Tutorial: Configuración de puntos de conexión de Windows nativos de la nube con Microsoft Intune

En este tutorial paso a paso se muestra cómo configurar un punto de conexión de Windows nativo de la nube mediante Microsoft Intune y Windows Autopilot. Un punto de conexión de Windows nativo de la nube (a veces escrito como Windows nativo en la nube) se une a Microsoft Entra, se inscribe en Microsoft Intune y se administra completamente desde la nube: no se requiere ninguna unión a un dominio de Active Directory ni infraestructura local.

Al final de este tutorial, tiene un dispositivo Windows totalmente configurado que es:

  • Microsoft Entra unido e inscrito en Microsoft Intune
  • Protegido con Microsoft Defender Antivirus, cifrado de BitLocker, WINDOWS LAPS y líneas base de seguridad
  • Aprovisionado a través de Windows Autopilot con aplicaciones de Microsoft 365, movimiento de carpetas conocidas de OneDrive y el Portal de empresa
  • Listo para escalar al resto de la flota de Windows

Para obtener información general, consulte ¿Qué son los puntos de conexión nativos de la nube? y Cómo planear la implementación de combinación de Microsoft Entra.

Sugerencia

Al leer sobre los puntos de conexión nativos de la nube, verá los términos siguientes:

  • Punto de conexión: un punto de conexión es un dispositivo, como un teléfono móvil, una tableta, un portátil o un equipo de escritorio. "Puntos de conexión" y "dispositivos" se usan indistintamente.
  • Puntos de conexión administrados: puntos de conexión que reciben directivas de la organización mediante una solución MDM u objetos directiva de grupo. Estos dispositivos suelen ser propiedad de la organización, pero también pueden ser dispositivos BYOD o de propiedad personal.
  • Puntos de conexión nativos en la nube: puntos de conexión que están unidos a Microsoft Entra. No están unidos a AD local.
  • Carga de trabajo: cualquier programa, servicio o proceso.

Como empezar

Complete las cinco fases en orden: cada una se basa en la anterior.

Cinco fases para configurar puntos de conexión nativos de Windows en la nube mediante Microsoft Intune y Windows Autopilot.

Fase Meta
Fase 1 : Configuración del entorno Preparar el inquilino, el dispositivo de prueba y las directivas de Autopilot de línea base
Fase 2: Creación de un punto de conexión de Windows nativo de la nube Aprovisionamiento del primer punto de conexión a través de Autopilot
Fase 3 : Protección del punto de conexión de Windows nativo de la nube Aplicación de la seguridad del punto de conexión: Defender, BitLocker, LAPS, líneas base, actualizaciones
Fase 4 : Aplicación de personalizaciones y revisión de la configuración local Agregar aplicaciones, configuraciones y migrar aplicaciones específicas de la organización desde directiva de grupo
Fase 5 : escalado de la implementación con Windows Autopilot Escalado del aprovisionamiento a la flota mediante el registro de OEM, las personas y los anillos de implementación

Una vez implementados los puntos de conexión, use la sección Supervisión de los puntos de conexión de Windows nativos de la nube para validar el estado de directiva, aplicación y cumplimiento del centro de administración de Intune como parte de las operaciones en curso.

Fase 1: configurar el entorno

Antes de crear su primer punto de conexión nativo de Windows en la nube, hay algunos requisitos y configuraciones clave que deberán comprobarse. Esta fase le guía a través de la comprobación de los requisitos, la configuración de Windows Autopilot y la creación de algunos ajustes y aplicaciones.

Paso 1: requisitos de la red

El punto de conexión de Windows en la nube necesita acceso a varios servicios de Internet. Inicie las pruebas en una red abierta. O utilice su red corporativa después de proporcionar acceso a todos los puntos de conexión que se enumeren en los requisitos de red de Windows Autopilot.

Si su red inalámbrica requiere certificados, puede comenzar con una conexión Ethernet durante las pruebas mientras determina el mejor enfoque para las conexiones inalámbricas para el aprovisionamiento de dispositivos.

Paso 2: inscripción y licencias

Para poder unirse a Microsoft Entra e inscribirse en Intune, hay algunas cosas que debe comprobar. Puede crear un nuevo grupo de Microsoft Entra, como el nombre Intune usuarios de MDM. Después, agregue cuentas de usuario de prueba específicas y dirija cada una de las siguientes configuraciones a ese grupo para limitar quién puede inscribir dispositivos mientras establece su configuración. Para crear un grupo de Microsoft Entra, vaya a Administrar grupos Microsoft Entra y pertenencia a grupos.

  • Restricciones de inscripción Las restricciones de inscripción le permiten controlar qué tipos de dispositivos pueden inscribirse en la administración con Intune. Para que esta guía tenga éxito, asegúrese de que la inscripción de Windows (MDM) está permitida, que es la configuración por defecto.

    Para obtener información sobre la configuración de las restricciones de inscripción, vaya a establecer restricciones de inscripción en Microsoft Intune.

  • Microsoft Entra Configuración de MDM del dispositivo Al unir un dispositivo Windows a Microsoft Entra, Microsoft Entra se puede configurar para indicar a los dispositivos que se inscriban automáticamente con una MDM. Esta configuración es necesaria para que Windows Autopilot funcione.

    Para comprobar que la configuración de MDM del dispositivo Microsoft Entra está habilitada correctamente, vaya a Inicio rápido: Configuración de la inscripción automática en Intune.

  • Microsoft Entra personalización de marca de la empresa Agregar el logotipo corporativo e imágenes a Microsoft Entra garantiza que los usuarios vean una apariencia familiar y coherente al iniciar sesión en Microsoft 365. Esta configuración es necesaria para que Windows Autopilot funcione.

    Para obtener información sobre cómo configurar la personalización de marca personalizada en Microsoft Entra, vaya a Agregar personalización de marca a la página de inicio de sesión Microsoft Entra de su organización.

  • Licencias Los usuarios que inscriben dispositivos Windows desde la experiencia rápida (OOBE) en Intune requieren dos funcionalidades clave.

    Los usuarios necesitan las siguientes licencias:

    • Una licencia Microsoft Intune o Microsoft Intune de educación
    • Una licencia como una de las siguientes opciones que permite la inscripción automática de MDM:
      • Microsoft Entra Premium P1
      • Microsoft Intune for Education

    Para asignar licencias, vaya a Asignación de licencias de Microsoft Intune.

    Nota:

    Ambos tipos de licencias suelen incluirse en paquetes de licencias como Microsoft 365 E3 (o A3) y superior. Vea las comparaciones de licencias de Microsoft 365 aquí.

Paso 3: importar dispositivo de prueba

Para probar los puntos de conexión de Windows nativo de la nube, tendremos que empezar por conseguir una máquina virtual o un dispositivo físico listo para las pruebas. Los siguientes pasos recopilan los detalles del dispositivo y los cargan en el servicio Windows Autopilot para que se usen más adelante en este artículo.

Nota:

Mientras que los siguientes pasos proporcionarán una forma de importar un dispositivo para probarlo, los socios y los OEM podrán importar dispositivos en Windows Autopilot en su nombre como parte de la compra. Hay más información sobre Windows Autopilot en la fase 5.

  1. Instale Windows en una máquina virtual o restablezca un dispositivo físico para que esté esperando en la pantalla de configuración de OOBE. Para una máquina virtual, puede crear opcionalmente un punto de control.

