Compartir a través de

Estrategia de Confianza cero del DoD para el pilar del dispositivo

El DoD Confianza cero Strategy and Roadmap describe una ruta para que los componentes del Departamento de Defensa y socios de la Base Industrial de Defensa (DIB) adopten un nuevo marco de ciberseguridad basado en principios de Confianza cero. Confianza cero elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, las experiencias del usuario y el rendimiento de la misión.

En esta guía se incluyen recomendaciones para las 152 actividades de Confianza cero en el DoD Confianza cero Hoja de Ruta de Ejecución de Capacidades. Las secciones corresponden a los siete pilares del modelo de Confianza cero doD.

Use los vínculos siguientes para ir a las secciones de la guía.

  • Introducción
  • Usuario
  • Dispositivo
  • Aplicaciones y cargas de trabajo
  • Datos
  • Network
  • Automatización y orquestación
  • Visibilidad y análisis

2 Dispositivo

En esta sección se incluyen instrucciones y recomendaciones de Microsoft para las actividades de Confianza cero del DoD en el pilar de dispositivos. Para obtener más información, consulte Securing endpoints with Confianza cero .

2.1 Inventario de dispositivos

Microsoft Intune y Microsoft Defender para punto de conexión configuran, evalúan el estado de seguridad y detectan vulnerabilidades de software en dispositivos. Utiliza la integración de Microsoft Entra ID y Microsoft Intune para aplicar directivas de dispositivos que cumplan para garantizar el acceso a recursos.

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft
2.1.1 Análisis de brechas de la herramienta de salud del dispositivo. Las organizaciones del Departamento de Defensa desarrollan un inventario manual de dispositivos en el entorno. Los atributos del dispositivo que se rastrean en el inventario permiten la funcionalidad descrita en el nivel objetivo de ZTA. Resultado:- Se crea un inventario manual de dispositivos por organización con propietarios. Microsoft Entra ID
Registrar dispositivos de usuario final con Microsoft Entra ID y gestionar identidades de dispositivo desde el Centro de administración de Microsoft Entra. La página Información general de dispositivos realiza un seguimiento de los recursos del dispositivo, el estado de administración, el sistema operativo, el tipo de combinación y el propietario.
- Dispositivos registrados
- Dispositivos unidos híbridos
- Listar dispositivos
- Gestionar identidades de dispositivos

Microsoft Entra Connect Sync
Utilizar Connect Sync para sincronizar dispositivos administrados por Active Directory con Microsoft Entra ID.
- Dispositivos unidos híbridos

Microsoft Intune
Ver información de dispositivos sobre dispositivos administrados desde el centro de administración de Microsoft Intune. Recupere diagnósticos de dispositivos Windows mediante la acción remota Recopilar diagnósticos.
- Detalles del dispositivo
- diagnósticos de dispositivos Windows

Microsoft Endpoint Administrador de configuración
Use la administración conjunta para adjuntar una implementación de Administrador de configuración a la nube de Microsoft 365.
- Administración conjunta

Microsoft Defender para Endpoint
Ver dispositivos protegidos por Defender para Endpoint en el portal de Microsoft Defender.
- Inventario de dispositivos
2.1.2 NPE/PKI, dispositivo bajo administraciónLas organizaciones de DoD usan el servicio o solución PKI de DoD Enterprise para implementar certificados x509 en todos los dispositivos compatibles y administrados. Otras entidades que no son personas físicas (NPEs) adicionales que admiten certificados x509 se asignan en los sistemas PKI y/o IdP. Resultado:- Las entidades que no son personas físicas se administran mediante la PKI de la organización i el IDP de la organización Microsoft IntuneAgregar el Conector de Certificados de Intune para el aprovisionamiento de certificados en puntos finales.Conector de certificadosCertificados para la autenticaciónUsar perfiles de red de Intune para facilitar la autenticación de los dispositivos administrados en tu red. Agregue un certificado de Protocolo simple de inscripción de certificados (SCEP).
- Configuración de Wi-Fi de dispositivos
- Configuración de red cableada de dispositivos Windows

Integre Intune con socios de control de acceso a la red (NAC) para proteger los datos cuando los dispositivos acceden a recursos locales.
- Integración de NAC

Directiva de administración de aplicaciones
Configure la directiva de administración de aplicaciones del inquilino para restringir las credenciales de la aplicación a los certificados emitidos por la PKI empresarial.

Consulte la guía de Microsoft 1.9.1 en Usuario.

