Administración de versiones del sistema operativo con Microsoft Intune
En las plataformas modernas de ordenadores y dispositivos móviles, podrá implementar rápidamente actualizaciones principales, revisiones y nuevas versiones. Tiene controles para administrar completamente las actualizaciones y revisiones en Windows, pero en otras plataformas, como iOS/iPadOS y Android, es necesario que los usuarios finales participen en el proceso. Microsoft Intune tiene las capacidades para ayudarle a estructurar la administración de versiones del sistema operativo en diferentes plataformas.
Intune puede ayudarle a resolver estos escenarios comunes:
- Determinar qué sistema operativo se ejecuta en los dispositivos de los usuarios finales
- Controlar el acceso a datos de la organización desde dispositivos mientras se valida una nueva versión del sistema operativo
- Inducir/requerir a los usuarios finales que actualicen la versión del sistema operativo a la más reciente aprobada por su organización
- Administrar el lanzamiento de una nueva versión del sistema operativo para toda la organización
Control de versiones del sistema operativo mediante Intune restricciones de inscripción de administración de dispositivos móviles
Con las restricciones de inscripción de dispositivos, puede restringir que los dispositivos se inscriban en Intune en función de determinados atributos de dispositivo. El objetivo es permitir que los usuarios inscriban solo los dispositivos que cumplan las expectativas de las organizaciones y evitar la inscripción de dispositivos que no sean compatibles donde puedan obtener acceso a los recursos de las organizaciones. Puede crear directivas de restricción de plataforma de dispositivo de inscripción para las siguientes plataformas:
- Android
- iOS/iPadOS
- macOS
- Windows
Las directivas de restricción de plataforma de dispositivos para cada tipo de plataforma incluyen un mínimo y un máximo de versiones de sistema operativo permitidas, como se muestra en la captura de pantalla siguiente de una directiva de iOS:
A la práctica
Las organizaciones usan restricciones de tipo de dispositivo para controlar el acceso a los recursos de la organización mediante la configuración siguiente:
- Use la versión mínima del sistema operativo para asegurarse de que solo puede inscribir plataformas actuales y admitidas en su organización.
- Deje el sistema operativo máximo sin especificar (sin límite) o establézcalo en la última versión que su organización haya validado para su uso, con el fin de permitir tiempo para las pruebas internas de las nuevas versiones del sistema operativo.
Para más información, vea Crear una restricción de plataforma de dispositivos.
Informes de versiones del sistema operativo y cumplimiento con las directivas de cumplimiento de dispositivos Intune
Intune directivas de cumplimiento de dispositivos proporcionan las siguientes herramientas:
- Especifique reglas de cumplimiento que definan las configuraciones necesarias para los dispositivos.
- Vea los informes de cumplimiento para comprender qué dispositivos no son compatibles y a qué configuración de las directivas.
- Actúe sobre los resultados de no cumplimiento a través de directivas de cuarentena de dispositivos y acceso condicional que impiden que los dispositivos no conformes accedan a los recursos de la organización.
Igual que las restricciones de inscripción, las directivas de cumplimiento de dispositivos incluyen tanto la versión mínima como la máxima del sistema operativo. Las directivas también tienen una escala de tiempo de cumplimiento para ofrecer a los usuarios un período de gracia para cumplir con la directiva. Las directivas de cumplimiento de dispositivos mantienen los dispositivos de usuario final inscritos conformes a las expectativas de las organizaciones.
A la práctica
Las organizaciones usan las directivas de cumplimiento de dispositivos en los mismos escenarios que las restricciones de inscripción. Estas directivas hacen que los usuarios usen versiones actuales y validadas del sistema operativo en su organización. Si los dispositivos de los usuarios finales no cumplen las directivas, se puede bloquear el acceso a recursos de la organización mediante un acceso condicional hasta que los usuarios finales estén dentro del rango del sistema operativo compatible para su organización. Se notifica a los usuarios finales que no cumplen los requisitos y se les proporcionan los pasos necesarios para recuperar el acceso.
Para obtener más información, consulte Introducción al cumplimiento de dispositivos.
