Configuración de acciones para dispositivos no compatibles en Intune

  • Artículo
  • Tiempo de lectura: 14 minutos

Como parte de una directiva de cumplimiento que protege los recursos de la organización de los dispositivos que no cumplen los requisitos de seguridad, las directivas de cumplimiento también incluyen Acciones en caso de incumplimiento. Las acciones en caso de incumplimiento son una o varias acciones ordenadas cronológicamente que realiza una directiva para ayudar a proteger los dispositivos y la organización. Por ejemplo, una acción de incumplimiento puede bloquear de forma remota un dispositivo para asegurarse de que está protegido o enviar una notificación a los dispositivos o usuarios para ayudarles a comprender y resolver el estado no conforme.

Información general

De forma predeterminada, cada directiva de cumplimiento incluye la acción de incumplimiento de Marcar el dispositivo no compatible con una programación de cero días (0). El resultado de este valor predeterminado es que cuando Intune detecta un dispositivo que no es compatible, lo marca inmediatamente como tal. Una vez que un dispositivo se ha marcado como no compatible, el Acceso condicional de Azure Active Directory (AD) puede bloquear el dispositivo.

Mediante la configuración de Acciones en caso de incumplimiento se obtiene flexibilidad para decidir qué hacer respecto a los dispositivos no compatibles y cuándo hacerlo. Por ejemplo, puede elegir no bloquear el dispositivo inmediatamente y conceder al usuario un período de gracia para convertirlo en compatible.

Para cada acción que establezca, puede configurar una programación que determine cuándo surte efecto la acción. La programación debe indicar el número de días pasados los cuales el dispositivo se marcará como no compatible. También se pueden configurar varias instancias de una acción. Cuando se establecen varias instancias de una acción en una directiva, la acción se ejecutará de nuevo en esa hora programada más tarde en caso de que el dispositivo siga siendo no compatible.

No todas las acciones están disponibles para todas las plataformas.

Nota

El Centro de administración de Microsoft Endpoint Manager muestra la programación (días después de no ser compatible) en días. Sin embargo, es posible especificar un intervalo más granular (horas), usando fracciones decimales como 0,25 (6 horas), 0,5 (12 horas), 1,5 (36 horas), etc. Aunque otros valores son posibles, solo se pueden configurar mediante Microsoft Graph y no a través del centro de administración. Si intenta usar otros valores en el centro de administración, como 0,33 (8 horas), se producirá un error al intentar guardar la directiva.

Acciones disponibles en caso de incumplimiento

A continuación se muestran las acciones disponibles en caso de incumplimiento:

  • Marcar dispositivo como no compatible: de forma predeterminada, esta acción se establece para cada directiva de cumplimiento y tiene una programación de cero (0) días, marcando los dispositivos como no compatibles inmediatamente.

    Al cambiar la programación predeterminada, se proporciona un período de gracia en el que un usuario puede corregir incidencias o hacerse compatible sin que se marque como no compatible.

    Esta acción se admite en todas las plataformas compatibles con Intune.

  • Enviar correo electrónico al usuario final: esta acción envía una notificación por correo electrónico al usuario. Si se habilita:

    • Seleccione una plantilla de mensaje de notificación que envíe esta acción. Cree una plantilla de mensaje de notificación para poder asignar una a esta acción. Al crear la notificación personalizada, se personaliza la configuración regional, el asunto y el cuerpo del mensaje, y puede incluir el logotipo, el nombre de la empresa y otra información de contacto.
    • Para enviar el mensaje a más destinatarios, seleccione uno o varios de los grupos de Azure AD.

    Intune usa la dirección de correo electrónico definida en el perfil del usuario final y no su nombre principal de usuario (UPN). Si no hay ninguna dirección de correo electrónico definida en el perfil del usuario, Intune no envía un correo electrónico de notificación. Cuando se envía el correo electrónico, Intune incluye información sobre los dispositivos no compatibles en la notificación de este correo.

    Esta acción se admite en todas las plataformas compatibles con Intune.

