Security Baseline en Windows Server: Intune, MDE (SSM), GPO y Automanage paso a paso

¿Quieres aplicar security baselines a Windows Server y que los equipos aparezcan en Intune? Spoiler: los servidores no se inscriben por MDM. Aquí verás qué sí es compatible hoy (GPO/SCT, MDE‑SSM, Automanage), cómo desplegarlo y qué licencias necesitas, con pasos prácticos y listas de verificación.

Índice

Resumen ejecutivo

Windows Server no admite inscripción MDM en Intune. Las security baselines MDM de Intune están diseñadas para Windows 10/11.
Para endurecer servidores hoy, combina tres pilares: GPO + Security Compliance Toolkit (SCT), Intune vía Microsoft Defender for Endpoint (Security Settings Management, SSM) y Azure Automanage / Azure Policy (Guest Configuration).
Con SSM, los servidores no se inscriben por MDM, pero aparecen en Intune como “Managed by: MDE” y pueden recibir políticas de Endpoint security (Antivirus, ASR, EDR, Firewall).
En Azure y escenarios híbridos, usa Automanage y Azure Policy para evaluar/remediar baselines de SO a escala; agrega MDE para controles de endpoint.
Licencias: Intune P1 para baselines MDM (solo cliente), MDE por servidor para SSM, y Defender for Servers (plan 2 recomendado) para Guest Configuration a escala.

Qué significa “enrolar” un servidor en Intune

En el ecosistema de Microsoft hay dos “vías de gestión” muy distintas:

MDM (gestión móvil moderna): típica de Windows 10/11. Permite perfiles de configuración, baselines MDM, scripts, apps y más. Windows Server no participa de este modelo.
SSM (Security Settings Management con Microsoft Defender for Endpoint): el servidor se onboardea a MDE y, gracias a la integración con Intune, aparece en Intune con Managed by: MDE. Puedes asignarle políticas de seguridad de endpoint desde Intune, pero no perfiles MDM ni baselines MDM.

En otras palabras: no “inscribes” el servidor en Intune; lo habilitas para que Intune gestione sus ajustes de seguridad a través de MDE.

Opciones soportadas para endurecer servidores

GPO + Security Compliance Toolkit (SCT)

Es el método clásico y con mayor cobertura para Windows Server. Microsoft publica plantillas de baseline para cada versión (2016/2019/2022). Se aplican vía Directiva de Grupo (GPO) —a nivel de dominio, sitio u OU— o con LGPO de forma local en servidores aislados. Incluye cientos de parámetros (políticas de seguridad, auditoría avanzada, servicios, protocolos, TLS, SMB, etc.).

Gestión de seguridad desde Intune vía MDE (SSM)

Tras onboardear el servidor a Microsoft Defender for Endpoint, Intune puede dirigirle políticas de Endpoint security (Antivirus, reglas de reducción de superficie de ataque —ASR—, EDR, Firewall). El cumplimiento y la telemetría quedan centralizados en Intune y en el portal de Defender, sin inscripción MDM.

Azure Automanage / Azure Policy – Guest Configuration

Para máquinas en Azure y también para entornos on‑premises o multinube conectados con Azure Arc, puedes usar Automanage y Azure Policy (Guest Configuration) para evaluar y remediar baselines de sistema operativo. Existen iniciativas listas para usar que instalan y aplican el baseline de Windows en la VM y mantienen el drifteo a raya. Complementa con Azure Update Manager para parches.

Comparativa rápida de enfoques

Enfoque	Tipo de control	Ámbito típico	Requisitos	Ventajas	Limitaciones
GPO + SCT	Baseline integral de SO	AD DS, servidores miembro y controladores de dominio	AD, plantillas SCT, procesos de GPO	Profundidad y granularidad máximas; estándar “de facto”	Gestión fuera de Intune; más complejidad de pruebas/cambios
Intune vía MDE (SSM)	Endpoint security (AV, ASR, EDR, Firewall)	Servidores con MDE, en cualquier nube/on‑prem	MDE en cada servidor; integración Intune–MDE	Visibilidad y gobierno desde Intune; reportes unificados	No aplica perfiles MDM ni baselines MDM; enfoque seguridad “de endpoint”
Azure Automanage / Azure Policy	Baseline de SO como código; evaluación y remediación	Azure y Arc‑enabled	Extensiones de Guest Configuration; políticas	Escala y cumplimiento continuo; drift control	Requiere Azure/Arc; depende de iniciativas de Policy

