Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Microsoft Intune es una solución de administración de dispositivos móviles que admite el recorrido Confianza cero de la organización.
Confianza cero no es un producto o servicio. En su lugar, es una estrategia moderna de ciberseguridad que no asume ninguna confianza implícita, ni siquiera dentro de la red corporativa. En lugar de confiar en usuarios, dispositivos o aplicaciones de forma predeterminada, un enfoque de Confianza cero comprueba explícitamente cada solicitud de acceso, evalúa continuamente el riesgo y aplica el acceso con privilegios mínimos en todo el patrimonio digital.
Los principios básicos de Confianza cero incluyen:
| Comprobar de forma explícita. | Utilizar el acceso con menos privilegios | Asumir la vulneración. |
|---|---|---|
| Autentique y autorice siempre en función de todos los puntos de datos disponibles. | Limite el acceso de usuario con Just-In-Time y Just-Enough-Access (JIT/JEA), directivas adaptables basadas en riesgos y protección de datos. | Minimizar el radio de explosión y el acceso a segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. |
¿Por qué administrar puntos de conexión para Confianza cero?
La empresa moderna tiene una diversidad increíble en los puntos de conexión que acceden a los datos de la organización. Los usuarios trabajan desde cualquier lugar, desde cualquier dispositivo, más que en cualquier momento del historial. Esto crea una superficie de ataque masivo y los puntos de conexión pueden convertirse fácilmente en el vínculo más débil de la estrategia de seguridad de Confianza cero.
Aunque las organizaciones suelen ser proactivas en la protección de los equipos frente a vulnerabilidades y ataques, los dispositivos móviles a menudo no se supervisan y no tienen protecciones. La obtención de visibilidad de los puntos de conexión que acceden a los recursos corporativos es el primer paso de la estrategia de dispositivo de Confianza cero.
Para evitar exponer los datos al riesgo, debe supervisar todos los puntos de conexión en busca de riesgos y emplear controles de acceso pormenorizados para proporcionar el nivel de acceso adecuado según la directiva de la organización. Por ejemplo, si un dispositivo personal está liberado, puede bloquear su acceso para evitar que las aplicaciones empresariales se expongan a vulnerabilidades conocidas.
Para obtener información general sobre cómo Intune admite los principios de Confianza cero (comprobar explícitamente, usar el acceso con privilegios mínimos y asumir la vulneración), consulte Confianza cero con Microsoft Intune.
Progresión de la implementación de Confianza cero de siete capas
La creación de una posición de seguridad Confianza cero completa para los dispositivos implica implementar progresivamente capas de protección. Cada capa se basa en la anterior, empezando por la protección básica de datos y avanzando a una sofisticada detección de amenazas y prevención de pérdida de datos.
En la tabla siguiente se muestra la progresión de implementación recomendada para Confianza cero seguridad del dispositivo:
| Layer | Funcionalidad de protección | Lo que se logra | Requisitos previos | Requisitos de licencia |
|---|---|---|---|---|
| 1 | Directivas de protección de aplicaciones | Proteja los datos de la organización en las aplicaciones sin necesidad de inscripción de dispositivos. Crea la base para escenarios de bring-your-own-device (BYOD). | Aplicaciones admitidas (aplicaciones de Microsoft 365, aplicaciones habilitadas para directivas) | Microsoft 365 E3, E5, F1, F3, F5 |
| 2 | Inscribir dispositivos | Establecer la relación entre usuario, dispositivo y Intune. Habilite la administración de dispositivos y la visibilidad de los puntos de conexión que acceden a los recursos. | Requisitos previos específicos de la plataforma (entidad de MDM, certificados) | Microsoft 365 E3, E5, F1, F3, F5 |
| 3 | Directivas de cumplimiento | Defina los requisitos mínimos que deben cumplir los dispositivos (protección con contraseña, versión del sistema operativo, cifrado). Marque los dispositivos como conformes o no conformes. | Dispositivos inscritos en la capa 2 | Microsoft 365 E3, E5, F3, F5 |
