produzcan daños importantes.

La aplicación de directivas de cumplimiento garantiza que los dispositivos Android Enterprise cumplen los requisitos de seguridad principales y admite Confianza cero mediante la validación del estado del dispositivo y la reducción de la exposición a puntos de conexión mal configurados o no administrados.

Acción de corrección

Cree y asigne directivas de cumplimiento de Intune a dispositivos Android Enterprise totalmente administrados y corporativos para aplicar los estándares de la organización para el acceso seguro y la administración:

• Creación de una directiva de cumplimiento en Microsoft Intune
• Revise la configuración de cumplimiento de Android Enterprise que puede administrar con Intune

Las directivas de cumplimiento protegen los dispositivos Android de propiedad personal

Si las directivas de cumplimiento no están asignadas a dispositivos de propiedad personal de Android Enterprise en Intune, los actores de amenazas pueden aprovechar los puntos de conexión no conformes para obtener acceso no autorizado a los recursos corporativos, omitir los controles de seguridad e introducir vulnerabilidades. Sin el cumplimiento obligatorio, los dispositivos pueden carecer de configuraciones de seguridad críticas, como los requisitos de código de acceso, el cifrado de almacenamiento de datos y los controles de versión del sistema operativo. Estas brechas aumentan el riesgo de pérdida de datos y acceso no autorizado. El cumplimiento incoherente del dispositivo debilita la posición de seguridad de la organización y dificulta la detección y corrección de amenazas antes de que se produzcan daños importantes.

La aplicación de directivas de cumplimiento garantiza que los dispositivos Android de propiedad personal cumplan los requisitos de seguridad principales y admitan Confianza cero mediante la validación del estado del dispositivo y la reducción de la exposición a puntos de conexión mal configurados o no administrados.

Acción de corrección

Cree y asigne directivas de cumplimiento de Intune a dispositivos de propiedad personal de Android Enterprise para aplicar los estándares de la organización para el acceso y la administración seguros:

• Creación de una directiva de cumplimiento en Microsoft Intune
• Revise la configuración de cumplimiento de Android Enterprise que puede administrar con Intune

Las directivas de cumplimiento protegen dispositivos iOS/iPadOS

Si las directivas de cumplimiento no se asignan a dispositivos iOS/iPadOS en Intune, los actores de amenazas pueden aprovechar los puntos de conexión no conformes para obtener acceso no autorizado a los recursos corporativos, omitir los controles de seguridad y conservarlos en el entorno. Sin el cumplimiento obligatorio, los dispositivos pueden carecer de configuraciones de seguridad críticas, como los requisitos de código de acceso y los controles de versión del sistema operativo. Estas brechas aumentan el riesgo de pérdida de datos, elevación de privilegios y movimiento lateral. El cumplimiento incoherente del dispositivo debilita la posición de seguridad de la organización y dificulta la detección y corrección de amenazas antes de que se produzcan daños importantes.

La aplicación de directivas de cumplimiento garantiza que los dispositivos iOS/iPadOS cumplan los requisitos de seguridad principales y admitan Confianza cero mediante la validación del estado del dispositivo y la reducción de la exposición a puntos de conexión mal configurados o no administrados.

Acción de corrección

Cree y asigne directivas de cumplimiento de Intune a dispositivos iOS/iPadOS para aplicar los estándares de la organización para el acceso seguro y la administración:

• Creación de una directiva de cumplimiento en Microsoft Intune
• Revise la configuración de cumplimiento de iOS/iPadOS que puede administrar con Intune

El inicio de sesión único de plataforma está configurado para reforzar la autenticación en dispositivos macOS

Si las directivas de SSO de plataforma no se aplican en dispositivos macOS, los puntos de conexión pueden depender de mecanismos de autenticación inseguros o incoherentes, lo que permite a los atacantes omitir las directivas de cumplimiento y acceso condicional. Esto abre la puerta al movimiento lateral entre los servicios en la nube y los recursos locales, especialmente cuando se usan identidades federadas. Los actores de amenazas pueden persistir aprovechando tokens robados o credenciales almacenadas en caché y filtrando datos confidenciales a través de aplicaciones no administradas o sesiones de explorador. La ausencia de la aplicación del inicio de sesión único también socava las directivas de protección de aplicaciones y las evaluaciones de la posición del dispositivo, lo que dificulta la detección y la contección de infracciones. En última instancia, el error al configurar y asignar directivas de sso de macOS Platform pone en peligro la seguridad de la identidad y debilita la posición de Confianza cero de la organización.

La aplicación de directivas de SSO de plataforma en dispositivos macOS garantiza una autenticación coherente y segura entre aplicaciones y servicios. Esto refuerza la protección de identidades, admite la aplicación del acceso condicional y se alinea con Confianza cero mediante la reducción de la dependencia de las credenciales locales y la mejora de las evaluaciones de posición.

Acción de corrección

Use Intune para configurar y asignar directivas de SSO de plataforma para dispositivos macOS a fin de aplicar la autenticación segura y reforzar la protección de identidades, consulte:

• Configuración del inicio de sesión único de plataforma para macOS en Intune: guía paso a paso para habilitar el inicio de sesión único de plataforma en dispositivos macOS.
• Introducción al inicio de sesión único (SSO) y opciones para dispositivos Apple en Microsoft Intune: información general sobre las opciones de SSO disponibles para las plataformas de Apple.

