Compartir a través de


Guía de implementación: Administración de dispositivos que ejecutan Windows 10/11

En esta guía se describe cómo proteger y administrar aplicaciones y puntos de conexión de Windows mediante Microsoft Intune, e incluye nuestras recomendaciones de configuración y recursos desde los requisitos previos hasta la inscripción.

Para cada sección de esta guía, revise las tareas asociadas. Algunas tareas son necesarias y otras, como configurar Microsoft Entra acceso condicional, son opcionales. Seleccione los vínculos proporcionados en cada sección para ir a nuestros documentos de ayuda recomendados en Microsoft Learn, donde puede encontrar información más detallada e instrucciones de procedimientos.

Paso 1: Requisitos previos

Complete los siguientes requisitos previos para habilitar las funcionalidades de administración de puntos de conexión del inquilino:

Para obtener información sobre Microsoft Intune roles y permisos, consulte RBAC con Microsoft Intune. Los roles de administrador global de Microsoft Entra y administrador de Intune tienen derechos totales dentro de Microsoft Intune. Estos roles tienen privilegios elevados y tienen más acceso del necesario para muchas tareas de administración de dispositivos en Microsoft Intune. Se recomienda usar el rol integrado con privilegios mínimos que está disponible para completar las tareas.

Para obtener más detalles y recomendaciones sobre cómo preparar su organización, incorporar o adoptar Intune para la administración de dispositivos móviles, consulte Guía de migración: Configuración o traslado a Microsoft Intune.

Paso 2: Planear la implementación

Use la Guía de planeamiento de Microsoft Intune para definir los objetivos de administración de dispositivos, los escenarios de casos de uso y los requisitos. Use la guía para planear el lanzamiento, la comunicación, el soporte técnico, las pruebas y la validación. Por ejemplo, en algunos casos no es necesario que esté presente cuando los empleados y los alumnos inscriben sus dispositivos. Se recomienda tener un plan de comunicación para que los usuarios sepan dónde encontrar información sobre cómo instalar y usar Portal de empresa de Intune.

Para obtener más información, consulte Microsoft Intune guía de planeamiento.

Paso 3: Creación de directivas de cumplimiento

Use directivas de cumplimiento para asegurarse de que los dispositivos que acceden a los datos sean seguros y cumplan los estándares de su organización. La fase final del proceso de inscripción es la evaluación de cumplimiento, que comprueba que la configuración del dispositivo cumple las directivas. Los usuarios del dispositivo deben resolver todos los problemas de cumplimiento para obtener acceso a los recursos protegidos. Intune marca los dispositivos que no cumplen los requisitos de cumplimiento como no conformes y realiza acciones adicionales (como enviar al usuario una notificación, restringir el acceso o limpiar el dispositivo) según la acción de las configuraciones de no cumplimiento.

Puede usar Microsoft Entra directivas de acceso condicional junto con directivas de cumplimiento de dispositivos para controlar el acceso a equipos Windows, correo electrónico corporativo y servicios de Microsoft 365. Por ejemplo, puede crear una directiva que bloquee el acceso de los empleados a Microsoft Teams en Edge sin inscribir ni proteger primero su dispositivo.

Sugerencia

Para obtener información general sobre las directivas de cumplimiento de dispositivos, consulte Introducción al cumplimiento.

