Estrategia de Zero Trust del DoD para el pilar del dispositivo

El DoD Zero Trust Strategy and Roadmap describe una ruta para que los componentes del Departamento de Defensa y socios de la Base Industrial de Defensa (DIB) adopten un nuevo marco de ciberseguridad basado en principios de Zero Trust. Zero Trust elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, las experiencias del usuario y el rendimiento de la misión.

En esta guía se incluyen recomendaciones para las 152 actividades de Zero Trust en el DoD Zero Trust Hoja de Ruta de Ejecución de Capacidades. Las secciones corresponden a los siete pilares del modelo de Zero Trust doD.

Use los vínculos siguientes para ir a las secciones de la guía.

2 Dispositivo

En esta sección se incluyen instrucciones y recomendaciones de Microsoft para las actividades de Zero Trust del DoD en el pilar de dispositivos. Para obtener más información, consulte Securing endpoints with Zero Trust .

2.1 Inventario de dispositivos

Microsoft Intune y Microsoft Defender for Endpoint configuran, evalúan el estado de seguridad y detectan vulnerabilidades de software en dispositivos. Utiliza la integración de Microsoft Entra ID y Microsoft Intune para aplicar directivas de dispositivos que cumplan para garantizar el acceso a recursos.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 2.1.1 Análisis de brechas de la herramienta de mantenimiento del dispositivo Las organizaciones de DoD desarrollan un inventario manual de dispositivos dentro del entorno. Los atributos del dispositivo que se rastrean en el inventario permiten la funcionalidad descrita en el nivel objetivo de ZTA. Resultado: se crea un inventario manual de dispositivos por organización con propietarios	Microsoft Entra ID Registrar dispositivos de usuario final con Microsoft Entra ID y gestionar identidades de dispositivo desde el Centro de administración de Microsoft Entra. La página Información general de dispositivos realiza un seguimiento de los recursos del dispositivo, el estado de administración, el sistema operativo, el tipo de combinación y el propietario. - Dispositivos registrados - Dispositivos unidos híbridos - Listar dispositivos - Gestionar identidades de dispositivos Microsoft Entra Connect Sync Utilizar Connect Sync para sincronizar dispositivos administrados por Active Directory con Microsoft Entra ID. - Dispositivos unidos híbridos Microsoft Intune Ver información de dispositivos sobre dispositivos administrados desde el centro de administración de Microsoft Intune. Recupere diagnósticos de dispositivos Windows mediante la acción remota Recopilar diagnósticos. - Detalles del dispositivo - diagnósticos de dispositivos Windows Microsoft Endpoint Configuration Manager Use la administración conjunta para adjuntar una implementación de Configuration Manager a la nube de Microsoft 365. - Administración conjunta Microsoft Defender para Endpoint Ver dispositivos protegidos por Defender para Endpoint en el portal de Microsoft Defender. - Inventario de dispositivos
`Target` 2.1.2 NPE/PKI, Dispositivo bajo administración Las organizaciones de DoD usan el servicio o solución PKI de DoD Enterprise para implementar certificados x509 en todos los dispositivos compatibles y administrados. Otras entidades que no son personas físicas (NPEs) adicionales que admiten certificados x509 se asignan en los sistemas PKI y/o IdP. Resultado: las entidades nopersonas se administran a través de la PKI de la organización y el IDP de la organización	Microsoft IntuneAgregar el Conector de Certificados de Intune para el aprovisionamiento de certificados en puntos finales.Conector de certificadosCertificados para la autenticaciónUsar perfiles de red de Intune para facilitar la autenticación de los dispositivos administrados en tu red. Agregue un certificado de Protocolo simple de inscripción de certificados (SCEP). - Configuración de Wi-Fi de dispositivos - Configuración de red cableada de dispositivos Windows Integre Intune con socios de control de acceso a la red (NAC) para proteger los datos cuando los dispositivos acceden a recursos locales. - Integración de NAC Directiva de administración de aplicaciones Configure la directiva de administración de aplicaciones del inquilino para restringir las credenciales de la aplicación a los certificados emitidos por la PKI empresarial. Consulte la guía de Microsoft 1.9.1 en Usuario. Azure IoT Hub Configure Azure IoT Hub para usar y aplicar la autenticación X.509. - Autentique identidades con certificados X.509 Microsoft Defender for Identity Si su organización aloja su PKI con los Servicios de certificados de Active Directory (AD CS), implemente sensores de Defender for Identity y configure la auditoría de AD CS. - Sensor de AD CS - Configurar auditorías para AD CS
