Compartir a través de

Implementación de OMA-URI para dirigir un CSP a través de Intune y una comparación con el entorno local

  • Artículo

En este artículo se describe la importancia de los proveedores de servicios de configuración de Windows (CSP), Open Mobile Alliance – Uniform Resources (OMA-URIs) y cómo se entregan directivas personalizadas a un dispositivo basado en Windows 10 con Microsoft Intune.

Intune proporciona una interfaz cómoda y fácil de usar para configurar estas directivas. Sin embargo, no todas las configuraciones están necesariamente disponibles en el Centro de administración de Microsoft Intune. Aunque muchas opciones de configuración se pueden configurar potencialmente en un dispositivo Windows, no es factible tener todas ellas en el Centro de administración. Además, a medida que se realizan avances, no es inusual tener cierto grado de retraso antes de que se agregue una nueva configuración. En estos escenarios, la implementación de un perfil de OMA-URI personalizado que usa un proveedor de servicios de configuración de Windows (CSP) es la respuesta.

Ámbito de CSP

Los CSP son una interfaz que usan los proveedores de administración de dispositivos móviles (MDM) para leer, establecer, modificar y eliminar opciones de configuración en el dispositivo. Normalmente, se realiza a través de claves y valores en el Registro de Windows. Las directivas de CSP tienen un ámbito que define el nivel en el que se puede configurar una directiva. Es similar a las directivas disponibles en el Centro de administración de Microsoft Intune. Algunas directivas solo se pueden configurar en el nivel de dispositivo. Estas directivas se aplican independientemente de quién haya iniciado sesión en el dispositivo. Otras directivas se pueden configurar en el nivel de usuario. Estas directivas solo se aplican a ese usuario. El nivel de configuración viene determinado por la plataforma, no por el proveedor de MDM. Al implementar una directiva personalizada, puede buscar aquí el ámbito del CSP que desea usar.

El ámbito del CSP es importante porque determinará la sintaxis de la cadena OMA-URI que debe usar. Por ejemplo:

Ámbito de usuario

./User/Vendor/MSFT/Policy/Config/AreaName/PolicyName para configurar la directiva. ./User/Vendor/MSFT/Policy/Result/AreaName/PolicyName para obtener el resultado.

Ámbito del dispositivo

./Device/Vendor/MSFT/Policy/Config/AreaName/PolicyName para configurar la directiva. ./Device/Vendor/MSFT/Policy/Result/AreaName/PolicyName para obtener el resultado.

OMA-URI

OMA-URI es una ruta de acceso a una configuración específica compatible con un CSP.

OMA-URI: es una cadena que representa la configuración personalizada de un dispositivo basado en Windows 10. La sintaxis viene determinada por los CSP del cliente. Puede encontrar detalles sobre cada CSP aquí.

Una directiva personalizada: contiene los OMA-URI que se van a implementar. Está configurado en Intune.

Intune: después de crear y asignar una directiva personalizada a los dispositivos cliente, Intune se convierte en el mecanismo de entrega que envía los OMA-URI a esos clientes de Windows. Intune usa el protocolo Open Mobile Alliance Administración de dispositivos (OMA-DM) para hacerlo. Es un estándar predefinido que usa SyncML basado en XML para insertar la información en el cliente.

CSP: después de que los OMA-URI lleguen al cliente, el CSP los lee y configura la plataforma Windows en consecuencia. Normalmente, lo hace agregando, leyendo o cambiando los valores del Registro.

En resumen: OMA-URI es la carga útil, la directiva personalizada es el contenedor, Intune es el mecanismo de entrega de ese contenedor, OMA-DM es el protocolo que se usa para la entrega y el CSP de Windows lee y aplica las opciones configuradas en la carga de OMA-URI.

Diagrama que muestra la configuración de OMA-URI de CSP de Windows.

Este es el mismo proceso que usa Intune para entregar las directivas de configuración de dispositivos estándar que ya están integradas en la interfaz de usuario. Cuando los OMA-URI usan la interfaz de usuario de Intune, se ocultan detrás de interfaces de configuración fáciles de usar. Hace que el proceso sea más fácil e intuitivo para el administrador. Use la configuración de directiva integrada siempre que sea posible y use directivas OMA-URI personalizadas solo para las opciones que no están disponibles.

Para demostrar este proceso, puede usar una directiva integrada para establecer la imagen de pantalla de bloqueo en un dispositivo. También puede implementar un OMA-URI y tener como destino el CSP correspondiente. Con ambos métodos se obtiene el mismo resultado.

OMA-URI desde el Centro de administración de Microsoft Intune

Captura de pantalla que muestra las restricciones del dispositivo.

