Configuración de acciones para dispositivos no compatibles en Intune
Como parte de una directiva de cumplimiento que protege los recursos de la organización de los dispositivos que no cumplen los requisitos de seguridad, las directivas de cumplimiento también incluyen Acciones en caso de incumplimiento. Las acciones en caso de incumplimiento son una o varias acciones ordenadas cronológicamente que realiza una directiva para ayudar a proteger los dispositivos y la organización. Por ejemplo, una acción de incumplimiento puede bloquear de forma remota un dispositivo para asegurarse de que está protegido o enviar una notificación a los dispositivos o usuarios para ayudarles a comprender y resolver el estado no conforme.
Importante
Microsoft Intune está finalizando la compatibilidad con la administración del administrador de dispositivos Android en dispositivos con acceso a Google Mobile Services (GMS) el 31 de diciembre de 2024. Después de esa fecha, la inscripción de dispositivos, el soporte técnico, las correcciones de errores y las correcciones de seguridad no estarán disponibles. Si actualmente usa la administración del administrador de dispositivos, se recomienda cambiar a otra opción de administración de Android en Intune antes de que finalice el soporte técnico. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.
Información general
De forma predeterminada, cada directiva de cumplimiento incluye la acción de incumplimiento de Marcar el dispositivo no compatible con una programación de cero días (0). El resultado de este valor predeterminado es que cuando Intune detecta un dispositivo que no es compatible, lo marca inmediatamente como tal. Una vez que un dispositivo se marca como no compatible, Microsoft Entra acceso condicional puede bloquear el dispositivo.
Al configurar Acciones para no cumplimiento , obtiene flexibilidad para decidir qué hacer con los dispositivos no conformes y cuándo hacerlo. Por ejemplo, puede elegir no bloquear el dispositivo inmediatamente y conceder al usuario un período de gracia para convertirlo en compatible.
Para cada acción que establezca, puede configurar una programación que determine cuándo surte efecto la acción. La programación debe indicar el número de días pasados los cuales el dispositivo se marcará como no compatible. También se pueden configurar varias instancias de una acción. Cuando se establecen varias instancias de una acción en una directiva, la acción se ejecuta de nuevo a esa hora programada posterior si el dispositivo sigue sin ser conforme.
No todas las acciones están disponibles para todas las plataformas.
Nota:
El centro de administración de Microsoft Intune muestra la programación (días después del incumplimiento) en días. Sin embargo, es posible especificar un intervalo más granular (horas), usando fracciones decimales como 0,25 (6 horas), 0,5 (12 horas), 1,5 (36 horas), etc. Aunque otros valores son posibles, solo se pueden configurar mediante Microsoft Graph y no a través del centro de administración. Si intenta usar otros valores en el centro de administración, como 0,33 (8 horas), se producirá un error al intentar guardar la directiva.
Acciones disponibles en caso de incumplimiento
A continuación se muestran las acciones disponibles en caso de incumplimiento:
Marcar dispositivo como no compatible: de forma predeterminada, esta acción se establece para cada directiva de cumplimiento y tiene una programación de cero (0) días, marcando los dispositivos como no compatibles inmediatamente.
Al cambiar la programación predeterminada, proporciona un período de gracia en el que un usuario puede corregir problemas o ser conforme sin marcarse como no conforme.
Esta acción se admite en todas las plataformas compatibles con Intune.
Enviar correo electrónico al usuario final: esta acción envía una notificación por correo electrónico al usuario. Al habilitar esta acción, se ha de hacer lo siguiente:
- Seleccione una plantilla de mensaje de notificación que envíe esta acción. Cree una plantilla de mensaje de notificación para poder asignar una a esta acción. Al crear la notificación personalizada, se personaliza la configuración regional, el asunto y el cuerpo del mensaje, y puede incluir el logotipo, el nombre de la empresa y otra información de contacto.
- Elija enviar el mensaje a más destinatarios seleccionando uno o varios de los grupos de Microsoft Entra.
Intune usa la dirección de correo electrónico definida en el perfil del usuario final y no su nombre principal de usuario (UPN). Si no hay ninguna dirección de correo electrónico definida en el perfil del usuario, Intune no envía un correo electrónico de notificación. Cuando se envía el correo electrónico, Intune incluye información sobre los dispositivos no compatibles en la notificación de este correo.
Esta acción se admite en todas las plataformas compatibles con Intune.