| 4 | Requerir dispositivos correctos y compatibles | Implemente directivas de acceso a dispositivos y identidades de Confianza cero empresariales. Trabaje con el equipo de identidades para aplicar el cumplimiento a través del acceso condicional, bloqueando el acceso desde dispositivos que no cumplen los requisitos de seguridad. | Directivas de cumplimiento de nivel 3, coordinación con administradores de identidades | Microsoft 365 E3, E5, F3, F5 |
| 5 | Perfiles de configuración | Configure los valores del dispositivo para proteger la seguridad. Implementar líneas base de seguridad. Mueva los controles de seguridad de directiva de grupo a las directivas en la nube. | Dispositivos inscritos de nivel 2 | Microsoft 365 E3, E5, F3, F5 |
| 6 | Supervisión de riesgos del dispositivo | Integre con Microsoft Defender para punto de conexión para supervisar el riesgo del dispositivo, detectar amenazas y bloquear el acceso en función del nivel de riesgo. Implementar líneas base de seguridad. | Microsoft Defender para punto de conexión configuración, coordinación con el equipo de protección contra amenazas | Microsoft 365 E5, F5 |
| 7 | DLP de punto de conexión | Proteja los datos confidenciales en los puntos de conexión con Prevención de pérdida de datos de Microsoft Purview. Supervise y controle las operaciones de archivo en función de las etiquetas de confidencialidad. | Configuración de Microsoft Purview, dispositivos incorporados a MDE en el nivel 6 | Microsoft 365 E5, complemento de cumplimiento E5, complemento de cumplimiento F5 |
Descripción de las siete capas de implementación
En esta sección se explica cada capa de la progresión de la implementación Confianza cero. Aunque la tabla de siete capas muestra lo que realiza cada capa, estas descripciones proporcionan contexto, ejemplos y aclaraciones de conceptos clave.
Protección de aplicaciones sin inscripción (nivel 1)
Protección de aplicaciones directivas protegen los datos de la organización dentro de las aplicaciones, controlando cómo los usuarios acceden a los datos de trabajo y los comparten. La capa 1 se centra en la protección de datos en dispositivos personales no administrados sin necesidad de inscripción, pero las directivas de protección de aplicaciones también se pueden aplicar a los dispositivos inscritos para una defensa en profundidad.
Los usuarios instalan aplicaciones como Outlook o Teams desde la tienda, inician sesión con su cuenta profesional y las directivas de protección de datos se aplican automáticamente. Este enfoque se denomina normalmente MAM sin inscripción ni bring-your-own-device (BYOD).
Ejemplo: El iPhone personal de un usuario tiene Outlook instalado. La directiva de protección de aplicaciones requiere un PIN para acceder al correo electrónico del trabajo, impide copiar datos de trabajo en aplicaciones personales y bloquea el almacenamiento de datos adjuntos de correo electrónico en el almacenamiento en la nube personal. El usuario mantiene el control total de su dispositivo mientras los datos de la organización permanecen protegidos.
Sugerencia
Protección de aplicaciones directivas se pueden implementar en dispositivos no inscritos (nivel 1) y dispositivos inscritos (nivel 2+) para una protección adicional a nivel de aplicación más allá de la administración de dispositivos.
Para obtener más información, consulte Guía de implementación: directivas de Protección de aplicaciones.
Inscripción de dispositivos (nivel 2)
La inscripción registra dispositivos con Intune, lo que permite una administración completa de dispositivos. Intune implementa aplicaciones, configura la configuración, aplica directivas de cumplimiento y proporciona una visibilidad completa del estado del dispositivo.
Ejemplo: Un portátil corporativo se inscribe en Intune durante la configuración de Windows Autopilot. Intune configura Wi-Fi, implementa certificados, instala líneas base de seguridad, aplica el cifrado de BitLocker y supervisa el cumplimiento de la directiva de contraseñas.