  2. Complete los pasos necesarios para conectarse a Internet.

  3. Abra un símbolo del sistema utilizando la combinación de teclado Mayús+F10.

  4. Compruebe que tiene acceso a Internet haciendo ping a bing.com:

    • ping bing.com

  5. Cambie a PowerShell ejecutando el comando:

    • powershell.exe

  6. Descargue el script Get-WindowsAutopilotInfo ejecutando los comandos siguientes:

    • Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
    • Install-Script Get-WindowsAutopilotInfo

  7. Cuando se le solicite, escriba S para aceptar.

  8. Escriba el siguiente comando:

    • Get-WindowsAutopilotInfo.ps1 -GroupTag CloudNative -Online

    Nota:

    Las etiquetas de grupo permiten crear grupos de Microsoft Entra dinámicos basados en un subconjunto de dispositivos. Las etiquetas de grupo pueden establecerse al importar los dispositivos o modificarse posteriormente en el Centro de administración de Microsoft Intune. Usamos la etiqueta de grupo CloudNative en el paso 4. Puede establecer el nombre de la etiqueta con algo diferente para sus pruebas.

  9. Cuando se le soliciten credenciales, inicie sesión con su cuenta de administrador de Intune.

  10. Dejar el ordenador en la experiencia de configuración rápida hasta la fase 2.

Paso 4: Creación de Microsoft Entra grupo dinámico para el dispositivo

Para limitar las configuraciones de esta guía a los dispositivos de prueba que importe a Windows Autopilot, cree un grupo de Microsoft Entra dinámico. Este grupo debería incluir automáticamente los dispositivos que se importen a Windows Autopilot y tener la etiqueta de grupo CloudNative. A continuación, puede dirigir todas sus configuraciones y aplicaciones a este grupo.

  1. Abra el Centro de administración de Microsoft Intune.

  2. Seleccione Grupos>Nuevo grupo. Escriba los detalles siguientes:

    • Tipo de grupo: seleccione Seguridad.
    • Nombre del grupo: escriba Autopilot Cloud-Native puntos de conexión de Windows.
    • Tipo de pertenencia: seleccione Dispositivo dinámico.

  3. Seleccione Agregar consulta dinámica.

  4. En la sección Sintaxis de regla, seleccione Editar.

  5. Pegue el siguiente texto:

    (device.devicePhysicalIds -any (_ -eq "[OrderID]:CloudNative"))

  6. Seleccione Aceptar>Guardar>Crear.

Sugerencia

Los grupos dinámicos tardan unos minutos en rellenarse luego de los cambios. En las organizaciones grandes, puede tardar más tiempo. Luego de crear un nuevo grupo, espere unos minutos antes de comprobar que el dispositivo es ahora miembro del grupo.

Para obtener más información sobre los grupos dinámicos para dispositivos, vaya a Reglas para dispositivos.

Paso 5: configurar la página de estado de la inscripción

La página de estado de inscripción (ESP) es el mecanismo que un profesional de TI utiliza para controlar la experiencia del usuario final durante el aprovisionamiento de puntos finales. Consulte Configurar la página de estado de la inscripción. Para limitar el ámbito de la página de estado de inscripción, puede crear un nuevo perfil y dirigirse al grupo Autopilot Cloud-Native puntos de conexión de Windows creado en el paso anterior, Crear Microsoft Entra grupo dinámico para el dispositivo.

  • Para las pruebas, recomendamos los siguientes ajustes, pero siéntase libre de ajustarlos según sea necesario:

    Configuración Valor
    Mostrar el progreso de la configuración de la aplicación y del perfil
    Mostrar la página sólo a los dispositivos aprovisionados por la experiencia lista para usar (OOBE) Sí (valor predeterminado)

Paso 6: crear y asignar el perfil de Windows Autopilot

Ahora podremos crear un perfil de Windows Autopilot y asignarlo a nuestro dispositivo de prueba. Este perfil indica al dispositivo que se una a Microsoft Entra y qué configuración se aplicará durante OOBE.

  1. Abra el Centro de administración de Microsoft Intune.

  2. Seleccione DispositivosInscripción>>de incorporación de> dispositivosPerfiles de implementación deWindows Autopilot> deWindows>.

  3. Seleccione Crear perfil>Windows PC.

  4. Escriba el nombre Autopilot Cloud-Native Puntos de conexión de Windows y, a continuación, seleccione Siguiente.

  5. En la configuración de la experiencia rápida (OOBE), confirme los siguientes valores de clave y seleccione Siguiente:

    Configuración Valor
    Modo de implementación Controlado por el usuario
    Unirse a Microsoft Entra ID como Microsoft Entra unidos
    Tipo de cuenta de usuario Estándar
    Aplicar plantilla de nombre de dispositivo Opcional. Una plantilla de nomenclatura como CloudPC-%SERIAL% hace que los dispositivos se identifiquen fácilmente en el centro de administración.

    Importante

    Establecer Tipo de cuenta de usuario en Standard es un procedimiento recomendado de seguridad. Evita que los usuarios instalen software no aprobado y reduce la superficie expuesta a ataques en puntos de conexión nativos de la nube.

  6. Deje las etiquetas de alcance y seleccione Siguiente.

  7. Asigne el perfil al grupo de Microsoft Entra que creó denominado Autopilot Cloud-Native puntos de conexión de Windows, seleccione Siguiente y, a continuación, crear.

Paso 7: sincronizar dispositivos con Windows Autopilot

El servicio de Windows Autopilot se sincroniza varias veces al día. También puede activar una sincronización inmediatamente para que tu dispositivo esté listo para la prueba. Para sincronizar inmediatamente:

  1. Abra el Centro de administración de Microsoft Intune.

  2. Seleccione DispositivosInscripción>de> dispositivosWindows>Autopilot>Devices.>

  3. Seleccione Sincronizar.

La sincronización tarda varios minutos y continua en segundo plano. Cuando la sincronización se ha completado, el estado del perfil para el dispositivo importado muestra Asignado.

Paso 8: configurar los ajustes para una experiencia óptima de Microsoft 365

Hemos seleccionado algunas opciones para configurar. Esta configuración demostrará una experiencia óptima de usuario final de Microsoft 365 en dispositivos nativos en la nube de Windows. Estos ajustes se configuran mediante un perfil de catálogo de ajustes de configuración del dispositivo. Para obtener más información, vaya a Crear una directiva mediante el catálogo de configuración en Microsoft Intune.

Después de crear el perfil y agregar la configuración, asigne el perfil al grupo Autopilot Cloud-Native puntos de conexión de Windows creados anteriormente.

  • Microsoft Outlook : para mejorar la primera experiencia de ejecución para Microsoft Outlook, la siguiente configuración configura automáticamente un perfil cuando Outlook se abre por primera vez.

    Configuración de la categoría Configuración Valor
    Microsoft Outlook 2016\Configuración de la cuenta\Exchange (configuración del usuario) Configurar automáticamente solo el primer perfil basado en la dirección SMTP principal de Active Directory Enabled

  • Microsoft Edge : para mejorar la primera experiencia de ejecución de Microsoft Edge, las siguientes opciones configuran Microsoft Edge para sincronizar la configuración del usuario y omitir la primera experiencia de ejecución.

    Configuración de la categoría Configuración Valor
    Microsoft Edge Ocultar la experiencia de primera ejecución y la pantalla de presentación Enabled
      Forzar la sincronización de datos del explorador y no mostrar la solicitud de consentimiento de sincronización Enabled

  • Microsoft OneDrive : para mejorar la primera experiencia de inicio de sesión, las siguientes opciones configuran Microsoft OneDrive para iniciar sesión automáticamente y redirigir escritorio, imágenes y documentos a OneDrive. También se recomienda Archivos a petición (FOD). Está habilitado de forma predeterminada y no se incluye en la lista siguiente. Para obtener más información sobre la configuración recomendada para la aplicación de sincronización de OneDrive, vaya a Configuración de la aplicación de sincronización recomendada para Microsoft OneDrive.

