Preguntas y respuestas habituales sobre escenarios con directivas y perfiles en Microsoft Intune
Importante
El 22 de octubre de 2022, Microsoft Intune finalizó la compatibilidad con dispositivos que ejecutan Windows 8.1. La asistencia técnica y las actualizaciones automáticas en estos dispositivos no están disponibles.
Si actualmente usa Windows 8.1, vaya a dispositivos Windows 10/11. Microsoft Intune tiene características de dispositivo y seguridad integradas que administran dispositivos con cliente de Windows 10/11.
Obtenga respuestas a preguntas comunes al trabajar con directivas en Intune. En este artículo también se muestran los intervalos de tiempo de sincronización, se proporcionan más detalles sobre los conflictos, y más.
Este artículo se aplica a las siguientes directivas:
- Directivas de protección de aplicaciones
- Directivas de configuración de aplicaciones
- Directivas de cumplimiento
- Directivas de acceso condicional
- Perfiles de configuración de dispositivos
- Directivas de inscripción
Intervalos de actualización de directivas
Cuando un dispositivo se registra, comprueba inmediatamente el cumplimiento, el incumplimiento y la configuración del contexto de usuario o dispositivo actual, recibiendo las acciones, directivas y aplicaciones pendientes asignadas.
Hay 4 tipos principales de check-ins:
Check-ins programados : estos check-ins se producen a intervalos predeterminados y pueden ser iniciados por el cliente o el servicio en función de la plataforma. Los check-ins se calculan de la siguiente manera:
| Plataforma | Ciclo de actualización estimado |
|---|---|
| Android, AOSP | Aproximadamente cada 8 horas |
| iOS/iPadOS | Aproximadamente cada 8 horas |
| macOS | Aproximadamente cada 8 horas |
| equipos Windows 10/11 inscritos como dispositivos | Aproximadamente cada 8 horas |
Check-ins controlados por el usuario final: estas proteccións las controlan los usuarios finales cuando realizan determinadas acciones en la aplicación Portal de empresa, como ir a Estado decomprobación de dispositivos> o Sincronización de configuración> para comprobar si hay actualizaciones de directivas o perfiles o seleccionar una aplicación para su descarga.
Administración check-ins: estos registros los controlan los administradores cuando realizan ciertas acciones en un solo dispositivo desde el portal de Intune, como la sincronización de dispositivos, el bloqueo remoto o el restablecimiento del código de acceso. Otras acciones, como ayudar a los usuarios de forma remota , no provocan una protección del dispositivo.
Check-ins basados en notificaciones : estas operaciones de protección se producen a través de diferentes acciones que desencadenan una notificación. Por ejemplo, cuando se asigna una directiva, perfil o aplicación (o no se asigna), se actualiza, se elimina o cuando se realizan ciertos cambios en segundo plano, como Microsoft Entra actualizaciones de pertenencia a grupos. Otros cambios no provocan una notificación inmediata a los dispositivos, como agregar una aplicación como disponible para los usuarios.
Intune notifica a los dispositivos en línea que se activen con el servicio de Intune. Los tiempos de notificación varían de inmediato hasta unas pocas horas. Estos tiempos de notificación también varían según la plataforma.
En dispositivos Android, Google Mobile Services (GMS) puede afectar a los intervalos de actualización de directivas.
En dispositivos iOS, las condiciones específicas pueden afectar a los intervalos de actualización de directivas.
Es posible que un dispositivo sin conexión, como un apagado o un dispositivo desconectado, no reciba las notificaciones. En este caso, el dispositivo obtiene la directiva o el perfil en su siguiente registro programado con Intune.
Nota:
Los informes de Intune pueden tardar más tiempo en reflejar el estado más reciente de la directiva en el dispositivo en el portal de Intune.
Además, cuando los dispositivos se inscriben por primera vez, las comprobaciones de configuración se ejecutan con más frecuencia para realizar comprobaciones de configuración, cumplimiento e incumplimiento. Los check-ins se calculan de la siguiente manera:
| Plataforma | Ciclo de actualización estimado |
|---|---|
| Android, AOSP | Cada 3 minutos durante 15 minutos, luego cada 15 minutos durante 2 horas y, luego, cada 8 horas |
| iOS/iPadOS | Cada 15 minutos durante 1 hora y, luego, cada 8 horas |
| macOS | Cada 15 minutos durante 1 hora y, luego, cada 8 horas |
| equipos Windows 10/11 inscritos como dispositivos | Cada 3 minutos durante 15 minutos, luego cada 15 minutos durante 2 horas y, luego, cada 8 horas |
Para intervalos de actualización de directivas de protección de aplicaciones, vaya a Tiempo de entrega de directivas de protección de aplicaciones.