Tarea Detalles
Crear una directiva de cumplimiento Obtenga instrucciones paso a paso sobre cómo crear y asignar una directiva de cumplimiento a grupos de usuarios y dispositivos.
Agregar acciones para incumplimiento Elija lo que sucede cuando los dispositivos ya no cumplen las condiciones de la directiva de cumplimiento. Algunos ejemplos de acciones son el envío de alertas, el bloqueo remoto de dispositivos o la retirada de dispositivos. Se pueden agregar acciones en caso de incumplimiento cuando se configure la directiva de cumplimiento de dispositivos o, más adelante, editando la directiva.
Crear una directiva de acceso condicional basada en dispositivo o basada en la aplicación Seleccione las aplicaciones o servicios que desea proteger y defina las condiciones de acceso.
Bloquear el acceso a aplicaciones que no usan la autenticación moderna Cree una directiva de acceso condicional basada en aplicaciones para bloquear las aplicaciones que usan métodos de autenticación distintos de OAuth2; por ejemplo, las aplicaciones que usan la autenticación básica y basada en formularios. Sin embargo, antes de bloquear el acceso, inicie sesión en Microsoft Entra ID y revise el informe de actividad de métodos de autenticación para ver si los usuarios usan la autenticación básica para acceder a elementos esenciales que olvidó o que no conoce. Por ejemplo, elementos como los quioscos de calendario de las salas de reuniones usan la autenticación básica.
Adición de la configuración de cumplimiento personalizada Con la configuración de cumplimiento personalizada, puede escribir sus propios scripts de Bash para abordar los escenarios de cumplimiento que aún no se incluyen en las opciones de cumplimiento de dispositivos integradas en Microsoft Intune. En este artículo se describe cómo crear, supervisar y solucionar problemas de directivas de cumplimiento personalizadas para dispositivos Windows. La configuración de cumplimiento personalizada requiere que cree un script personalizado que identifique los pares de valores y configuración.

Paso 4: Configuración de la seguridad del punto de conexión

Use Intune características de seguridad de punto de conexión para configurar la seguridad de los dispositivos y administrar las tareas de seguridad de los dispositivos en riesgo.

Tarea Detalles
Administrar dispositivos con características de seguridad del punto de conexión Use la configuración de seguridad del punto de conexión en Intune para administrar de forma eficaz la seguridad de los dispositivos y corregir los problemas de los dispositivos.
Agregar la configuración de Endpoint Protection Configure características comunes de seguridad de Endpoint Protection, como firewall, BitLocker y Microsoft Defender. Para obtener una descripción de la configuración de esta área, consulte la referencia de configuración de Endpoint Protection.
Configure Microsoft Defender para punto de conexión en Intune Al integrar Intune con Microsoft Defender para punto de conexión, no solo ayuda a evitar infracciones de seguridad, sino que también puede aprovechar las ventajas de Microsoft Defender para endpoints Threat & Vulnerability Management (TVM) y usar Intune para corregir las debilidades de los puntos de conexión identificadas por TVM.
Administrar directiva de BitLocker Asegúrese de que los dispositivos se cifran tras la inscripción mediante la creación de una directiva que configure BitLocker en dispositivos administrados.
Administración de perfiles de línea base de seguridad Use las líneas base de seguridad de Intune para proteger y proteger a los usuarios y dispositivos. Una línea base de seguridad incluye los procedimientos recomendados y las recomendaciones para la configuración que afectan a la seguridad.
Uso de Windows Update para empresas para actualizaciones de software Configure una estrategia de implementación de Windows Update con Windows Update para empresas. En este artículo se presentan los tipos de directiva que puede usar para administrar las actualizaciones de software Windows 10/11 y cómo pasar de aplazamientos de anillos de actualización a una directiva de actualizaciones de características.

Paso 5: Configuración de la configuración del dispositivo

Use Microsoft Intune para habilitar o deshabilitar la configuración y las características de Windows en los dispositivos. Para configurar y aplicar estas opciones, cree un perfil de configuración de dispositivo y, a continuación, asigne el perfil a los grupos de su organización. Los dispositivos reciben el perfil una vez que se inscriben.