    Configuración de la categoría Configuración Valor
    OneDrive Iniciar silenciosamente la sesión de los usuarios en la aplicación de sincronización de OneDrive con sus credenciales de Windows Enabled
      Mover silenciosamente las carpetas conocidas de Windows a OneDrive Enabled

    Nota:

    Para obtener más información, vaya a Redirigir carpetas conocidas.

La siguiente captura de pantalla muestra un ejemplo de un perfil del catálogo de configuración con cada uno de los ajustes sugeridos configurados:

Captura de pantalla que muestra un ejemplo de un perfil de catálogo de configuración en Microsoft Intune.

Paso 9: crear y asignar algunas aplicaciones

Su punto de conexión nativo en la nube necesita algunas aplicaciones. Para empezar, recomendamos configurar las siguientes aplicaciones y dirigirlas al grupo Puntos de conexión nativos en la nube de Windows Autopilot creado anteriormente.

  • Aplicaciones Microsoft 365 (anteriormente Office 365 ProPlus): Aplicaciones Microsoft 365 como Word, Excel y Outlook se pueden implementar fácilmente en dispositivos mediante el perfil integrado de aplicaciones de Microsoft 365 para Windows en Intune.

    • Seleccione el diseñador de configuración para el formato de los ajustes, en lugar de XML.
    • Seleccione Canal actual para el canal de actualización.

    Para implementar Aplicaciones de Microsoft 365, vaya a Agregar aplicaciones de Microsoft 365 a dispositivos Windows mediante Microsoft Intune

  • Portal de empresa aplicación: se recomienda implementar la aplicación Intune Portal de empresa en todos los dispositivos como una aplicación necesaria. La aplicación Portal de empresa es el centro de autoservicio para los usuarios que utilizan para instalar aplicaciones desde múltiples fuentes, como Intune, Microsoft Store y Administrador de configuración. Los usuarios también utilizan la aplicación del Portal de empresa para sincronizar su dispositivo con Intune, comprobar el estado de cumplimiento, etc.

    Para implementar el Portal de empresa según sea necesario, consulte Agregar y asignar la aplicación Portal de empresa de Windows para dispositivos administrados por Intune.

  • Aplicación de Microsoft Store (Pizarra): aunque Intune puede implementar una amplia variedad de aplicaciones, implementamos una aplicación de tienda (Pizarra de Microsoft) para facilitar las cosas para esta guía. Siga los pasos de Agregar aplicaciones de Microsoft Store a Microsoft Intune para instalar Microsoft Whiteboard.

Siguiente: Fase 2: Creación de un punto de conexión de Windows nativo de la nube

Fase 2: Creación de un punto de conexión de Windows nativo de la nube

Para compilar el primer punto de conexión de Windows nativo de la nube, use la misma máquina virtual o dispositivo físico que recopiló y, a continuación, cargó el hash de hardware en el servicio Windows Autopilot en la fase 1, Paso 3: Importación del dispositivo de prueba. Con este dispositivo, siga el proceso de Windows Autopilot.

  1. Reanude (o reinicie si es necesario) su PC con Windows a la experiencia de configuración rápida (OOBE).

    Nota:

    Si se le pide que elija la configuración para personal o para una organización, el proceso de Windows Autopilot no se inició. En esa situación, reinicie el dispositivo y asegúrese de que tiene acceso a Internet. Si sigue sin funcionar, intente reiniciando el PC o reinstalando Windows.

  2. Inicie sesión con Microsoft Entra credenciales (UPN o AzureAD\username).

  3. La página de estado de la inscripción muestra el estado de la configuración del dispositivo.

Enhorabuena. Ha aprovisionado el primer punto de conexión de Windows nativo de la nube.

Validación del punto de conexión

Compruebe las siguientes tareas en el nuevo dispositivo antes de pasar a la fase 3:

  • Las carpetas de OneDrive (Escritorio, Documentos, Imágenes) se redirigen y sincronizan.
  • Outlook se abre y configura automáticamente el perfil de Microsoft 365.
  • Portal de empresa está instalado y Microsoft Whiteboard está disponible.
  • Puede iniciar sesión con sus credenciales de Microsoft Entra y acceder a los recursos en la nube.
  • Los recursos locales (recursos compartidos de archivos, sitios de intranet, impresoras) son accesibles si es necesario.

Si se le pide que escriba una contraseña al usar Windows Hello para acceder a los recursos locales, Windows Hello para empresas híbrido aún no está configurado. Para continuar con las pruebas, seleccione el icono de clave en la pantalla de inicio de sesión y use su nombre de usuario y contraseña en su lugar. Para obtener más información, consulte Windows Hello para empresas Híbrido.

Siguiente: Fase 3: Protección del punto de conexión de Windows nativo de la nube

Fase 3: proteger su punto de conexión de Windows nativo de la nube

Esta fase está diseñada para ayudarle a construir la configuración de seguridad de su organización. Esta sección llama su atención sobre los diversos componentes de Seguridad de puntos de conexión en Microsoft Intune, incluyendo:

Antivirus de Microsoft Defender (MDAV)

Los siguientes ajustes se recomiendan como configuración mínima para el antivirus de Microsoft Defender, un componente del sistema operativo Windows incorporado. Esta configuración no requiere ningún contrato de licencia específico, como E3 o E5, y se puede habilitar en el Centro de administración de Microsoft Intune.

En el centro de administración, vaya a Seguridad de puntos de conexión>Antivirus>Crear directiva>Windows y versiones posteriores>Tipo de perfil = Antivirus de Microsoft Defender.

Defender:

  • Permitir supervisión del comportamiento: permitido. Activa la supervisión del comportamiento en tiempo real.
  • Permitir protección en la nube: permitido. Activa Cloud Protection.
  • Permitir Email examen: permitido. Activa el examen de correo electrónico.
  • Permitir el examen de todos los archivos y datos adjuntos descargados: permitido.
  • Permitir supervisión en tiempo real: permitido. Activa y ejecuta el servicio de supervisión en tiempo real.
  • Permitir Files de red de examen: permitido. Examina los archivos de red.
  • Permitir el examen de scripts: permitido.
  • Tiempo de espera extendido en la nube: 50
  • Días para conservar el malware limpio: 30
  • Habilitar protección de red: habilitada (modo de auditoría)
  • Protección pua: protección pua activada. Los elementos detectados están bloqueados. Se mostrarán en la historia junto con otras amenazas.
  • Dirección del examen en tiempo real: supervise todos los archivos (bidireccionales).
  • Enviar consentimiento de ejemplos: envíe muestras seguras automáticamente.
  • Permitir en la protección de acceso: permitido.
  • Acción de corrección para amenazas graves: cuarentena. Mueve los archivos a la cuarentena.
  • Acción de corrección para amenaza de gravedad baja: cuarentena. Mueve los archivos a la cuarentena.
  • Acción de corrección para amenazas de gravedad moderada: cuarentena. Mueve los archivos a la cuarentena.
  • Acción de corrección para amenazas de gravedad alta: cuarentena. Mueve los archivos a la cuarentena.

Para obtener más información sobre la configuración de Windows Defender, incluyendo Microsoft Defender para punto de conexión para clientes con licencia para E3 y E5, consulte:

Firewall de Microsoft Defender

Usar Seguridad de puntos de conexión en Microsoft Intune para configurar el firewall y las reglas del mismo. Para obtener más información, vaya a Directiva de firewall para la seguridad de los puntos de conexión en Intune.

Firewall de Microsoft Defender puede detectar una red de confianza mediante el CSP de NetworkListManager. Además, puede cambiar al perfil de firewall de dominio en puntos de conexión que ejecutan Windows.

