Creación de un perfil de configuración de dispositivo en Microsoft Intune

Los perfiles de configuración de dispositivo le permiten agregar y configurar la configuración del dispositivo y, a continuación, insertar esta configuración en los dispositivos de su organización. Al crear directivas, tiene algunas opciones:

• Líneas base: en los dispositivos Windows, estas líneas base incluyen la configuración de seguridad preconfigurada. Si desea crear una directiva de seguridad mediante recomendaciones de los equipos de seguridad de Microsoft, use líneas base de seguridad.

  Para obtener más información, vaya a Líneas base de seguridad.

• Catálogo de configuración: en los dispositivos Apple, Android y Windows, puede usar el catálogo de configuración para configurar las características y la configuración del dispositivo. El catálogo de configuración tiene todas las opciones disponibles y en una ubicación. Por ejemplo, puede ver todas las opciones de configuración que se aplican a BitLocker y crear una directiva que se centre solo en BitLocker. En dispositivos macOS, utilice el catálogo de configuración para ajustar las opciones de la versión 77 de Microsoft Edge.

  Se agregan continuamente más opciones de configuración al catálogo de configuración. Para más información, vaya al Catálogo de configuraciones.

• Plantillas: en los dispositivos, puede usar las plantillas integradas. Cada plantilla incluye una agrupación lógica de opciones de configuración que configuran una característica o un concepto, como VPN, correo electrónico, dispositivos de pantalla completa, etc. Si está familiarizado con la creación de directivas de configuración de dispositivos en Microsoft Intune, ya está usando estas plantillas.

  Para obtener más información, incluidas las plantillas disponibles, vaya a Aplicar características y configuración en los dispositivos mediante perfiles de dispositivo.

En este artículo:

• Se enumeran los pasos para crear un perfil.
• Se muestra cómo agregar una etiqueta de ámbito para "filtrar" las directivas.
• Describe las reglas de aplicabilidad en Windows cliente y muestra cómo crear una regla.
• Tiene más información sobre los tiempos del ciclo de actualización del registro cuando los dispositivos reciben perfiles y cualquier actualización de perfiles.

Esta característica se aplica a:

• Android
• iOS/iPadOS
• macOS
• Windows

Requisitos previos

• Como mínimo, inicie sesión en el Centro de administración de Microsoft Intune con el rol Administrador de directivas y perfiles . Para obtener información sobre los roles integrados en Intune y lo que pueden hacer, vaya a Control de acceso basado en rol (RBAC) con Microsoft Intune.

• Inscriba los dispositivos en Intune. Para más información sobre las opciones de inscripción, consulte la guía de inscripción de Microsoft Intune.

Creación del perfil

En el Centro de administración de Intune, seleccione Dispositivos. Tiene las siguientes opciones:

• Información general: Listas el estado de algunos de los perfiles y proporciona más detalles sobre los perfiles que asignó a los usuarios y dispositivos.

• Supervisión: Listas todos los informes de supervisión de dispositivos. Use estos informes para comprobar los errores de asignación de directivas de configuración, las inscripciones de usuarios incompletas, los dispositivos no conformes, los errores de instalación de actualización, etc.

• Por plataforma: expanda esta opción para obtener una lista de plataformas admitidas, como Android y Linux. Al seleccionar una plataforma, puede crear y ver directivas y perfiles para la plataforma que elija.

  Esta vista también puede mostrar características específicas de la plataforma. Por ejemplo, seleccione Windows. Verá características específicas de Windows, como scripts y correcciones y análisis de directivas de grupo.

• Administrar dispositivos: expanda esta opción para ver las directivas que puede crear, como las directivas de cumplimiento y configuración.