Para obtener más información, consulte Guía de implementación: Inscripción de dispositivos.
Directivas de cumplimiento (nivel 3)
Las directivas de cumplimiento definen los requisitos de seguridad que los dispositivos deben cumplir para acceder a los recursos de la organización. Estas directivas evalúan el estado del dispositivo y marcan los dispositivos como compatibles o no conformes en función de la configuración que configure, como los requisitos de contraseña, las versiones del sistema operativo, el estado de cifrado y la detección de jailbreak.
Ejemplo: La directiva de cumplimiento requiere que los dispositivos Windows tengan BitLocker habilitado, ejecuten una versión mínima del sistema operativo y usen una contraseña con al menos ocho caracteres. BitLocker que falta en el equipo portátil de un usuario se marca como no conforme. El usuario recibe notificaciones sobre el requisito y tiene tiempo para corregir antes de que se bloquee el acceso (si aplica la capa 4).
Sugerencia
Las directivas de cumplimiento evalúan el estado del dispositivo, pero no bloquean automáticamente el acceso. Funcionan con el acceso condicional (nivel 4) para aplicar los requisitos de cumplimiento.
Para obtener más información, consulte Guía de implementación: Directivas de cumplimiento.
Requerir dispositivos correctos y compatibles (nivel 4)
Esta capa implementa directivas de acceso a dispositivos e identidades Confianza cero de nivel empresarial, ya que requiere que los dispositivos estén en buen estado y sean compatibles antes de conceder acceso a los recursos de la organización. Trabaje con el equipo de identidades para crear directivas de acceso condicional en Microsoft Entra ID que exijan las decisiones de cumplimiento de la capa 3.
Esta capa representa el cambio de la evaluación a la aplicación. Después de que las directivas de cumplimiento marquen los dispositivos como compatibles o no conformes, las directivas de acceso condicional usan esa señal para conceder o bloquear el acceso al correo electrónico, SharePoint, Teams y otros recursos protegidos.
Ejemplo: El equipo de identidades configura una directiva de acceso condicional que requiere que los dispositivos se marquen como compatibles para que los usuarios puedan acceder a las aplicaciones de Microsoft 365. Un usuario intenta acceder a Outlook desde un dispositivo Windows administrado por Intune. El dispositivo no es compatible porque no cumple un requisito de cumplimiento de Intune, el cifrado de disco (BitLocker) no está habilitado. Dado que el dispositivo no está marcado como compatible, el acceso condicional bloquea el acceso a Outlook y pide al usuario que resuelva el problema. Una vez que el usuario habilita BitLocker, el dispositivo notifica su estado de cumplimiento actualizado a Intune. Una vez que el dispositivo se evalúa como compatible, el acceso condicional vuelve a evaluar el inicio de sesión y se restaura el acceso a Outlook.
Nota:
Esta capa requiere coordinación con el equipo de identidades. Aunque el centro de administración de Intune presenta el nodo Acceso condicional desde Microsoft Entra ID, las directivas de acceso condicional se crean en Entra identificador, no en Intune. Consulte la sección Coordinación del equipo de identidades para ver el flujo de trabajo.
Para obtener más información, consulte Requerir dispositivos administrados con acceso condicional.
Perfiles de configuración (nivel 5)
Los perfiles de configuración configuran la configuración del dispositivo para reforzar la seguridad, habilitar las características y crear configuraciones coherentes en toda la flota. Mientras que las directivas de cumplimiento (nivel 3) evalúan si los dispositivos cumplen los requisitos, los perfiles de configuración implementan de forma proactiva la configuración para asegurarse de que los dispositivos están configurados correctamente.