Azure IoT Hub
Configure Azure IoT Hub para usar y aplicar la autenticación X.509.
- Autentique identidades con certificados X.509

Microsoft Defender for Identity
Si su organización aloja su PKI con los Servicios de certificados de Active Directory (AD CS), implemente sensores de Defender for Identity y configure la auditoría de AD CS.
- Sensor de AD CS
- Configurar auditorías para AD CS
2.1.3 IDP de empresa Pt1El proveedor de identidades (IdP) empresarial de DoD, ya sea utilizando una tecnología centralizada o tecnologías organizativas federadas, integra entidades que no son personas físicas (NPE), como dispositivos y cuentas de servicio. El seguimiento de la integración en la solución de Enterprise Administración de dispositivos se realiza, cuando es aplicable, para determinar si está integrada o no. Las NPEs que no se pueden integrar con el IdP se marcan para retirarse o se exceptúan mediante un enfoque metódico basado en riesgos. Resultado:- Las NPE, incluidos los dispositivos, se integran con el IdP empresarial Microsoft Entra registración de dispositivos unidos
Use Microsoft Entra dispositivos unidos para dispositivos cliente Windows nuevos y reconfigurados. Microsoft Entra dispositivos unidos tienen una experiencia de usuario mejorada para el inicio de sesión en aplicaciones en la nube, como Microsoft 365. Los usuarios acceden a recursos locales mediante dispositivos unidos a Microsoft Entra.
- Dispositivos unidos
- Inicio de sesión único en recursos locales en dispositivos unidos

Microsoft Intune
Configure la inscripción automática para los dispositivos Windows 10 u 11 unidos a un inquilino de Microsoft Entra.
- Inscripción automática

Microsoft Entra Connect Sync
Si la organización sincroniza Active Directory con Microsoft Entra ID mediante Connect Sync, para registrar automáticamente dispositivos con Microsoft Entra ID, configure los dispositivos para que sean híbridos unidos.
- Dispositivos híbridos unidos

Aplicaciones de Microsoft Entra
Registre aplicaciones con Microsoft Entra y utilice entidades de servicio para acceso mediante programación a Microsoft Entra y API protegidas, como Microsoft Graph. Configurar directivas de administración de aplicaciones para restringir los tipos de credenciales de aplicación.

Consulte la guía de Microsoft 2.1.2.

Id. de carga de trabajo de Microsoft Entra
Utilice la federación de identidades de carga de trabajo para acceder a los recursos protegidos de Microsoft Entra en acciones de GitHub y otros escenarios admitidos.
- Federación de identidades de carga de trabajo

Identidades administradas
Utilice identidades administradas para recursos de Azure admitidos y máquinas virtuales habilitadas para Azure Arc.
- Identidades administradas para recursos de Azure
- Servidores habilitados para Azure Arc

Azure IoT Hub
Utilice Microsoft Entra ID para autenticar solicitudes a las API de servicio de Azure IoT Hub.
- Controlar el acceso a IoT Hub
2.1.4 IDP empresarial Pt2El proveedor de identidades (IdP) empresarial de DoD ya sea mediante una tecnología centralizada o tecnologías organizativas federadas, agrega atributos dinámicos adicionales para las NPE, como la ubicación, los patrones de uso, etc. Resultado:- Los atributos de dispositivo condicional forman parte del perfil de IdP. Microsoft Defender para Endpoint
Despliegue Defender para Endpoint en dispositivos de escritorio de usuario final, dispositivos móviles administrados y servidores.
- Incorporar dispositivos
- Defender para Endpoint en dispositivos con Intune
- Incorporar servidores Windows

Microsoft Intune
Gestione dispositivos de usuario final con Intune. Configura directivas de cumplimiento de Intune para dispositivos administrados. Incluya la puntuación de riesgo de la máquina de Microsoft Defender para punto de conexión en las directivas de cumplimiento de Intune.
- Planifique las directivas de cumplimiento
- Directiva de cumplimiento para el nivel de riesgo de dispositivo
- Directivas de cumplimiento personalizadas
- Configure los dispositivos Windows en Intune
- Configuración de seguridad de Android Enterprise
- Dispositivos iOS y iPadOS en Intune

Si su organización utiliza una solución de Mobile Threat Defense (MTD) de terceros, configure el conector de Intune.
- Configuración de MTD

Administración de aplicaciones móviles
Utilice MAM de Intune para dispositivos no inscritos para configurar y proteger aplicaciones para dispositivos BYOD (Bring Your Own Device).
- Administración de aplicaciones

2.2 Detección y conformidad de dispositivos

Las políticas de cumplimiento de Microsoft Intune aseguran que los dispositivos cumplan con los estándares de la organización. Las directivas de cumplimiento pueden evaluar la configuración del dispositivo en una línea de base de seguridad. Las directivas utilizan el estado de protección de Microsoft Defender para punto de conexión y la puntuación de riesgo de la máquina para determinar el cumplimiento. El acceso condicional usa el estado de cumplimiento de dispositivos a fin de tomar decisiones de acceso dinámico para usuarios y dispositivos, incluidos los de tipo traer tus propios dispositivos (BYOD).