Rutas recomendadas según escenario

Servidores AD DS on‑prem o VMs sin Arc: aplica SCT + GPO como baseline principal y añade MDE (SSM) para Antivirus/ASR/EDR/Firewall desde Intune.
Servidores en Azure o Arc‑enabled: habilita Automanage y Azure Policy (Guest Configuration) para baseline de SO y parches, y añade MDE (SSM) para controles de endpoint y visibilidad en Intune.

Pasos prácticos de implementación

Baseline de Windows Server con GPO (SCT)

Prepara un entorno de pruebas que refleje roles críticos (IIS, SQL, DCs, file servers, RDS). Documenta dependencias y ventanas de mantenimiento.
Obtén el SCT y el baseline correspondiente a tu versión de Windows Server. Importa las GPO en una GPO de laboratorio o en un dominio de pruebas.
Revisa y ajusta cada recomendación. No todas son “riesgo neutro”. Presta especial atención a:
- Protocolos y cifrados (TLS 1.2+), SMB signing, deshabilitar LM/NTLMv1.
- Auditoría avanzada (Subcategories) para cobertura de detección.
- Servicios y cuentas; políticas de contraseña y Kerberos.
Aplica por OU distinguiendo servidores miembro y controladores de dominio. Usa filtrado de seguridad, WMI filters y link order con cuidado.
Valida con Resultant Set of Policy (RSoP), gpresult, y Policy Analyzer. Monitoriza el impacto en aplicaciones.
Despliegue gradual a producción por anillos: pilot → broad → mission‑critical. Mantén backups y versión de GPOs.

Seguridad de servidores con Intune vía MDE (SSM)

Integra Intune y Defender en el centro de administración de Intune (sección de seguridad de endpoint). Activa la administración de ajustes de seguridad por MDE.
Onboardea los servidores a MDE con el paquete adecuado por versión:
- Windows Server 2019/2022: sensor integrado (plataforma moderna de MDE).
- Windows Server 2012 R2/2016: solución unificada de MDE para servidores heredados.
Confirma que aparecen en Intune como Managed by: MDE. Verificarás también el estado de riesgo y el cumplimiento en Defender.
Crea grupos de destino:
- Opción simple: un grupo de seguridad “Servidores‑MDE”. Agrega servidores a medida que se incorporen.
- Opción dinámica: si sigues un patrón de nombres (p. ej., SRV-*), un grupo dinámico con regla basada en displayName puede automatizar la membresía:
(device.displayName -startsWith "SRV-")
- O bien usa filtros de dispositivos en Intune para segmentar “Management type = Microsoft Defender for Endpoint” sobre plataforma Windows.
Asigna políticas de Endpoint security en Intune al grupo de servidores:
- Antivirus: motor Defender, escaneos programados, cloud‑delivered protection, exclusiones mínimas y justificadas.
- ASR (Attack Surface Reduction): comienza en modo auditoría para reglas sensibles; revisa eventos y luego pasa a bloqueo.
- EDR: configura el nivel de respuesta y aislamiento cuando proceda.
- Firewall: perfiles de dominio/privado/público, reglas de entrada/salida y registro.
Comprueba la aplicación tanto en Intune (estado de directiva) como en Defender (exposición, recomendaciones, alertas).

Baseline de SO con Azure Automanage / Azure Policy

Habilita Automanage – Machine Best Practices en tus suscripciones y grupos de recursos objetivo.
Conecta servidores on‑prem o multicloud con Azure Arc para gestionarlos igual que las VMs de Azure.
Asigna iniciativas de Guest Configuration que instalan/verifican el baseline de Windows; habilita remediation cuando quieras corrección automática.
Orquesta parches con Azure Update Manager y crea reportes de cumplimiento unificados.