Nota:
Los correos electrónicos de notificación se envían desde: microsoft-noreply@microsoft.com
Asegúrese de que no tiene directivas de buzón que impidan la entrega de correos electrónicos desde estas direcciones. De lo contrario, puede que los usuarios finales no reciban la notificación por correo electrónico.
Antes de diciembre de 2022, se enviaron correos electrónicos de notificación en la nube comercial desde: IntuneNotificationService@microsoft.com
Bloquear de forma remota el dispositivo no compatible : use esta acción para emitir un bloqueo remoto de un dispositivo. Después se pide al usuario un PIN o una contraseña para desbloquear el dispositivo. Más información sobre la característica Bloqueo remoto.
Las siguientes plataformas admiten esta acción:
- Administrador de dispositivos Android
- Android (AOSP)
- Android Enterprise:
- Totalmente administrado
- Dedicado
- Perfil de trabajo de propiedad corporativa
- Perfil de trabajo de propiedad personal
- Dispositivos de quiosco de Android Enterprise
- iOS/iPadOS
- macOS
Agregar dispositivo a la lista de retirada: cuando se realiza esta acción en un dispositivo, el dispositivo se agrega a una lista de dispositivos retirados y no conformes en el centro de administración de Intune. Puede ir aCumplimiento dedispositivos> y seleccionar la pestaña Retirar dispositivos no conformes para ver la lista. Sin embargo, el dispositivo no se retira hasta que un administrador inicia explícitamente el proceso de retirada. Cuando un administrador retira el dispositivo de esa lista, la retirada quita todos los datos de la empresa del dispositivo y quita ese dispositivo de Intune administración.
Las siguientes plataformas admiten esta acción:
- Administrador de dispositivos Android
- Android (AOSP)
- Android Enterprise:
- Totalmente administrado
- Dedicado
- Perfil de trabajo de propiedad corporativa
- Perfil de trabajo de propiedad personal
- iOS/iPadOS
- macOS
- Windows 10/11
Nota:
Solo los dispositivos a los que se ha desencadenado la acción Agregar dispositivo para retirar la lista aparecen en la pestaña Retirar dispositivos seleccionados . Para ver una lista de todos los dispositivos que no son compatibles, consulte el informe Dispositivos no compatibles mencionado en Supervisión de la directiva de cumplimiento de dispositivos.
Para retirar uno o varios dispositivos de la lista, seleccione dispositivos para retirar y, a continuación, seleccione Retirar los dispositivos seleccionados. Cuando seleccione una acción que retire dispositivos, se le mostrará un cuadro de diálogo para confirmar la acción. Solo después de confirmar la intención de retirar los dispositivos, se borran los datos de la empresa y se quitan de la administración de Intune.
Otras opciones son Retirar todos los dispositivos, Borrar el estado de retirada de todos los dispositivos y Borrar el estado de retirada de dispositivos seleccionados. Al borrar el estado de retirada de un dispositivo, se quita el dispositivo de la lista de dispositivos que se pueden retirar hasta que la acción agregar dispositivo a la lista de retirada se aplique de nuevo a ese dispositivo.
Más información sobre la retirada de los dispositivos.
Enviar notificación push al usuario final: configure esta acción para enviar una notificación push sobre el incumplimiento de un dispositivo a través de la aplicación Portal de empresa o Intune aplicación en el dispositivo.
Las siguientes plataformas admiten esta acción:
- Administrador de dispositivos Android
- Android Enterprise:
- Totalmente administrado
- Dedicado
- Perfil de trabajo de propiedad corporativa
- Perfil de trabajo de propiedad personal
- iOS/iPadOS
La notificación push se envía la primera vez que un dispositivo se comprueba con Intune y se detecta que no es compatible con la directiva de cumplimiento. Cuando un usuario selecciona la notificación, se abre la aplicación de Portal de empresa o Intune y muestra información sobre por qué no son conformes. Después, el usuario puede tomar medidas para resolver la incidencia. Los detalles del mensaje sobre el incumplimiento se generan por Intune y no se pueden personalizar.
Importante
Intune, la aplicación Portal de empresa y la de Microsoft Intune, no pueden garantizar la entrega de una notificación de inserción. Las notificaciones pueden aparecer después de varias horas de retraso, en caso de que se produzcan. Esto incluye la desactivación de las notificaciones de inserción por parte de los usuarios.