El uso del perfil de red de dominio permite separar las reglas de firewall en función de una red de confianza, una red privada y una red pública. Esta configuración se puede aplicar mediante un perfil personalizado de Windows.

Nota:

Microsoft Entra puntos de conexión unidos no pueden usar LDAP para detectar una conexión de dominio de la misma manera que los puntos de conexión unidos a un dominio. En su lugar, use el CSP NetworkListManager para especificar un punto de conexión TLS que, cuando sea accesible, cambie el punto de conexión al perfil de firewall de dominio .

Cifrado de BitLocker

Use Seguridad de puntos de conexión en Microsoft Intune para configurar el cifrado con BitLocker.

Esta configuración se puede habilitar en el centro de administración de Microsoft Intune. En el Centro de administración, vaya a Seguridad> de punto de conexiónAdministrar>cifrado> de discoCrear directiva>Windows y, más adelante>, Perfil de = BitLocker.

Al configurar las siguientes opciones del BitLocker, habilitan silenciosamente el cifrado de 128 bits para los usuarios estándares, que es una situación común. Sin embargo, es posible que su organización tenga requisitos de seguridad diferentes. Por ello, use la documentación de BitLocker para otras configuraciones.

Configuración de la categoría Configuración Valor
BitLocker Requiere cifrado del dispositivo Enabled
  Permitir advertencia para otro cifrado de disco Disabled
  Permitir Standard cifrado de usuario Enabled
  Configuración de la rotación de contraseñas de recuperación Actualización activada para dispositivos unidos a Azure AD
Cifrado de unidad BitLocker Elección del método de cifrado de unidad y la intensidad del cifrado Not Configured
  Proporcionar los identificadores únicos de la organización Not Configured
Unidades del sistema operativo Exigir el tipo de cifrado de unidad en las unidades del sistema operativo Enabled
  Seleccione el tipo de cifrado (dispositivo) Cifrado de solo espacio usado
  Requerir autenticación adicional en el inicio Enabled
  Permitir BitLocker sin un TPM compatible (requiere una contraseña o una clave de inicio en una unidad flash USB) False
  Configuración de la clave de inicio y el PIN de TPM Permitir clave de inicio y PIN con TPM
  Configuración de la clave de inicio de TPM Permitir clave de inicio con TPM
  Configuración del PIN de inicio de TPM Permitir el PIN de inicio con TPM
  Configuración del inicio de TPM Requerir TPM
  Configuración de la longitud mínima del PIN para el inicio Sin configurar
  Permitir PIN mejorados para el inicio Sin configurar
  No permitir que los usuarios estándar cambien el PIN o la contraseña Sin configurar
  Permitir que los dispositivos compatibles con InstantGo o HSTI no puedan participar en el PIN previo al arranque Sin configurar
  Habilitar el uso de la autenticación de BitLocker que requiere entrada de teclado de inicio previo en pizarras Sin configurar
  Elección de cómo se pueden recuperar las unidades del sistema operativo protegidas por BitLocker Enabled
  Configuración del almacenamiento de usuario de la información de recuperación de BitLocker Requerir contraseña de recuperación de 48 dígitos
  Permitir agente de recuperación de datos False
  Configuración del almacenamiento de información de recuperación de BitLocker en AD DS Almacenamiento de contraseñas de recuperación y paquetes de claves
  No habilite BitLocker hasta que la información de recuperación se almacene en AD DS para las unidades del sistema operativo. True
  Omita las opciones de recuperación del Asistente para la instalación de BitLocker. True
  Guardar información de recuperación de BitLocker en AD DS para unidades de sistema operativo True
  Configuración del mensaje y la dirección URL de la recuperación previa al arranque Sin configurar
Unidades de datos fijas Exigir el tipo de cifrado de unidad en unidades de datos fijas Enabled
  Seleccione el tipo de cifrado: (Dispositivo) Permitir que el usuario elija (valor predeterminado)
  Elección de cómo se pueden recuperar las unidades fijas protegidas por BitLocker Enabled
  Configuración del almacenamiento de usuario de la información de recuperación de BitLocker Requerir contraseña de recuperación de 48 dígitos
  Permitir agente de recuperación de datos False
  Configuración del almacenamiento de información de recuperación de BitLocker en AD DS Contraseñas de recuperación de copia de seguridad y paquetes de claves
  No habilite BitLocker hasta que la información de recuperación se almacene en AD DS para unidades de datos fijas. True
  Omita las opciones de recuperación del Asistente para la instalación de BitLocker. True
  Guardar información de recuperación de BitLocker en AD DS para unidades de datos fijas True
  Denegar el acceso de escritura a unidades fijas no protegidas por BitLocker Sin configurar
Unidades de datos extraíbles Controlar el uso de BitLocker en unidades extraíbles Enabled
  Permitir a los usuarios aplicar la protección de BitLocker en unidades de datos extraíbles (dispositivo) False
  Permitir a los usuarios suspender y descifrar la protección de BitLocker en unidades de datos extraíbles (dispositivo) False
  Denegar el acceso de escritura a unidades extraíbles no protegidas por BitLocker Sin configurar

Solución de contraseñas de administrador local de Windows (LAPS)

De forma predeterminada, la cuenta de administrador local integrada (SID conocido S-1-5-500) está deshabilitada. Hay algunos escenarios en los que una cuenta de administrador local puede ser beneficiosa, como la solución de problemas, el soporte técnico para el usuario final y la recuperación de dispositivos. Si decide habilitar la cuenta de administrador integrada o crear una nueva cuenta de administrador local, es importante proteger la contraseña de esa cuenta.

La solución de contraseñas de administrador local de Windows (LAPS) es una de las características que puede usar para almacenar la contraseña de forma aleatoria y segura en Microsoft Entra. Si usa Intune como servicio MDM, siga estos pasos para habilitar LAPS de Windows.

Importante

Windows LAPS supone que la cuenta de administrador local predeterminada está habilitada, incluso si se ha cambiado el nombre o si se crea otra cuenta de administrador local. Windows LAPS no crea ni habilita ninguna cuenta local automáticamente a menos que configure el modo de administración automática de cuentas.

Debe crear o habilitar las cuentas locales independientemente de la configuración de LAPS de Windows. Puede crear scripts de esta tarea o usar los proveedores de servicios de configuración (CSP), como el CSP de cuentas o el CSP de directiva.

  1. Asegúrese de que los dispositivos Windows tengan instalada la actualización de seguridad de abril de 2023 (o posterior).

    Para obtener más información, vaya a Microsoft Entra actualizaciones del sistema operativo.

  2. Habilite Windows LAPS en Microsoft Entra:

    1. Inicie sesión en Microsoft Entra.
    2. Para la configuración de Habilitar Solución de contraseñas de administrador local (LAPS), seleccione >Guardar (parte superior de la página).

    Para obtener más información, vaya a Habilitación de Windows LAPS con Microsoft Entra.

  3. En Intune, cree una directiva de seguridad de puntos de conexión:

    1. Inicie sesión en el Centro de administración de Microsoft Intune.
    2. Seleccione Endpoint Security>Account Protection>Create Policy>WindowsLocal admin password solution (Windows LAPS)Create (Crear una solución de contraseña de administrador local de Windows).>>

    Para obtener más información, vaya a Crear una directiva de LAPS en Intune.

Líneas base de seguridad

Puede utilizar líneas base de seguridad para aplicar un conjunto de configuraciones que se sabe que aumentan la seguridad de un punto de conexión de Windows. Para obtener más información sobre las líneas base de seguridad, vaya a Configuración de la línea base de seguridad de Windows MDM para Intune.