`Target` 2.1.3 Proveedor de Identidad Empresarial Pt1 El Proveedor de Identidad Empresarial (IdP) del DoD utiliza una tecnología centralizada o tecnologías organizativas federadas e integra entidades no personales (NPE), como dispositivos y cuentas de servicio. El seguimiento de la integración en la solución de Enterprise Device Management se realiza, cuando es aplicable, para determinar si está integrada o no. Las NPEs que no se pueden integrar con el IdP se marcan para retirarse o se exceptúan mediante un enfoque metódico basado en riesgos. Resultado: las NPE, incluidos los dispositivos, se integran con el IdP de empresa	Microsoft Entra registración de dispositivos unidos Use Microsoft Entra dispositivos unidos para dispositivos cliente Windows nuevos y reconfigurados. Microsoft Entra dispositivos unidos tienen una experiencia de usuario mejorada para el inicio de sesión en aplicaciones en la nube, como Microsoft 365. Los usuarios acceden a recursos locales mediante dispositivos unidos a Microsoft Entra. - Dispositivos unidos - Inicio de sesión único en recursos locales en dispositivos unidos Microsoft Intune Configure la inscripción automática para los dispositivos Windows 10 u 11 unidos a un inquilino de Microsoft Entra. - Inscripción automática Microsoft Entra Connect Sync Si la organización sincroniza Active Directory con Microsoft Entra ID mediante Connect Sync, para registrar automáticamente dispositivos con Microsoft Entra ID, configure los dispositivos para que sean híbridos unidos. - Dispositivos híbridos unidos Aplicaciones de Microsoft Entra Registre aplicaciones con Microsoft Entra y utilice entidades de servicio para acceso mediante programación a Microsoft Entra y API protegidas, como Microsoft Graph. Configurar directivas de administración de aplicaciones para restringir los tipos de credenciales de aplicación. Consulte la guía de Microsoft 2.1.2. Microsoft Entra Workload ID Utilice la federación de identidades de carga de trabajo para acceder a los recursos protegidos de Microsoft Entra en acciones de GitHub y otros escenarios admitidos. - Federación de identidades de carga de trabajo Identidades administradas Utilice identidades administradas para recursos de Azure admitidos y máquinas virtuales habilitadas para Azure Arc. - Identidades administradas para recursos de Azure - Servidores habilitados para Azure Arc Azure IoT Hub Utilice Microsoft Entra ID para autenticar solicitudes a las API de servicio de Azure IoT Hub. - Controlar el acceso a IoT Hub
`Advanced` 2.1.4 IdP empresarial Pt2 El proveedor de identidad empresarial (IdP) del DoD, ya sea usando una tecnología centralizada o tecnologías federadas organizativas, agrega atributos dinámicos adicionales para los NPE, como la ubicación, los patrones de uso, etc. Resultado: Los atributos de dispositivo condicionales forman parte del perfil del IdP.	Microsoft Defender para Endpoint Despliegue Defender para Endpoint en dispositivos de escritorio de usuario final, dispositivos móviles administrados y servidores. - Incorporar dispositivos - Defender para Endpoint en dispositivos con Intune - Incorporar servidores Windows Microsoft Intune Gestione dispositivos de usuario final con Intune. Configura directivas de cumplimiento de Intune para dispositivos administrados. Incluya la puntuación de riesgo de la máquina de Microsoft Defender for Endpoint en las directivas de cumplimiento de Intune. - Planifique las directivas de cumplimiento - Directiva de cumplimiento para el nivel de riesgo de dispositivo - Directivas de cumplimiento personalizadas - Configure los dispositivos Windows en Intune - Configuración de seguridad de Android Enterprise - Dispositivos iOS y iPadOS en Intune Si su organización utiliza una solución de Mobile Threat Defense (MTD) de terceros, configure el conector de Intune. - Configuración de MTD Administración de aplicaciones móviles Utilice MAM de Intune para dispositivos no inscritos para configurar y proteger aplicaciones para dispositivos BYOD (Bring Your Own Device). - Administración de aplicaciones