Puede implementar la configuración a través de perfiles de configuración de dispositivo o directivas de seguridad de punto de conexión. Los perfiles de configuración de dispositivos admiten escenarios amplios, como perfiles de Wi-Fi y VPN, implementación de certificados, directivas de contraseña, configuración de cifrado de disco y directiva de grupo equivalentes. Las directivas de seguridad de puntos de conexión proporcionan experiencias simplificadas centradas específicamente en la configuración de seguridad, como antivirus, cifrado de disco, firewall, reducción de la superficie expuesta a ataques y detección y respuesta de puntos de conexión.
Ejemplo: Implementa una línea base de seguridad de Windows en equipos portátiles corporativos. La línea base habilita Firewall de Windows, configura el cifrado de BitLocker, deshabilita los protocolos heredados, habilita las reglas de reducción de superficie expuesta a ataques y configura docenas de otras opciones de seguridad. Los usuarios no necesitan configurar ninguna de estas opciones manualmente, Intune las aplica automáticamente.
Sugerencia
Las líneas base de seguridad son perfiles preconfigurados que contienen la configuración de seguridad recomendada de Microsoft. Úselas como punto de partida y, a continuación, personalícelas según las necesidades de su organización.
Para obtener más información, consulte Implementación de perfiles de configuración.
Supervisión de riesgos del dispositivo (nivel 6)
La supervisión de riesgos del dispositivo integra Microsoft Defender para punto de conexión con Intune para agregar controles de acceso basado en riesgos, evaluación de riesgos y detección continua de amenazas. Esta capa pasa de las comprobaciones de cumplimiento estáticas a la supervisión dinámica de seguridad que responde a amenazas activas en tiempo real.
Al incorporar dispositivos a Microsoft Defender para punto de conexión, comienzan a notificar telemetría de seguridad e inteligencia sobre amenazas. Defender asigna a cada dispositivo un nivel de riesgo (protegido, bajo, medio, alto o no disponible) en función de las amenazas detectadas, las vulnerabilidades y la posición de seguridad. Puede usar este nivel de riesgo en las directivas de cumplimiento para bloquear el acceso desde dispositivos de alto riesgo o desencadenar acciones de corrección.
Ejemplo: El portátil de un usuario se infecta con malware. Microsoft Defender para punto de conexión detecta la amenaza y marca el dispositivo como de alto riesgo. La directiva de cumplimiento que evalúa el riesgo del dispositivo marca inmediatamente el dispositivo como no conforme. El acceso condicional bloquea el acceso del usuario a los recursos de la organización hasta que se corrige la amenaza y el riesgo del dispositivo vuelve a un nivel aceptable.
Sugerencia
La integración de Defender para punto de conexión con Intune también le permite implementar configuraciones de seguridad más profundas, incluida la base de referencia de seguridad Microsoft Defender para punto de conexión y la configuración avanzada de protección contra amenazas, como las reglas de reducción de superficie expuesta a ataques, el acceso controlado a carpetas y la protección de red.
Para obtener más información, consulte Microsoft Defender para punto de conexión integración.
Prevención de pérdida de datos de punto de conexión (nivel 7)
La prevención de pérdida de datos de punto de conexión usa Microsoft Purview para evitar que los datos confidenciales salgan de los puntos de conexión administrados a través de operaciones de copia, impresión, carga o transferencia. Aunque las capas anteriores protegen el acceso a los recursos, esta capa protege los propios datos mediante la supervisión y el control de la interacción de los usuarios con archivos confidenciales.
Los dispositivos incorporados a Microsoft Defender para punto de conexión en el nivel 6 se incorporan automáticamente para DLP de punto de conexión sin ninguna configuración de Intune adicional. El equipo de cumplimiento crea directivas DLP en el portal de Microsoft Purview que define qué etiquetas de confidencialidad, tipos de archivo o patrones de contenido desencadenan acciones de protección.