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft
2.2.1 Implementación de la autorización de red basada en C2C o cumplimiento Pt1La empresa DoD que trabaja con las organizaciones desarrolla una directiva, una norma y requisitos para Cumplimiento para conectarse. Una vez alcanzado el acuerdo, se inicia la adquisición de soluciones, se selecciona un proveedor y la implementación comienza con la función de nivel base en entornos de destino ZT (bajo riesgo). Las comprobaciones de nivel base se implementan en la nueva solución Comply to Connection, facilitando el cumplimiento de las funcionalidades objetivo de ZTA. Resultados:- C2C se aplica en el nivel empresarial para entornos de bajo riesgo y pruebas- Las comprobaciones básicas de dispositivos se implementan mediante C2C. Microsoft Intune
Administrar dispositivos con Intune y configurar directivas de cumplimiento de dispositivos. Utiliza la administración de aplicaciones móviles (MAM) de Intune para proteger las aplicaciones en dispositivos BYOD no registrados. Consulte la guía proporcionada por Microsoft en 2.1.4: Acceso condicional. Usa señales del dispositivo compatibles con Intune, ubicación y señales de riesgo de inicio de sesión en las directivas de acceso condicional. Usar filtros de dispositivo para directivas de acceso condicional, basado en los atributos de dispositivo.
- Requerir dispositivos en cumplimiento
- Condiciones
- Filtro para dispositivos
- Acceso condicional con Intune

Id. de carga de trabajo de Microsoft Entra
Crear directivas de acceso condicional para identidades de carga de trabajo mediante controles de riesgo y ubicación.
- Acceso condicional para identidades de carga de trabajo
- Identidades de carga de trabajo seguras
2.2.2 Implementar la autorización de red basada en C2C/Compliance Pt2 Las organizaciones DoD amplían la implementación y el uso de Comply to Connect a todos los entornos admitidos necesarios para satisfacer las funcionalidades avanzadas de ZT. Los equipos de Cumplir para Conectar integran sus soluciones con el IdP de la empresa y las Puertas de Enlace de Autorización para gestionar mejor el acceso y las autorizaciones a los recursos. Resultados:- C2C se aplica en todos los entornos admitidos- Las comprobaciones avanzadas de dispositivos se completan e integran con el acceso dinámico, el IdP empresarial y ZTNA. aplicaciones Microsoft EntraIntegre aplicaciones y controle el acceso de usuario con Microsoft Entra ID.Consulte la guía de Microsoft 1.2.4 en User.Microsoft Intune y Microsoft Defender para EndpointAdministre dispositivos con Intune, implemente Defender para Endpoint y configure una política de cumplimiento de dispositivos mediante la puntuación de riesgo de la máquina de Defender para Endpoint.Consulte la guía de Microsoft 2.1.4 en esta sección.Acceso CondicionalCree directivas de acceso condicional que requieran dispositivos cumplidores para el acceso a aplicaciones.Consulte la guía de Microsoft en 2.2.1.proxy de aplicación Microsoft EntraImplemente un proxy de aplicación o una solución de socio de acceso híbrido seguro (SHA) para habilitar el acceso condicional a aplicaciones locales y heredadas a través del Acceso a Red de Confianza Cero (ZTNA).SHA con integración de Microsoft EntraMicrosoft TunnelTunnel es una solución de puerta de enlace de red privada virtual (VPN) para dispositivos administrados por Intune y dispositivos no inscritos con aplicaciones administradas por Intune. Tunnel usa Microsoft Entra ID para la autenticación y las directivas de acceso condicional para el acceso de dispositivos móviles a aplicaciones locales.
- Tunnel para Intune

2.3 Autorización del dispositivo con inspección en tiempo real

El acceso condicional es el motor de directivas de Confianza cero para productos y servicios en la nube de Microsoft. Evaluar las políticas de Confianza cero en el IdP avanza el modelo cumplir para conectar (C2C) mediante la aplicación de controles adaptativos antes de acceder a los recursos. Las directivas de acceso condicional usan señales de seguridad de Microsoft Entra ID, Microsoft Defender XDR y Microsoft Intune.

Microsoft Defender XDR componentes evalúan los niveles de riesgo de dispositivo e identidad mediante detecciones de aprendizaje automático (ML) y habilitando decisiones dinámicas basadas en riesgos para permitir, bloquear o controlar el acceso a datos, aplicaciones, recursos y servicios (DAAS).

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft
2.3.1 Supervisión de actividades de la entidad Pt1Mediante las líneas de base de usuario y dispositivo desarrolladas, las organizaciones DoD utilizan la solución Actividad de comportamiento de usuarios y entidades (UEBA) implementada para integrar líneas de base. Los atributos y líneas de base del dispositivo de UEBA están disponibles a fin de usarse para las detecciones de autorización de dispositivos. Resultados:- Los atributos UEBA están integrados para la línea de base del dispositivo- Los atributos UEBA están disponibles para su uso con acceso al dispositivo Microsoft Intune y Microsoft Defender para Endpoint
Administre dispositivos con Intune, despliegue Defender para Endpoint y configure una directiva de cumplimiento de dispositivos mediante la puntuación de riesgo de la máquina de Defender para Endpoint.