2.2 Detección y conformidad de dispositivos

Las políticas de cumplimiento de Microsoft Intune aseguran que los dispositivos cumplan con los estándares de la organización. Las directivas de cumplimiento pueden evaluar la configuración del dispositivo en una línea de base de seguridad. Las directivas utilizan el estado de protección de Microsoft Defender for Endpoint y la puntuación de riesgo de la máquina para determinar el cumplimiento. El acceso condicional usa el estado de cumplimiento de dispositivos a fin de tomar decisiones de acceso dinámico para usuarios y dispositivos, incluidos los de tipo traer tus propios dispositivos (BYOD).

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft

Target 2.2.1 Implementación de la autorización de red basada en cumplimiento para C2C/Pt1
La empresa del Departamento de Defensa (DoD) que trabaja con las organizaciones desarrolla una política, un estándar y los requisitos para Comply to Connect. Una vez alcanzado el acuerdo, se inicia la adquisición de soluciones, se selecciona un proveedor y la implementación comienza con la función de nivel base en entornos de destino ZT (bajo riesgo). Las comprobaciones de nivel base se implementan en la nueva solución Comply to Connection, facilitando el cumplimiento de las funcionalidades objetivo de ZTA.

Resultados: C2C se aplica en el nivel empresarial para entornos de bajo riesgo y pruebas: las comprobaciones

de dispositivos se implementan mediante C2C. Microsoft Intune
Administrar dispositivos con Intune y configurar directivas de cumplimiento de dispositivos. Utilice la administración de aplicaciones móviles (MAM) de Intune para proteger las aplicaciones en BYOD no inscritos.

Consulte la guía de Microsoft en 2.1.4.

Acceso condicional.
Utilice las señales de dispositivo compatibles con Intune, la ubicación y las señales de riesgo de inicio de sesión en las directivas de acceso condicional. Usar filtros de dispositivo para directivas de acceso condicional, basado en los atributos de dispositivo.
- Requerir dispositivos en cumplimiento
- Condiciones
- Filtro para dispositivos
- Acceso condicional con Intune

Microsoft Entra Workload ID
Crear directivas de acceso condicional para identidades de carga de trabajo mediante controles de riesgo y ubicación.
- Acceso condicional para identidades de carga de trabajo
- Identidades de carga de trabajo seguras

Advanced 2.2.2 Implementación de la autorización de red basada en cumplimiento de C2C/Pt2
Las organizaciones del DoD amplían la implementación y el uso de Cumplir para Conectar en todos los entornos admitidos necesarios para cumplir con las funcionalidades avanzadas de ZT. Los equipos de Cumplir para Conectar integran sus soluciones con el IdP de la empresa y las Puertas de Enlace de Autorización para gestionar mejor el acceso y las autorizaciones a los recursos.