Tarea Detalles
Creación del perfil de un dispositivo Cree un perfil de dispositivo en Microsoft Intune y busque recursos sobre todos los tipos de perfil de dispositivo. También puede usar el catálogo de configuración para crear una directiva desde cero.
Configuración de la directiva de grupo Uso de plantillas de Windows 10 para configurar opciones de directiva de grupo en Microsoft Intune. Las plantillas administrativas incluyen cientos de opciones que puede configurar para Internet Explorer, Microsoft Edge, OneDrive, Escritorio remoto, Word, Excel y otros programas de Office. Estas plantillas proporcionan a los administradores una vista simplificada de las configuraciones similares a una directiva de grupo, y están basadas totalmente en la nube.
Configurar perfil Wi-Fi Este perfil permite a los usuarios buscar la red Wi-Fi de su organización y conectarse a ella. Para obtener una descripción de la configuración de esta área, consulte la referencia de configuración de Wi-Fi para Windows 10 y versiones posteriores.
Configurar el perfil de VPN Configure una opción de VPN segura, como Microsoft Tunnel, para las personas que se conectan a la red de su organización. Para obtener una descripción de la configuración de esta área, consulte la referencia de la configuración de VPN.
Configurar el perfil de correo electrónico Configure los valores de correo electrónico para que los usuarios puedan conectarse a un servidor de correo electrónico y acceder a su dirección de correo electrónico profesional o educativa. Para obtener una descripción de la configuración de esta área, consulte la referencia de la configuración de correo electrónico.
Restringir las características del dispositivo Proteja a los usuarios contra el acceso no autorizado y las distracciones limitando las características del dispositivo que pueden usar en su entorno profesional o educativo. Para obtener una descripción de la configuración de esta área, consulte la referencia de restricciones de dispositivos para Windows 10/11 y Windows 10 Teams.
Configurar perfil personalizado Agregue y asigne configuraciones y características del dispositivo que no están integradas en Intune. Para obtener una descripción de la configuración de esta área, consulte la referencia de configuración personalizada.
Configuración de la BIOS Configure Intune para que pueda controlar la configuración de UEFI (BIOS) en dispositivos inscritos, mediante la interfaz de configuración de firmware de dispositivo (DFCI)
Configuración de la unión a un dominio Si tiene previsto inscribir Microsoft Entra dispositivos unidos, asegúrese de crear un perfil de unión a un dominio para que Intune sepa a qué dominio local unirse.
Configuración de la optimización de entrega Use esta configuración para reducir el consumo de ancho de banda en los dispositivos que descargan aplicaciones y actualizaciones.
Personalizar la marca y la experiencia de inscripción Personalice el Portal de empresa de Intune y la experiencia de la aplicación Microsoft Intune con sus propias palabras, la personalización de marca, las preferencias de pantalla y la información de contacto de su organización.
Configuración de quioscos y dispositivos dedicados Cree un perfil de pantalla completa para administrar los dispositivos que se ejecutan en modo de pantalla completa.
Personalización de dispositivos compartidos Controle el acceso, las cuentas y las características de energía en dispositivos compartidos o multiusuario.
Configuración del límite de red Cree un perfil de límite de red para proteger el entorno de los sitios en los que no confía.
Configuración de la supervisión de estado de Windows Cree un perfil de supervisión de estado de Windows para permitir que Microsoft recopile datos sobre el rendimiento y proporcione recomendaciones para mejorar. La creación de un perfil habilita la característica de análisis de puntos de conexión en Microsoft Intune, que analiza los datos recopilados, recomienda software, ayuda a mejorar el rendimiento de inicio y corrige problemas comunes de soporte técnico.
Configuración de una aplicación de prueba para alumnos Configure la aplicación Realizar una prueba para que los alumnos realicen pruebas o exámenes en dispositivos inscritos.
Configuración del perfil de telefonía móvil de eSim Puede configurar eSIM para dispositivos compatibles con ESIM, como Surface LTE Pro, para conectarse a Internet a través de una conexión de datos móviles. Esta configuración es ideal para viajeros globales que necesitan mantenerse conectados y flexibles mientras viajan, y elimina la necesidad de una tarjeta SIM.

Paso 6: Configuración de métodos de autenticación segura

Configure métodos de autenticación en Intune para asegurarse de que solo las personas autorizadas acceden a los recursos internos. Intune admite la autenticación multifactor, los certificados y las credenciales derivadas. Los certificados también se usan para firmar y cifrar el correo electrónico mediante S/MIME.