No confíe en este método de notificación para mensajes urgentes.
Cada instancia de la acción envía una notificación una sola vez. Para volver a enviar la misma notificación desde una directiva, configure más instancias de la acción en esa directiva, cada una con una programación distinta.
Por ejemplo, se puede programar la primera acción a los cero días y, después, agregar una segunda instancia de la acción establecida a los tres días. Este retraso antes de la segunda notificación proporciona al usuario unos días para resolver la incidencia y evita la segunda notificación.
Para evitar el envío de correo no deseado a los usuarios con demasiados mensajes duplicados, revise y optimice las directivas de cumplimiento que incluyen una notificación push para el incumplimiento y revise las programaciones para evitar que se repitan las notificaciones con demasiada frecuencia.
Considere:
En el caso de una sola directiva que incluya varias instancias de un conjunto de notificaciones de inserción para el mismo día, solo se envía una notificación única para ese día.
Cuando hay varias directivas de cumplimiento que incluyen las mismas condiciones de cumplimiento y la acción de notificación de inserción con la misma programación, Intune envía varias notificaciones al mismo dispositivo en el mismo día.
Nota:
Los dispositivos administrados por un asociado de administración de cumplimiento de dispositivos no admiten las siguientes acciones de incumplimiento:
- Enviar correo electrónico al usuario final
- Bloquear de forma remota el dispositivo no compatible
- Agregar dispositivo a la lista de retirada
- Enviar notificación push al usuario final
Antes de empezar
Se pueden agregar acciones en caso de incumplimiento cuando se configure la directiva de cumplimiento de dispositivos o, más adelante, editando la directiva. Se pueden agregar acciones adicionales a cada directiva para satisfacer sus necesidades. Tenga en cuenta que cada directiva de cumplimiento incluye automáticamente la acción predeterminada para el incumplimiento que marca los dispositivos como no conformes, con una programación establecida en cero días.
Para usar directivas de cumplimiento de dispositivos para bloquear dispositivos de recursos corporativos, se debe configurar Microsoft Entra acceso condicional. Consulte Acceso condicional en Microsoft Entra ID o formas comunes de usar el acceso condicional con Intune para obtener instrucciones.
A fin de crear una directiva de cumplimiento de dispositivos, vea la guía siguiente específica para plataformas:
Creación de una plantilla de mensaje de notificación
Para enviar un correo electrónico a los usuarios, cree una plantilla de mensaje de notificación y asóciela a la directiva de cumplimiento como una acción en caso de incumplimiento. Cuando un dispositivo no es compatible, los detalles que especifica en la plantilla se muestran en el correo electrónico enviado a los usuarios.
Una plantilla de mensaje de notificación puede incluir varios mensajes que son cada uno para una configuración regional diferente. Al especificar varios mensajes y configuraciones regionales, los usuarios finales no conformes reciben el mensaje localizado adecuado en función de su idioma preferido de O365.
Agregue variables al mensaje para crear un correo electrónico personalizado con contenido dinámico. En la tabla siguiente se describen las variables que puede usar en la línea y el cuerpo del asunto del mensaje.
Nombre de la variable | Token que se va a usar | Descripción |
---|---|---|
Nombre de usuario | {{UserName}} | Agregue el nombre del usuario principal para el dispositivo no compatible. Ejemplo: John Doe |
Nombre del dispositivo | {{DeviceName}} | Agregue el nombre del dispositivo no compatible tal como se registra en Microsoft Intune. Ejemplo: John's iPad |
Id. de dispositivo | {{DeviceId}} | Agregue el identificador de dispositivo Intune que pertenece al dispositivo no compatible. Ejemplo: 12ab345c-6789-def0-1234-000000000000 |
Versión de SO del dispositivo | {{OSAndVersion}} | Agregue el sistema operativo y la versión del dispositivo no compatible. Ejemplo: Android 12 |
Creación de la plantilla
Inicie sesión en el Centro de administración de Microsoft Intune.
Seleccione Seguridad de punto de conexión>Conformidad de dispositivos>Notificaciones>Crear notificación.
En la página Aspectos básicos , asigne a la plantilla un nombre descriptivo que le ayude a identificarla. Después, seleccione Siguiente.
En la página Configuración de encabezado y pie de página , agregue los detalles y el logotipo de la empresa.