Resultados:
C2C se aplica en todos los entornos admitidos: las comprobaciones avanzadas
de dispositivos se completan e integran con el acceso dinámico, el IdP de empresa y ZTNA. aplicaciones Microsoft EntraIntegre aplicaciones y controle el acceso de usuario con Microsoft Entra ID.Consulte la guía de Microsoft 1.2.4 en User.Microsoft Intune y Microsoft Defender para EndpointAdministre dispositivos con Intune, implemente Defender para Endpoint y configure una política de cumplimiento de dispositivos mediante la puntuación de riesgo de la máquina de Defender para Endpoint.Consulte la guía de Microsoft 2.1.4 en esta sección.Acceso CondicionalCree directivas de acceso condicional que requieran dispositivos cumplidores para el acceso a aplicaciones.Consulte la guía de Microsoft en 2.2.1.proxy de aplicación Microsoft EntraImplemente un proxy de aplicación o una solución de socio de acceso híbrido seguro (SHA) para habilitar el acceso condicional a aplicaciones locales y heredadas a través del Acceso a Red de Confianza Cero (ZTNA).SHA con integración de Microsoft EntraMicrosoft TunnelTunnel es una solución de puerta de enlace de red privada virtual (VPN) para dispositivos administrados por Intune y dispositivos no inscritos con aplicaciones administradas por Intune. Tunnel usa Microsoft Entra ID para la autenticación y las directivas de acceso condicional para el acceso de dispositivos móviles a aplicaciones locales.
- Tunnel para Intune

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 2.2.1 Implementación de la autorización de red basada en cumplimiento para C2C/Pt1 La empresa del Departamento de Defensa (DoD) que trabaja con las organizaciones desarrolla una política, un estándar y los requisitos para Comply to Connect. Una vez alcanzado el acuerdo, se inicia la adquisición de soluciones, se selecciona un proveedor y la implementación comienza con la función de nivel base en entornos de destino ZT (bajo riesgo). Las comprobaciones de nivel base se implementan en la nueva solución Comply to Connection, facilitando el cumplimiento de las funcionalidades objetivo de ZTA. Resultados: C2C se aplica en el nivel empresarial para entornos de bajo riesgo y pruebas: las comprobaciones de dispositivos se implementan mediante C2C.	Microsoft Intune Administrar dispositivos con Intune y configurar directivas de cumplimiento de dispositivos. Utilice la administración de aplicaciones móviles (MAM) de Intune para proteger las aplicaciones en BYOD no inscritos. Consulte la guía de Microsoft en 2.1.4. Acceso condicional. Utilice las señales de dispositivo compatibles con Intune, la ubicación y las señales de riesgo de inicio de sesión en las directivas de acceso condicional. Usar filtros de dispositivo para directivas de acceso condicional, basado en los atributos de dispositivo. - Requerir dispositivos en cumplimiento - Condiciones - Filtro para dispositivos - Acceso condicional con Intune Microsoft Entra Workload ID Crear directivas de acceso condicional para identidades de carga de trabajo mediante controles de riesgo y ubicación. - Acceso condicional para identidades de carga de trabajo - Identidades de carga de trabajo seguras
`Advanced` 2.2.2 Implementación de la autorización de red basada en cumplimiento de C2C/Pt2 Las organizaciones del DoD amplían la implementación y el uso de Cumplir para Conectar en todos los entornos admitidos necesarios para cumplir con las funcionalidades avanzadas de ZT. Los equipos de Cumplir para Conectar integran sus soluciones con el IdP de la empresa y las Puertas de Enlace de Autorización para gestionar mejor el acceso y las autorizaciones a los recursos. Resultados: C2C se aplica en todos los entornos admitidos: las comprobaciones avanzadas de dispositivos se completan e integran con el acceso dinámico, el IdP de empresa y ZTNA.	aplicaciones Microsoft EntraIntegre aplicaciones y controle el acceso de usuario con Microsoft Entra ID.Consulte la guía de Microsoft 1.2.4 en User.Microsoft Intune y Microsoft Defender para EndpointAdministre dispositivos con Intune, implemente Defender para Endpoint y configure una política de cumplimiento de dispositivos mediante la puntuación de riesgo de la máquina de Defender para Endpoint.Consulte la guía de Microsoft 2.1.4 en esta sección.Acceso CondicionalCree directivas de acceso condicional que requieran dispositivos cumplidores para el acceso a aplicaciones.Consulte la guía de Microsoft en 2.2.1.proxy de aplicación Microsoft EntraImplemente un proxy de aplicación o una solución de socio de acceso híbrido seguro (SHA) para habilitar el acceso condicional a aplicaciones locales y heredadas a través del Acceso a Red de Confianza Cero (ZTNA).SHA con integración de Microsoft EntraMicrosoft TunnelTunnel es una solución de puerta de enlace de red privada virtual (VPN) para dispositivos administrados por Intune y dispositivos no inscritos con aplicaciones administradas por Intune. Tunnel usa Microsoft Entra ID para la autenticación y las directivas de acceso condicional para el acceso de dispositivos móviles a aplicaciones locales. - Tunnel para Intune

2.3 Autorización del dispositivo con inspección en tiempo real

El acceso condicional es el motor de directivas de Zero Trust para productos y servicios en la nube de Microsoft. Evaluar las políticas de Zero Trust en el IdP avanza el modelo cumplir para conectar (C2C) mediante la aplicación de controles adaptativos antes de acceder a los recursos. Las directivas de acceso condicional usan señales de seguridad de Microsoft Entra ID, Microsoft Defender XDR y Microsoft Intune.

