Guía de implementación: Administración de dispositivos que ejecutan Windows 10/11
En esta guía se describe cómo proteger y administrar aplicaciones y puntos de conexión de Windows mediante Microsoft Intune, e incluye nuestras recomendaciones de configuración y recursos desde los requisitos previos hasta la inscripción.
Para cada sección de esta guía, revise las tareas asociadas. Algunas tareas son necesarias y otras, como la configuración del acceso condicional de Microsoft Entra, son opcionales. Seleccione los vínculos proporcionados en cada sección para ir a nuestros documentos de ayuda recomendados en Microsoft Learn, donde puede encontrar información más detallada e instrucciones de procedimientos.
Paso 1: Requisitos previos
Complete los siguientes requisitos previos para habilitar las funcionalidades de administración de puntos de conexión del inquilino:
- Agregar usuarios y grupos
- Asignar licencias a los usuarios
- Establecer la entidad de administración de dispositivos móviles
Para obtener información sobre los roles y permisos de Microsoft Intune, consulte RBAC con Microsoft Intune. Los roles Administrador global de Microsoft Entra y Administrador de Intune tienen derechos completos en Microsoft Intune. Estos roles tienen privilegios elevados y tienen más acceso del necesario para muchas tareas de administración de dispositivos en Microsoft Intune. Se recomienda usar el rol integrado con privilegios mínimos que está disponible para completar las tareas.
Para obtener más detalles y recomendaciones sobre cómo preparar su organización, incorporar o adoptar Intune para la administración de dispositivos móviles, consulte Guía de migración: Configuración o traslado a Microsoft Intune.
Paso 2: Planear la implementación
Use la Guía de planeamiento de Microsoft Intune para definir los objetivos de administración de dispositivos, los escenarios de casos de uso y los requisitos. Use la guía para planear el lanzamiento, la comunicación, el soporte técnico, las pruebas y la validación. Por ejemplo, en algunos casos no es necesario que esté presente cuando los empleados y los alumnos inscriben sus dispositivos. Se recomienda tener un plan de comunicación para que los usuarios sepan dónde encontrar información sobre cómo instalar y usar el Portal de empresa de Intune.
Para obtener más información, consulte la guía de planeamiento de Microsoft Intune.
Paso 3: Creación de directivas de cumplimiento
Use directivas de cumplimiento para asegurarse de que los dispositivos que acceden a los datos sean seguros y cumplan los estándares de su organización. La fase final del proceso de inscripción es la evaluación de cumplimiento, que comprueba que la configuración del dispositivo cumple las directivas. Los usuarios del dispositivo deben resolver todos los problemas de cumplimiento para obtener acceso a los recursos protegidos. Intune marca los dispositivos que no cumplen los requisitos de cumplimiento como no conformes y toma medidas adicionales (como enviar al usuario una notificación, restringir el acceso o limpiar el dispositivo) de acuerdo con su acción para las configuraciones de no cumplimiento .
Puede usar directivas de acceso condicional de Microsoft Entra junto con directivas de cumplimiento de dispositivos para controlar el acceso a equipos Windows, correo electrónico corporativo y servicios de Microsoft 365. Por ejemplo, puede crear una directiva que bloquee el acceso de los empleados a Microsoft Teams en Edge sin inscribir ni proteger primero su dispositivo.
Sugerencia
Para obtener información general sobre las directivas de cumplimiento de dispositivos, consulte Introducción al cumplimiento.
