Configura la integración de BeyondCorp Enterprise con Microsoft Intune

En este documento, se muestra cómo configurar la integración de BeyondCorp Enterprise con Microsoft Intune. Para configurar esta integración, debes configurar Intune, configurar Endpoint Verification, configurar Azure Workload Identity y habilitar Microsoft Intune en tus unidades organizativas.

Antes de comenzar

• A fin de configurar Intune para BeyondCorp Enterprise, haz lo siguiente:

  • Comprende las configuraciones compatibles y asegúrate de que tu entorno cumpla con los requisitos de red.
  • Accede a tu suscripción de prueba o crea una nueva suscripción a Intune.
  • Establece el registro DNS para conectar el nombre de dominio de tu empresa con Intune.
  • Agrega usuarios y grupos, o conecta Active Directory para sincronizar con Intune.
  • Otorga licencias a los usuarios para que puedan usar Intune.

  Para obtener más información, consulta Configura Intune.

• Asegúrate de que los dispositivos de tu organización ejecuten uno de los siguientes sistemas operativos:

  • macOS 10.11 o versiones posteriores
  • Microsoft® Windows 10 o versiones posteriores
• Configura la verificación de extremos para tu organización.

Conectarse a Intune

1. Busca tu ID de usuario de Microsoft 365.
2. Registra tu aplicación para obtener un ID de aplicación.

3. En la página principal de la Consola del administrador, ve a Dispositivos.

   Ir a Dispositivos
4. En el menú de navegación, haz clic en Dispositivos móviles y extremos > Configuración > Integraciones de terceros > Socios de seguridad y MDM > Administrar.
5. Busca Microsoft Intune y haz clic en Abrir conexión.

6. En el cuadro de diálogo Conectar a Intune, ingresa el ID del usuario en el campo ID del usuario del directorio de Azure y el ID de la aplicación en el campo ID de aplicación de Azure.

   
7. En función de si desea importar solo los dispositivos de la empresa o importar todos los dispositivos, realice la acción correspondiente:
   • Para importar solo los dispositivos de la empresa, haga clic en el botón de activación Importar solo los dispositivos de la empresa. En la sección Device properties to import, selecciona las propiedades que se deben almacenar en BeyondCorp Enterprise.

   • Para importar todos los dispositivos, en la sección Device properties to import, selecciona las propiedades que se deben almacenar en BeyondCorp Enterprise.

     

   Las propiedades obligatorias del dispositivo, como device identifier, last sync time, serial number y wifi MAC address, se recopilan de forma predeterminada.

   Para obtener más información sobre las propiedades del dispositivo que recopila Intune, consulta Propiedades de dispositivo de Intune.

8. Haz clic en Continuar.
9. Copia el ID de la cuenta de servicio.
   
10. Usa el ID de cuenta de servicio a fin de autorizar a Azure Workload Identity para que recopile datos de los dispositivos de Intune:
    1. Configura tu app para que confíe en un proveedor de identidad externo.

       Especifica los siguientes valores en los campos correspondientes:

       • Nombre: cualquier nombre para la credencial federada.
       • Identificador de asunto: El ID de cuenta de servicio que copió.
       • Emisor: https://accounts.google.com.
    2. Otorga los permisos de la app:
       1. Busca los permisos DeviceManagementManagedDevices.Read.All y DeviceManagementApps.Read.All, y agrega estos permisos a Microsoft Graph. Cuando solicites los permisos de la API, selecciona Permisos de aplicaciones.

          DeviceManagementManagedDevices.Read.All proporciona acceso de lectura a todos los dispositivos y sus propiedades administradas por Intune, y DeviceManagementApps.Read.All proporciona acceso de lectura a los registros de auditoría de Intune para los eventos de eliminación de dispositivos.

       2. Otorga el consentimiento del administrador a los permisos configurados para tu aplicación.
11. En el diálogo Conectar a Intune, haz clic en Conectar.

La conexión con Intune está configurada para abrirse.

Habilitar Intune para tu unidad organizativa

Si deseas recopilar información del dispositivo mediante Intune, habilita Intune para tu unidad organizativa mediante estos pasos:

1. En la página principal de la Consola del administrador, ve a Dispositivos.

   Ir a Dispositivos
2. En el menú de navegación, haz clic en Dispositivos móviles y extremos > Configuración > Integraciones de terceros > Socios de seguridad y MDM.
3. En el panel Unidades organizativas, selecciona tu unidad organizativa.

4. Selecciona la casilla de verificación de Microsoft Intune y haz clic en Guardar.

   Microsoft Intune ahora aparece en la sección Socios de seguridad y MDM. Según el tamaño de tu organización, establecer la conexión entre la verificación de extremos y la Intune puede tardar unos segundos. Una vez establecida la conexión, los dispositivos pueden tardar entre unos minutos y una hora en informar datos de Intune.

   
   

Verifica datos de Intune en dispositivos

1. En la página principal de la Consola del administrador, ve a Dispositivos.

   Ir a Dispositivos
2. Haz clic en Endpoints.

3. Selecciona cualquier dispositivo de la unidad organizativa para la que esté habilitada Intune.

   

4. Verifica que los datos de Microsoft Intune aparezcan en la sección Servicios de terceros.

   

5. Para ver todos los detalles, expande la sección Servicios de terceros.

   En la siguiente imagen, se muestran los detalles de los datos recopilados por Intune:

   

¿Qué sigue?

• Cómo crear y asignar niveles de acceso personalizados