Ejemplo: El equipo de cumplimiento crea una directiva DLP que impide que los archivos etiquetados como "Confidencial" se copien en unidades USB o se carguen en el almacenamiento en la nube personal. Un usuario intenta copiar un informe financiero confidencial en una unidad USB. DLP de punto de conexión bloquea la operación y muestra una notificación que explica la restricción. En función de cómo haya configurado el equipo de cumplimiento la directiva, el bloque puede ser absoluto o permitir que el usuario proporcione una justificación empresarial y continúe. Todas las actividades se registran para los informes de cumplimiento.
Nota:
Como administrador de Intune, el rol de DLP de punto de conexión se limita a garantizar que los dispositivos se incorporan a Microsoft Defender para punto de conexión (nivel 6). El equipo de cumplimiento realiza toda la creación y administración de directivas DLP en el portal de Microsoft Purview.
Para obtener más información, consulte Más información sobre DLP de punto de conexión y Introducción a DLP de punto de conexión.
Inscripción frente a incorporación
A medida que implemente estas capas, trabajará con dos conceptos relacionados pero diferentes: inscripción e incorporación. Comprender la diferencia ayuda a aclarar lo que ocurre en cada capa.
La inscripción (nivel 2) registra los dispositivos con Intune para una administración completa de dispositivos. La incorporación (capas 6-7) configura los dispositivos para informar de información a servicios específicos como Microsoft Defender para punto de conexión o Microsoft Purview.
| Inscripción | Incorporación | |
|---|---|---|
| Lo que hace | Registra los dispositivos para la administración con Intune. Intune administra todo el dispositivo, incluidas las aplicaciones, la configuración y las directivas. | Configura dispositivos para compartir información con servicios específicos de Microsoft 365 (actualmente Microsoft Defender para punto de conexión y Microsoft Purview). |
| Scope | Administración completa de dispositivos: configure la configuración, implemente aplicaciones, aplique el cumplimiento y supervise el estado del dispositivo. | Solo funcionalidades específicas del servicio. Por ejemplo, la incorporación a MDE permite la detección de amenazas; la incorporación a Purview habilita DLP. |
| En esta implementación | Nivel 2: inscribe dispositivos en la administración de Intune. | Nivel 6: incorpora dispositivos para Microsoft Defender para punto de conexión mediante Intune. Capa 7: los dispositivos incorporados a MDE se incorporan automáticamente para DLP de punto de conexión de Microsoft Purview. |
| Cómo debe hacerlo | Métodos de inscripción específicos de la plataforma: Microsoft Entra unirse (inscripción automática), Windows Autopilot, Inscripción automatizada de dispositivos de Apple, inscripción manual. | Use Intune para implementar la configuración de incorporación en dispositivos inscritos. Los dispositivos deben inscribirse en Intune para poder incorporarlos a MDE o Purview. |
Nota:
La incorporación a Microsoft Defender para punto de conexión incorpora automáticamente los dispositivos para las funcionalidades de Microsoft Purview, incluida la DLP de punto de conexión. No se requiere ninguna configuración de Intune adicional.
Coordinación con equipos de Microsoft 365
La implementación de Confianza cero seguridad de dispositivos requiere coordinación entre varios equipos de la organización. Mientras administra las directivas de Intune, otros equipos administran servicios complementarios que trabajan juntos para aplicar la protección.
Equipo de identidad (Microsoft Entra ID)
Su responsabilidad: Administre las directivas de acceso condicional, configure los requisitos de autenticación y administre el inquilino de Microsoft Entra ID.
Su coordinación:
- Después de crear directivas de protección de aplicaciones (nivel 1), trabaje con el equipo de identidades para crear una directiva de acceso condicional que requiera aplicaciones aprobadas.
- Después de crear directivas de cumplimiento (nivel 3), coordine la directiva de acceso condicional que requiere dispositivos compatibles:
- Las directivas de cumplimiento se crean y asignan en Intune para definir los requisitos del dispositivo.
- El equipo de identidad crea la directiva de acceso condicional en Centro de administración Microsoft Entra.
- La directiva de acceso condicional usa el control de concesión "Requerir que el dispositivo se marque como compatible".