Al crear un perfil (Dispositivos>administrar dispositivos>Configuración>Crear>nueva directiva), elija la plataforma:

• Administrador de dispositivos Android
• Android (AOSP)
• Android Enterprise
• iOS/iPadOS
• macOS
• Windows 10 y versiones posteriores
• Windows 8.1 y versiones posteriores

A continuación, elija el tipo de perfil. En función de la plataforma que elija, los tipos de perfil son diferentes. En los artículos siguientes se describen los distintos perfiles:

Por ejemplo, si selecciona Windows para la plataforma, las opciones tienen un aspecto similar al siguiente perfil:

Etiquetas de ámbito

Una vez que agrega la configuración, también puede añadir una etiqueta de ámbito al perfil. Las etiquetas de ámbito filtran los perfiles a grupos de TI específicos, como US-NC IT Team o JohnGlenn_ITDepartment. Además, se usan en TI distribuida.

Para obtener más información sobre las etiquetas de alcance y lo que puede hacer, vaya a Usar RBAC y etiquetas de alcance para TI distribuida.

Reglas de aplicabilidad

Se aplica a:

• Windows

Las reglas de aplicabilidad permiten a los administradores dirigirse a los dispositivos de un grupo que cumplen criterios específicos. Por ejemplo, se crea un perfil de restricciones de dispositivo que se aplica al grupo Todos los dispositivos Windows . Además, solo quiere que el perfil se asigne a los dispositivos que ejecutan Windows Enterprise.

Para realizar esta tarea, cree una regla de aplicabilidad. Estas reglas son útiles para los escenarios siguientes:

• En Bellows College, quiere dirigirse a todos los dispositivos Windows que ejecutan Windows 11, versión 24H2.
• Quiere dirigirse a todos los usuarios de Recursos Humanos en Contoso, pero solo quiere dispositivos Windows Professional o Enterprise.

Para abordar estos escenarios, puede:

• Crear un grupo de dispositivos que incluya todos los dispositivos de Bellows College. En el perfil, agregue una regla de aplicabilidad para que se aplique si la versión mínima del sistema operativo es 10.0.26100 y la versión máxima es 10.0.26200. Asigne este perfil al grupo de dispositivos de Bellows College.

  Cuando se asigna el perfil, se aplica a los dispositivos entre las versiones mínima y máxima que especifique. En el caso de los dispositivos que no están entre las versiones mínima y máxima que especifique, su estado se muestra como No aplicable.

• Crear un grupo de usuarios que incluya a todos los usuarios de recursos humanos (RR HH.) en Contoso. En el perfil, agregue una regla de aplicabilidad para que se aplique a los dispositivos que ejecutan Windows Professional o Enterprise. Asigne este perfil al grupo usuarios de Recursos Humanos.

  Cuando se asigna el perfil, se aplica a los dispositivos que ejecutan Windows Professional o Enterprise. En el caso de los dispositivos que no ejecutan estas ediciones, su estado se muestra como No aplicable.

• Si hay dos perfiles con la misma configuración exacta, se aplica el perfil sin una regla de aplicabilidad.

  Por ejemplo, ProfileA tiene como destino el grupo de dispositivos Windows, habilita BitLocker y no tiene una regla de aplicabilidad. ProfileB tiene como destino el mismo grupo de dispositivos Windows, habilita BitLocker y tiene una regla de aplicabilidad para aplicar solo el perfil a la edición Windows Enterprise.

  Cuando se asignan ambos perfiles, se aplica el perfil A porque no tiene una regla de aplicabilidad.

Al asignar el perfil a los grupos, las reglas de aplicabilidad actúan como un filtro y solo se dirigen a los dispositivos que cumplen los criterios.

Agregar una regla

Siga estos pasos para crear una regla de aplicabilidad.

1. En la directiva, seleccione reglas de aplicabilidad. Puede elegir Regla y Propiedad:

   

2. En Regla, elija si desea incluir o excluir usuarios o grupos. Las opciones son:

   • Asignar perfil si: incluye usuarios o grupos que cumplen los criterios que ha especificado.
   • No asignar perfil si: excluye usuarios o grupos que cumplen los criterios que ha especificado.

3. En Propiedad, elija el filtro. Las opciones son:

   • Edición del sistema operativo: en la lista, compruebe las ediciones de cliente Windows que desea incluir (o excluir) en la regla.