Las opciones son:
- encabezado Email: mostrar el logotipo de la empresa (valor predeterminado = Habilitar): cargue un logotipo para agregar la personalización de marca de su organización a las plantillas de correo electrónico. Para más información sobre la personalización de marca del Portal de empresa, vea Personalización de la marca de empresa.
- pie de página de Email: mostrar el nombre de la empresa (valor predeterminado = Habilitar): habilite esta opción para mostrar el nombre de la empresa en el correo electrónico. Consulte Valor del inquilino para revisar el nombre de la empresa en el registro.
- pie de página de Email: mostrar información de contacto (valor predeterminado = Habilitar): habilite esta opción para mostrar la información de contacto de su organización, como el nombre, el número de teléfono y la dirección de correo electrónico, en el correo electrónico. Consulte Valor del inquilino para revisar la información de contacto en el registro.
- pie de página de Email: mostrar el vínculo al sitio web del portal de empresa (valor predeterminado = Deshabilitar): habilite esta opción para incluir un vínculo al sitio web de Portal de empresa en el correo electrónico. Consulte Valor del inquilino para revisar el vínculo del sitio web que se muestra a los usuarios.
Seleccione Siguiente para continuar.
En la página Plantillas de mensaje de notificación, configure uno o varios mensajes. Para cada mensaje, especifique los detalles siguientes:
- Configuración regional: seleccione el idioma que se correlaciona con la configuración regional del usuario del dispositivo.
- Asunto: agregue la línea de asunto para el correo electrónico. Puede escribir hasta 78 caracteres.
-
Editor HTML sin formato: active el editor HTML para obtener sugerencias al agregar formato HTML y vínculos al mensaje. Puede usar el
href
atributo para agregar un vínculo (debe ser una dirección URL HTTPS). Entre las etiquetas HTML admitidas se incluyen: , , , ,<u>
<ol>
,<ul>
<li>
, ,<p>
,<br>
,<thead>
<tr>
<code>
<table>
<tbody>
<td>
<th>
.<b>
<strong>
<a>
No es necesario usar el editor HTML y puede agregar HTML compatible sin activar el editor. - Mensaje: cree un mensaje que explique el motivo del incumplimiento. Puede escribir hasta 2000 caracteres.
Para crear una plantilla con contenido dinámico, inserte el token de una variable admitida en la línea de asunto o el mensaje. Para obtener una lista de las variables admitidas, consulte la tabla en Crear una plantilla de mensaje de notificación en este artículo.
Importante
Asegúrese de usar solo etiquetas y atributos HTML compatibles con Intune en el cuerpo del mensaje. Intune enviará mensajes que contengan otros tipos de etiquetas, elementos o estilos como texto no cifrado en lugar de formato HTML. Esto incluye los mensajes que contienen:
- CSS
- Etiquetas y atributos no enumerados en este artículo
Nota:
Intune convierte los nuevos caracteres de línea de estilo windows en
<br>
Etiquetas HTML, pero omite todos los demás tipos de caracteres de línea nuevos, incluidos los de macOS y Linux. Para garantizar que los saltos de línea se representen correctamente en las plantillas, se recomienda usar la<br>
etiqueta para indicar el final de una línea.Active la casilla Es predeterminado para uno de los mensajes. Intune envía el mensaje predeterminado a los usuarios que no han establecido un idioma preferido o cuando la plantilla no incluye un mensaje específico para su configuración regional. Solo se puede establecer un mensaje como predeterminado. Para eliminar un mensaje, seleccione los puntos suspensivos (...) y, luego, Eliminar.
Seleccione Siguiente para continuar.
En la página Etiquetas de ámbito, seleccione etiquetas para limitar la visibilidad y la administración de este mensaje a grupos de administradores de Intune específicos, como
US-NC IT Team
oJohnGlenn_ITDepartment
. Para obtener más información sobre las etiquetas de ámbito, vea Usar control de acceso basado en rol (RBAC) y etiquetas de ámbito.Seleccione Siguiente para continuar.
En la página Revisar y crear , revise las configuraciones para asegurarse de que la plantilla de mensaje de notificación está lista para usarse. Seleccione Crear para terminar de crear la notificación.
Visualización y edición de notificaciones
Las notificaciones que se han creado están disponibles en la página Directivas de cumplimiento>Notificaciones. En la página puede seleccionar una notificación para ver su configuración y:
Seleccionar Enviar una vista previa del correo electrónico para enviar una vista previa del correo electrónico de notificación a la cuenta que ha usado para iniciar sesión en Intune.