- Asegúrese de que ambas directivas tienen como destino los mismos grupos de usuarios.
- Pruebe juntos con la herramienta What If de acceso condicional antes de habilitar la aplicación.
- Para obtener un flujo de trabajo detallado, consulte Formas comunes de usar el acceso condicional.
- Para la creación de directivas, consulte Requerir dispositivos administrados con acceso condicional.
Guía relacionada:Acceso condicional con Intune
Equipo de protección contra amenazas (Microsoft Defender)
Su responsabilidad: Configure y administre Microsoft Defender para punto de conexión servicio, investigue amenazas y administre flujos de trabajo del Centro de operaciones de seguridad (SOC).
Su coordinación:
- Uso de Intune para incorporar dispositivos a Microsoft Defender para punto de conexión (nivel 6)
- Implementación de la línea base de seguridad de Windows y la línea de base de seguridad de Defender para punto de conexión en dispositivos administrados
- Recepción de señales de riesgo de dispositivo de Defender que se alimentan de directivas de cumplimiento
- Actuar sobre Intune tareas de seguridad creadas por los administradores de seguridad de Defender para corregir vulnerabilidades detectadas y configuraciones incorrectas
- Coordinar la respuesta a incidentes cuando se detectan amenazas en dispositivos administrados
Instrucciones relacionadas:
- Integración de Microsoft Defender para punto de conexión
- Corrección de vulnerabilidades con tareas de seguridad
Equipo de seguridad y privacidad de datos (Microsoft Purview)
Su responsabilidad: Defina el esquema de confidencialidad de datos, cree directivas DLP y administre los requisitos de cumplimiento en Microsoft Purview.
Su coordinación:
- Asegúrese de que los dispositivos están incorporados para admitir DLP de punto de conexión (automático con MDE incorporación en el nivel 6)
- Identificar qué grupos de usuarios deben incluirse o excluirse de las directivas DLP
- Comprobación de la visibilidad del dispositivo en el portal de Microsoft Purview
- Compatibilidad con la educación de los usuarios cuando las directivas DLP bloquean o advierten sobre las operaciones de datos
Nota:
Como administrador de Intune, el rol de DLP de punto de conexión se limita a garantizar que los dispositivos se incorporan a Microsoft Defender para punto de conexión. Los dispositivos incorporados a MDE se convierten automáticamente en compatibles con DLP sin ninguna configuración de Intune adicional. El equipo de cumplimiento realiza toda la creación y administración de directivas DLP en el portal de Microsoft Purview.
Instrucciones relacionadas:
Procedimientos recomendados para la coordinación entre equipos
- Establecer reuniones de coordinación periódicas durante la implementación inicial de cada capa.
- Propiedad del documento : tenga claro qué equipo administra las directivas.
- Probar juntos : use el modo de auditoría y las herramientas What If antes de la aplicación.
- Alinear en grupos de usuarios : asegúrese de que las asignaciones de grupos sean coherentes entre los servicios.
- Planear las comunicaciones : coordinar las notificaciones de usuario cuando las directivas pueden afectar a la experiencia del usuario.
- Compartir responsabilidades de supervisión : cada equipo supervisa su servicio, pero comparte información sobre el impacto del usuario.
Pasos siguientes
Introducción a la seguridad de Confianza cero dispositivo:
- Guía de implementación: directivas de Protección de aplicaciones: nivel 1
- Guía de implementación: Inscripción de dispositivos : nivel 2
- Guía de implementación: Directivas de cumplimiento : nivel 3
- Requerir dispositivos administrados con acceso condicional : nivel 4
Más información sobre Confianza cero:
- Centro de orientación de Confianza cero: arquitectura y estrategia de escala empresarial
- Protección de puntos de conexión con Confianza cero: objetivos de implementación centrados en dispositivos
- Confianza cero plan de implementación con Microsoft 365: guía de implementación entre servicios
Explore las capas de protección avanzada: