Importe y analice los GPO locales mediante el análisis de directiva de grupo en Microsoft Intune
Sugerencia
¿Busca análisis de GPO locales? Hay herramientas disponibles en el Kit de herramientas de cumplimiento de seguridad de Microsoft.
Microsoft Intune tiene gran parte de la misma configuración que sus GPO locales. directiva de grupo analytics es una herramienta en Microsoft Intune que:
- Importa y analiza los GPO locales.
- Muestra la configuración que admiten los proveedores de MDM basados en la nube, incluidos los Microsoft Intune.
- Muestra cualquier configuración en desuso o configuración no disponible.
- Puede migrar los GPO importados a una directiva de catálogo de configuración que se puede implementar en los dispositivos.
Si su organización usa GPO locales para administrar dispositivos Windows 10/11, directiva de grupo análisis puede ayudar. Con el análisis de la directiva de grupo, es posible que Intune pueda reemplazar los GPO locales. Los dispositivos Windows 10/11 son por naturaleza nativos de la nube. Por lo tanto, según su configuración, es posible que estos dispositivos no requieran acceso a un Active Directory local.
Si está listo para quitar la dependencia al AD local, analizar sus GPO con el análisis de directivas de grupo es un buen primer paso. Algunas configuraciones anteriores no se admiten o no se aplican a los dispositivos Windows nativos en la nube. Después de analizar los GPO, conoce la configuración que sigue siendo válida.
Esta característica se aplica a:
- Windows 11
- Windows 10
En este artículo se muestra cómo exportar los GPO locales, importar los GPO en Intune y revisar el análisis y los resultados. Para migrar o transferir los GPO importados a una directiva de Intune, vaya a Crear una directiva de catálogo de configuración con los GPO importados en Microsoft Intune.
Antes de empezar
En el centro de administración de Microsoft Intune, inicie sesión como administrador Intune o con un rol que tenga las líneas base de seguridad y el permiso Configuración del dispositivo. Para más información acerca de los roles integrados, consulte Control de acceso basado en rol.
Exportación de GPO como archivo XML
Los pasos siguientes pueden ser diferentes en el servidor, en función de la versión de GPMC que use. Al exportar el GPO, asegúrese de exportar como un archivo XML.
En el equipo local, abra la consola
Group Policy Management
(GPMC.msc).En la consola de administración, expanda el nombre de dominio.
Expanda directiva de grupo Objetos para ver todos los GPO disponibles.
Haga clic con el botón derecho en el GPO que desea migrar y elija Guardar informe:
Seleccione una carpeta de fácil acceso para la exportación. En Guardar como tipo, seleccione Archivo XML. En otro paso, agregará este archivo al análisis de directivas de grupo en Intune.
Asegúrese de que el archivo tenga menos de 4 MB y una codificación Unicode adecuada. Si el archivo exportado es mayor que 4 MB, reduzca el número de configuraciones en el objeto de directiva de grupo.
Importar GPO y ejecutar análisis
En el centro de administración de Microsoft Intune, seleccione Dispositivos>Administrar dispositivos>directiva de grupo análisis.
Seleccione Importar y seleccione el archivo > XML guardado Siguiente.
Puede seleccionar varios archivos a la vez con las teclas MAYÚS y CTRL.
Compruebe los tamaños de los archivos XML de cada GPO. Un solo GPO no puede tener un tamaño superior a 4 MB. Si un solo GPO es mayor que 4 MB, se produce un error en la importación. También se produce un error en los archivos XML sin el final unicode adecuado.
En Etiquetas de ámbito, seleccione la etiqueta de ámbito existente que desea aplicar al GPO importado. Si no selecciona una etiqueta de ámbito existente, se usará automáticamente la etiqueta Ámbito predeterminado :
Solo los administradores incluidos en las etiquetas de ámbito que seleccione pueden ver el GPO importado. Para obtener más información sobre las etiquetas de ámbito en los GPO importados, vaya a Seleccionar una etiqueta de ámbito al importar (en este artículo).
Seleccione Siguiente>Crear.
Al seleccionar Crear, Intune analiza automáticamente el GPO en el archivo XML.
Una vez ejecutado el análisis, el GPO que ha importado aparece con la siguiente información:
Nombre de la directiva de grupo: el nombre se genera automáticamente con la información del GPO.
Destino de Active Directory: el destino se genera automáticamente con la información de destino de la unidad organizativa (OU) del GPO.
Soporte de MDM: muestra el porcentaje de configuración de la directiva de grupo del GPO que tiene la misma configuración en Intune.