   • Versión del sistema operativo: introduzca los números de versión del cliente de Windows min y max que desea incluir (o excluir) en la regla. Ambos valores son necesarios.

     Por ejemplo, puede especificar 10.0.16299.0 (RS3 o 1709) para la versión mínima y 10.0.17134.0 (RS4 o 1803) para la versión máxima. O bien, puede ser más específico e indicar 10.0.16299.001 para la versión mínima y 10.0.17134.319 para la versión máxima.

     Para obtener más números de versión, vaya a información de versión del cliente de Windows.

4. Haga clic en Agregar para guardar los cambios.

Tiempos de ciclo de actualización de directiva

Intune usa diferentes ciclos de actualización para comprobar si hay actualizaciones para los perfiles de configuración. Si el dispositivo se inscribió recientemente, la inserción en el repositorio se ejecuta con más frecuencia. En el artículo sobre ciclos de actualización de directivas y perfiles se muestran los tiempos de actualización estimados.

En cualquier momento, los usuarios pueden abrir la aplicación Portal de empresa de Intune y sincronizar el dispositivo para comprobar de inmediato las actualizaciones del perfil.

Recomendaciones

Al crear perfiles, tenga en cuenta las siguientes recomendaciones:

• Asigne un nombre a las directivas para saber lo que son y lo que hacen. Todas las directivas de cumplimiento y perfiles de configuración tienen una propiedad Descripción opcional. En Descripción, sea concreto e incluya información que permita que otros usuarios sepan lo que hace la directiva.

  Algunos ejemplos de perfil de configuración incluyen:

  Nombre del perfil: perfil de configuración de OneDrive para todos los usuarios de Windows
  Descripción del perfil: perfil de OneDrive que incluye la configuración mínima y base para todos los usuarios de Windows. Creado por user@contoso.com para impedir que los usuarios compartan datos de la organización con cuentas personales de OneDrive.

  Nombre del perfil: perfil de VPN para todos los usuarios de iOS/iPadOS
  Descripción de perfil: perfil de VPN que incluye la configuración mínima y básica para que todos los usuarios de iOS/iPadOS se conecten a la VPN de Contoso. Creado por user@contoso.com para que los usuarios se autentiquen automáticamente en VPN, en lugar de pedir a los usuarios su nombre de usuario y contraseña.

• Cree el perfil por su tarea, como configurar las opciones de Microsoft Edge, habilitar la configuración antivirus de Microsoft Defender, bloquear dispositivos con jailbreak de iOS/iPadOS, etc.

• Cree perfiles que se apliquen a grupos específicos, como Marketing, Ventas, Administradores de TI, o por ubicación o sistema educativo. Use las características integradas, entre las que se incluyen:

  • Usar el control de acceso basado en rol (RBAC) y las etiquetas de ámbito para TI distribuida en Intune
  • TI distribuida con muchos administradores en el mismo inquilino de Intune
  • Usar filtros al asignar aplicaciones, directivas y perfiles en Intune

• Separe las directivas de usuario de las directivas de dispositivo.

  Por ejemplo, el catálogo de configuración de Intune tiene miles de configuraciones. Esta configuración muestra si una configuración se aplica a usuarios o dispositivos. Al crear la directiva, asigne la configuración de usuario a un grupo de usuarios y asigne la configuración del dispositivo a un grupo de dispositivos.

  En la imagen siguiente se muestra un ejemplo de algunas opciones de configuración que se pueden aplicar a los usuarios, aplicar a los dispositivos o aplicar a ambos:

  

• Use Microsoft Copilot en Intune para evaluar las directivas, obtener más información sobre una configuración de directiva & su efecto en los usuarios & seguridad y comparar directivas entre dos dispositivos.

  Para obtener más información, vaya a Microsoft Copilot en Intune.

• Cada vez que cree una directiva restrictiva, comunique este cambios a los usuarios. Por ejemplo, si va a cambiar el requisito de código de acceso de cuatro (4) a seis (6) caracteres, informe a los usuarios antes de asignar la directiva.

Contenido relacionado

• Asigne el perfil.
• Supervise su estado.