Para enviar correctamente el correo electrónico de vista previa, la cuenta debe tener permisos iguales a los de los siguientes grupos de Microsoft Entra o roles de Intune: administrador de Intune (también conocido como administrador de servicios de Intune) o Administrador de directivas y perfiles.
Seleccionar Editar para Conceptos básicos o Etiquetas de ámbito para hacer un cambio.
Nota:
El correo electrónico de vista previa no contiene las variables de dispositivo especificadas en la plantilla de mensaje de notificación.
Adición de acciones en caso de incumplimiento
Cuando se crea una directiva de cumplimiento de dispositivos, Intune crea automáticamente una acción en caso de incumplimiento. Si un dispositivo no cumple la directiva de cumplimiento, esta acción marca el dispositivo como no compatible. Puede personalizar cuánto tiempo se marca el dispositivo como no conforme. Esta acción no se puede suprimir.
Puede agregar acciones opcionales al crear una directiva de cumplimiento o bien actualizar una directiva existente.
Inicie sesión en el Centro de administración de Microsoft Intune.
Vaya aCumplimiento dedispositivos>.
Seleccione una directiva y, a continuación, propiedades.
¿Aún no tiene una directiva? Cree una directiva de Android, iOS, Windows o de otra plataforma.
Nota:
Los dispositivos administrados por asociados de cumplimiento de dispositivos de terceros que están destinados a grupos de dispositivos no pueden recibir acciones de cumplimiento en este momento.
Seleccione Acciones para editar no conformidad>.
Seleccione la Acción:
Enviar correo electrónico a los usuarios finales: cuando el dispositivo no es compatible, elija que se envíe un correo electrónico al usuario. Además:
- Elija la Plantilla de mensaje que ha creado antes
- Escriba los Destinatarios adicionales mediante la selección de grupos
Bloquear de forma remota los dispositivos no compatibles: cuando el dispositivo no es compatible, se bloquea el dispositivo. Esta acción obliga al usuario a escribir un PIN o una contraseña para desbloquear el dispositivo.
Agregar dispositivo para retirar la lista: cuando el dispositivo no sea compatible, quite todos los datos de la empresa del dispositivo y quite el dispositivo de Intune administración.
Enviar notificación push al usuario final: configure esta acción para enviar una notificación push sobre el incumplimiento de un dispositivo a través de la aplicación Portal de empresa o Intune aplicación en el dispositivo.
Configurar unaProgramación: escriba el número de días (de 0 a 365) después del incumplimiento para desencadenar la acción en los dispositivos de los usuarios. Después de este período de gracia, puede aplicar una directiva de acceso condicional . Si escribe 0 (cero) número de días, el acceso condicional surte efecto inmediatamente. Por ejemplo, si un dispositivo no es compatible, use el acceso condicional para bloquear el acceso al correo electrónico, SharePoint y otros recursos de la organización inmediatamente.
Al crear una directiva de cumplimiento, se crea automáticamente la acción Marcar el dispositivo como no conforme y se establece también automáticamente en 0 días (inmediatamente). Con esta acción, cuando el dispositivo comprueba con Intune y evalúa la directiva, si no es compatible con esa directiva Intune marca inmediatamente ese dispositivo como no conforme. Si el cliente se comprueba más adelante después de corregir los problemas que provocan el incumplimiento, su estado se actualizará a su nuevo estado de cumplimiento. Si usa el acceso condicional, esas directivas también se aplican en cuanto un dispositivo se marca como no conforme. Para establecer un período de gracia que permita la corrección de una condición de incumplimiento antes de que el dispositivo se marque como no conforme, cambie la Programación en la acción Marcar el dispositivo como no conforme.
En la directiva de cumplimiento, por ejemplo, también desea notificar al usuario. Puede agregar la acción Enviar correo electrónico a usuario final. En la acción Enviar correo electrónico, debe establecer el valor de Programación en dos días. Si el dispositivo o el usuario final siguen evaluándose como no conformes el segundo día, el correo electrónico se envía el segundo día. Si quiere volver a enviar al usuario un correo electrónico de incumplimiento el día 5, agregue otra acción y establezca Programación en cinco días.
Para obtener más información sobre el cumplimiento y las acciones integradas, consulte la información general de cumplimiento.
Cuando termine, haga clic en Agregar>Aceptar para guardar los cambios.