Tarea | Detalles |
---|---|
Crear una directiva de cumplimiento | Obtenga instrucciones paso a paso sobre cómo crear y asignar una directiva de cumplimiento a grupos de usuarios y dispositivos. |
Agregar acciones para incumplimiento | Elija lo que sucede cuando los dispositivos ya no cumplen las condiciones de la directiva de cumplimiento. Algunos ejemplos de acciones son el envío de alertas, el bloqueo remoto de dispositivos o la retirada de dispositivos. Se pueden agregar acciones en caso de incumplimiento cuando se configure la directiva de cumplimiento de dispositivos o, más adelante, editando la directiva. |
Creación de una directiva de acceso condicional basada en dispositivos o aplicaciones | Seleccione las aplicaciones o servicios que desea proteger y defina las condiciones de acceso. |
Bloquear el acceso a aplicaciones que no usan la autenticación moderna | Cree una directiva de acceso condicional basada en aplicaciones para bloquear las aplicaciones que usan métodos de autenticación distintos de OAuth2; por ejemplo, las aplicaciones que usan la autenticación básica y basada en formularios. Sin embargo, antes de bloquear el acceso, inicie sesión en Microsoft Entra ID y revise el informe de actividad de métodos de autenticación para ver si los usuarios usan la autenticación básica para acceder a elementos esenciales que olvidó o de los que no conoce. Por ejemplo, elementos como los quioscos de calendario de las salas de reuniones usan la autenticación básica. |
Adición de la configuración de cumplimiento personalizada | Con la configuración de cumplimiento personalizada, puede escribir sus propios scripts de Bash para abordar los escenarios de cumplimiento aún no incluidos en las opciones de cumplimiento de dispositivos integradas en Microsoft Intune. En este artículo se describe cómo crear, supervisar y solucionar problemas de directivas de cumplimiento personalizadas para dispositivos Windows. La configuración de cumplimiento personalizada requiere que cree un script personalizado que identifique los pares de valores y configuración. |
Paso 4: Configuración de la seguridad del punto de conexión
Use las características de seguridad del punto de conexión de Intune para configurar la seguridad de los dispositivos y administrar las tareas de seguridad de los dispositivos en riesgo.
Tarea | Detalles |
---|---|
Administrar dispositivos con características de seguridad del punto de conexión | Use la configuración de seguridad del punto de conexión en Intune para administrar de forma eficaz la seguridad de los dispositivos y corregir los problemas de los dispositivos. |
Agregar la configuración de Endpoint Protection | Configure características comunes de seguridad de Endpoint Protection, como firewall, BitLocker y Microsoft Defender. Para obtener una descripción de la configuración de esta área, consulte la referencia de configuración de Endpoint Protection. |
Configure Microsoft Defender para punto de conexión en Intune | Al integrar Intune con Microsoft Defender para punto de conexión, no solo ayuda a evitar infracciones de seguridad, sino que también puede aprovechar las ventajas de Microsoft Defender para puntos de conexión Threat & Vulnerability Management (TVM) y usar Intune para corregir las debilidades de punto de conexión identificadas por TVM. |
Administrar directiva de BitLocker | Asegúrese de que los dispositivos se cifran tras la inscripción mediante la creación de una directiva que configure BitLocker en dispositivos administrados. |
Administración de perfiles de línea base de seguridad | Use las líneas base de seguridad de Intune para proteger y proteger a los usuarios y dispositivos. Una línea base de seguridad incluye los procedimientos recomendados y las recomendaciones para la configuración que afectan a la seguridad. |
Uso de Windows Update para empresas para actualizaciones de software | Configure una estrategia de lanzamiento de Windows Update con Windows Update para empresas. En este artículo se presentan los tipos de directiva que puede usar para administrar las actualizaciones de software de Windows 10/11 y cómo realizar la transición de aplazamientos de anillos de actualización a una directiva de actualizaciones de características. |
Paso 5: Configuración de la configuración del dispositivo
Use Microsoft Intune para habilitar o deshabilitar la configuración y las características de Windows en los dispositivos. Para configurar y aplicar estas opciones, cree un perfil de configuración de dispositivo y, a continuación, asigne el perfil a los grupos de su organización. Los dispositivos reciben el perfil una vez que se inscriben.
Tarea | Detalles |
---|---|
Creación del perfil de un dispositivo | Cree un perfil de dispositivo en Microsoft Intune y busque recursos sobre todos los tipos de perfil de dispositivo. También puede usar el catálogo de configuración para crear una directiva desde cero. |
Configuración de la directiva de grupo | Uso de plantillas de Windows 10 para configurar opciones de directiva de grupo en Microsoft Intune. Las plantillas administrativas incluyen cientos de opciones que puede configurar para Internet Explorer, Microsoft Edge, OneDrive, Escritorio remoto, Word, Excel y otros programas de Office. Estas plantillas proporcionan a los administradores una vista simplificada de las configuraciones similares a una directiva de grupo, y están basadas totalmente en la nube. |
Configurar perfil Wi-Fi | Este perfil permite a los usuarios buscar la red Wi-Fi de su organización y conectarse a ella. Para obtener una descripción de la configuración de esta área, consulta la referencia de configuración de Wi-Fi para Windows 10 y versiones posteriores. |
Configurar el perfil de VPN | Configure una opción de VPN segura, como Microsoft Tunnel, para las personas que se conectan a la red de su organización. Para obtener una descripción de la configuración de esta área, consulte la referencia de la configuración de VPN. |
Configurar el perfil de correo electrónico | Configure los valores de correo electrónico para que los usuarios puedan conectarse a un servidor de correo electrónico y acceder a su dirección de correo electrónico profesional o educativa. Para obtener una descripción de la configuración de esta área, consulte la referencia de la configuración de correo electrónico. |
Restringir las características del dispositivo | Proteja a los usuarios contra el acceso no autorizado y las distracciones limitando las características del dispositivo que pueden usar en su entorno profesional o educativo. Para obtener una descripción de la configuración de esta área, consulta la referencia de restricciones de dispositivos para Windows 10/11 y Windows 10 Teams. |
Configurar perfil personalizado | Agregue y asigne configuraciones y características del dispositivo que no están integradas en Intune. Para obtener una descripción de la configuración de esta área, consulte la referencia de configuración personalizada. |
Configuración de la BIOS | Configure Intune para que pueda controlar la configuración de UEFI (BIOS) en dispositivos inscritos mediante la interfaz de configuración de firmware de dispositivo (DFCI) |
Configuración de la unión a un dominio | Si tiene previsto inscribir dispositivos unidos a Microsoft Entra, asegúrese de crear un perfil de unión a un dominio para que Intune sepa a qué dominio local unirse. |
Configuración de la optimización de entrega | Use esta configuración para reducir el consumo de ancho de banda en los dispositivos que descargan aplicaciones y actualizaciones. |
Personalizar la marca y la experiencia de inscripción | Personalice el Portal de empresa de Intune y la experiencia de la aplicación Microsoft Intune con sus propias palabras, la personalización de marca, las preferencias de pantalla y la información de contacto de su organización. |
Configuración de quioscos y dispositivos dedicados | Cree un perfil de pantalla completa para administrar los dispositivos que se ejecutan en modo de pantalla completa. |
Personalización de dispositivos compartidos | Controle el acceso, las cuentas y las características de energía en dispositivos compartidos o multiusuario. |
Configuración del límite de red | Cree un perfil de límite de red para proteger el entorno de los sitios en los que no confía. |
Configuración de la supervisión de estado de Windows | Cree un perfil de supervisión de estado de Windows para permitir que Microsoft recopile datos sobre el rendimiento y proporcione recomendaciones para mejorar. La creación de un perfil habilita la característica de análisis de puntos de conexión en Microsoft Intune, que analiza los datos recopilados, recomienda software, ayuda a mejorar el rendimiento de inicio y corrige problemas comunes de soporte técnico. |
Configuración de una aplicación de prueba para alumnos | Configure la aplicación Realizar una prueba para que los alumnos realicen pruebas o exámenes en dispositivos inscritos. |
Configuración del perfil de telefonía móvil de eSim | Puede configurar eSIM para dispositivos compatibles con ESIM, como Surface LTE Pro, para conectarse a Internet a través de una conexión de datos móviles. Esta configuración es ideal para viajeros globales que necesitan mantenerse conectados y flexibles mientras viajan, y elimina la necesidad de una tarjeta SIM. |
Paso 6: Configuración de métodos de autenticación segura
Configure métodos de autenticación en Intune para asegurarse de que solo las personas autorizadas acceden a los recursos internos. Intune admite la autenticación multifactor, los certificados y las credenciales derivadas. Los certificados también se usan para firmar y cifrar el correo electrónico mediante S/MIME.