Consulte la guía de Microsoft en 2.1.4.

Acceso Condicional
Cree directivas de acceso condicional que requieran un dispositivo conforme para el acceso a aplicaciones.

Consulte las instrucciones de Microsoft en 2.2.1.

Protección de Identidades de Microsoft Entra
Configure directivas de acceso condicional para niveles de riesgo de identidad en Protección de Identidades de Microsoft Entra.

Consulte la guía de Microsoft 1.6.1 en User.
2.3.2 Supervisión de la actividad de las entidades Pt2 Las organizaciones del Departamento de Defensa utilizan la solución de Actividad de Comportamiento de Usuarios y Entidades (UEBA) junto con soluciones de acceso a redes para exigir los atributos de UEBA (como el estado del dispositivo, los patrones de inicio de sesión, etc.) con el fin de acceder a entornos y recursos. Resultado:- Los atributos UEBA se exigen para el acceso al dispositivo Acceso condicional Usa señales de estado del dispositivo, ubicación y riesgo de identidad compatibles con Intune en las políticas de acceso condicional. Usa filtros de dispositivo para establecer como destino las directivas de acceso condicional en función de los atributos del dispositivo.Consulta la guía de Microsoft en 2.2.1 y en 2.3.1.
2.3.3 Implementación de herramientas de control de aplicaciones y supervisión de integridad de archivos (FIM)Las organizaciones DoD adquieren e implementan soluciones de supervisión de integridad de archivos (FIM) y de control de aplicaciones. FIM continúa el desarrollo y la expansión de la supervisión en el pilar de datos. El control de aplicaciones se implementa en entornos de bajo riesgo en un modo de solo supervisión que establece asignaciones de línea de base. Los equipos de control de aplicaciones que se están integrando con los entornos PKI de empresa y organización usan certificados para las asignaciones de aplicaciones. NextGen AV cubre todos los servicios y aplicaciones posibles Resultados:- Las herramientas AppControl y FIM se implementan en todos los servicios o aplicaciones críticos- Las herramientas EDR cubren la cantidad máxima de servicios o aplicaciones- Los datos de AppControl y FIM se envían a C2C según sea necesario. Microsoft Defender para punto de conexiónDefender para punto de conexión agrega señales de supervisión de integridad de archivos (FIM), Control de aplicaciones, Antivirus de próxima generación (NGAV) y mucho más para la puntuación de riesgo de la máquina.Protección de próxima generaciónAntivirus para dispositivos administradosAcceso controlado a carpetasMicrosoft IntuneConfigure las directivas de seguridad de App Control en endpoint en Microsoft Intune.Aplicaciones aprobadas con App Control para EmpresasReglas de archivo y directivas de AppControl de Windows DefenderAcceso condicionalPara lograr el modelo de cumplimiento a conexión (C2C), integrar aplicaciones con Microsoft Entra ID y requerir el control de otorgamiento para dispositivos compatibles en el acceso condicional.Consulte la guía de Microsoft en 2.2.2.
2.3.4 Integración de las herramientas NextGen AV C2CLas organizaciones DoD adquieren e implementan soluciones antivirus y antimalware de última generación según sea necesario. Estas soluciones se integran con la implementación inicial de Comply to Connect para las comprobaciones de estado iniciales de firmas, actualizaciones, etc. Resultados: - Se envían datos críticos de NextGen AV a C2C para realizar comprobaciones - Las herramientas de NextGen AV se implementan en todos los servicios o aplicaciones críticas Microsoft Intune
Cree políticas de cumplimiento de dispositivos para antivirus y la puntuación de riesgo de máquina de Microsoft Defender para punto de conexión.
- Política antivirus para la seguridad del endpoint

Consulte la guía de Microsoft en 2.2.2.
2.3.5 Integrar completamente la pila de seguridad de dispositivos con C2C según corresponda. Las organizaciones del DoD continúan la implementación del Control de aplicaciones en todos los entornos y en modo de prevención. La supervisión de la integridad de los archivos (File Integrity Monitoring, FIM) y el análisis de Controles de Aplicaciones se integran en Comply to Connect para proporcionar puntos de datos expandidos para la toma de decisiones de acceso. Los análisis de Comply to Connect se evalúan para obtener otros puntos de datos relevantes en la pila de seguridad de los dispositivos o terminales, como UEDM, y se integran cuando es necesario. Resultados:- La implementación de AppControl y FIM se expande a todos los servicios o aplicaciones necesarios- Se implementan los datos restantes de las herramientas de seguridad de dispositivos con C2C Actividad 2.3.4.

Microsoft Defender for Cloud Apps
Identificar y controlar aplicaciones en la nube de riesgo con directivas de Defender for Cloud Apps.
- Control de aplicaciones en la nube con directivas
2.3.6 PKI de empresa Pt1La infraestructura de clave pública (PKI) de empresa de DoD se amplía para incluir la incorporación de certificados NPE y de dispositivo. Los NPE y los dispositivos que no admiten certificados PKI se marcan para su retiro y comienza su desmantelamiento. Resultados:- Los dispositivos que no pueden tener certificados se eliminan o se mueven a entornos de acceso mínimos- Todos los dispositivos y NPE tienen certificados instalados para la autenticación en la PKI de empresa Microsoft Intune
Use Microsoft Intune para implementar certificados PKI de DoD en dispositivos.

