GAD-SEG11 Securización y gestión de dispositivos y gobierno seguro de datos

Preparacion del inquilino para poder administrar dispositivos.

• Diferencia entre los diferentes servicios de inventario de dispositivos : AAD e INTUNE.
• Diferencia entre los diferente tipos de combinacion de un dispositivo :
  • Registrado
  • Unido
  • Hybrid join
  • Co-management

Administración de identidades

• Implementación de la autenticación de usuario en dispositivos Windows, incluidos Windows Hello para empresas, sin contraseña y tokens
• Administración del control de acceso basado en roles (RBAC) de Intune
• Delegacion de Privilegios a traves de Pim.Delegaciones No permanentes.
• Registro y unión de dispositivos a Azure AD
• Hybrid Join y Co-Man de dispositivos Azure AD.
• Implementación del conector de Intune en Active Directory
• Administración de la pertenencia de grupos locales en dispositivos Windows
• Implementación y administración de la solución para contraseñas administrativas locales (LAPS) para Azure AD

Implementación de directivas de cumplimiento para todas las plataformas de dispositivos compatibles mediante Intune

• Integracion de la directiva de cumplimiento con la directiva de acceso condicional y el DVM(Defender Vulnerability Management)
• Especificación de directivas de cumplimiento para satisfacer requisitos
• Implementación de directivas de cumplimiento
• Implementación de directivas de acceso condicional que requieren un estado de cumplimiento
• Administración de notificaciones para las directivas de cumplimiento
• Supervisión del cumplimiento del dispositivo
• Solución de problemas de directivas de cumplimiento

Azure AdConnect  y Azure AD Connect Cloud

• Azure Ad Connect
  • Vision general.
  • Sincronización de hash de contraseñas: un método de inicio de sesión que sincroniza el hash de la contraseña de un usuario de AD local con Azure AD.
  • Autenticación de paso a través: un método de inicio de sesión que permite a los usuarios usar la misma contraseña de forma local y en la nube, pero que no requiere la infraestructura adicional de un entorno federado.
  • Integración de federación: la federación es una parte opcional de Azure AD Connect y puede utilizarse para configurar un entorno híbrido mediante una infraestructura local de AD FS. También proporciona funcionalidades de administración de AD FS, como la renovación de certificados e implementaciones de servidor de AD FS adicionales.
  • Sincronización: responsable de la creación de usuarios, grupos y otros objetos. También de asegurar que la información de identidad de los usuarios y los grupos de su entorno local coincide con la de la nube. Esta sincronización también incluye los códigos hash de contraseña.
  • Seguimiento de estado Azure AD Connect Health puede proporcionar una sólida supervisión y una ubicación central en Azure Portal donde se puede ver esta actividad.
  • Custom installation of Azure Active Directory Connect
  • Autopilot Off-premises/Internet scenarios and VPN connectivity
• Azure AD Connect Cloud.
  • Vision general
  • Capacidades y limitaciones
  • Cuando usar Azure ADConnect o Azure ADConnect Cloud

Implementación de un cliente Windows

• • Planeamiento e implementación de un cliente Windows mediante Windows Autopilot
  • Configuración del registro de dispositivos para Autopilot
  • Creación, validación y asignación de perfiles de implementación
  • Configuración de la página de estado de la inscripción (ESP)
  • Implementación de dispositivos Windows mediante Autopilot
  • Solución de problemas de una implementación de Autopilot
• Configuración de la administración remota
  • Configuración de la ayuda remota en Intune
  • Windows
  • Configuración de Windows Admin Center
  • Configuración de la comunicación remota de PowerShell y la Administración remota de Windows (WinRM)