Las líneas base pueden aplicarse utilizando los ajustes sugeridos y personalizarse según sus necesidades. Algunas configuraciones dentro de las líneas base pueden causar resultados inesperados o ser incompatibles con las aplicaciones y servicios que se ejecutan en sus puntos de conexión de Windows. Como resultado, las líneas base deben probarse de forma aislada. Aplique únicamente la línea de base a un grupo selectivo de puntos de conexión de prueba, sin ningún otro perfil de configuración o ajuste.

Problemas conocidos de las líneas base de seguridad

Los siguientes ajustes en la línea base de seguridad de Windows pueden causar problemas con Windows Autopilot o al intentar instalar aplicaciones como usuario estándar:

  • Opciones de seguridad de las directivas locales/Comportamiento de la solicitud de elevación del administrador (valor predeterminado = Solicitar el consentimiento en el escritorio seguro)
  • Comportamiento estándar de la solicitud de elevación del usuario (valor predeterminado = Denegar automáticamente las solicitudes de elevación)

Para obtener más información, consulte Solución de problemas de conflictos de directivas con Windows Autopilot.

directivas de cliente de Windows Update

Windows Update directivas de cliente es la tecnología en la nube para controlar cómo y cuándo se instalan las actualizaciones en los dispositivos. En Intune, Windows Update directivas de cliente se pueden configurar mediante:

Para obtener más información, vaya a:

Sugerencia

En el caso de los entornos nativos de la nube, considere la posibilidad de usar Windows Autopatch. Autopatch automatiza la administración de anillos de actualización y los informes, lo que elimina la necesidad de ajustar manualmente los períodos de aplazamiento y las fechas límite. Se incluye con Microsoft Intune y es el enfoque recomendado para las organizaciones que desean actualizaciones de Windows totalmente automatizadas y controladas por directivas con una sobrecarga de administración mínima.

Directiva de cumplimiento

Una directiva de cumplimiento informa sobre el estado de los puntos de conexión de Windows nativos de la nube, por ejemplo, si BitLocker está habilitado, el arranque seguro está activado y Microsoft Defender Antivirus está en ejecución. La directiva también es la base del acceso condicional, por lo que puede impedir que los dispositivos no conformes accedan a los recursos de la organización.

Para crear una directiva de cumplimiento de Windows:

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Directivade creaciónde cumplimiento de>dispositivos>.

  3. En Plataforma, seleccione Windows 10 y versiones posteriores>Crear.

  4. En Aspectos básicos, escriba un nombre para la directiva y seleccione Siguiente.

  5. En Configuración de cumplimiento, configure los siguientes valores recomendados y seleccione Siguiente:

    Configuración de la categoría Configuración Valor
    Estado del dispositivo Require BitLocker Obligatoria
      Requerir que arranque seguro esté habilitado en el dispositivo Obligatoria
      Requerir integridad de código Obligatoria
    Seguridad del sistema Firewall Obligatoria
      Antivirus Obligatoria
      Antiespía Obligatoria
      Requerir una contraseña para desbloquear dispositivos móviles Obligatoria
      Contraseñas sencillas Bloquear
      Tipo de contraseña Alfanumérica
      Longitud mínima de la contraseña 14
      Máximo de minutos de inactividad antes de solicitar la contraseña 1 minuto
      Expiración de contraseña (días) 365
      Número de contraseñas anteriores que no se pueden reutilizar 5
    Defender Antimalware de Microsoft Defender Obligatoria
      Actualización de la inteligencia de seguridad de Antimalware de Microsoft Defender Obligatoria
      Protección en tiempo real Obligatoria

    Sugerencia

    Microsoft y las instrucciones actuales de NIST ya no recomiendan la expiración periódica de contraseñas. La línea de base de seguridad de Windows quitó la expiración de contraseña en 2019. En el caso de los puntos de conexión nativos de la nube, la postura más segura es mover a los usuarios al inicio de sesión sin contraseña con claves de seguridad Windows Hello para empresas y passkeys/FIDO2, y bloquear contraseñas débiles con Microsoft Entra Protección con contraseña. Ajuste los valores anteriores para que coincidan con la directiva de su organización. Para más información, consulte Autenticación sin contraseña con Microsoft Intune.

  6. En Actions for noncompliance (Acciones para no cumplimiento), establezca la programación mark device noncompliant en day (u otro período de gracia que se adapte a 1 su organización).

    Sugerencia

    Si usa el acceso condicional, configure un período de gracia para que los dispositivos no conformes no pierdan inmediatamente el acceso a los recursos de la organización. También puede agregar una acción a los usuarios de correo electrónico con los pasos necesarios para que sean compatibles.

  7. Asigne la directiva al grupo Autopilot Cloud-Native puntos de conexión de Windows del paso 4: Creación de Microsoft Entra grupo dinámico para el dispositivo.

Para obtener más información sobre la configuración de cumplimiento de Windows, consulta Configuración de cumplimiento de dispositivos Windows en Microsoft Intune.

Acceso condicional

El acceso condicional en Microsoft Entra usa la señal de cumplimiento de Intune para permitir o bloquear el acceso a los recursos de la organización. El patrón nativo de nube más común es requerir un dispositivo compatible para aplicaciones de Microsoft 365 y otros servicios en la nube. Este patrón garantiza que solo Intune dispositivos administrados y en buen estado puedan acceder a los datos.

Una línea de base de acceso condicional nativa de la nube típica incluye:

  • Requerir autenticación multifactor para todos los usuarios.
  • Requerir un dispositivo compatible (o un dispositivo híbrido Microsoft Entra unido) para las aplicaciones en la nube.
  • Bloquee los protocolos de autenticación heredados.

Importante

Pruebe primero las directivas de acceso condicional en un grupo piloto. Una directiva mal configurada puede bloquear a los administradores fuera de la Centro de administración Microsoft Entra.

Para obtener instrucciones paso a paso, consulte:

Siguiente: Fase 4: Aplicación de personalizaciones y revisión de la configuración local

Fase 4: aplicar las personalizaciones y revisar la configuración local

En esta fase, aplicará la configuración específica de la organización, las aplicaciones y revisará la configuración local. La fase le ayudará a crear cualquier personalización específica para su organización. Observe los distintos componentes de Windows y cómo puede revisar las configuraciones existentes desde un entorno de directiva de grupo de AD local y aplicarlas a los puntos de conexión nativos en la nube. Hay secciones para cada una de las siguientes áreas:

Microsoft Edge

Implementación de Microsoft Edge

Microsoft Edge se incluye en los dispositivos que funcionan:

  • Windows

Después de que los usuarios inicien sesión, Microsoft Edge se actualizará automáticamente. Para desencadenar una actualización de Microsoft Edge durante la implementación, puede ejecutar el siguiente comando:

Start-Process -FilePath "C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe" -argumentlist "/silent /install appguid={56EB18F8-B008-4CBD-B6D2-8C97FE7E9062}&appname=Microsoft%20Edge&needsadmin=True"

Para implementar Microsoft Edge a versiones anteriores de Windows, vaya a Agregar Microsoft Edge para Windows a Microsoft Intune.

Configuración de Microsoft Edge

Dos componentes de la experiencia Microsoft Edge, que se aplican cuando los usuarios inician sesión con sus credenciales de Microsoft 365, se pueden configurar desde el Administración de Microsoft 365 web.

  • El logotipo de la página de inicio en Microsoft Edge se puede personalizar configurando la sección Tu organización dentro del centro de administración de Microsoft 365. Para obtener más información, vaya a Personalización del tema de Microsoft 365 para su organización.

