Proteja los dispositivos móviles personales con Microsoft Intune y Defender for Endpoint

08:16 13/09/2021 | 2 Lượt xem


El año pasado, Microsoft anunció la vista previa pública de su propia solución Mobile Threat Defense para Android e iOS: Microsoft Defender for Endpoint. Desde entonces, Defender for Endpoint está disponible de forma generalizada y se han agregado nuevas funciones. Y, sin embargo, Microsoft está desarrollando el software para expandirlo con nuevas funciones.

Una de las funciones admitidas durante algunos meses es Compatibilidad con la administración de aplicaciones móviles (MAM) para dispositivos no registrados en Intune. Con MAM, Intune no administra el dispositivo en sí, pero sí administra las aplicaciones que pueden acceder a los datos corporativos. Puede encontrar más información sobre MAM aquí.

La disponibilidad del soporte MAM significa que también podemos proteger los dispositivos móviles de propiedad personal (BYOD) que utilizan nuestros empleados para acceder a los datos corporativos con Defender. Para esto, usamos un Política de protección de aplicaciones donde definimos el nivel de amenaza máximo permitido del dispositivo y la acción que se debe tomar cuando se encuentra una amenaza en el dispositivo.

Veamos qué necesitamos configurar para que esto funcione.

Integrar Microsoft Defender con Intune

Microsoft Defender no comparte información del dispositivo de forma predeterminada con Intune. Necesitamos habilitar esto en el portal de Microsoft 365 Defender.

Para configurar esta conexión, siga los pasos a continuación.

  • Inicie sesión en el portal de Microsoft 365 Defender
  • Navegar a DefinicionesPuntos finales
  • En el Características avanzadas interruptor de guía encendido Conexión de Microsoft Intune
  • Hacer clic guardar preferencias

Una vez que se establece la conexión, debemos conectar los dispositivos Android e iOS a Microsoft Defender para la evaluación de la directiva de protección de aplicaciones en el portal de Intune.

  • Inicie sesión en el centro de administración de Microsoft Endpoint Manager
  • Navegar a Administración de inquilinosConectores y tokens
  • abre el Microsoft Defender para Endpoint pestaña
  • Debajo Configuración de la política de protección de aplicaciones enciende ambas opciones para Android y iOS

Configurar la política de acceso condicional

Primero, creamos una política de acceso condicional (CA) en Azure Portal. Hacemos esto para asegurarnos de que la Política de protección de aplicaciones siempre se aplique cuando un usuario intenta acceder a datos corporativos en un dispositivo móvil. Por lo tanto, solo permitimos el acceso a los datos corporativos cuando se utiliza una aplicación de cliente aprobada.

En este ejemplo, configuramos una política de CA para la aplicación en la nube de Office 365 que contiene varias aplicaciones, como Exchange Online. Esta es solo una configuración de ejemplo.

  • Iniciar sesión en Azure Portal
  • Abierto La seguridad (directo o bajo Azure AD)
  • En el Acceso condicional haga clic en la pestaña + Nueva política
  • Proporcionar uno Nombre para la política
  • En el Usuarios y grupos seleccionar pestaña Todos los usuarios o seleccione un rol o grupo de seguridad
  • En el Aplicaciones o acciones en la nube guía elegir Todas las aplicaciones en la nube o selecciona una aplicación
  • Navegar a CondicionesPlataformas de dispositivos
  • Seleccione Android y iOS (o seleccione Cualquier dispositivo y excluya Windows y macOS)
  • En el aplicaciones cliente pestaña seleccione Configurar
  • Navegar a Controles de accesoConceder
  • Seleccione Requiere solicitud aprobada y Requerir política de protección de aplicaciones
  • Seleccione Requiere todos los controles seleccionados
  • Hacer clic yo creo

Configurar la política de protección de aplicaciones

Luego, configuramos una directiva de protección de aplicaciones en el portal de Intune. Aquí, configuramos la protección de datos, los requisitos de acceso y la configuración de liberación condicional. En liberación condicional, configuramos el Nivel de amenaza máximo permitido del dispositivo. Esto agrega el requisito de instalar Microsoft Defender en el dispositivo móvil. Dependiendo de nuestras necesidades, como acción, podemos elegir entre bloquear el acceso o limpiar los datos.

  • Regrese al centro de administración de Microsoft Endpoint Manager
  • Navegar a AplicacionesPolíticas de protección de aplicaciones
  • Hacer clic + Crear política
  • Escoger iOS / iPadOS o Androide
  • dale a la póliza un Nombre
  • entrar a Descripción (Opcional)
  • Hacer clic próximo
  • Escoger No
  • Seleccione No gestionado de la lista desplegable
  • Hacer clic Seleccionar aplicaciones públicas
  • Seleccione todas las aplicaciones a las que desea que se oriente la política
  • Hacer clic Seleccione – Haga clic en próximo
  • Configure los ajustes en protección de Datos pestaña
  • Hacer clic próximo
  • Configure los ajustes en Requisitos de acceso pestaña
  • Hacer clic próximo
  • Desplácese hacia abajo hasta Condiciones del dispositivo
  • Agregar Nivel de amenaza máximo permitido del dispositivo
  • Elija el nivel de amenaza en Valor
  • Seleccione la acción; bloquear el acceso o limpiar los datos
  • hacer clic próximo
  • terminar la creación de la política

Todo está listo para proteger nuestros datos corporativos con una política de protección de aplicaciones y Microsoft Defender for Endpoint.