Tarea | Detalles |
---|---|
Requerir autenticación multifactor (MFA) | Requerir que las personas proporcionen dos formas de credenciales en el momento de la inscripción de dispositivos. Esta directiva funciona junto con las directivas de acceso condicional de Microsoft Entra. |
Cree de un perfil de certificado de confianza | Cree e implemente un perfil de certificado de confianza antes de crear un perfil de certificado SCEP, PKCS o PKCS importado. El perfil de certificado de confianza implementa el certificado raíz de confianza en dispositivos y usuarios mediante certificados SCEP, PKCS y PKCS importados. |
Usar certificados SCEP con Intune | Obtenga información sobre lo que se necesita para usar certificados SCEP con Intune y configure la infraestructura necesaria. A continuación, puede crear un perfil de certificado SCEP o configurar una entidad de certificación de terceros con SCEP. |
Usar certificados PKCS con Intune | Configure la infraestructura necesaria (por ejemplo, los conectores de certificados locales), exporte un certificado PKCS y agregue el certificado a un perfil de configuración de dispositivos de Intune. |
Usar certificados PKCS importados con Intune | Configure los certificados PKCS importados, que le permiten configurar y usar S/MIME para cifrar el correo electrónico. |
Configurar un emisor de credenciales derivadas | Aprovisione dispositivos Windows con certificados derivados de tarjetas inteligentes de usuario. |
Integración de Windows Hello para empresas con Microsoft Intune | Cree una directiva de Windows Hello para empresas para habilitar o deshabilitar Windows Hello para empresas durante la inscripción de dispositivos. Hello for Business es un método de inicio de sesión alternativo que usa Active Directory o una cuenta de Microsoft Entra para reemplazar una contraseña, una tarjeta inteligente o una tarjeta inteligente virtual. |
Paso 7: Implementación de aplicaciones
Al configurar aplicaciones y directivas de aplicaciones, piense en los requisitos de su organización, como las plataformas que admitirá, las tareas que hacen los usuarios, el tipo de aplicaciones que necesitan para completar esas tareas y quién las necesita. Puede usar Intune para administrar todo el dispositivo (incluidas las aplicaciones) o para administrar solo las aplicaciones.
Tarea | Detalles |
---|---|
Agregar aplicaciones de línea de negocio | Agregue aplicaciones de línea de negocio (LOB) de macOS a Intune y asígnelas a grupos. |
Adición de Microsoft Edge | Agregue y asigne Microsoft Edge para Windows. |
Incorporación de la aplicación Portal de empresa de Intune desde Microsoft Store | Agregue y asigne manualmente la aplicación Portal de empresa de Intune como una aplicación necesaria. |
Incorporación de la aplicación Portal de empresa de Intune para Autopilot | Agregue la aplicación Portal de empresa a los dispositivos aprovisionados por Windows Autopilot. |
Agregar aplicaciones de Microsoft 365 | Agregue Aplicaciones de Microsoft 365 para empresas. |
Asignación de aplicaciones a grupos | Después de agregar aplicaciones a Intune, asígnelas a usuarios y dispositivos. |
Incluir y excluir asignaciones de aplicaciones | Controle el acceso y la disponibilidad de una aplicación mediante la inclusión y exclusión de grupos seleccionados de la asignación. |
Uso de scripts de PowerShell | Cargue scripts de PowerShell para ampliar las funcionalidades de administración de dispositivos Windows en Intune y facilitar el paso a la administración moderna. |
Paso 8: Inscribir dispositivos
Durante la inscripción, el dispositivo se registra con el identificador de Microsoft Entra y se evalúa para el cumplimiento. Para obtener información sobre cada método de inscripción y cómo elegir uno adecuado para su organización, consulte guía de inscripción de dispositivos Windows para Microsoft Intune.
Tarea | Detalles |
---|---|
Habilitación de la inscripción automática de MDM | Simplifique la inscripción habilitando la inscripción automática, que inscribe automáticamente los dispositivos en Intune que se unen o se registran con su identificador de Microsoft Entra. La inscripción automática simplifica la implementación de Windows Autopilot, la inscripción BYOD, la inscripción mediante la directiva de grupo y la inscripción masiva a través de un paquete de aprovisionamiento. |
Habilitación de la detección automática del servidor MDM | Si no tiene Microsoft Entra ID P1 o P2, se recomienda crear un tipo de registro CNAME para los servidores de inscripción de Intune. El registro CNAME redirige las solicitudes de inscripción al servidor adecuado para que los usuarios que se inscriben no tengan que escribir manualmente el nombre del servidor. |
Escenarios de Windows Autopilot | Simplifique la OOBE controlada por el usuario o la implementación automática para usted y los usuarios configurando la inscripción de dispositivos de Microsoft Intune para que se produzca automáticamente durante Windows Autopilot. |
Inscripción de dispositivos unidos a Microsoft Entra híbrido con Windows Autopilot | El conector de Intune para Active Directory permite que los dispositivos de Active Directory Domain Services se unan a Microsoft Entra ID y, a continuación, se inscriban automáticamente en Intune. Se recomienda esta opción de inscripción para entornos locales que usan Active Directory Domain Services y que actualmente no pueden mover sus identidades a Microsoft Entra ID. |
Inscripción de dispositivos mediante la directiva de grupo | Desencadene la inscripción automática en Intune mediante una directiva de grupo. |
Dispositivos de inscripción masiva | Cree un paquete de aprovisionamiento en el Diseñador de configuraciones de Windows que una gran cantidad de dispositivos Windows nuevos a Microsoft Entra ID e inscribalos en Intune. |
Configurar la página de estado de inscripción (ESP) | Cree un perfil de página de estado de inscripción con una configuración personalizada para guiar a los usuarios a través de la instalación y la inscripción del dispositivo. |
Cambiar la etiqueta de propiedad del dispositivo | Una vez inscrito un dispositivo, puede cambiar su etiqueta de propiedad en Intune a propiedad corporativa o personal. Este ajuste cambia la forma en que administra el dispositivo y puede habilitar más funcionalidades de administración e identificación en Intune, o limitarlas. |
Configuración del proxy para Intune Active Directory Connector | Configure Intune Connector para Active Directory para que funcione con los servidores proxy de salida existentes. |
Solucionar problemas de inscripción | Solucione los problemas que se producen durante la inscripción o busque opciones para resolverlos. |
Paso 9: Ejecución de acciones remotas
Una vez configurados los dispositivos, puede usar las acciones remotas admitidas para administrar y solucionar problemas de dispositivos a distancia. En los artículos siguientes se presentan las acciones remotas para Windows. Si una acción está ausente o deshabilitada en el portal, no se admite para Windows.