Microsoft Defender XDR componentes evalúan los niveles de riesgo de dispositivo e identidad mediante detecciones de aprendizaje automático (ML) y habilitando decisiones dinámicas basadas en riesgos para permitir, bloquear o controlar el acceso a datos, aplicaciones, recursos y servicios (DAAS).

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Advanced` 2.3.1 Supervisión de actividad de entidades Pt1 Utilizando las líneas base de usuario y dispositivo desarrolladas, las organizaciones del DoD utilizan la solución UEBA (Actividad de comportamiento de usuarios y entidades) implementada para integrar las líneas base. Los atributos y líneas de base del dispositivo de UEBA están disponibles a fin de usarse para las detecciones de autorización de dispositivos. Resultados: los atributos UEBA están integrados para la línea base de dispositivo: los atributos UEBA están disponibles para su uso con el acceso al dispositivo.	Microsoft Intune y Microsoft Defender para Endpoint Administre dispositivos con Intune, despliegue Defender para Endpoint y configure una directiva de cumplimiento de dispositivos mediante la puntuación de riesgo de la máquina de Defender para Endpoint. Consulte la guía de Microsoft en 2.1.4. Acceso Condicional Cree directivas de acceso condicional que requieran un dispositivo conforme para el acceso a aplicaciones. Consulte las instrucciones de Microsoft en 2.2.1. Protección de Identidades de Microsoft Entra Configure directivas de acceso condicional para niveles de riesgo de identidad en Protección de Identidades de Microsoft Entra. Consulte la guía de Microsoft 1.6.1 en User.
`Advanced` 2.3.2 Supervisión de actividad de entidades Pt2 Las organizaciones DoD usan la solución Actividad de comportamiento de entidades (UEBA) de usuario y entidad con soluciones de acceso a la red para exigir atributos UEBA (por ejemplo, estado del dispositivo, patrones de inicio de sesión, etc.) para acceder a entornos y recursos. Resultado: los atributos UEBA se exigen para el acceso al dispositivo.	Acceso Condicional Utilice señales de riesgo de identidad, ubicación y estado del dispositivo compatible con Intune en directivas de acceso condicional. Use filtros de dispositivo para establecer como destino las directivas de acceso condicional en función de los atributos del dispositivo. Consulte las instrucciones de Microsoft en 2.2.1 y en 2.3.1.
`Target` 2.3.3 Implementar herramientas de control de aplicaciones e integridad de archivos (FIM) Las organizaciones doD adquieren e implementan soluciones de supervisión de integridad de archivos (FIM) y control de aplicaciones. FIM continúa el desarrollo y la expansión de la supervisión en el pilar de datos. El control de aplicaciones se implementa en entornos de bajo riesgo en un modo de solo supervisión que establece asignaciones de línea de base. Los equipos de control de aplicaciones que se están integrando con los entornos PKI de empresa y organización usan certificados para las asignaciones de aplicaciones. NextGen AV cubre todos los posibles servicios y aplicaciones Resultados: las herramientas AppControl y FIM se implementan en todos los servicios o aplicaciones críticos: las herramientas EDR cubren la cantidad máxima de servicios o aplicaciones : los datos appControl y FIM se envían a C2C según sea necesario.	Microsoft Defender para punto de conexión Defender para punto de conexión agrega señales de Supervisión de integridad de archivos (FIM), Control de aplicaciones, Antivirus de próxima generación (NGAV) y mucho más para la puntuación de riesgo de la máquina. - Protección de próxima generación - Antivirus para dispositivos administrados - Acceso controlado a carpetas Microsoft Intune Configurar directivas de seguridad de endpoint de control de aplicaciones en Microsoft Intune. - Aplicaciones aprobadas con App Control para empresas - Reglas de archivo y directivas de AppControl de Microsoft Defender Acceso condicional Para lograr el modelo de cumplimiento a conexión (C2C), integre aplicaciones con el identificador de Microsoft Entra y requiera el control de concesión de dispositivos compatible en el acceso condicional. Consulte la guía de Microsoft en 2.2.2.
`Advanced` 2.3.4 Integrar NextGen AV Tools C2C Las organizaciones doD adquieren e implementan soluciones antivirus y antimalware de última generación según sea necesario. Estas soluciones se integran con la implementación inicial de Cumplir con Connect para las comprobaciones de estado de línea base de firmas, actualizaciones, etc. Resultados: los datos críticos de NextGen AV se envían a C2C para comprobaciones : las herramientas de NextGen AV se implementan en todos los servicios o aplicaciones críticos.	Microsoft Intune Cree políticas de cumplimiento de dispositivos para antivirus y la puntuación de riesgo de máquina de Microsoft Defender for Endpoint. - Política antivirus para la seguridad del endpoint Consulte la guía de Microsoft en 2.2.2.
`Advanced` 2.3.5 Integración completa de la pila de seguridad de dispositivos con C2C según corresponda Las organizaciones de DoD continúan la implementación del control de aplicaciones en todos los entornos y en modo de prevención. La supervisión de la integridad de los archivos (File Integrity Monitoring, FIM) y el análisis de Controles de Aplicaciones se integran en Comply to Connect para proporcionar puntos de datos expandidos para la toma de decisiones de acceso. Los análisis de Comply to Connect se evalúan para obtener otros puntos de datos relevantes en la pila de seguridad de los dispositivos o terminales, como UEDM, y se integran cuando es necesario. Resultados: La implementación de AppControl y FIM se expande a todos los servicios o aplicaciones necesarios: los datos restantes de las herramientas de Seguridad de dispositivos se implementan con C2C.	Actividad 2.3.4. Microsoft Defender for Cloud Apps Identificar y controlar aplicaciones en la nube de riesgo con directivas de Defender for Cloud Apps. - Control de aplicaciones en la nube con directivas
`Advanced` 2.3.6 Enterprise PKI Pt1 La infraestructura de clave pública (PKI) de DoD Enterprise se expande para incluir la adición de certificados NPE y de dispositivo. Los NPE y los dispositivos que no admiten certificados PKI se marcan para su retiro y comienza su desmantelamiento. Resultados: los dispositivos que no pueden tener certificados se eliminan gradualmente o se mueven a entornos de acceso mínimos: todos los dispositivos y NPE tienen certificados instalados para la autenticación en la PKI empresarial	Microsoft Intune Use Microsoft Intune para implementar certificados PKI de DoD en dispositivos. Vea la guía de Microsoft en 2.1.2. Directiva de administración de aplicaciones Configure la directiva de administración de aplicaciones del inquilino para restringir las credenciales de aplicación a los certificados emitidos por la PKI empresarial. Vea la guía de Microsoft 1.5.3 en User. Microsoft Defender for Cloud Apps Configure las directivas de acceso para exigir certificados de cliente para el acceso a aplicaciones y bloquear el acceso no autorizado al dispositivo. - Directivas de Acceso
`Advanced` 2.3.7 Enterprise PKI Pt2 Las organizaciones del DoD utilizan certificados para la autenticación de dispositivos y las comunicaciones máquina a máquina. Los dispositivos no admitidos completan la retirada y las excepciones se aprueban mediante un enfoque metódico basado en riesgos. Resultado: los dispositivos deben autenticarse para comunicarse con otros servicios y dispositivos	Microsoft Intune y acceso condicional Integrar aplicaciones con Microsoft Entra ID, administrar dispositivos con Intune, proteger dispositivos con Microsoft Defender for Endpoint y configurar directivas de cumplimiento. Incluye una directiva de cumplimiento para la evaluación de riesgo de máquina en Defender para Endpoint. Requerir el control de concesión compatible en las directivas de acceso condicional. Consulte la guía de Microsoft en la versión 2.2.2.