    Nota

    En la nube comercial, los correos electrónicos de notificación se envían desde: IntuneNotificationService@microsoft.com

    En las nubes gubernamentales, los correos electrónicos de notificación se envían desde: microsoft-noreply@microsoft.com

    Asegúrese de que no tiene directivas de buzón que impidan la entrega de correos electrónicos desde estas direcciones. De lo contrario, puede que los usuarios finales no reciban la notificación por correo electrónico.

  • Bloquear de forma remota el dispositivo no compatible : use esta acción para emitir un bloqueo remoto de un dispositivo. Después se pide al usuario un PIN o una contraseña para desbloquear el dispositivo. Más información sobre la característica Bloqueo remoto.

    Las siguientes plataformas admiten esta acción:

    • Administrador de dispositivos Android
    • Android (AOSP) (versión preliminar)
    • Android Enterprise:
      • Totalmente administrado
      • Dedicado
      • Perfil de trabajo de propiedad corporativa
      • Perfil de trabajo de propiedad personal
      • Dispositivos de quiosco de Android Enterprise
    • iOS/iPadOS
    • macOS

  • Retirar el dispositivo no compatible: esta acción quita todos los datos de empresa del dispositivo y quita al dispositivo de la administración de Intune.

    Las siguientes plataformas admiten esta acción:

    • Administrador de dispositivos Android
    • Android (AOSP) (versión preliminar)
    • Android Enterprise:
      • Totalmente administrado
      • Dedicado
      • Perfil de trabajo de propiedad corporativa
      • Perfil de trabajo de propiedad personal
    • iOS/iPadOS
    • macOS
    • Windows 10/11

    Cuando esta acción se aplica a un dispositivo, ese dispositivo se agrega a una lista de dispositivos en la consola de administración en Dispositivos > Directivas de cumplimiento > Retirar dispositivos no compatibles. El dispositivo no se retira hasta que un administrador realiza una acción explícita para retirar el dispositivo.

    Nota

    Solo los dispositivos en los que se ha desencadenado la acción Retirar el dispositivo no conforme aparecen en la vista Retirar dispositivos seleccionados. Para ver una lista de todos los dispositivos que no son conformes, consulte el informe Dispositivos no conformes mencionado en Supervisión de la directiva de cumplimiento de dispositivos.

    Para retirar uno o varios dispositivos de la lista, seleccione dispositivos en la lista y luego seleccione Retirar los dispositivos seleccionados. Cuando seleccione una acción que retire dispositivos, se le mostrará un cuadro de diálogo para confirmar la acción. Solo después de confirmar la intención de retirar los dispositivos, se borran los datos de la empresa y se quitan de la administración de Intune.

    También puede seleccionar opciones para Retirar todos los dispositivos, Borrar estado de retirada de todos los dispositivos y Borrar el estado de retirada de los dispositivos seleccionados. Al borrar el estado de retirada de un dispositivo, se quita el dispositivo de la lista de dispositivos que se pueden retirar hasta que la acción para Retirar el dispositivo no compatible se vuelva a aplicar a ese dispositivo.

    Más información sobre la retirada de los dispositivos.

  • Enviar notificaciones de inserción al usuario final: configure esta acción para enviar una notificación de inserción acerca del no cumplimiento de un dispositivo a través de la aplicación Portal de empresa o de la aplicación de Intune en el dispositivo.

    Las siguientes plataformas admiten esta acción:

    • Administrador de dispositivos Android
    • Android Enterprise:
      • Totalmente administrado
      • Dedicado
      • Perfil de trabajo de propiedad corporativa
      • Perfil de trabajo de propiedad personal
    • iOS/iPadOS

    La notificación de inserción se envía la primera vez que un dispositivo se registra con Intune y se detecta que no es compatible con la directiva de cumplimiento. Cuando un usuario selecciona la notificación, se abre la aplicación Portal de empresa o de Intune y muestra información acerca de por qué no son compatibles. Después, el usuario puede tomar medidas para resolver la incidencia. Intune genera la información del mensaje sobre la no compatibilidad y no se puede personalizar.