Vea la guía de Microsoft en 2.1.2.

Directiva de administración de aplicaciones
Configure la directiva de administración de aplicaciones del inquilino para restringir las credenciales de aplicación a los certificados emitidos por la PKI empresarial.

Vea la guía de Microsoft 1.5.3 en User.

Microsoft Defender for Cloud Apps
Configure las directivas de acceso para exigir certificados de cliente para el acceso a aplicaciones y bloquear el acceso no autorizado al dispositivo.
- Directivas de Acceso
2.3.7 PKI de empresa Pt2Las organizaciones DoD usan certificados para la autenticación de dispositivos y las comunicaciones de máquina a máquina. Los dispositivos no admitidos completan la retirada y las excepciones se aprueban mediante un enfoque metódico basado en riesgos. Resultado:- Los dispositivos deben autenticarse para comunicarse con otros servicios y dispositivos. Microsoft Intune y acceso condicional
Integrar aplicaciones con Microsoft Entra ID, administrar dispositivos con Intune, proteger dispositivos con Microsoft Defender para punto de conexión y configurar directivas de cumplimiento. Incluye una directiva de cumplimiento para la evaluación de riesgo de máquina en Defender para Endpoint. Exige el control de concesión compatible en las directivas de acceso condicional.Consulta la guía de Microsoft en 2.2.2.

2.4 Acceso remoto

Microsoft Entra ID es un proveedor de identidades (IdP) denegado de forma predeterminada. Si usa Microsoft Entra para el inicio de sesión de la aplicación, los usuarios autentican y pasan comprobaciones de directiva de acceso condicional antes de que Microsoft Entra autorice el acceso. Puede usar Microsoft Entra ID para proteger las aplicaciones hospedadas en la nube o en el entorno local.

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft
2.4.1 Denegación de dispositivo de manera predeterminadaLas organizaciones DoD bloquean el acceso a los recursos a todos los dispositivos remotos y locales no administrados. A los dispositivos administrados conformes se les proporciona acceso metódico basado en riesgos siguiendo los conceptos de nivel objetivo de ZTA. Resultados:- Los componentes pueden bloquear el acceso de dispositivos de manera predeterminada a los recursos (aplicaciones o datos) y permitir explícitamente dispositivos compatibles por directiva- El acceso remoto está habilitado siguiendo un enfoque de "denegar dispositivo de manera predeterminada". aplicaciones de Microsoft Entra ID
El acceso a aplicaciones y recursos protegidos por Microsoft Entra ID se deniega de forma predeterminada. El acceso a recursos requiere autenticación, derechos activos y autorización mediante directivas de acceso condicional.
- Integrar aplicaciones
- Integración de aplicaciones

Microsoft Intune
Administra dispositivos con Intune. Configura directivas de cumplimiento del dispositivo. Exige el cumplimiento del dispositivo en las directivas de acceso condicional para todos los usuarios y aplicaciones.Consulta la guía de Microsoft en 2.2.1.
Target 2.4.2 Soporte para BYOD e IoT Administrados y Limitados
Las organizaciones del DoD utilizan Unified Endpoint and Administración de dispositivos (UEDM) y soluciones similares para asegurarse de que los dispositivos Bring Your Own Device (BYOD) e Internet de las cosas (IoT) gestionados estén totalmente integrados con Enterprise IdP, habilitando la autorización basada en usuarios y dispositivos. El acceso al dispositivo para todas las aplicaciones requiere directivas de acceso dinámico. Resultados:- Todas las aplicaciones requieren acceso de permisos dinámicos para dispositivos- Los permisos de dispositivo BYOD e IoT tienen línea de base y están integrados con el IdP empresarial		 Complete la actividad 2.4.1.

Microsoft Intune
Utilice la administración de dispositivos y aplicaciones móviles de Intune para implementar BYOD (Bring Your Own Device).
- Administración de aplicaciones móviles para dispositivos no inscritos
- Políticas de protección de aplicaciones

Acceso Condicional
Requiere que el dispositivo sea compatible y/o que haya una política de protección de aplicaciones en el Acceso Condicional para todos los usuarios y aplicaciones.
- Aplicación cliente aprobada o política de protección de aplicaciones
- Política de protección de aplicaciones en dispositivos Windows

Id. externa de Microsoft Entra
Configure la configuración de acceso entre inquilinos para confiar en los controles de dispositivos compatibles con los socios de confianza.
- Configuración de acceso entre inquilinos para la colaboración B2B