2.4 Acceso remoto

Microsoft Entra ID es un proveedor de identidades (IdP) denegado de forma predeterminada. Si usa Microsoft Entra para el inicio de sesión de la aplicación, los usuarios autentican y pasan comprobaciones de directiva de acceso condicional antes de que Microsoft Entra autorice el acceso. Puede usar Microsoft Entra ID para proteger las aplicaciones hospedadas en la nube o en el entorno local.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 2.4.1 Denegar dispositivo de forma predeterminada Las organizaciones de DoD bloquean el acceso a todos los dispositivos remotos y locales no administrados a los recursos. A los dispositivos administrados conformes se les proporciona acceso metódico basado en riesgos siguiendo los conceptos de nivel objetivo de ZTA. Resultados: los componentes pueden bloquear el acceso del dispositivo de forma predeterminada a los recursos (aplicaciones o datos) y permitir explícitamente dispositivos por directiva : el acceso remoto está habilitado siguiendo un enfoque de "denegar dispositivo de forma predeterminada".	aplicaciones de Microsoft Entra ID El acceso a aplicaciones y recursos protegidos por Microsoft Entra ID se deniega de forma predeterminada. El acceso a recursos requiere autenticación, derechos activos y autorización mediante directivas de acceso condicional. - Integrar aplicaciones - Integración de aplicaciones Microsoft Intune Administra dispositivos con Intune. Configura directivas de cumplimiento del dispositivo. Requerir un dispositivo compatible en las directivas de acceso condicional para todos los usuarios y aplicaciones. Consulte la guía de Microsoft en la versión 2.2.1.
`Target` 2.4.2 Soporte para BYOD e IoT Administrados y Limitados Las organizaciones del DoD utilizan Unified Endpoint and Device Management (UEDM) y soluciones similares para asegurarse de que los dispositivos Bring Your Own Device (BYOD) e Internet de las cosas (IoT) gestionados estén totalmente integrados con Enterprise IdP, habilitando la autorización basada en usuarios y dispositivos. El acceso al dispositivo para todas las aplicaciones requiere directivas de acceso dinámico. Resultados: todas las aplicaciones requieren acceso dinámico a permisos para dispositivos debido a que los permisos de dispositivos BYOD e IOT están establecidos como estándar e integrados con el IDP de la empresa	Complete la actividad 2.4.1. Microsoft Intune Utilice la administración de dispositivos y aplicaciones móviles de Intune para implementar BYOD (Bring Your Own Device). - Administración de aplicaciones móviles para dispositivos no inscritos - Políticas de protección de aplicaciones Acceso Condicional Requiere que el dispositivo sea compatible y/o que haya una política de protección de aplicaciones en el Acceso Condicional para todos los usuarios y aplicaciones. - Aplicación cliente aprobada o política de protección de aplicaciones - Política de protección de aplicaciones en dispositivos Windows Microsoft Entra External ID Configure la configuración de acceso entre inquilinos para confiar en los controles de dispositivos compatibles con los socios de confianza. - Configuración de acceso entre inquilinos para la colaboración B2B Microsoft Defender for IoT Implemente sensores de Defender for IoT para obtener visibilidad, además de supervisar y proteger dispositivos IoT y tecnología operativa (OT). Asegúrate de que el software del dispositivo esté actualizado y cambia las contraseñas locales. No utilice contraseñas por defecto. - Defender para IoT - Seguridad de IoT y OT con Zero Trust - Estrategia nacional de ciberseguridad de los EE. UU. para proteger IoT
2.4.3 Administrado y completo BYOD & Soporte de IoT Pt1Las organizaciones del DoD utilizan la Gestión Unificada de Dispositivos y Endpoints (UEDM) y soluciones similares para permitir el acceso de dispositivos gestionados y aprobados a servicios/aplicaciones críticas para la misión y operacionales utilizando políticas de acceso dinámicas. Los dispositivos BYOD y de Internet de las cosas (IoT) son necesarios para cumplir las comprobaciones de línea de base estándar antes de la autorización. Resultados: solo dispositivos BYOD e IOT que cumplen los estándares de configuración obligatorios que tienen permiso para acceder a los recursos : los servicios críticos requieren acceso dinámico para los dispositivos.	Complete la actividad 2.4.2. Microsoft Defender for Cloud Apps Configurar las políticas de acceso para requerir certificados de cliente para el acceso a la aplicación. Bloquear el acceso desde dispositivos no autorizados. Consulte la guía de Microsoft en la versión 2.3.6.
`Advanced` 2.4.4 Compatibilidad Administrada y Completa BYOD & IOT Pt2 Las organizaciones del DoD utilizan la Gestión Unificada de Puntos de Extremo y Dispositivos (UEDM) y soluciones similares para permitir el acceso a dispositivos no gestionados que cumplen con las verificaciones de dispositivos y los estándares de referencia. Todos los servicios o aplicaciones posibles están integrados para permitir el acceso a dispositivos administrados. Los dispositivos no administrados se integran con servicios o aplicaciones basados en el enfoque de autorización metódica controlada por riesgos. Resultado: todos los servicios posibles requieren acceso dinámico para dispositivos	Azure Virtual Desktop Deploy Azure Virtual Desktop (AVD) para admitir el acceso remoto desde dispositivos no administrados. Conecte las máquinas virtuales del host de sesión de AVD a Microsoft Entra y administre la conformidad con Microsoft Intune. Permitir el inicio de sesión en AVD con autenticación sin contraseña o un autenticador resistente a phishing sin contraseña desde dispositivos no administrados. - Máquinas virtuales de Microsoft Entra unidas en AVD - Fortaleza de la autenticación Microsoft Defender for Cloud Apps Use el control de sesión de Defender for Cloud Apps para supervisar y restringir las sesiones web de dispositivos no administrados. - Directivas de sesión

2.5 Administración de recursos, vulnerabilidades y revisiones parcial y totalmente automatizada

Microsoft Intune admite soluciones híbridas e híbridas (de administración conjunta) basadas en la nube para la administración de dispositivos. Las directivas de configuración y cumplimiento garantizan que los dispositivos cumplan con los requisitos de nivel de actualización y configuración de seguridad de tu organización.

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft

Target 2.5.1 Implementación de recursos, vulnerabilidades y herramientas de administración de revisiones
Las organizaciones de DoD implementan soluciones para administrar configuraciones de recursos o dispositivos, vulnerabilidades y revisiones. Equipos que utilizan estándares de cumplimiento mínimos (por ejemplo, STIG, etc.) pueden confirmar o denegar el cumplimiento de dispositivos administrados. Como parte del proceso de adquisición e implementación de soluciones, las API u otras interfaces programáticas estarán en el ámbito de los niveles futuros de automatización e integración.

Resultados: los
pueden confirmar si los dispositivos cumplen los estándares mínimos de cumplimiento o no
: los componentes tienen sistemas de administración de recursos, vulnerabilidades y aplicación de revisiones con API que permitirán la integración en los sistemas. Microsoft Intune
Administrar dispositivos en Intune.

Consulte la guía de Microsoft en 2.1.4.

Use la administración conjunta de Microsoft Intune para dispositivos de punto de conexión heredados.
- Administración de extremos
- Administración conjunta

Configure y actualice directivas para plataformas de dispositivos administradas con Intune.
- Directivas de actualización de software de iOS y iPadOS
- Directivas de actualización de software de macOS
- Actualizaciones de FOTA de Android
- Actualizaciones de Windows 10 y 11

Microsoft Defender para Endpoint
Integre Microsoft Defender para Endpoint con Microsoft Intune. Remedie las vulnerabilidades del endpoint con directivas de configuración de Microsoft Intune.
- Microsoft Defender Vulnerability Management
- Use Microsoft Intune y las vulnerabilidades identificadas por Microsoft Defender for Endpoint