Tarea Detalles
Requerir autenticación multifactor (MFA) Requerir que las personas proporcionen dos formas de credenciales en el momento de la inscripción de dispositivos. Esta directiva funciona junto con Microsoft Entra directivas de acceso condicional.
Cree de un perfil de certificado de confianza Cree e implemente un perfil de certificado de confianza antes de crear un perfil de certificado SCEP, PKCS o PKCS importado. El perfil de certificado de confianza implementa el certificado raíz de confianza en dispositivos y usuarios mediante certificados SCEP, PKCS y PKCS importados.
Usar certificados SCEP con Intune Obtenga información sobre lo que se necesita para usar certificados SCEP con Intune y configure la infraestructura necesaria. A continuación, puede crear un perfil de certificado SCEP o configurar una entidad de certificación de terceros con SCEP.
Usar certificados PKCS con Intune Configure la infraestructura necesaria (por ejemplo, los conectores de certificados locales), exporte un certificado PKCS y agregue el certificado a un perfil de configuración de dispositivos de Intune.
Usar certificados PKCS importados con Intune Configure los certificados PKCS importados, que le permiten configurar y usar S/MIME para cifrar el correo electrónico.
Configurar un emisor de credenciales derivadas Aprovisione dispositivos Windows con certificados derivados de tarjetas inteligentes de usuario.
Integración de Windows Hello para empresas con Microsoft Intune Cree una directiva de Windows Hello para empresas para habilitar o deshabilitar Windows Hello para empresas durante la inscripción de dispositivos. Hello para empresas es un método de inicio de sesión alternativo que usa Active Directory o una cuenta de Microsoft Entra para reemplazar una contraseña, una tarjeta inteligente o una tarjeta inteligente virtual.

Paso 7: Implementación de aplicaciones

Al configurar aplicaciones y directivas de aplicaciones, piense en los requisitos de su organización, como las plataformas que admitirá, las tareas que hacen los usuarios, el tipo de aplicaciones que necesitan para completar esas tareas y quién las necesita. Puede usar Intune para administrar todo el dispositivo (incluidas las aplicaciones) o para administrar solo las aplicaciones.

Tarea Detalles
Agregar aplicaciones de línea de negocio Agregue aplicaciones de línea de negocio (LOB) de macOS para Intune y asignarlas a grupos.
Adición de Microsoft Edge Agregue y asigne Microsoft Edge para Windows.
Agregar Portal de empresa de Intune aplicación desde Microsoft Store Agregue y asigne manualmente la aplicación Portal de empresa de Intune como una aplicación necesaria.
Adición de Portal de empresa de Intune aplicación para Autopilot Agregue la aplicación Portal de empresa a los dispositivos aprovisionados por Windows Autopilot.
Agregar aplicaciones de Microsoft 365 Agregue Aplicaciones Microsoft 365 para empresas.
Asignación de aplicaciones a grupos Después de agregar aplicaciones a Intune, asígnelas a usuarios y dispositivos.
Incluir y excluir asignaciones de aplicaciones Controle el acceso y la disponibilidad de una aplicación mediante la inclusión y exclusión de grupos seleccionados de la asignación.
Uso de scripts de PowerShell Cargue scripts de PowerShell para ampliar las funcionalidades de administración de dispositivos Windows en Intune y facilitar el traslado a la administración moderna.

Paso 8: Inscribir dispositivos

Durante la inscripción, el dispositivo se registra con Microsoft Entra ID y se evalúa para el cumplimiento. Para obtener información sobre cada método de inscripción y cómo elegir uno adecuado para su organización, consulte guía de inscripción de dispositivos Windows para Microsoft Intune.