Microsoft Defender para IoT
Implemente sensores de Defender for IoT para obtener visibilidad, además de supervisar y proteger dispositivos IoT y tecnología operativa (OT). Asegúrate de que el software del dispositivo esté actualizado y cambia las contraseñas locales. No utilice contraseñas por defecto.
- Defender para IoT
- Seguridad de IoT y OT con Confianza cero
- Estrategia nacional de ciberseguridad de los EE. UU. para proteger IoT
2.4.3 Administrado y completo BYOD & Soporte de IoT Pt1Las organizaciones del DoD utilizan la Gestión Unificada de Dispositivos y Endpoints (UEDM) y soluciones similares para permitir el acceso de dispositivos gestionados y aprobados a servicios/aplicaciones críticas para la misión y operacionales utilizando políticas de acceso dinámicas. Los dispositivos BYOD y de Internet de las cosas (IoT) son necesarios para cumplir las comprobaciones de línea de base estándar antes de la autorización. Resultados:- Solo los dispositivos BYOD e IoT que cumplen los estándares de configuración obligatorios tienen permiso para acceder a los recursos- Los servicios críticos requieren acceso dinámico para los dispositivos Complete la actividad 2.4.2.

Microsoft Defender for Cloud Apps
Configurar las políticas de acceso para requerir certificados de cliente para el acceso a la aplicación. Bloquea el acceso desde dispositivos no autorizados.Consulta la guía de Microsoft en 2.3.6.
Advanced 2.4.4 Compatibilidad Administrada y Completa BYOD & IOT Pt2
Las organizaciones del DoD utilizan la Gestión Unificada de Puntos de Extremo y Dispositivos (UEDM) y soluciones similares para permitir el acceso a dispositivos no gestionados que cumplen con las verificaciones de dispositivos y los estándares de referencia. Todos los servicios o aplicaciones posibles están integrados para permitir el acceso a dispositivos administrados. Los dispositivos no administrados se integran con servicios o aplicaciones basados en el enfoque de autorización metódica controlada por riesgos. Resultado:- Todos los servicios posibles requieren acceso dinámico para los dispositivos		 Azure Virtual Desktop
Deploy Azure Virtual Desktop (AVD) para admitir el acceso remoto desde dispositivos no administrados. Conecte las máquinas virtuales del host de sesión de AVD a Microsoft Entra y administre la conformidad con Microsoft Intune. Permitir el inicio de sesión en AVD con autenticación sin contraseña o un autenticador resistente a phishing sin contraseña desde dispositivos no administrados.
- Máquinas virtuales de Microsoft Entra unidas en AVD
- Fortaleza de la autenticación

Microsoft Defender for Cloud Apps
Use el control de sesión de Defender for Cloud Apps para supervisar y restringir las sesiones web de dispositivos no administrados.
- Directivas de sesión

2.5 Administración de recursos, vulnerabilidades y revisiones parcial y totalmente automatizada

Microsoft Endpoint Manager admite soluciones híbridas e híbridas (de administración conjunta) basadas en la nube para la administración de dispositivos. Las directivas de configuración y cumplimiento garantizan que los dispositivos cumplan con los requisitos de nivel de actualización y configuración de seguridad de tu organización.

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft
2.5.1 Implementación de las herramientas de administración de activos, vulnerabilidades y revisionesLas organizaciones DoD implementan soluciones para administrar configuraciones de recursos o dispositivos, vulnerabilidades y revisiones. Equipos que utilizan estándares de cumplimiento mínimos (por ejemplo, STIG, etc.) pueden confirmar o denegar el cumplimiento de dispositivos administrados. Como parte del proceso de adquisición e implementación de soluciones, las API u otras interfaces programáticas estarán en el ámbito de los niveles futuros de automatización e integración. Resultados:- Los componentes pueden confirmar si los dispositivos cumplen los estándares mínimos de cumplimiento- Los componentes tienen sistemas de administración de recursos, vulnerabilidades y revisiones con API que permitirán la integración en los sistemas. Microsoft Intune
Gestionar dispositivos en Intune.

See Microsoft guidance in 2.1.4.

Utilizar la administración conjunta de Microsoft Endpoint Manager para dispositivos heredados.
- Administración de puntos de conexión
- Administración conjunta

Directivas de actualización y configuración para plataformas de dispositivos administradas con Intune.
- iOS e iPadOS
- Directivas de actualización de software para macOS
- Actualizaciones FOTA de Android
- Actualizaciones de Windows 10 y 11

Microsoft Defender para punto de conexión
Integrar Microsoft Defender para punto de conexión con Microsoft Intune. Remedie las vulnerabilidades del endpoint con directivas de configuración de Microsoft Intune.
- Administración de vulnerabilidades de Microsoft Defender
- Use Microsoft Intune y las vulnerabilidades identificadas por Microsoft Defender para punto de conexión

2.6 Administración unificada de puntos de conexión y administración de dispositivos móviles

Las directivas de configuración y cumplimiento de Microsoft Intune garantizan que los dispositivos cumplan con los requisitos de configuración de seguridad de la organización. Intune evalúa las directivas de cumplimiento y marca los dispositivos como compatibles o no compatibles. Las directivas de acceso condicional pueden usar el estado de cumplimiento de dispositivos para impedir que los usuarios con dispositivos no compatibles accedan a los recursos protegidos por Microsoft Entra ID.