Experiencia del usuario final: Android

Ahora, echemos un vistazo a la experiencia del usuario final. Para este ejemplo, usamos Microsoft Outlook en un dispositivo Android para acceder al buzón de un usuario.

Una vez que se agrega la cuenta a Outlook, se solicita al usuario que instalar la aplicación Portal de empresa. Cuando el usuario hace clic Obtener la aplicación, se redirige al usuario a Google Play Store para instalar la aplicación Portal de empresa.

La aplicación solo necesita estar instalada, no es necesario iniciar sesión en la aplicación. La aplicación se utiliza como una aplicación de intermediario para hacer cumplir la Política de protección de aplicaciones.

Después de instalar la aplicación Portal de empresa, es posible que se le soliciten las credenciales al usuario nuevamente. Una vez que la autenticación es exitosa, se le pide al usuario que registrar el dispositivo.

Durante el registro, se realizan algunas comprobaciones. O salud del dispositivo la comprobación fallará porque Defender aún no está instalado.

El usuario recibe un mensaje con información sobre cómo tener acceso al buzón.
Haciendo clic en Descargar, se abre Google Play Store para instalar Microsoft Defender.

Instalar en pc Extremo de Microsoft Defender.

Configurar Microsoft Defender permitiendo los permisos necesarios.

Una vez que todo esté en su lugar, se mostrará el siguiente mensaje; Integración completada.
Regresar a Outlook.

el usuario necesita Revisar otra vez para el estado de salud. Esto puede llevar algún tiempo, ya que es necesario realizar la sincronización entre el dispositivo y los servicios Defender e Intune.

Una vez que el dispositivo está en buen estado, el usuario se presenta debajo de la pantalla.
dispositivo saludable.

Se concede acceso al buzón.

Ahora instalemos un prueba de virus Aplicación Google Play Store para ver qué sucede cuando Defender se encuentra con una amenaza.

El acceso al buzón es obstruido o el buzón es limpio (con un ligero retraso), dependiendo de la acción definida en la Política de Protección de Aplicaciones.
Una vez que se elimina la amenaza, vuelva a Outlook y haga clic en revisar otra vez, para volver a verificar la integridad del dispositivo y obtener acceso al buzón nuevamente.

Panorama confirmar el estado de la solicitud
Una vez que todo vuelve a estar bien, se concede el acceso.

Suscripción de un dispositivo Android a un video:

Experiencia del usuario final: iOS

Para iOS, solo muestro la experiencia de registro en un iPhone.

Una vez que se completa la autenticación, también se nos solicita que instalemos la aplicación del corredor. Pero en iOS el Autenticador de Microsoft La aplicación funciona como la aplicación del corredor. Haga clic en Obtener la aplicación para abrir la App Store.

Instalar en pc la aplicación Authenticator y entrar cuando se le pida que inicie sesión.

Cuando la aplicación Authenticator esté instalada y hayamos iniciado sesión, regrese a Outlook.
Hacer clic Registro.

Se realiza el registro y se comprueba el estado de la solicitud.

La Política de protección de aplicaciones se aplica al dispositivo y debemos instalar Microsoft Defender para Endpoint.
Hacer clic Descarga desde la App Store.

Instale Microsoft Defender.

Entrar a la aplicación y configurar para activar defensor.

Regrese a Outlook para volver a comprobar el estado.

¡Y tenemos acceso a nuestro buzón!

La experiencia de registro con Intune Mobile Application Management en Android es, en mi opinión, un poco mejor en comparación con iOS. En iOS, no tengo una experiencia de registro constante. A veces, toma algún tiempo antes de que se aplique la Política de protección de aplicaciones y, por lo tanto, no se me solicita directamente un PIN ni que instale Defender. Además, después de instalar y activar Defender, a veces tengo acceso directo a mi buzón y otras veces necesito verificar el estado manualmente.

Si está probando la suscripción varias veces en un dispositivo iOS, le sugiero que reinicie el dispositivo entre cada suscripción. Cuando solo elimina las aplicaciones (Outlook. Authenticator y Defender, etc.), reinicia el dispositivo y realiza otro registro, la mayoría de las veces no se le pedirá que instale la aplicación Authenticator.

Eso es todo por esta publicación.
¡Gracias por leer!

Related Posts

Agregar fondos a archivos PDF

Este artículo explicará cómo agregar un fondo a un PDF con Foxit PDF Editor. Para agregar un nuevo fondo, haga lo siguiente: 1. Abra un documento al que desee agregar un fondo y elija...

lên đầu trang