  • La experiencia de la página de nueva pestaña predeterminada en Microsoft Edge incluye información de Office 365 y noticias personalizadas. La forma en que se muestra esta página se puede personalizar desde el Centro de administración de Microsoft 365 en Configuración>Configuración de la organización>Noticias>Página de la nueva pestaña de Microsoft Edge.

También puede establecer otras configuraciones para Microsoft Edge utilizando los perfiles del catálogo de configuraciones. Por ejemplo, es posible que desee configurar ajustes de sincronización específicos para su organización.

  • Microsoft Edge
    • Configurar la lista de tipos que se excluyen de la sincronización - contraseñas

Diseño de la barra de tareas y de inicio

Puede personalizar y establecer un diseño estándar para el inicio y la barra de tareas mediante Intune.

Catálogo de configuraciones

El catálogo de configuraciones es una ubicación única en la que aparecen todas las opciones configurables de Windows. Esta función simplifica la creación de una directiva y la visualización de todas las opciones de configuración disponibles. Para obtener más información, vaya a Crear una directiva mediante el catálogo de configuración en Microsoft Intune.

Sugerencia

Muchas de las opciones de configuración que está familiarizado con la directiva de grupo se integran en el catálogo de configuración. Si la configuración no está disponible en el catálogo de configuración, compruebe las plantillas de perfiles de configuración de dispositivo.

A continuación se presentan algunos ajustes disponibles en el catálogo de ajustes que podrían ser relevantes para su organización:

  • Azure dominio de inquilino preferido de Active Directory: esta configuración configura el nombre de dominio de inquilino preferido que se anexará al nombre de usuario de un usuario. Un dominio de inquilino preferido permite a los usuarios iniciar sesión en Microsoft Entra puntos de conexión con solo su nombre de usuario en lugar de todo el UPN, siempre y cuando el nombre de dominio del usuario coincida con el dominio de inquilino preferido. Para los usuarios que tienen diferentes nombres de dominio, pueden escribir su UPN completo.

    Configuración de la categoría Configuración Valor
    Autenticación Nombre de dominio de inquilino de AAD preferido Escriba el nombre de dominio, como contoso.onmicrosoft.com.

    Nota:

    La etiqueta de configuración usa terminología heredada. "AAD" hace referencia a Microsoft Entra ID.

  • Contenido destacado de Windows : de forma predeterminada, se habilitan varias características de consumidor de Windows, lo que da como resultado la instalación de aplicaciones de la Tienda seleccionadas y sugerencias de terceros en la pantalla de bloqueo. Puede controlar esto utilizando la sección Experiencia del catálogo de configuraciones.

    Configuración de la categoría Configuración Valor
    Experiencia > permitir contenido destacado de Windows Permitir características de consumidor de Windows Bloquear
      Permitir sugerencias de terceros en Contenido destacado de Windows (usuario) Bloquear

  • Microsoft Store : las organizaciones suelen querer restringir las aplicaciones que se pueden instalar en puntos de conexión. Utilice esta configuración si su organización desea controlar qué aplicaciones pueden instalarse desde Microsoft Store. Esta configuración evita que los usuarios instalen aplicaciones a menos que sean aprobadas.

    Configuración de la categoría Configuración Valor
    Microsoft App Store Requerir solo la tienda privada Solo la tienda privada está habilitada

    Nota:

    Esta configuración se aplica a Windows 10. En Windows 11, esta configuración bloquea el acceso al almacén público de Microsoft. Para obtener más información, vaya a:

  • Bloquear juegos : es posible que las organizaciones prefieran que los puntos de conexión corporativos no se puedan usar para jugar a juegos. La página de Juegos dentro de la aplicación de Configuración se puede ocultar por completo utilizando la siguiente configuración. Para obtener más información sobre la visibilidad de la página de configuración, vaya a la documentación de CSP y a la referencia de esquema URI de la configuración MS.

    Configuración de la categoría Configuración Valor
    Configuración Lista de visibilidad de páginas hide:gaming-gamebar; gaming-gamedvr; juegos de difusión; gaming-gamemode; gaming-trueplay; gaming-xboxnetworking; quietmomentsgame

  • Controle a qué inquilinos puede iniciar sesión el cliente de escritorio de Teams: cuando esta directiva está configurada en un dispositivo, los usuarios solo pueden iniciar sesión con cuentas que se encuentran en un inquilino de Microsoft Entra que se incluye en la "Lista de permitidos de inquilinos" definida en esta directiva. La "Lista de permitidos de inquilinos" es una lista separada por comas de Microsoft Entra identificadores de inquilino. Al especificar esta directiva y definir un inquilino de Microsoft Entra, también se bloquea el inicio de sesión en Teams para su uso personal. Para obtener más información, vaya a Cómo restringir el inicio de sesión en dispositivos de escritorio.

    Configuración de la categoría Configuración Valor
    Microsoft Teams Restringir el inicio de sesión en Teams a cuentas de inquilinos específicos (usuario) Enabled

Restricciones de dispositivos

Las plantillas de restricciones de dispositivos de Windows contienen muchas de las configuraciones necesarias para proteger y administrar un punto de conexión de Windows mediante los proveedores de servicios de configuración de Windows (CSP). Con el tiempo, habrá más ajustes disponibles en el catálogo de configuraciones. Para obtener más información, vaya a Restricciones de dispositivos.

Para crear un perfil que use la plantilla Restricciones de dispositivos, en el centro de administración de Microsoft Intune, vaya a Dispositivos>Administrar dispositivos>Configuración>Crear>nueva directiva> Seleccione Windows 10 y versiones posteriores para Plantillas de plataforma>Restricciones de dispositivos para el tipo de perfil.

  • Dirección URL de imagen de fondo de escritorio (solo escritorio): use esta opción para establecer un fondo de pantalla en las SKU de Windows Enterprise o Windows Education. El archivo se hospeda en línea o hace referencia a un archivo que se copia localmente. Para configurar esta opción, en la pestaña Configuración del perfil Restricciones de dispositivos, expanda Personalización y configure La dirección URL de la imagen de fondo del escritorio (solo escritorio).

  • Requerir que los usuarios se conecten a una red durante la instalación del dispositivo : esta configuración reduce el riesgo de que un dispositivo pueda omitir Windows Autopilot si el equipo se restablece. Esta configuración requiere que los dispositivos tengan una conexión de red durante la fase de experiencia de configuración rápida. Para configurar esta opción, en la pestaña Configuración del perfil Restricciones de dispositivos, expanda General y configure Requerir que los usuarios se conecten a la red durante la instalación del dispositivo.

    Nota:

    La configuración se hace efectiva la próxima vez que se borra o restablece el dispositivo.

Optimización de entrega

La optimización de la entrega se utiliza para reducir el consumo de ancho de banda compartiendo el trabajo de descarga de los paquetes compatibles entre varios puntos de conexión. La optimización de la entrega es una caché distribuida auto organizada que permite a los clientes descargar esos paquetes desde fuentes alternativas, como los pares en la red. Estas fuentes paritarias complementan los servidores tradicionales basados en Internet. Puede conocer todos los ajustes disponibles para la optimización de la entrega y qué tipos de descargas son compatibles en Optimización de la entrega para las actualizaciones de Windows.

Para aplicar la configuración de Optimización de entrega, cree un perfil de una Optimización de entrega de Intune o un perfil de catálogo de configuración.

Algunos ajustes que suelen usar las organizaciones son:

  • Restringir selección del mismo nivel: subred : esta configuración restringe el almacenamiento en caché del mismo nivel a los equipos de la misma subred.
  • Id. de grupo : los clientes de optimización de distribución solo se pueden configurar para compartir contenido con dispositivos del mismo grupo. Las Id. de grupo pueden configurarse directamente enviando un GUID a través de la directiva o utilizando las opciones de DHCP en los ámbitos de DHCP.