Id. externa de Microsoft Entra configuraciones de acceso entre inquilinos incluyen la configuración de confianza para la colaboración de invitados. Estas configuraciones se pueden personalizar para cada inquilino asociado. Cuando confíe en dispositivos compatibles con otro inquilino, los invitados que usen dispositivos compatibles en su inquilino de origen satisfarán las directivas de Acceso Condicional que requieran dispositivos compatibles en su inquilino. No es necesario realizar excepciones a las directivas de acceso condicional para evitar el bloqueo de invitados externos.

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft
Target 2.6.1 Implementación de UEDM o herramientas equivalentes
Las organizaciones del DoD trabajarán estrechamente con la actividad "Implementar recursos, vulnerabilidades y herramientas de administración de revisiones" para adquirir e implementar una solución de Gestión Unificada de Endpoints y Dispositivos (UEDM) que garantice la integración de los requisitos con el proceso de adquisición. Una vez que se obtiene una solución, los equipos de UEDM garantizan que las funcionalidades críticas de objetivos ZT, como el cumplimiento mínimo, la administración de recursos y la compatibilidad con API, se implementen. Resultados:- Los componentes pueden confirmar si los dispositivos cumplen los estándares mínimos de cumplimiento- Los componentes tienen sistemas de administración de recursos para dispositivos de usuario (teléfonos, escritorios, portátiles) que mantienen el cumplimiento de TI, que se notifica a DoD empresarial- Los sistemas de administración de recursos de componentes pueden proporcionar mediante programación, es decir, mediante API, el estado de cumplimiento del dispositivo y si cumple los estándares mínimos		 Completa la actividad 2.3.2.

Microsoft Intune
El estado de cumplimiento de los dispositivos se integra con el proveedor de identidades (IdP), Microsoft Entra ID, mediante las señales de cumplimiento de Intune en el Acceso Condicional. Vea el estado de cumplimiento del dispositivo en el Centro de administración de Microsoft Entra o mediante Microsoft Graph API.
- Directivas de cumplimiento
- Informes de Intune

ID externo de Microsoft Entra
A fin de ampliar las directivas de cumplimiento de dispositivos a los usuarios ajenos a la organización, configure las opciones de acceso entre inquilinos para confiar en MFA y las notificaciones de dispositivo compatibles desde inquilinos de DoD de confianza.
- Acceso entre inquilinos

Microsoft Graph API
Las API de Microsoft Graph consultan el estado de cumplimiento del dispositivo.
- APIs de privacidad y cumplimiento
Target 2.6.2 Enterprise Administración de dispositivos Pt1
DoD Organizations migran el inventario manual de dispositivos a un enfoque automatizado mediante el punto de conexión unificado y la solución Administración de dispositivos. Los dispositivos aprobados se pueden administrar independientemente de la ubicación. Los dispositivos que forman parte de los servicios críticos deben ser administrados por la solución de gestión unificada de dispositivos y puntos de conexión que admite la automatización.

Outcomes:
- El inventario manual se integra con una solución de administración automatizada para servicios críticos
- Habilitar ZT Administración de dispositivos (desde cualquier ubicación con o sin acceso remoto)

 Microsoft Intune y acceso condicional
Administrar dispositivos con Microsoft Intune. Configura directivas de cumplimiento del dispositivo. Exige el cumplimiento del dispositivo en las directivas de acceso condicional.Consulta la guía de Microsoft en 2.1.4.
Target 2.6.3 Enterprise Administración de dispositivos Pt2
Las organizaciones del Departamento de Defensa migran los dispositivos restantes a la solución Enterprise Administración de dispositivos. La solución EDM se integra con soluciones de riesgo y cumplimiento según corresponda.Resultado: - El inventario manual se integra con una solución de administración automatizada para todos los servicios		 Microsoft Intune y Acceso Condicional
Administra dispositivos con Intune. Configura directivas de cumplimiento del dispositivo. Requerir un dispositivo compatible en las directivas de acceso condicional.Consulte las instrucciones de Microsoft en 2.1.4.

2.7 Detección y respuesta ampliadas y de punto de conexión (EDR y XDR)

El conjunto de defensa unificada Microsoft Defender XDR coordina la detección, prevención, investigación y respuesta entre extremos, identidades, correo electrónico y aplicaciones. Microsoft Defender XDR componentes detectan y defienden contra ataques sofisticados.