Nota:
Cada vez que el equipo de producto de Microsoft Intune realiza cambios en la asignación en Intune, el porcentaje de compatibilidad con MDM se actualiza automáticamente para reflejar esos cambios.
Configuración desconocida: hay algunos CSP que no se pueden analizar. Configuración desconocida enumera los GPO que no se pueden analizar.
Dirigido en AD: Sí significa que el GPO está vinculado a una unidad organizativa de la directiva de grupo local. No significa que el GPO no está vinculado a ninguna unidad organizativa local.
Última importación: muestra la fecha de la última importación.
Puede importar más GPO para el análisis, actualizar la página y filtrar la salida. También puede exportar esta vista a un archivo
.csv
:Seleccione el porcentaje de Soporte técnico de MDM de un GPO enumerado. Se muestran más detalles sobre el GPO:
Nombre de la configuración: el nombre se genera automáticamente con la información de la configuración del GPO.
Categoría de configuración de directiva de grupo: muestra la categoría de configuración de la configuración de ADMX, como Internet Explorer y Microsoft Edge. No toda la configuración tiene una categoría.
Soporte técnico de MDM:
- Sí significa que hay una configuración coincidente disponible en Intune. Puede configurar esta opción en el catálogo de configuración.
- No significa que no hay ninguna configuración coincidente disponible para los proveedores de MDM, incluido Intune.
- Otros valores: si importa una configuración anterior que ya no se admite, la herramienta sugiere migrar a una versión compatible más reciente. Para obtener más información sobre los escenarios de migración, vaya a GPO importados en Intune: lo que necesita saber.
Valor: muestra el valor importado desde el GPO. Muestra valores diferentes, como
true
,900
,Enabled
,false
, etc.Ámbito: muestra si el GPO importado tiene como destino usuarios o dispositivos.
Versión mínima del sistema operativo: muestra los números de compilación de la versión mínima del sistema operativo de Windows que aplica la configuración del GPO. Puede mostrar
18362
(1903),17130
(1803) y otras versiones de cliente de Windows.Por ejemplo, si una configuración de directiva muestra
18362
, la configuración es compatible con la compilación18362
y las compilaciones más recientes.Nombre de CSP: un proveedor de servicios de configuración (CSP) expone las opciones de configuración del dispositivo en el cliente Windows. Esta columna muestra el CSP que incluye la configuración. Por ejemplo, puede ver Directiva, BitLocker, PassportforWork, etc.
La referencia de CSP enumera los CSP disponibles, muestra las ediciones admitidas del sistema operativo y mucho más.
Asignación de CSP: muestra la ruta de acceso de OMA-URI para la directiva local. Puede usar OMA-URI en un perfil de configuración de dispositivo personalizado. Por ejemplo, es posible que vea
./Device/Vendor/MSFT/BitLocker/RequireDeviceEnryption
.
Para la configuración que tiene compatibilidad con MDM, puede crear una directiva de catálogo de configuración con esta configuración. Para conocer los pasos específicos, vaya a Crear una directiva de catálogo de configuración con los GPO importados en Microsoft Intune.
Seleccione una etiqueta de ámbito al importar
Al importar un GPO, puede seleccionar etiquetas de ámbito existentes. Si no selecciona una etiqueta de ámbito, se usará automáticamente la etiqueta Ámbito predeterminado . Solo los administradores con ámbito en la etiqueta Ámbito predeterminado pueden ver el GPO importado. Los administradores que no tienen el ámbito de la etiqueta Ámbito predeterminado no ven el GPO importado.
Este comportamiento se aplica a cualquier etiqueta de ámbito que seleccione al importar un GPO. Los administradores solo ven los GPO importados si tienen una de las mismas etiquetas de ámbito seleccionadas durante la importación. Si un administrador no tiene la etiqueta de ámbito, no verá el GPO importado en los informes o en la lista de GPO.
Por ejemplo, los administradores tienen Charlotte
London
etiquetas de ámbito , o Boston
asignadas a su rol:
- Un administrador con la etiqueta de ámbito "Charlotte" importa un GPO.
- Durante la importación, seleccionan la etiqueta de ámbito "Charlotte". La etiqueta de ámbito "Charlotte" se aplica al GPO importado.
- Todos los administradores con la etiqueta de ámbito "Charlotte" pueden ver el objeto importado.
- Los administradores con solo las etiquetas de ámbito "Londres" o "Boston" no pueden ver el objeto importado desde el administrador de "Charlotte".