Los clientes que utilizan Microsoft Configuration Manager pueden implementar servidores de caché conectados que pueden utilizarse para alojar contenidos de Optimización de entrega. Para obtener más información, vaya a Caché conectada de Microsoft en el administrador de configuración.

Administradores locales

Si solo hay un grupo de usuarios que necesita acceso de administrador local a todos Microsoft Entra dispositivos Windows unidos, puede agregarlos al administrador local de dispositivos unidos a Microsoft Entra.

Es posible que el servicio de asistencia de TI u otro personal de apoyo necesite tener derechos de administrador local en un grupo selecto de dispositivos. Para cumplir este requisito, use los siguientes proveedores de servicios de configuración (CSP).

Para obtener más información, vaya a Administración del grupo de administradores locales en Microsoft Entra dispositivos unidos

Migración de la directiva de grupo a la configuración de MDM

Hay varias opciones para crear la configuración de los dispositivos cuando se valore hacer una migración de la directiva de grupo a la administración de dispositivos nativa en la nube:

  • Empiece de cero y aplique los ajustes personalizados que necesite.
  • Revise las directivas de grupo existentes y aplique la configuración necesaria. Puede utilizar herramientas de ayuda, como Análisis de directiva de grupo.
  • Utilice el análisis de directiva de grupo para crear perfiles de configuración de dispositivos directamente para los ajustes admitidos.

La transición a un punto de conexión de Windows nativo en la nube representará una oportunidad para revisar sus requisitos informáticos de usuario final y establecer una nueva configuración para el futuro. Siempre que sea posible, empiece de cero con un conjunto mínimo de directivas. Evitar traer configuraciones innecesarias o heredadas de un entorno unido a un dominio o de sistemas operativos antiguos, como Windows 7 o Windows XP.

Para empezar de cero, revise sus requisitos actuales e implemente una colección mínima de configuraciones para cumplir con estos requisitos. Los requisitos pueden incluir ajustes de seguridad reglamentarios u obligatorios y ajustes para mejorar la experiencia del usuario final. La empresa crea una lista de requisitos, no TI. Todos los escenarios deben estar documentados, comprendidos y deben servir para algo.

La migración de la configuración de las directivas de grupo existentes a MDM (Microsoft Intune) no es el enfoque preferido. Cuando realice la transición a Windows nativo en la nube, la intención no debería ser aumentar y cambiar la configuración de las directivas de grupo existentes. En su lugar, hay que tener en cuenta el público al que se dirige y los ajustes que necesita. Lleva mucho tiempo y probablemente no es práctico revisar cada configuración de directiva de grupo en su entorno para determinar su relevancia y compatibilidad con un dispositivo administrado moderno. Evite tratar de evaluar cada directiva de grupo y cada ajuste individual. En su lugar, concéntrese en evaluar aquellas directivas comunes que cubren la mayoría de los dispositivos y escenarios.

En su lugar, identifique las configuraciones de la directiva de grupo que son obligatorias y revise esas configuraciones contra las configuraciones disponibles de MDM. Cualquier brecha podría representar bloqueos que podrían impedirle avanzar con un dispositivo nativo en la nube si no se resolvieran. Se pueden utilizar herramientas como Análisis de directiva de grupo para analizar la configuración de las directivas de grupo y determinar si se pueden migrar a las directivas de MDM o no.

Scripts

Puede utilizar scripts de PowerShell para cualquier ajuste o personalización que necesite configurar fuera de los perfiles de configuración incorporados. Para obtener más información, vaya a Agregar scripts de PowerShell a dispositivos Windows en Microsoft Intune.

Asignación de unidades de red e impresoras

Los escenarios nativos en la nube no tienen una solución integrada para las unidades de red asignadas. En su lugar, se recomienda que los usuarios migren a Teams, SharePoint y OneDrive. Si la migración no es posible, considere el uso de scripts si es necesario.

Para el almacenamiento personal, en el Paso 8: configurar los ajustes para una experiencia óptima de Microsoft 365, configuramos el movimiento de carpetas conocidas de OneDrive. Para obtener más información, vaya a Redirigir carpetas conocidas.

Para el almacenamiento de documentos, los usuarios también pueden beneficiarse de la integración de SharePoint con el Explorador de archivos y la posibilidad de sincronizar bibliotecas localmente, como se indica aquí: sincronizar archivos de SharePoint y Teams con el ordenador.

Si utilizas las plantillas de documentos corporativos de Office, que suelen estar en servidores internos, considera el nuevo equivalente basado en la nube que permite a los usuarios acceder a las plantillas desde cualquier lugar.

Para las soluciones de impresión, considere La impresión universal. Para obtener más información, vaya a:

Aplicaciones

Intune admite la implementación de muchos tipos de aplicaciones de Windows diferentes.

Si tiene aplicaciones que utilizan instaladores MSI, EXE o de secuencias de comandos, puede implementar todas estas aplicaciones mediante la administración de aplicaciones Win32 en Microsoft Intune. Envolver estos instaladores en el formato Win32 proporcionará más flexibilidad y beneficios, como notificaciones, optimización de la entrega, dependencias, reglas de detección y soporte para la página de estado de inscripción en Windows Autopilot.

Nota:

Para evitar conflictos durante la instalación, le recomendamos que utilice exclusivamente las funciones de aplicaciones de línea de negocio de Windows o de aplicaciones Win32. Si tiene aplicaciones empaquetadas como .msi o .exe, se pueden convertir en aplicaciones Win32 (.intunewin) mediante la herramienta de preparación de contenido de Microsoft Win32 disponible en GitHub.

Siguiente: Fase 5: Escalado de la implementación con Windows Autopilot

Fase 5: escalado de la implementación con Windows Autopilot

Ha demostrado que funciona de forma nativa en la nube en un dispositivo. En esta fase se explica cómo pasar de un dispositivo de prueba a su flota de producción: cómo se registran los dispositivos, cómo los agrupa por persona, cómo se realiza la implementación provisional y cómo se controlan los equipos existentes que ya administra.

Registro de dispositivos a escala

En la fase 1, cargó manualmente un hash de hardware. Eso está bien para un laboratorio, pero no escala. Las opciones listas para producción son:

Origen del registro Cómo funciona Lo mejor para
OEM o asociado de hardware Los dispositivos se envían desde el proveedor ya registrado a su inquilino (Dell, HP, Lenovo, Microsoft, Surface y otros). Nueva adquisición de hardware: el estado de destino recomendado.
Revendedor o CSP Un asociado de Microsoft registra dispositivos en su nombre. Cadenas de suministro indirectas o mixtas.
Carga de hash manual (CSV) Mismo Get-WindowsAutopilotInfo flujo de la fase 1, paso 3, cargado de forma masiva como csv. Pilotos, dispositivos de laboratorio, lotes pequeños, dispositivos existentes que se van a incorporar.
conector de Intune/inscripción directa Las rutas de registro más recientes aparecen en el Centro de administración. Escenarios de inscripción específicos: consulte la introducción al registro de Autopilot.

Para obtener detalles completos, consulte Registro de dispositivos Autopilot.

Sugerencia

Cada vez que compre hardware nuevo de Windows, pida a su revendedor o OEM que registre dispositivos en su Microsoft Entra identificador de inquilino en el momento de la compra. Este enfoque es el patrón a largo plazo de menor fricción y elimina la necesidad de recopilar manualmente un hash.

Uso de etiquetas de grupo para personas

Ya usó la etiqueta de grupo en la CloudNative fase 1 para dirigir un grupo dinámico. El mismo patrón se escala a varios usuarios del dispositivo. Defina una etiqueta de grupo por persona, una dinámica Microsoft Entra grupo por etiqueta y un perfil de implementación de Autopilot más página estado de inscripción por grupo.