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 2.5.1 Implementación de recursos, vulnerabilidades y herramientas de administración de revisiones Las organizaciones de DoD implementan soluciones para administrar configuraciones de recursos o dispositivos, vulnerabilidades y revisiones. Equipos que utilizan estándares de cumplimiento mínimos (por ejemplo, STIG, etc.) pueden confirmar o denegar el cumplimiento de dispositivos administrados. Como parte del proceso de adquisición e implementación de soluciones, las API u otras interfaces programáticas estarán en el ámbito de los niveles futuros de automatización e integración. Resultados: los pueden confirmar si los dispositivos cumplen los estándares mínimos de cumplimiento o no : los componentes tienen sistemas de administración de recursos, vulnerabilidades y aplicación de revisiones con API que permitirán la integración en los sistemas.	Microsoft Intune Administrar dispositivos en Intune. Consulte la guía de Microsoft en 2.1.4. Use la administración conjunta de Microsoft Intune para dispositivos de punto de conexión heredados. - Administración de extremos - Administración conjunta Configure y actualice directivas para plataformas de dispositivos administradas con Intune. - Directivas de actualización de software de iOS y iPadOS - Directivas de actualización de software de macOS - Actualizaciones de FOTA de Android - Actualizaciones de Windows 10 y 11 Microsoft Defender para Endpoint Integre Microsoft Defender para Endpoint con Microsoft Intune. Remedie las vulnerabilidades del endpoint con directivas de configuración de Microsoft Intune. - Microsoft Defender Vulnerability Management - Use Microsoft Intune y las vulnerabilidades identificadas por Microsoft Defender for Endpoint

2.6 Administración unificada de puntos de conexión y administración de dispositivos móviles

Las directivas de configuración y cumplimiento de Microsoft Intune garantizan que los dispositivos cumplan con los requisitos de configuración de seguridad de la organización. Intune evalúa las directivas de cumplimiento y marca los dispositivos como compatibles o no compatibles. Las directivas de acceso condicional pueden usar el estado de cumplimiento de dispositivos para impedir que los usuarios con dispositivos no compatibles accedan a los recursos protegidos por Microsoft Entra ID.

Microsoft Entra External ID configuraciones de acceso entre inquilinos incluyen la configuración de confianza para la colaboración de invitados. Estas configuraciones se pueden personalizar para cada inquilino asociado. Cuando confíe en dispositivos compatibles con otro inquilino, los invitados que usen dispositivos compatibles en su inquilino de origen satisfarán las directivas de Acceso Condicional que requieran dispositivos compatibles en su inquilino. No es necesario realizar excepciones a las directivas de acceso condicional para evitar el bloqueo de invitados externos.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 2.6.1 Implementación de UEDM o herramientas equivalentes Las organizaciones del DoD trabajarán estrechamente con la actividad "Implementar recursos, vulnerabilidades y herramientas de administración de revisiones" para adquirir e implementar una solución de Gestión Unificada de Endpoints y Dispositivos (UEDM) que garantice la integración de los requisitos con el proceso de adquisición. Una vez que se obtiene una solución, los equipos de UEDM garantizan que las funcionalidades críticas de objetivos ZT, como el cumplimiento mínimo, la administración de recursos y la compatibilidad con API, se implementen. Resultados: - Los Componentes pueden confirmar si los dispositivos cumplen con los estándares mínimos de cumplimiento o no - Los Componentes tienen sistemas de gestión de activos para dispositivos de usuario (teléfonos, equipos de escritorio, portátiles) que mantienen el cumplimiento de TI, el cual se informa a la empresa del DoD - Los sistemas de gestión de activos de los Componentes pueden ofrecer de forma programática, es decir, a través de API, el estado de cumplimiento del dispositivo y si cumple con los estándares mínimos.	Completa la actividad 2.3.2. Microsoft Intune El estado de cumplimiento de los dispositivos se integra con el proveedor de identidades (IdP), Microsoft Entra ID, mediante las señales de cumplimiento de Intune en el Acceso Condicional. Vea el estado de cumplimiento del dispositivo en el Centro de administración de Microsoft Entra o mediante Microsoft Graph API. - Directivas de cumplimiento - Informes de Intune ID externo de Microsoft Entra A fin de ampliar las directivas de cumplimiento de dispositivos a los usuarios ajenos a la organización, configure las opciones de acceso entre inquilinos para confiar en MFA y las notificaciones de dispositivo compatibles desde inquilinos de DoD de confianza. - Acceso entre inquilinos Microsoft Graph API Las API de Microsoft Graph consultan el estado de cumplimiento del dispositivo. - APIs de privacidad y cumplimiento
`Target` 2.6.2 Enterprise Device Management Pt1 DoD Organizations migran el inventario manual de dispositivos a un enfoque automatizado mediante el punto de conexión unificado y la solución Device Management. Los dispositivos aprobados se pueden administrar independientemente de la ubicación. Los dispositivos que forman parte de los servicios críticos deben ser administrados por la solución de gestión unificada de dispositivos y puntos de conexión que admite la automatización. Outcomes: - El inventario manual se integra con una solución de administración automatizada para servicios críticos - Habilitar ZT Device Management (desde cualquier ubicación con o sin acceso remoto)	Microsoft Intune y acceso condicional Administrar dispositivos con Microsoft Intune. Configura directivas de cumplimiento del dispositivo. Requerir directivas de acceso condicional de dispositivo compatibles. Consulte la guía de Microsoft en la versión 2.1.4.
`Target` 2.6.3 Enterprise Device Management Pt2 Las organizaciones del Departamento de Defensa migran los dispositivos restantes a la solución Enterprise Device Management. La solución EDM se integra con soluciones de riesgo y cumplimiento según corresponda. Resultado: - El inventario manual se integra con una solución de administración automatizada para todos los servicios	Microsoft Intune y Acceso Condicional Administra dispositivos con Intune. Configura directivas de cumplimiento del dispositivo. Requerir un dispositivo compatible en las directivas de acceso condicional. Consulte la guía de Microsoft en la versión 2.1.4.