Administración, mantenimiento y protección de dispositivos

• Administración del ciclo de vida de los dispositivos en Intune
  • Configurar las opciones de inscripción
  • Configuración de inscripciones automáticas y masivas, incluidas las de Windows, Apple y Android
  • Configuración de conjuntos de directivas
  • Reinicio, retirada o borrado de dispositivos
• Administración de la configuración del dispositivo para todas las plataformas de dispositivos compatibles mediante Intune
  • Especificación de perfiles de configuración para satisfacer requisitos
  • Implementación de perfiles de configuración
  • Supervisión y solución de problemas de perfiles de configuración
  • Configuración e implementación del modo de pantalla completa de Windows
  • Configuración e implementación de perfiles en dispositivos Android, incluidos perfiles totalmente administrados, dedicados, corporativos y de trabajo
• Supervisión de dispositivos
  • Supervisión de dispositivos mediante Intune
  • Supervisión de recursos con Azure Monitor
  • Análisis y respuesta a problemas identificados mediante análisis de puntos de conexión y puntuación de adopción
• Administración de las actualizaciones del dispositivo para todas las plataformas de dispositivos compatibles mediante Intune
  • Planeamiento de actualizaciones de dispositivos
  • Creación y administración de directivas de actualización mediante Intune
  • Administración de actualizaciones de Android mediante perfiles de configuración
  • Supervisión de actualizaciones
  • Solución de problemas de actualizaciones en Intune
  • Configuración de la optimización de entrega de cliente de Windows mediante Intune
  • Creación y administración de anillos de actualización mediante Intune
• Implementación de protección para puntos de conexión para todas las plataformas de dispositivos compatibles
  • Implementación y administración de líneas base de seguridad en Intune
  • Creación y administración de directivas de configuración de seguridad de puntos de conexión, incluidos antivirus, cifrado, firewall, detección y respuesta de puntos de conexión (EDR) y reducción de la superficie expuesta a ataques (RSEA)
  • Incorporación de dispositivos a Defender para punto de conexión
  • Implementación de funcionalidades de respuesta automatizada en Defender para punto de conexión
  • Revisión y respuesta a las incidencias en dispositivos identificadas en el panel de administración de vulnerabilidades de Microsoft Defender

Administración de aplicaciones

• Implementación y actualización de aplicaciones para todas las plataformas de dispositivos compatibles
  • Implementación de aplicaciones mediante Intune
  • Administración de aplicaciones de Microsoft 365 mediante el centro de administración de aplicaciones de Microsoft 365
  • Implementación de aplicaciones de Microsoft 365 mediante Intune
  • Configuración de directivas para aplicaciones de Office mediante directivas de grupo o Intune
  • Implementación de aplicaciones en tiendas de aplicaciones específicas de cada plataforma mediante Intune
• Planeamiento e implementación de directivas de protección y configuración de aplicaciones
  • Planeamiento e implementación de directivas de protección de aplicaciones para iOS y Android
  • Administración de las directivas de protección de aplicaciones
  • Implementación de directivas de acceso condicional para directivas de protección de aplicaciones
  • Planeamiento e implementación de directivas de configuración de aplicaciones para aplicaciones y dispositivos administrados
  • Administración de las directivas de configuración de aplicaciones

Automatización de protección de la información y el dato

• Communication Compliance
• Compliance Manager. Compliance Score
  • Evaluación de la postura de Compliance contra el Score de normas internacionales GPDR, ESN, 27001, Nist.
  • Aplicación de recomendaciones obtenidas para elevar el Compliance Score según las evaluciones
• Data Classification
  • Explorador de actividad
  • Explorador de contenido.
  • Clasificadores y clasificadores entrenables.
• Purview Ediscovery
• Gestión de Directivas y Alertas.
• Protección con directivas DLP
• Sensitivity Label .
  • Tipos de información confidencial personalizada o preconfigurada.
  • Etiquetas de sensibilidad para piezas de información (ficheros, correos, conversaciones). Cifrado y marcas Permisos.
  • Etiquetas de sensibilidad para contenedores.
  • Publicación de etiquetas de sensibilidad. Directivas de publicación de etiquetas.
• Retention. Directivas de retención y gestion de registros
• Purview Audit
• Priva
  • Privacy risk management
  • Gestión de derechos.
• Information Barriers.