Persona Etiqueta de grupo sugerida Perfil de Autopilot Tipo de cuenta de usuario
Trabajador del conocimiento KnowledgeWorker Controlado por el usuario Standard usuario
Desarrollador/usuario avanzado Developer Controlado por el usuario Administrador
Pantalla completa o dispositivo compartido Kiosk Implementación automática N/D
Preaprovisionado (guante blanco) PreProvisioned Previamente aprovisionado Standard usuario

Este patrón mantiene las directivas de configuración, aplicaciones y seguridad aisladas por persona y evita que se produzcan excepciones puntuales en todo el inquilino.

Implementación en anillos

No se implemente en toda la flota a la vez. Usa el mismo concepto de anillo que usas para Windows Novedades:

Anillo Público Objetivo
Piloto Equipo de TI y un pequeño grupo de voluntarios Valide el aprovisionamiento y la directiva de un extremo a otro.
Usuarios pioneros ~5% de los usuarios, distribuidos entre departamentos Detectar problemas específicos de persona y aplicación.
Amplias La flota restante, almacenada provisionalmente por región o departamento Lanzamiento de producción.

Use filtros de asignación para los anillos de destino en lugar de crear grupos duplicados para cada directiva. Supervise cada anillo mediante la sección Supervisión de los puntos de conexión de Windows nativos de la nube antes de promover al siguiente.

Controlar dispositivos existentes

En el caso de los equipos Windows que ya administra, Microsoft recomienda pasar a Autopilot en la siguiente actualización de hardware en lugar de volver a aprovisionar toda la flota hoy en día. Windows nativo de la nube obtiene todas sus ventajas de un inicio de OOBE limpio y los ciclos de actualización le permiten realizar la transición de forma natural con una interrupción mínima del usuario.

Si no puede esperar a la actualización, hay dos rutas de acceso disponibles:

  • Regístrese y restablezca en su lugar. Recopile el hash de un dispositivo existente, regístrelo en Autopilot y restablezca el equipo. El dispositivo vuelve a través de OOBE como un punto de conexión nativo de la nube. Consulta Agregar dispositivos existentes a Windows Autopilot.
  • Vuelva a crear una imagen en la actualización. Solo el hardware nuevo o actualizado se inscribe como nativo de la nube. Los dispositivos existentes permanecen en su administración actual hasta que llegan al final de su vida útil.

Precaución

No registre dispositivos administrados activamente por Microsoft Configuration Manager sin un plan de administración conjunta. Decida si el dispositivo se administrará en la nube, se administrará conjuntamente o permanecerá en Administrador de configuración antes de registrarlo en Autopilot. Para obtener más información, consulte Administración conjunta para dispositivos Windows.

Más información

Si Windows Autopilot no es la opción adecuada para su escenario, consulte Intune métodos de inscripción para dispositivos Windows para obtener alternativas.

Siguiente: Supervisión de los puntos de conexión de Windows nativos de la nube

Supervisión de los puntos de conexión de Windows nativos de la nube

Una vez aprovisionados y configurados los puntos de conexión de Windows nativos de la nube, use las vistas de supervisión en el Centro de administración de Microsoft Intune para confirmar que las directivas, scripts y aplicaciones se implementan correctamente y detectar problemas en un primer momento. La supervisión es una tarea operativa en curso, no un paso de configuración única.

Elementos para supervisar En el centro de administración Qué revisar Más información
Estado del script Dispositivos>Por plataforma>Windows>Administración de dispositivos>Scripts y correcciones>Scripts de plataforma Seleccionar un script >Estado del dispositivo
Estado de instalación de la aplicación Aplicaciones>Windows>Aplicaciones de Windows Seleccionar un estado de instalación del dispositivo de la aplicación > o el estado de instalación del usuario Solución de problemas de instalaciones de aplicaciones
Líneas base de seguridad Supervisión de líneas base de seguridad en Intune
Cifrado de disco (BitLocker) Seguridad >del punto de conexiónCifrado de disco Seleccione la directiva > de BitLocker Estado de instalación del dispositivo. Claves de recuperación: los dispositivos>que Windows> seleccionan claves de recuperación de dispositivos >
anillos de Windows Update Dispositivos>Administrar actualizaciones>Windows 10 y actualizaciones posteriores>de los anillos de actualización Seleccionar un estado de dispositivo en anillo > Informes para anillos de actualización
Cumplimiento Dispositivos>Cumplimiento Seleccione la directiva para ver los resultados de la asignación, los dispositivos no compatibles y los errores por configuración. Supervisión de directivas de cumplimiento
Análisis de puntos de conexión Informes>Análisis de puntos de conexión Rendimiento de inicio, confiabilidad de aplicaciones y correcciones proactivas en toda la flota Información general sobre análisis de puntos de conexión · informes de Intune

Siga las instrucciones sobre puntos de conexión nativos de la nube

  1. Información general: ¿qué son los puntos de conexión nativos de la nube?
  2. 🡺 Tutorial: Configuración de puntos de conexión de Windows nativos de la nube con Microsoft Intune (está aquí)
  3. Concepto: Microsoft Entra unidos frente a Microsoft Entra híbridos unidos
  4. Concepto: puntos de conexión nativos en la nube y recursos locales
  5. Guía de planeación de alto nivel
  6. Problemas conocidos e información importante

Preguntas frecuentes

¿Qué es un punto de conexión de Windows nativo de la nube?

Un punto de conexión de Windows nativo de la nube es un dispositivo Windows que está Microsoft Entra unido e inscrito en Microsoft Intune, sin dependencia de Active Directory local, directiva de grupo o controladores de dominio. Toda la configuración, la seguridad y la implementación de aplicaciones se administran desde la nube mediante Microsoft Intune y Windows Autopilot.

¿Cuál es la diferencia entre la Microsoft Entra unida a la nube y la híbrida?

Un dispositivo unido a Microsoft Entra híbrido se une a Active Directory local y Microsoft Entra. Todavía depende de los controladores de dominio para la autenticación y directiva de grupo para la configuración. Un dispositivo nativo de la nube (solo Microsoft Entra unido) no tiene dependencia local: la identidad, la directiva y las aplicaciones proceden de la nube. Para obtener una comparación detallada, consulte Microsoft Entra unidos frente a híbridos Microsoft Entra unidos.

¿Necesito Windows 11 para los puntos de conexión nativos de la nube?

No. Windows nativo de la nube funciona con Windows 10 22H2 o posterior. Microsoft recomienda Windows 11 para obtener la mejor experiencia con Windows Autopilot, Windows Hello para empresas y características de seguridad modernas.

¿Puedo mover los dispositivos existentes unidos a un dominio a nativo de la nube?

Sí, pero Microsoft recomienda hacerlo en la siguiente actualización de hardware en lugar de volver a aprovisionar toda la flota. Windows nativo de la nube obtiene todas sus ventajas de un inicio de OOBE limpio. Para los dispositivos que no puede esperar a actualizar, consulte Control de dispositivos existentes en la fase 5.

¿Funciona Windows nativo de la nube con recursos locales, como recursos compartidos de archivos e impresoras?

Sí, con algo de planeamiento. Los dispositivos nativos de la nube pueden acceder a los recursos locales a través de VPN o a través de Microsoft Entra proxy de aplicación. Para el almacenamiento de archivos, Microsoft recomienda migrar a OneDrive y SharePoint. Para imprimir, considere La impresión universal. Consulte Puntos de conexión nativos de la nube y recursos locales para obtener instrucciones detalladas.

Recursos en línea útiles

  • Last updated on