Compatibilidad por versión y alcance

Versión de Windows Server	GPO + SCT	Intune vía MDE (SSM)	Automanage / Guest Configuration
2012 R2	Compatible (plantillas SCT heredadas)	Compatible mediante solución unificada de MDE	Compatible con Arc y extensiones de invitado
2016	Compatible	Compatible mediante solución unificada de MDE	Compatible
2019	Compatible	Compatible (sensor integrado)	Compatible
2022	Compatible	Compatible (sensor integrado)	Compatible

Licenciamiento y requisitos

Componente	Para qué se usa	Aplica a	Notas clave
Microsoft Intune Plan 1	Baselines MDM y perfiles para Windows 10/11	Equipos cliente	No aplica a servidores; sigue siendo útil para el resto del parque.
Microsoft Defender for Endpoint (servidor)	SSM: políticas de Endpoint security desde Intune	Servidores	Requiere que cada servidor esté incorporado a MDE.
Defender for Servers (Plan 1/2)	MDE para servidores + capacidades de nube	Servidores en Azure/Arc	Plan 2 recomendado para Guest Configuration a escala y remediación.
Requisito de activación de SSM	Habilitar la característica en el tenant	Tenant de Intune	Si solo tienes Defender for Servers, puede ser necesaria al menos una licencia de MDE de usuario para activar SSM en el tenant.

Limitaciones y matices importantes

Las security baselines MDM de Intune no se aplican a Windows Server. Úsalas para Windows 10/11. En servidores, emplea GPO/SCT o Guest Configuration.
En SSM, solo se procesan políticas de Endpoint security. No se procesan perfiles “Windows 10 y posteriores” ni baselines MDM.
Los controladores de dominio pueden recibir SSM, pero trátalos con una OU y políticas dedicadas, pruebas exhaustivas y cambios controlados.
Recuerda que SSM no sustituye a un baseline de SO: céntrate en Antivirus/ASR/EDR/Firewall y mantén el baseline profundo con GPO o Guest Configuration.
En clientes Windows 10/11 sí puedes usar baselines MDM de Intune; no mezcles recomendaciones de cliente en servidores sin validarlas.

Diseño de segmentación y despliegue

Para minimizar riesgo y mejorar la gobernanza:

Anillos de despliegue: laboratorio → preproducción → producción general → críticos.
Separación por rol: web, base de datos, archivos, RDS, DCs. Mantén GPOs y políticas específicas por función.
Grupos de seguridad en Entra ID para dirigirte a servidores; en Intune, usa device filters para separar “Managed by: MDE”.
Controles de cambio y métricas: tasa de éxito, incidencias por aplicación, tiempo de remediación y drift del baseline.

Validación técnica y comprobaciones

Comandos útiles en servidores con Microsoft Defender:

# Estado del motor y protecciones
Get-MpComputerStatus | Select AMServiceEnabled,AntispywareEnabled,AntivirusEnabled,RealTimeProtectionEnabled

Preferencias del antivirus y ASR

Get-MpPreference | Select AttackSurfaceReductionRules\Actions,AttackSurfaceReductionRules\Ids,ExclusionPath

Perfiles de firewall de Windows

Get-NetFirewallProfile | Select Name, Enabled, DefaultInboundAction, DefaultOutboundAction

Resultante de directivas (GPO)

gpresult /H C:\Temp\gpresult.html

Validación adicional:

En Intune, revisa el estado de cada política de Endpoint security sobre el grupo de servidores.
En Defender, confirma exposición, recomendaciones aplicadas, incidentes y alertas.
Con Policy Analyzer (SCT), compara tu baseline esperado con la configuración efectiva del servidor.

Buenas prácticas y recomendaciones

Empieza en auditoría para reglas ASR más disruptivas; analiza eventos y pasa a bloqueo de forma progresiva.
Evita exclusiones amplias en Antivirus y reduce al mínimo su superficie; justifica cada exclusión por caso de uso.
Versiona tus GPOs, mantén historial y backups. Documenta cambios con fecha y responsable.
Apóyate en Automanage/Policy para prevenir el drift de configuración entre parches y cambios.
Segmenta por riesgo: servidores expuestos a internet y controladores de dominio deben recibir endurecimiento prioritario y reglas más estrictas.

Preguntas frecuentes

¿Puedo aplicar una security baseline MDM de Intune a Windows Server?
No. Esas baselines están diseñadas para Windows 10/11. En servidores, usa GPO/SCT o Guest Configuration. Para seguridad de endpoint, usa SSM con MDE.

¿Por qué mi servidor aparece en Intune como “Managed by: MDE”?
Porque está onboardeado en Defender y habilitaste SSM. Eso permite dirigirle políticas de Endpoint security desde Intune sin inscripción MDM.

¿Qué políticas puedo asignar por SSM?
Antivirus Defender, reglas ASR, EDR y Firewall. No se aplican perfiles MDM ni baselines MDM.

¿Cómo gestiono controladores de dominio?
Con cautela: OU separada, GPOs específicas y pruebas exhaustivas. Puedes usar SSM para AV/ASR/EDR/Firewall, validando el impacto en servicios críticos de AD DS.

¿Puedo usar esto en servidores fuera de Azure?
Sí. SSM funciona en cualquier servidor con MDE. Si quieres baselines de SO como código y remediación continua fuera de Azure, conecta esos servidores con Azure Arc y aplica Guest Configuration.

Checklist de implementación

Definir alcance y criticidad por rol (web, DB, RDS, DC).
Seleccionar ruta: GPO/SCT, SSM con MDE y/o Automanage/Policy.
Preparar laboratorio y anillos de despliegue.
Onboardear servidores a MDE y habilitar SSM en Intune.
Crear grupos de destino y filtros en Intune para “Managed by: MDE”.
Diseñar y aplicar políticas de Endpoint security (AV, ASR, EDR, Firewall).
Importar y ajustar baselines SCT; vincular GPOs por OU/rol.
Configurar Guest Configuration y Update Manager si hay Azure/Arc.
Validar con RSoP, gpresult, Policy Analyzer y portales de Intune/Defender.
Operar el ciclo de vida: versiones, parches, auditorías y métricas.

Caso de referencia: ejemplo de targeting

Suponiendo un estándar de nombres SRV-ROL-LOC-### para servidores, crea un grupo dinámico “Servidores‑MDE” con:

(device.displayName -startsWith "SRV-")

En Intune, aplica un filtro de dispositivos adicional para plataforma Windows gestionada por Defender. Con esto, las políticas de Endpoint security solo impactarán en los servidores que te interesan y no en clientes.

Errores comunes y cómo evitarlos

Confiar en baselines MDM para servidores: no aplica. Cambia a GPO/SCT o Guest Configuration para el baseline de SO.
Activar ASR en bloqueo sin pruebas: usa modo auditoría primero, revisa eventos y corrige falsos positivos.
Exclusiones antivirus excesivas: abren brechas reales. Mantén una lista mínima y revisada periódicamente.
No aislar DCs: trata controladores de dominio como una clase separada con endurecimiento y calendario propios.
Olvidar el “drift”: sin Automanage/Policy o procesos de verificación, el baseline se degrada con el tiempo.

Conclusión operativa

La estrategia ganadora para servidores Windows en 2025 combina baseline de SO con GPO/SCT (o Guest Configuration cuando uses Azure/Arc) y higiene de endpoint con MDE mediante SSM desde Intune. Esto te da cobertura profunda, gobierno centralizado y escalabilidad, sin forzar una inscripción MDM que la plataforma no soporta en servidores. Con anillos de despliegue, validación rigurosa y métricas de cumplimiento, podrás endurecer tu parque de Windows Server sin interrupciones y con trazabilidad completa.

Fuentes clave consultables

Guía de Security baselines de Microsoft y documentación de Intune.
Security Compliance Toolkit (SCT) y Policy Analyzer.
Documentación de Security Settings Management (Intune + MDE).
Onboarding de servidores a Microsoft Defender for Endpoint.
Azure Automanage y Azure Policy – Guest Configuration.

Con todo lo anterior cubres el “cómo” endurecer Windows Server y el “cómo” hacer que figure en Intune para seguridad (vía Managed by: MDE), sin intentar una inscripción MDM que no está soportada en servidores.