Controles de la versión del sistema operativo mediante directivas de protección de aplicaciones de Intune
Las directivas de protección de aplicaciones de Intune y la configuración de acceso a la administración de aplicaciones móviles (MAM) permiten especificar la versión mínima del sistema operativo en el nivel de aplicación. Esto le permite informar a los usuarios finales de que pueden actualizar su sistema operativo a una versión mínima especificada y fomentar o requerirles que lo hagan.
Tiene dos opciones:
Advertencia: con la advertencia, se informa al usuario final de que debería actualizar la versión si abre una aplicación con una directiva de protección de aplicaciones o una configuración de acceso de MAM en un dispositivo con una versión de sistema operativo inferior a la especificada. Se permite el acceso a la aplicación y a los datos de la organización.
Bloqueo: con el bloqueo, se informa al usuario final de que debe actualizar la versión si abre una aplicación con una directiva de protección de aplicaciones o una configuración de acceso de MAM en un dispositivo con una versión de sistema operativo inferior a la especificada. No se permite el acceso a los datos de la aplicación ni de la organización.
A la práctica
Al abrir o reanudar aplicaciones, las organizaciones usan la configuración de la directiva de protección de aplicaciones para explicar a los usuarios finales la necesidad de mantener las aplicaciones actualizadas. Por ejemplo, se podría establecer una configuración en la que a los usuarios finales se les advirtiera cuando estuvieran usando la versión actual menos uno y se les bloqueara cuando usaran la versión actual menos dos.
Para obtener más información, consulte Creación y asignación de directivas de protección de aplicaciones.
Administración de varias versiones del sistema operativo mediante directivas de protección de aplicaciones Intune
En Directivas de Protección de aplicaciones (APP), solo puede configurar una versión mínima del sistema operativo en la configuración de inicio condicional, pero puede crear varias API con distintos valores mínimos del sistema operativo. Sin embargo, dado que las APP se asignan a grupos de usuarios, esto significa que un usuario con varios dispositivos que ejecutan diferentes versiones del sistema operativo podría enfrentarse a requisitos de sistema operativo en conflicto al acceder a recursos protegidos.
Para permitir que varias API con distintos requisitos del sistema operativo se dirijan al mismo usuario, puede crear filtros que tengan como destino la aplicación a una versión específica del sistema operativo.
Hay dos tipos de filtros para Intune: dispositivos administrados y aplicaciones administradas. APP solo admite filtros de aplicaciones administradas.
Creación de filtros
Para usar filtros con APP, debe crear un filtro para cada versión específica del sistema operativo de destino:
Vaya al centro de administración de Microsoft Intune.
SeleccioneFiltros>de administración> deinquilinos Crear>aplicaciones administradas.
En la página Aspectos básicos , escriba un nombre para el filtro que lo haga fácilmente identificable y seleccione la plataforma de destino, en este ejemplo, iOS/iPadOS.
En la página Reglas , cree un filtro para la versión principal del sistema operativo de destino, por ejemplo, Property=osVersion(versión del sistema operativo), Operator=StartsWith, Value=18.
- Opcional: puede usar el botón Vista previa para comprobar el dispositivo, el usuario y la aplicación que coinciden con el filtro especificado.
- En la página Revisar y crear , guarde el filtro seleccionando Crear.
Repita estos pasos para crear filtros adicionales para cada plataforma y versión principal del sistema operativo de destino, como iOS 16 y 17.
Creación y destino de una aplicación con un filtro
Vaya al centro de administración de Microsoft Intune.
Seleccione Aplicaciones>Protección de aplicaciones directivas>Crear directiva> Elija la plataforma de destino con la APLICACIÓN, como iOS/iPadOS.
En la página Aspectos básicos , escriba un nombre para la directiva que la identifique fácilmente.
Complete las páginas Aplicaciones, Protección de datos y Requisitos de acceso con la configuración de directivas de protección de aplicaciones de iOS, Android o Windows que cumplen los requisitos de su organización. En la sección Condiciones del dispositivo de la página De inicio condicional (o en la página Comprobaciones de estado de la aplicación de Windows), configure la versión secundaria o de revisión del sistema operativo que desea establecer como la versión mínima. Por ejemplo, Setting=Min OS version, Value=18.2.1, Action=Block access/Wipe data/Warn, según la acción necesaria para su organización.