La integración de componentes de Microsoft Defender XDR amplía la protección más allá de los dispositivos. Consulte los eventos de detección de ejemplo que contribuyen al nivel de riesgo del usuario en Protección de Microsoft Entra ID:

  • Patrones de envío de correo electrónico sospechosos detectados por Microsoft Defender para Office
  • Detecciones de desplazamientos imposibles en Microsoft Defender for Cloud Apps
  • Intenta acceder al token de actualización principal detectado por Microsoft Defender para punto de conexión

Las directivas de acceso condicional basadas en riesgos pueden proteger, limitar o bloquear el acceso a los servicios en la nube para el usuario de riesgo, incluso si usan un dispositivo compatible en una red de confianza.

Para obtener más información, consulte enable componentes de Microsoft Defender XDR y ¿qué son los riesgos?

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft
2.7.1 Implementar herramientas de Detección y Respuesta de Puntos de Conexión (EDR) e integrarlas con C2C. Las organizaciones del DoD adquieren e implementan soluciones de Detección y Respuesta de Puntos de Conexión (EDR) dentro de los entornos. EDR protege, supervisa y responde a actividades malintencionadas y anómalas, habilitando la funcionalidad de ZT Target, y envía datos a la solución de Conformidad para Conexión para realizar comprobaciones ampliadas de dispositivos y usuarios. Resultados:- Implementación de las herramientas de Detección y respuesta de puntos de conexión- Envío de datos críticos de EDR a C2C para realizar comprobaciones- Las herramientas de NextGen AV cubren la cantidad máxima de servicios o aplicaciones Microsoft Defender para punto de conexión
Implementar Microsoft Defender para Endpoint en dispositivos de usuario final.

Consulte la guía de Microsoft 2.3.1 en esta sección.

Microsoft Intune
Configurar las directivas de cumplimiento de dispositivos en Intune. Incluya la puntuación de riesgo de dispositivos de Microsoft Defender para Endpoint para el cumplimiento de directivas. Consulte la guía de Microsoft 2.1.4. y en 2.3.2.

Microsoft Defender for Cloud
Enable Microsoft Defender for Server para suscripciones con máquinas virtuales en Azure. Los planes de Defender para Servidor incluyen Defender para Cloud para servidores.
- Defender para servidores

Use los servidores habilitados con Azure Arc para administrar y proteger Windows y servidores físicos Linux y máquinas virtuales fuera de Azure. Implemente el agente de Azure Arc para los servidores hospedados fuera de Azure. Incorpore servidores habilitados para Azure Arc a una suscripción protegida por Microsoft Defender para Server.
- Azure Arc-enabled servers
- agente de Máquina Conectada de Azure
2.7.2 Implementación de herramientas de Detección y respuesta ampliadas (XDR) e integración con C2C Pt1Las organizaciones DoD adquieren e implementan soluciones de Detección y respuesta ampliadas (XDR). Los puntos de integración con capacidades de pilar cruzado se identifican y priorizan en función del riesgo. Los puntos de integración más arriesgados se accionan y se inicia la integración. EDR continúa la cobertura de puntos de conexión para incluir el número máximo de servicios y aplicaciones como parte de la implementación de XDR. Los análisis básicos se envían desde la pila de soluciones de XDR a la SIEM. Resultados:- Se han identificado puntos de integración según la capacidad- Los puntos de integración más arriesgados se han integrado con XDR- Las alertas básicas están en vigor con SIEM u otros mecanismos Microsoft Defender XDRPilote e implemente componentes y servicios de Microsoft Defender XDR.Defender XDRSentinel y Defender XDR para Confianza ceroConfigurar integraciones de los componentes implementados de Microsoft Defender XDR.Defender para punto de conexión con Defender para aplicaciones en la nubeDefender para identidad y Defender para aplicaciones en la nubeProtección de la información de Purview y Defender para aplicaciones en la nubeMicrosoft SentinelConfigurar los conectores de datos de Sentinel para Microsoft Defender XDR. Habilita las reglas de análisis.Instalación de Defender XDRConexión de los datos de Defender XDR a Sentinel
2.7.3 Implementación de herramientas de Detección y respuesta ampliadas (XDR) e integración con C2C Pt2La pila de soluciones XDR completa la identificación de los puntos de integración que amplían la cobertura a lo máximo posible. Se realiza un seguimiento de las excepciones y se administra mediante un enfoque metódico basado en riesgos para una operación continua. Los análisis ampliados que habilitan las funciones avanzadas de ZT se integran en SIEM y otras soluciones adecuadas. Resultados:- Se han integrado los puntos de integración restantes según corresponde- Las alertas y la respuesta ampliadas se habilitan con otras herramientas de análisis al menos mediante SIEM Microsoft Defender XDR
Use Microsoft Defender XDR en la estrategia de operaciones de seguridad.
- Integrate Defender XDR en operaciones de seguridad

Pasos siguientes

Configura los servicios en la nube de Microsoft para la estrategia de Confianza cero del DoD.

  • Introducción
  • Usuario
  • Dispositivo
  • Aplicaciones y cargas de trabajo
  • Datos
  • Network
  • Automatización y orquestación
  • Visibilidad y análisis
  • Last updated on