2.7 Detección y respuesta ampliadas y de punto de conexión (EDR y XDR)

El conjunto de defensa unificada Microsoft Defender XDR coordina la detección, prevención, investigación y respuesta entre extremos, identidades, correo electrónico y aplicaciones. Microsoft Defender XDR componentes detectan y defienden contra ataques sofisticados.

La integración de componentes de Microsoft Defender XDR amplía la protección más allá de los dispositivos. Consulte los eventos de detección de ejemplo que contribuyen al nivel de riesgo del usuario en Microsoft Entra ID Protection:

Patrones de envío de correo electrónico sospechosos detectados por Microsoft Defender para Office
Detecciones de desplazamientos imposibles en Microsoft Defender for Cloud Apps
Intenta acceder al token de actualización principal detectado por Microsoft Defender for Endpoint

Las directivas de acceso condicional basadas en riesgos pueden proteger, limitar o bloquear el acceso a los servicios en la nube para el usuario de riesgo, incluso si usan un dispositivo compatible en una red de confianza.

Para obtener más información, consulte enable componentes de Microsoft Defender XDR y ¿qué son los riesgos?

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 2.7.1 Implementación de herramientas de detección y respuesta de puntos de conexión (EDR) e integración con C2C Las organizaciones doD adquieren e implementan soluciones de detección y respuesta de puntos de conexión (EDR) en entornos. EDR protege, supervisa y responde a actividades malintencionadas y anómalas, habilitando la funcionalidad de ZT Target, y envía datos a la solución de Conformidad para Conexión para realizar comprobaciones ampliadas de dispositivos y usuarios. Resultados: - Herramientas de detección y respuesta de endpoints se implementan - los datos críticos de EDR se envían a C2C para comprobaciones - las herramientas de NextGen AV cubren la cantidad máxima de servicios o aplicaciones	Microsoft Defender for Endpoint Implementar Microsoft Defender para Endpoint en dispositivos de usuario final. Consulte la guía de Microsoft 2.3.1 en esta sección. Microsoft Intune Configurar las directivas de cumplimiento de dispositivos en Intune. Incluya la puntuación de riesgo del dispositivo de Defender para Endpoint para cumplir con las directivas. Consulte la guía de Microsoft 2.1.4. y en 2.3.2. Microsoft Defender for Cloud Enable Microsoft Defender for Server para suscripciones con máquinas virtuales en Azure. Los planes de Defender para Servidor incluyen Defender para Cloud para servidores. - Defender para servidores Use los servidores habilitados con Azure Arc para administrar y proteger Windows y servidores físicos Linux y máquinas virtuales fuera de Azure. Implemente el agente de Azure Arc para los servidores hospedados fuera de Azure. Incorpore servidores habilitados para Azure Arc a una suscripción protegida por Microsoft Defender para Server. - Azure Arc-enabled servers - agente de Máquina Conectada de Azure
`Target` 2.7.2 Implementar herramientas de detección y respuesta extendidas (XDR) e integrar con C2C Pt1 Las organizaciones doD adquieren e implementan soluciones de detección y respuesta extendidas (XDR). Los puntos de integración con capacidades de pilar cruzado se identifican y priorizan en función del riesgo. Los puntos de integración más arriesgados se accionan y se inicia la integración. EDR continúa la cobertura de puntos de conexión para incluir el número máximo de servicios y aplicaciones como parte de la implementación de XDR. Los análisis básicos se envían desde la pila de soluciones de XDR a la SIEM. Resultados: Los puntos de integración se han identificado por capacidad. Los puntos de integración más arriesgados se han integrado con XDR. Las alertas básicas están implementadas con SIEM y/u otros mecanismos.	Microsoft Defender XDRPilote e implemente componentes y servicios de Microsoft Defender XDR.Defender XDRSentinel y Defender XDR para Zero TrustConfigurar integraciones de los componentes implementados de Microsoft Defender XDR.Defender para punto de conexión con Defender para aplicaciones en la nubeDefender para identidad y Defender para aplicaciones en la nubeProtección de la información de Purview y Defender para aplicaciones en la nubeMicrosoft SentinelConfigurar los conectores de datos de Sentinel para Microsoft Defender XDR. Habilite las reglas de análisis. - Instalar Defender XDR - Conectar los datos de Defender XDR a Sentinel
`Advanced` 2.7.3 Implementar herramientas de detección y respuesta extendidas (XDR) e integrar con C2C Pt2 La pila de soluciones XDR completa la identificación de los puntos de integración que amplían la cobertura a la cantidad más completa posible. Se realiza un seguimiento de las excepciones y se administra mediante un enfoque metódico basado en riesgos para una operación continua. Los análisis ampliados que habilitan las funciones avanzadas de ZT se integran en SIEM y otras soluciones adecuadas. Resultados: los puntos de integración restantes se han integrado según corresponda : la alerta extendida y la respuesta se habilitan con otras herramientas de análisis al menos mediante SIEM.	Microsoft Defender XDR Use Microsoft Defender XDR en la estrategia de operaciones de seguridad. - Integrate Defender XDR en operaciones de seguridad

Pasos siguientes

Configura los servicios en la nube de Microsoft para la estrategia de Zero Trust del DoD.

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-03-26