Uso de una directiva personalizada

La misma configuración se puede establecer directamente mediante el siguiente OMA-URI:

./Vendor/MSFT/Policy/Config/DeviceLock/EnforceLockScreenAndLogonImage

Se documenta en la referencia de CSP de Windows. Después de determinar el OMA-URI, cree una directiva personalizada para ella.

Captura de pantalla de la configuración de OMA-URI en la pantalla Editar fila.

Independientemente del método que use, el resultado final es idéntico.

Captura de pantalla de la pantalla de inicio de sesión.

Este es otro ejemplo que usa BitLocker.

Usar una directiva personalizada desde el Centro de administración de Microsoft Intune

Captura de pantalla de la pantalla Endpoint Protection.

Uso de una directiva personalizada

Captura de pantalla de la ruta de acceso OMA-URI al CSP.

Relacionar OMA-URI personalizados con el mundo local

Puedes usar la configuración de directiva de grupo existente como referencia a medida que creas la configuración de la directiva MDM. Si su organización quiere pasar a MDM para administrar dispositivos, se recomienda preparar mediante el análisis de la configuración de directiva de grupo actual para ver qué es necesario para realizar la transición a la administración de MDM.

La Herramienta de análisis de migración de MDM (MMAT) determina qué directivas de grupo se han establecido para un usuario o equipo de destino. A continuación, genera un informe que muestra el nivel de compatibilidad para cada configuración de directiva en equivalentes de MDM.

Aspectos de la directiva de grupo antes y después de migrar a la nube

En la tabla siguiente se muestran los distintos aspectos de la directiva de grupo tanto antes como después de migrar a la nube mediante MMAT.

Local Nube
Directiva de grupo MDM
Controladores de dominio Servidor MDM (servicio intune)
Carpeta Sysvol Base de datos o MSUs de Intune
Extensión del lado cliente para procesar el GPO CSP para procesar la directiva MDM
Protocolo SMB usado para la comunicación Protocolo HTTPS usado para la comunicación
.pol | .ini archivo (normalmente es la entrada) SyncML es la entrada de los dispositivos.

Notas importantes sobre el comportamiento de las directivas

Si la directiva cambia en el servidor MDM, la directiva actualizada se inserta en el dispositivo y la configuración se configura en el nuevo valor. Sin embargo, quitar la asignación de la directiva del usuario o dispositivo puede no revertir la configuración al valor predeterminado. Hay algunos perfiles que se quitan después de quitar la asignación o se elimina el perfil, como perfiles de Wi-Fi, perfiles de VPN, perfiles de certificado y perfiles de correo electrónico. Dado que cada CSP controla este comportamiento, debe intentar comprender el comportamiento del CSP para administrar la configuración correctamente. Para obtener más información, consulte Referencia de CSP de Windows.

Colocación de todo junto

Para implementar un OMA-URI personalizado para tener como destino un CSP en un dispositivo Windows, cree una directiva personalizada. La directiva debe contener la ruta de acceso a la ruta de acceso OMA-URI junto con el valor que desea cambiar en el CSP (habilitar, deshabilitar, modificar o eliminar).

Captura de pantalla de la página Crear un perfil. El elemento Personalizado está resaltado.

Captura de pantalla que muestra los campos de descripción del nombre para crear una directiva personalizada.

Captura de pantalla de las páginas Configuración y Agregar fila.

Una vez creada la directiva, asígnela a un grupo de seguridad para que surta efecto.

Solución de problemas

Al solucionar problemas de directivas personalizadas, encontrará que la mayoría de los problemas encajan en las siguientes categorías:

  • La directiva personalizada no llegó al dispositivo cliente.
  • La directiva personalizada alcanzó el dispositivo cliente, pero no se observa el comportamiento esperado.

Si tiene una directiva que no funciona según lo previsto, compruebe si la directiva ha llegado incluso al cliente. Hay dos registros para comprobar su entrega.

Registros de diagnóstico de MDM

Captura de pantalla de los registros de diagnóstico de MDM.

Registro de eventos de Windows

Captura de pantalla del registro de eventos de Windows.

Ambos registros deben contener una referencia a la configuración de directiva personalizada o OMA-URI que está intentando implementar. Si no ve esta referencia, es probable que la directiva no se entregue al dispositivo. Compruebe que la directiva está configurada correctamente y que está destinada al grupo correcto.

Si comprueba que la directiva llega al cliente, compruebe si hay DeviceManagement-Enterprise-Diagnostics-Provider > Admin Event log errores en el cliente. Es posible que vea una entrada de error que contiene información adicional sobre por qué no se ha aplicable la directiva. Las causas variarán, pero con frecuencia hay un problema en la sintaxis de la cadena OMA-URI configurada en la directiva personalizada. Compruebe la referencia de CSP y asegúrese de que la sintaxis es correcta.