Portal de empresa
En cualquier momento, los usuarios pueden abrir la aplicación de Portal de empresa y navegar a Dispositivos>Comprobar estado para evaluar la configuración del dispositivo y comprobar el acceso a los recursos profesionales o educativos o navegar a Sincronización de configuración> para obtener las últimas actualizaciones, requisitos y comunicaciones de su organización.
Para obtener información relacionada sobre el agente de extensión de administración de Intune o las aplicaciones Win32, consulte Administración de aplicaciones Win32 en Microsoft Intune.
Para obtener información relacionada, vea Sincronizar dispositivo inscrito para Windows y Comprobar el acceso al dispositivo en Portal de empresa para Windows.
Conflictos
Los conflictos pueden producirse cuando diferentes directivas actualizan la misma configuración a valores diferentes. Por ejemplo, tiene dos directivas que actualizan la configuración de copiar y pegar a valores diferentes. El conflicto se controla de forma diferente en función del tipo de directiva.
Si usa Microsoft Copilot en Intune, Copilot puede ayudarle a resolver conflictos. Para obtener más información, vaya a Administración de directivas y configuración en Copilot en Intune.
También puede usar Microsoft Copilot en Intune para obtener más información sobre las directivas y las opciones configuradas en las directivas.
Directivas de protección de aplicaciones que entran en conflicto
Los valores de conflicto son la configuración más restrictiva disponible en una directiva de protección de aplicaciones. La excepción son los campos de entrada numéricos, por ejemplo, los intentos de PIN antes de restablecer. Los campos de entrada numéricos se establecen igual que los valores, como si se creara una directiva MAM con la opción de configuración recomendada.
Se producen conflictos cuando dos configuraciones de perfil son iguales. Por ejemplo, si configura dos directivas MAM que son idénticas, salvo por la configuración de copiar y pegar. En este escenario, la configuración de copiar y pegar se establece en el valor más restrictivo. El resto de las opciones se aplican según lo configurado.
Se implementa una directiva en la aplicación y surte efecto. Se implementa una segunda directiva. En este escenario, la primera directiva tiene prioridad y sigue siendo la directiva aplicada. La segunda directiva muestra un conflicto. Si ambas se aplican al mismo tiempo, lo que significa que no hay ninguna directiva precedente, ambas están en conflicto. Cualquier configuración en conflicto se establece en los valores más restrictivos.
Directivas de cumplimiento y configuración de dispositivos que entran en conflicto
Cuando dos o más directivas se asignan al mismo usuario o dispositivo, la configuración que se aplica se hace a nivel de valor individual:
Si usa directivas de cumplimiento para evaluar la configuración del dispositivo, la configuración de la directiva de cumplimiento tiene prioridad sobre la misma configuración dentro de las directivas de configuración de dispositivos. La configuración de directivas de cumplimiento siempre tiene prioridad respecto a la configuración de perfiles de configuración.
Si se evalúa una directiva de cumplimiento con el mismo valor en otra directiva de cumplimiento, se aplica el valor de directiva de cumplimiento más restrictivo.
Si una opción de la directiva de configuración entra en conflicto con una opción de otra directiva de configuración, este conflicto se muestra en Intune. Resuelva estos conflictos de forma manual.
En el centro de administración de Intune, hay pocos lugares en los que puedan crear directivas de configuración, como el análisis de directiva de grupo, la seguridad de puntos de conexión, las líneas base de seguridad, etc. Si hubiera un conflicto y tuviera varias directivas, compruebe todos los lugares en los que haya configurado directivas. Además, las características de informes integradas podrán ayudar con los conflictos. Para obtener más información sobre los informes disponibles, vaya a Informes de Intune.
Directivas de iOS/iPadOS o macOS personalizadas que entran en conflicto
Intune no evalúa la carga de archivos de configuración de Apple ni directivas personalizadas de identificador uniforme de recursos de Open Mobile Alliance (OMA-URI). Sencillamente, se usa como mecanismo de entrega.
Al asignar una directiva personalizada, confirme que los valores configurados no entran en conflicto con las directivas de cumplimiento, configuración o personalizadas. Si una directiva personalizada y su configuración entran en conflicto, Apple aplica aleatoriamente la configuración.
Las características de informes integradas pueden ayudar con los conflictos. Para obtener más información sobre los informes disponibles, vaya a Informes de Intune.
Se elimina un perfil o ya no se aplica
Al eliminar un perfil o quitar un dispositivo de un grupo que tiene asignado el perfil, tanto el perfil como la configuración se quitan del dispositivo. Se quitan tal como se describe en la siguiente lista:
Perfiles de correo electrónico, certificado, VPN y Wi-Fi: estos perfiles se quitan de todos los dispositivos inscritos admitidos.