Para que los administradores vean el análisis o migren el GPO importado a una directiva de Intune, estos administradores deben tener una de las mismas etiquetas de ámbito seleccionadas durante la importación.
Para obtener más información sobre las etiquetas de ámbito, vaya a RBAC y etiquetas de ámbito para TI distribuida.
CSP y directivas de grupo compatibles
directiva de grupo análisis puede analizar los siguientes CSP para la compatibilidad con MDM:
- CSP de directiva
- CSP de PassportForWork
- CSP de BitLocker
- CSP de firewall
- CSP de AppLocker
- Preferencias de directiva de grupo
Si el GPO importado tiene una configuración que no está en los CSP y directivas de grupo admitidos, la configuración podría aparecer en la columna Configuración desconocida . Este comportamiento significa que la configuración se identificó en el GPO.
Aunque directiva de grupo análisis pueda analizar los CSP, hay algunas cosas que debe saber al migrar los GPO importados. Para obtener más información, vaya a Migración del GPO importado a una directiva de catálogo de configuración: lo que necesita saber.
Informe sobre la preparación para la migración de la directiva de grupo
En el centro de administración de Microsoft Intune, seleccione Informes análisis> dedirectivas de grupo de administración de>dispositivos:
En la pestaña Resumen, se muestran un resumen del GPO y sus directivas. Use esta información para determinar el estado de las directivas del GPO:
Listo para la migración: la directiva tiene una configuración coincidente en Intune y está lista para migrarla a Intune.
No admitida: la directiva no tiene ninguna configuración coincidente. Normalmente, la configuración de directiva que muestra este estado no se expone a los proveedores de MDM, incluido Intune.
En desuso: la directiva se puede aplicar a versiones anteriores de Windows, versiones anteriores de Microsoft Edge y más directivas que ya no se usan.
Nota:
Cuando el equipo de producto de Microsoft Intune actualiza la lógica de asignación, los GPO importados se actualizan automáticamente. No es necesario volver a importar los GPO.
Seleccione la pestaña >Informes Preparación para la migración de directivas de grupo. En este informe, puede:
- Consulta el número de opciones de configuración del GPO que se pueden configurar en un perfil de configuración de dispositivo. También muestra si la configuración puede estar en un perfil personalizado, no se admite o está en desuso.
- Filtrar los resultados del informe mediante los filtros Preparación para la migración, Tipo de perfil y Nombre de CSP.
- Seleccione Generar informe o Volver a generar para obtener los datos actuales.
- Consulte la lista de configuraciones del GPO.
- Use la barra de búsqueda para buscar configuraciones específicas.
- Obtenga una marca de tiempo de la última vez que se generó el informe.
Nota:
Después de agregar o quitar los GPO importados, puede tardar unos 20 minutos en actualizar los datos de los informes de preparación para la migración.
Problemas conocidos
Actualmente, la herramienta de análisis de directiva de grupo solo admite la configuración que no es ADMX en inglés. Si importa un GPO con la configuración en idiomas distintos del inglés, el porcentaje de soporte técnico de MDM es inexacto.
Envío de comentarios sobre el producto
Puede proporcionar comentarios sobre los análisis de directivas de grupo. En el centro de administración de Microsoft Intune, seleccione Dispositivos>Administrar dispositivos>directiva de grupo análisis>Obtener comentarios.
Ejemplos de áreas de comentarios:
- Ha recibido errores durante la importación o el análisis de GPO, y necesita información más específica.
- Facilidad de uso del Análisis de directiva de grupo para encontrar las directivas de grupo admitidas en Microsoft Intune.
- ¿Le ayudará esta herramienta a mover algunas cargas de trabajo a Intune? En caso afirmativo, ¿qué cargas de trabajo está considerando?
Para obtener información sobre la experiencia del cliente, los comentarios se agregan y se envían a Microsoft. Escribir un correo electrónico es opcional y se puede usar para obtener más información.
Privacidad y seguridad
Se agrega cualquier uso de datos de cliente, como los GPO que usa su organización. No se vende a terceros. Estos datos se pueden usar para tomar decisiones empresariales en Microsoft. Los datos del cliente se almacenan de forma segura.
En cualquier momento, puede eliminar los GPO importados:
Vaya a Dispositivos>Administrar dispositivos>directiva de grupo análisis.
Seleccione el menú > contextual Eliminar:
Pasos siguientes
Vea también
Más información sobre los proveedores de servicios de configuración (CSP)