En la página Asignaciones , use el filtro creado anteriormente para limitar la asignación de directiva a la versión principal correcta del sistema operativo.
En la página Revisar y crear , guarde la directiva seleccionando Crear.
En el ejemplo que se muestra, el filtro se dirigirá a dispositivos que ejecutan iOS 18 y la configuración de inicio condicional de la aplicación requerirá la versión 18.2.1, lo que garantiza que la aplicación no se aplique a los dispositivos que se ejecutan en otra versión principal de iOS.
Cree API adicionales para cada versión del sistema operativo, por ejemplo:
Segunda directiva para iOS 16: inicio condicional, Condiciones del dispositivo, Versión mínima del sistema operativo=16.7.10, filtro, versión del sistema operativo, StartsWith=16.
Tercera directiva para iOS 17: inicio condicional, Condiciones del dispositivo, Versión mínima del sistema operativo=17.7.2, versión del sistema operativo de filtro, StartsWith=17.
A la práctica
Las organizaciones pueden crear varias APP que requieran diferentes versiones mínimas del sistema operativo. Al hacerlo, puede filtrar la asignación de estas APP para que solo se aplique a cada versión principal del sistema operativo. Esto garantiza que cada aplicación sea compatible con la versión específica del sistema operativo a la que está asignada, lo que proporciona un enfoque personalizado para la protección de aplicaciones.
A medida que los proveedores del sistema operativo lanzan nuevas actualizaciones o revisiones secundarias del sistema operativo, también puede actualizar cada aplicación con la nueva versión mínima del sistema operativo. Este proceso de actualización continua garantiza que la organización permanezca segura siempre mediante las versiones más recientes del sistema operativo. Mantener actualizadas las aplicaciones y las versiones del sistema operativo ayuda a protegerse frente a vulnerabilidades y mejora la seguridad general.
Administrar el lanzamiento de una versión de sistema operativo
Puede usar las funcionalidades de Intune descritas en este artículo para ayudarle a mover los dispositivos de las organizaciones a una nueva versión del sistema operativo dentro de la escala de tiempo que defina. En los pasos siguientes se ofrece un modelo de implementación de muestra para hacer que los usuarios de la versión 1 del sistema operativo pasen a la versión 2 en un plazo de siete días.
- Use restricciones de inscripción de dispositivos para requerir el sistema operativo v2 como versión mínima para inscribir el dispositivo. Esto garantiza que los dispositivos de los usuarios finales nuevos cumplan los requisitos a la hora de realizar la inscripción.
- Use Intune directivas de protección de aplicaciones para advertir a los usuarios cuando se abra o reanude una aplicación protegida de que se requiere el sistema operativo más reciente v2.
- Use directivas de cumplimiento de dispositivos para requerir el sistema operativo v2 como versión mínima para que un dispositivo sea compatible. Use Actions for noncompliance para permitir un período de gracia de siete días y enviar a los usuarios finales una notificación por correo electrónico con su escala de tiempo y requisitos.
- Estas directivas pueden informar a los usuarios finales de que sus dispositivos deben actualizarse por correo electrónico, el Portal de empresa de Intune y cuando se abre la aplicación para las aplicaciones habilitadas con una directiva de protección de aplicaciones.
- Puede ejecutar un informe de cumplimiento para identificar a los usuarios que no cumplan los requisitos.
- Use Intune directivas de protección de aplicaciones para bloquear a los usuarios cuando se abra o reanude una aplicación si el dispositivo no ejecuta el sistema operativo v2.
- Use las directivas de cumplimiento de dispositivos para requerir la versión 2 del sistema operativo como versión mínima para que un dispositivo cumpla los requisitos.
- Estas directivas requieren que los dispositivos estén actualizados para seguir teniendo acceso a datos de la organización. Los servicios protegidos se bloquean cuando se usan con acceso condicional al dispositivo. Las aplicaciones que disponen de una directiva de protección de aplicaciones se bloquean cuando se abren o cuando acceden a datos de la organización.
Siguientes pasos
Use los siguientes recursos para administrar las versiones del sistema operativo que están en uso en su organización: