Una vez que la identidad está sólida, el siguiente hueco es el endpoint. Un usuario correctamente autenticado en una laptop sin gestionar y sin cifrar sigue siendo una exposición de CUI. La gestión de dispositivos y configuración en GCC High pasa por Microsoft Intune.
Define baselines de cumplimiento de dispositivos (3.4.1, 3.4.2)
NIST 800-171 3.4.1 y 3.4.2 exigen configuraciones base y una forma de aplicarlas. En Intune, crea políticas de cumplimiento que exijan cifrado, una versión mínima de SO, un Defender sano y un bloqueo de pantalla, y luego aplica un security baseline como el de Windows o Defender a los dispositivos gestionados.
Exige BitLocker en todos los dispositivos (3.13.16)
Cifrar los dispositivos en reposo protege el CUI en hardware que se pierde o se roban. Bajo Endpoint security y luego Disk encryption, crea una política de BitLocker que se habilite en silencio y deposite las claves de recuperación en Entra.
Restringe los medios extraíbles (3.8.7)
NIST 800-171 3.8.7 controla el uso de medios extraíbles, y un puerto USB bloqueado o de solo lectura detiene la exfiltración casual. Bajo Endpoint security, luego Attack surface reduction y luego Device control, bloquea o pon en solo lectura el almacenamiento extraíble y permite excepciones solo cuando estén justificadas.
Exige un dispositivo conforme para iniciar sesión (3.1.1, 3.4.2)
Combinar la identidad con la salud del dispositivo mantiene el CUI fuera de endpoints sin gestionar. Agrega una política de Conditional Access que solo conceda acceso cuando el dispositivo esté marcado como conforme, y apunta a las apps que tocan CUI: Exchange, SharePoint y Teams.
Una nota sobre qué significa "hecho"
Configurar estos ajustes endurece tu tenant de Microsoft 365 GCC High al baseline técnico de NIST 800-171. No es una certificación CMMC. Un C3PAO evalúa tu System Security Plan documentado, no tu tenant directamente, así que la configuración de arriba solo cuenta cuando queda escrita con evidencia. Nuestro GCC High Setup Autopilot gratis te lleva por cada paso en orden y entrega el resultado a tu conjunto de controles cuando pasas a Readyline Pro.