Inventariar dispositivos en modo de combinación register,  join.

• Objetivo: Diferenciar entre los tipos de combinaciones de dispositivos y las bonanzas tecnológicas de cada uno de ellos para así cubrir todo tipo de necesidades y situaciones.

Automatizar el inventario de dispositivos  en intune para cubrir BYOD.

• Objetivo : Controlar el T.C.O para administrar los dispositivos fácilmente desde Intune.

Inventariar dispositivos en modo Hybrid Join y Co-Man en AAD.

Instalar AdConnect

Sincronizar usurarios, grupos y dispositivos

SSPR

WriteBack de Password

Control de la membresía dinámica

• Objetivo : Descripción de las ventajas de esos tipos de combinación en el ámbito de seguridad con un t.c.o muy controlado.

Inventariar dispositivos Hybrid Join y Co-Man en Intune.

• Objetivo : Automatización por gpo y sccm para la inscripcion en Intune.

Integración SSCM con Intune para el Co-man.

• Objetivo: Integración directa desde SCCM para inventariar dispositivos en Intune.

Integración Intune con WHFB

• Objetivo : Complementar el inventario de dispositivos en intune con directivas WHFB que nos permita inicios de sesión son contraseña.

Delegación de privilegios administrativos por Pim

• Objetivo: Mostrar la delegación puntual y no permanente durante una horquilla de tiempo. Aprobación de la solicitud previa a la asignación del privilegio.

Administración del dispositivo remotamente

• Objetivo: Valorar la asistencia remota o la integración en TeamViewer.

Despliegue de aplicaciones .Portal de empresa

• Objetivo: Deploy de aplicaciones sobre dispositivos en modo required o avalaible utilizando el portal de empresa. Uso del portal de empresa para inventariar dispositivos IOS/Android .

Personalización de aplicaciones desplegadas

• Objetivo : Adhoc de las aplicaciones desplegadas utilizado directivas.

Aplicaciones permitidas

• Objetivo: Mostrar el applocked desde intune

Perfiles de configuración.

• Objetivo: Representar las gpo a través de intune

Contendido fiscalizado.

• Objetivo: Seguimiento del cualquier tipo de información y donde se guarda.

Seguimiento tipo de información condifencial. Purview

• Objetivo: Seguimiento de un tipo de información concreta y confidencial

Cifrado de documentación con tipo de información confidencial. Purview

• Objetivo: Aplicar etiquetas que permitan el cifrado del documento que expone cierto tipo de información.

Evitar fuga de documentación con tipo de información confidencial. Purview

• Objetivo : Evitar la fuga de información confidencial y el acceso a esta por parte de outsiders.

Retención de información.

• Objetivo : Retener toda la información confidencial o no durante el tiempo que se necesite por cumplimiento de normativas.

Communication Compliance

• Objetivo :Controlar el leguaje que se utiliza evitando expresiones obscenas como ejemplo.

Integración Directivas de acceso condicional con directivas de cumplimiento y análisis de vulnerabilidadades por dispositivo.

• Objetivo : Evitar el acceso a recursos expuestos en la nube desde dispositivos en riesgo.

Integración Defender for endpoint con endpoint manager .Tiketing.

• Objetivo: Corregir las vulnerabilidades de forma masiva utilizando Intune

Directivas ASR

• Objetivo : Reducir la superficie expuesta a ataques en dispositivos windows

Directivas bitlocker

• Objetivo : Gestionar las claves de bitlocker desde intune después de haber afectado al dispositivo con una directiva.

Directiva AV.

• Objetivo : Gestionar el antivirus de windows defender desde intune.

Security Baseline

• Objetivo : Aplicar un baseline a nivel de seguridad común a todos los dispositivos intune para bankerizarlos. Hardening.