Tarea | Detalles |
---|---|
Realizar acciones remotas en dispositivos | Obtenga información sobre cómo explorar en profundidad dispositivos individuales en Intune, así como administrarlos de forma remota y solucionar sus problemas. En este artículo se enumeran todas las acciones remotas disponibles en Intune y los vínculos a esos procedimientos. |
Use TeamViewer para administrar dispositivos Intune de manera remota | Configure TeamViewer en Intune y aprenda a administrar un dispositivo de forma remota. |
Usar tareas de seguridad para ver amenazas y vulnerabilidades | Use Intune para corregir las debilidades de punto de conexión identificadas por Microsoft Defender para punto de conexión. Para poder trabajar con tareas de seguridad, debe integrar Microsoft Defender para punto de conexión con Intune. |
Paso 10: Ayudar a empleados y alumnos
Los recursos de esta sección se encuentran en la documentación de ayuda del usuario de Microsoft Intune. Esta documentación está destinada a empleados, alumnos y otros usuarios de dispositivos con licencia de Intune que inscriben un dispositivo personal o proporcionado por la empresa. Los vínculos de documentación están disponibles en toda la aplicación Portal de empresa de Intune y apuntan a información sobre:
- Métodos de inscripción, con tutoriales sobre cómo inscribirse
- Configuración y características del Portal de empresa
- Anulación de la inscripción y eliminación de datos almacenados
- Actualización de la configuración del dispositivo para los requisitos de cumplimiento
- Cómo notificar problemas de la aplicación
Sugerencia
Haga que los requisitos del sistema operativo y los requisitos de contraseña del dispositivo de su organización sean fáciles de encontrar en su sitio web o en un correo electrónico de incorporación para que los empleados no tengan que retrasar la inscripción para buscar esa información.
Tarea | Detalles |
---|---|
Instalación de la aplicación Portal de empresa de Intune para Windows | Obtenga información sobre dónde obtener la aplicación Portal de empresa y cómo iniciar sesión. |
Actualización de la aplicación Portal de empresa | En este artículo se describe cómo instalar la versión más reciente del Portal de empresa y cómo activar las actualizaciones automáticas de aplicaciones. |
Inscribir un dispositivo | En este artículo se describe cómo inscribir dispositivos personales que ejecutan Windows 10 o Windows 11. |
Remover inscripción de un dispositivo | En este artículo se describe cómo anular la inscripción de un dispositivo de Intune y eliminar la memoria caché almacenada y los registros de Portal de empresa. |
Pasos siguientes
Para obtener información general sobre el Centro de administración de Microsoft Intune y cómo navegar por él, consulte Tutorial: Tutorial del Centro de administración de Microsoft Intune. Los tutoriales son contenidos de nivel 100 - 200 para usuarios nuevos en Intune o en un escenario específico.
Para otras versiones de esta guía, consulte:
- Guía de implementación: Administración de dispositivos Android en Microsoft Intune
- Guía de implementación: Administración de dispositivos iOS en Microsoft Intune
- Guía de implementación: Administración de dispositivos macOS en Microsoft Intune
- Guía de implementación: Dispositivos Linux administrados en Microsoft Intune