Tarea Detalles
Habilitación de la inscripción automática de MDM Simplifique la inscripción habilitando la inscripción automática, que inscribe automáticamente los dispositivos en Intune que se unen o se registran con el Microsoft Entra ID. La inscripción automática simplifica la implementación de Windows Autopilot, la inscripción BYOD, la inscripción mediante directiva de grupo y la inscripción masiva a través de un paquete de aprovisionamiento.
Habilitación de la detección automática del servidor MDM Si no tiene Microsoft Entra ID P1 o P2, se recomienda crear un tipo de registro CNAME para Intune servidores de inscripción. El registro CNAME redirige las solicitudes de inscripción al servidor adecuado para que los usuarios que se inscriben no tengan que escribir manualmente el nombre del servidor.
Escenarios de Windows Autopilot Simplifique la OOBE controlada por el usuario o la implementación automática para usted y sus usuarios mediante la configuración de Microsoft Intune inscripción de dispositivos que se produzca automáticamente durante Windows Autopilot.
Inscripción Microsoft Entra dispositivos unidos a híbridos con Windows Autopilot El conector de Intune para Active Directory permite que los dispositivos de Servicios de dominio de Active Directory se unan a Microsoft Entra ID y, a continuación, se inscriban automáticamente en Intune. Se recomienda esta opción de inscripción para entornos locales que usan Servicios de dominio de Active Directory y que actualmente no pueden mover sus identidades a Microsoft Entra ID.
Inscripción de dispositivos mediante directiva de grupo Desencadenar la inscripción automática en Intune mediante una directiva de grupo.
Dispositivos de inscripción masiva Crea un paquete de aprovisionamiento en la configuración de Windows Designer que combina un gran número de dispositivos Windows nuevos para Microsoft Entra ID e inscribiéndolos en Intune.
Configurar la página de estado de inscripción (ESP) Cree un perfil de página de estado de inscripción con una configuración personalizada para guiar a los usuarios a través de la instalación y la inscripción del dispositivo.
Cambiar la etiqueta de propiedad del dispositivo Una vez inscrito un dispositivo, puede cambiar su etiqueta de propiedad en Intune a propiedad corporativa o personal. Este ajuste cambia la forma en que administra el dispositivo y puede habilitar más funcionalidades de administración e identificación en Intune, o limitarlas.
Configuración del proxy para Intune conector de Active Directory Configure el conector de Intune para Que Active Directory funcione con los servidores proxy salientes existentes.
Solucionar problemas de inscripción Solucione los problemas que se producen durante la inscripción o busque opciones para resolverlos.

Paso 9: Ejecución de acciones remotas

Una vez configurados los dispositivos, puede usar las acciones remotas admitidas para administrar y solucionar problemas de dispositivos a distancia. En los artículos siguientes se presentan las acciones remotas para Windows. Si una acción está ausente o deshabilitada en el portal, no se admite para Windows.

Tarea Detalles
Realizar acciones remotas en dispositivos Obtenga información sobre cómo explorar en profundidad dispositivos individuales en Intune, así como administrarlos de forma remota y solucionar sus problemas. En este artículo se enumeran todas las acciones remotas disponibles en Intune y los vínculos a esos procedimientos.
Use TeamViewer para administrar dispositivos Intune de manera remota Configure TeamViewer en Intune y aprenda a administrar un dispositivo de forma remota.
Usar tareas de seguridad para ver amenazas y vulnerabilidades Use Intune para corregir las debilidades de los puntos de conexión identificadas por Microsoft Defender para punto de conexión. Para poder trabajar con tareas de seguridad, debe integrar Microsoft Defender para punto de conexión con Intune.

Paso 10: Ayudar a empleados y alumnos

Los recursos de esta sección se encuentran en la documentación Microsoft Intune ayuda del usuario. Esta documentación está destinada a empleados, alumnos y otros usuarios de dispositivos con licencia de Intune que inscriben un dispositivo personal o proporcionado por la empresa. Los vínculos de documentación están disponibles en toda la aplicación Portal de empresa de Intune y apuntan a información sobre:

  • Métodos de inscripción, con tutoriales sobre cómo inscribirse
  • Portal de empresa configuración y características
  • Anulación de la inscripción y eliminación de datos almacenados
  • Actualización de la configuración del dispositivo para los requisitos de cumplimiento
  • Cómo notificar problemas de la aplicación

Sugerencia

Haga que los requisitos del sistema operativo y los requisitos de contraseña del dispositivo de su organización sean fáciles de encontrar en su sitio web o en un correo electrónico de incorporación para que los empleados no tengan que retrasar la inscripción para buscar esa información.

Tarea Detalles
Instalación de Portal de empresa de Intune aplicación para Windows Obtenga información sobre dónde obtener la aplicación Portal de empresa y cómo iniciar sesión.
Actualización de Portal de empresa aplicación En este artículo se describe cómo instalar la versión más reciente de Portal de empresa y cómo activar las actualizaciones automáticas de aplicaciones.
Inscribir un dispositivo En este artículo se describe cómo inscribir dispositivos personales que ejecutan Windows 10 o Windows 11.
Remover inscripción de un dispositivo En este artículo se describe cómo anular la inscripción de un dispositivo de Intune y eliminar la memoria caché almacenada y los registros de Portal de empresa.

Pasos siguientes