La inscripción automática de Defender para punto de conexión se aplica para reducir el riesgo de amenazas de Android no administradas

Si la inscripción automática en Microsoft Defender para punto de conexión no está configurada para dispositivos Android en Intune, los puntos de conexión administrados podrían permanecer desprotegidos frente a amenazas móviles. Sin la incorporación de Defender, los dispositivos carecen de capacidades avanzadas de detección de amenazas y respuesta, lo que aumenta el riesgo de malware, suplantación de identidad (phishing) y otros ataques basados en dispositivos móviles. Los dispositivos no protegidos pueden omitir directivas de seguridad, acceder a recursos corporativos y exponer datos confidenciales a riesgos. Esta brecha en la defensa contra amenazas móviles debilita la posición Confianza cero de la organización y reduce la visibilidad del estado de los puntos de conexión.

La habilitación de la inscripción automática de Defender garantiza que los dispositivos Android estén protegidos por funcionalidades avanzadas de detección de amenazas y respuesta. Esto admite Confianza cero mediante la aplicación de la protección contra amenazas móviles, la mejora de la visibilidad y la reducción de la exposición a puntos de conexión no administrados o en peligro.

Acción de corrección

Use Intune para configurar la inscripción automática en Microsoft Defender para punto de conexión para dispositivos Android con el fin de aplicar la protección contra amenazas móviles:

• Integración de Microsoft Defender para punto de conexión con dispositivos Intune e incorporados

Las reglas de limpieza de dispositivos mantienen la higiene de los inquilinos ocultando los dispositivos inactivos

Si las reglas de limpieza de dispositivos no están configuradas en Intune, los dispositivos obsoletos o inactivos pueden permanecer visibles en el inquilino indefinidamente. Esto conduce a listas de dispositivos desordenadas, informes inexactos y visibilidad reducida en el entorno activo del dispositivo. Los dispositivos no utilizados pueden conservar credenciales de acceso o tokens, lo que aumenta el riesgo de acceso no autorizado o decisiones de directivas mal informados.

Las reglas de limpieza de dispositivos ocultan automáticamente los dispositivos inactivos de vistas e informes de administración, lo que mejora la higiene de los inquilinos y reduce la carga administrativa. Esto admite Confianza cero mediante el mantenimiento de un inventario de dispositivos preciso y confiable, a la vez que se conservan los datos históricos para la auditoría o la investigación.

Acción de corrección

Configure Intune reglas de limpieza de dispositivos para ocultar automáticamente los dispositivos inactivos del inquilino:

• Creación de una regla de limpieza de dispositivos

Para más información, vea:

• Uso de Intune reglas de limpieza de dispositivosen el blog de Microsoft Tech Community

Las directivas de términos y condiciones protegen el acceso a datos confidenciales

Si las directivas de términos y condiciones no están configuradas y asignadas en Intune, los usuarios pueden acceder a los recursos corporativos sin aceptar los términos legales, de seguridad o de uso necesarios. Esta omisión expone a la organización a riesgos de cumplimiento, responsabilidades legales y posible uso indebido de recursos.

La aplicación de términos y condiciones garantiza que los usuarios reconozcan y acepten las directivas de la empresa antes de acceder a datos o sistemas confidenciales, lo que admite el cumplimiento normativo y el uso responsable de los recursos.

Acción de corrección

Cree y asigne directivas de términos y condiciones en Intune para requerir la aceptación del usuario antes de conceder acceso a los recursos corporativos:

• Creación de una directiva de términos y condiciones

Portal de empresa configuración de personalización de marca y soporte técnico mejora la experiencia y la confianza del usuario

Si la personalización de marca de Portal de empresa de Intune no está configurada para representar los detalles de la organización, los usuarios pueden encontrar una interfaz genérica y carecen de información de soporte técnico directo. Esto reduce la confianza del usuario, aumenta la sobrecarga de soporte técnico y puede provocar confusión o retrasos en la resolución de problemas.

La personalización de la Portal de empresa con los detalles de contacto de personalización de marca y soporte técnico de su organización mejora la confianza del usuario, simplifica el soporte técnico y refuerza la legitimidad de las comunicaciones de administración de dispositivos.

Acción de corrección

Configure el Portal de empresa de Intune con la información de contacto de personalización de marca y soporte técnico de su organización para mejorar la experiencia del usuario y reducir la sobrecarga de soporte técnico:

• Configuración de la Portal de empresa de Intune

Endpoint Analytics está habilitado para ayudar a identificar riesgos en dispositivos Windows

Si el análisis de puntos de conexión no está habilitado, los actores de amenazas pueden aprovechar las brechas en el estado, el rendimiento y la posición de seguridad del dispositivo. Sin la visibilidad que aporta el análisis de puntos de conexión, puede ser difícil para una organización detectar indicadores como el comportamiento anómalo del dispositivo, la aplicación de revisiones retrasada o el desfase de configuración. Estas brechas permiten a los atacantes establecer persistencia, escalar privilegios y moverse lateralmente por el entorno. Una ausencia de datos de análisis puede impedir una rápida detección y respuesta, lo que permite a los atacantes aprovechar los puntos de conexión no supervisados para el comando y el control, la filtración de datos o un mayor riesgo.

La habilitación del análisis de puntos de conexión proporciona visibilidad sobre el estado y el comportamiento de los dispositivos, lo que ayuda a las organizaciones a detectar riesgos, responder rápidamente a las amenazas y mantener una postura Confianza cero sólida.

Acción de corrección

Inscriba dispositivos Windows en análisis de puntos de conexión en Intune para supervisar el estado del dispositivo e identificar riesgos:

• Configuración del análisis de puntos de conexión

Para más información, vea:

• ¿Qué es el análisis de puntos de conexión?

Contenido relacionado

• Guía de implementación para Microsoft Intune
• Proteger datos y dispositivos con Microsoft Intune
• Configuración de Microsoft Entra para aumentar la seguridad (versión preliminar)