Todos los demás tipos de perfiles:
Dispositivos Android: las configuraciones no se quitan del dispositivo.
iOS: se quitan todas las configuraciones, excepto:
- Permitir itinerancia de voz
- Permitir itinerancia de datos
- Permitir la sincronización automática en itinerancia
Dispositivos Windows: después de quitar o cancelar la asignación del perfil, haga que el usuario de Microsoft Entra inicie sesión en el dispositivo y sincronice con el servicio de Intune.
la configuración de Intune se basa en el proveedor de servicios de configuración (CSP) de Windows. El comportamiento depende del CSP. Algunos CSP quitan el valor y otros mantienen el valor, también llamado tatuaje.
Un perfil se aplica a un grupo de usuarios. Más adelante, se quita un usuario del grupo. Para que la configuración sea retirada de ese usuario, puede tardar hasta 7 horas o más en:
- Perfil que se va a quitar de la asignación de directiva en el Centro de administración de Intune
- Dispositivo que se va a sincronizar con el objeto de Intune mediante el ciclo de actualización de directivas específicas de plataforma (en este artículo)
He cambiado un perfil de restricción de dispositivos, pero los cambios no han surtido efecto
Para aplicar un perfil menos restrictivo, es posible que algunos dispositivos deban retirarse y volver a inscribirse en Intune. Por ejemplo, puede que tenga que retirar y volver a inscribir dispositivos de cliente Android, iOS/iPadOS y Windows.
Algunas opciones de configuración de perfil de Windows 10/11 devuelven "No es aplicable"
Algunas opciones de configuración de los dispositivos de cliente Windows se pueden mostrar como No es aplicable. Cuando sucede esta situación, esa configuración concreta no se admite en la versión o edición de Windows que se esté ejecutando en el dispositivo. Este mensaje puede aparecer por las siguientes razones:
- La configuración solo está disponible para versiones más recientes de Windows, pero no para la versión actual del sistema operativo (SO) del dispositivo.
- La configuración solo está disponible para ediciones de Windows o SKU específicas, como Home, Professional, Enterprise o Education.
Para obtener más información sobre los requisitos de versión y edición para las distintas opciones de configuración, vea Referencia del proveedor de servicios (CSP) de configuración.
Cuando los dispositivos se inscriben, hay un retraso en la aplicación de aplicaciones y directivas asignadas a grupos de dispositivos dinámicos.
Durante la inscripción, puede usar grupos de dispositivos dinámicos de Microsoft Entra. Por ejemplo, puede crear un grupo de dispositivos dinámicos en función del nombre o el perfil de inscripción de un dispositivo.
El perfil de inscripción se aplica al registro del dispositivo durante la configuración inicial del dispositivo. La agrupación dinámica de Microsoft Entra no es instantánea. Es posible que el dispositivo no esté en el grupo dinámico durante algún tiempo, posiblemente de minutos a horas, en función de otros cambios que se realicen en el inquilino.
Si el dispositivo no se agrega al grupo, las aplicaciones y las directivas no se asignan al dispositivo durante la comprobación inicial de Intune. Es posible que las directivas no se apliquen hasta la siguiente comprobación programada.
Si la entrega rápida de aplicaciones y directivas es importante para el escenario de instalación o inscripción, asigne las aplicaciones y directivas a grupos de usuarios, no a grupos de dispositivos dinámicos. Los grupos de usuarios se rellenan previamente con miembros antes de la configuración del dispositivo y no tienen este retraso.
Para obtener más información sobre los grupos dinámicos, vaya a:
- Agregar grupos para organizar usuarios y dispositivos en Intune
- Recomendaciones de rendimiento al usar Intune para agrupar, dirigir y filtrar
- Reglas de pertenencia dinámica para grupos en Microsoft Entra ID
Error "No se pudo iniciar la sincronización (0x80072f9a)"
En los dispositivos Windows, al intentar sincronizar en la aplicación >ConfiguraciónCuentas>acceso a trabajo o escuela, es posible que vea un The sync could not be initiated (0x80072f9a) error.
Si el módulo de plataforma segura (TPM) se restableció a la configuración de fábrica, el dispositivo debe volver a inscribirse para reanudar la sincronización. La identidad de Microsoft Entra del dispositivo se almacena en el TPM. Por lo tanto, si se quita el identificador, la inscripción es la única manera de restablecer la identidad de Microsoft Entra.
Artículos relacionados
- Solucionar problemas de directivas y perfiles.
- ¿Necesita más ayuda? Consulte Cómo obtener soporte técnico en Microsoft Intune.