    Importante

    Intune, la aplicación Portal de empresa y la de Microsoft Intune, no pueden garantizar la entrega de una notificación de inserción. Las notificaciones pueden aparecer después de varias horas de retraso, en caso de que se produzcan. Esto incluye la desactivación de las notificaciones de inserción por parte de los usuarios.

    No confíe en este método de notificación para mensajes urgentes.

    Cada instancia de la acción envía una notificación una sola vez. Para volver a enviar la misma notificación desde una directiva, configure más instancias de la acción en esa directiva, cada una con una programación distinta.

    Por ejemplo, se puede programar la primera acción a los cero días y, después, agregar una segunda instancia de la acción establecida a los tres días. Este retraso antes de la segunda notificación proporciona al usuario unos días para resolver la incidencia y evita la segunda notificación.

    Para evitar el envío de correo no deseado a los usuarios que tengan demasiados mensajes duplicados, revise y optimice las directivas de cumplimiento que incluyan una notificación de inserción de incumplimiento. Revise también las programaciones a fin de evitar que se envíen notificaciones de repetición para la misma incidencia con demasiada frecuencia.

    Considere:

    • En el caso de una sola directiva que incluya varias instancias de un conjunto de notificaciones de inserción para el mismo día, solo se envía una notificación única para ese día.

    • Cuando hay varias directivas de cumplimiento que incluyen las mismas condiciones de cumplimiento y la acción de notificación de inserción con la misma programación, Intune envía varias notificaciones al mismo dispositivo en el mismo día.

Nota

Los dispositivos administrados por un asociado de administración de cumplimiento de dispositivos no admiten las siguientes acciones de incumplimiento:

  • Enviar notificación push al usuario final
  • Bloquear de forma remota el dispositivo no compatible
  • Retirar el dispositivo no compatible
  • Enviar notificación push al usuario final

Antes de empezar

Se pueden agregar acciones en caso de incumplimiento cuando se configure la directiva de cumplimiento de dispositivos o, más adelante, editando la directiva. Se pueden agregar acciones adicionales a cada directiva para satisfacer sus necesidades. Tenga en cuenta que cada directiva de cumplimiento incluye automáticamente la acción predeterminada de incumplimiento que marca los dispositivos como no compatibles, con una programación establecida en cero días.

Para usar las directivas de cumplimiento de dispositivos a fin de bloquear los dispositivos del uso de los recursos corporativos, se debe configurar el acceso condicional de Azure AD. Consulte ¿Qué es el acceso condicional en Azure Active Directory? o ¿Cuáles son las formas habituales de usar el acceso condicional con Intune? para obtener instrucciones.

A fin de crear una directiva de cumplimiento de dispositivos, vea la guía siguiente específica para plataformas:

Creación de una plantilla de mensaje de notificación

Para enviar un correo electrónico a los usuarios, cree una plantilla de mensaje de notificación y asóciela a la directiva de cumplimiento como una acción en caso de incumplimiento. Cuando un dispositivo no es compatible, los detalles que especifica en la plantilla se muestran en el correo electrónico enviado a los usuarios.

Una plantilla de mensaje de notificación puede incluir varios mensajes especificados para una configuración regional diferente. Se debe especificar una configuración regional como valor predeterminado.

Cuando se especifican varios mensajes y configuraciones regionales, los usuarios finales no compatibles reciben el mensaje localizado adecuado en función de su idioma preferido de O365. Intune envía el mensaje predeterminado a los usuarios que no han establecido un idioma preferido o cuando la plantilla no incluye un mensaje específico para su configuración regional.

Creación de la plantilla

  1. Inicie sesión en el Centro de administración del Microsoft Endpoint Manager.

  2. Seleccione Seguridad de punto de conexión > Conformidad de dispositivos > Notificaciones > Crear notificación.

  3. En la página Aspectos básicos, configure las siguientes opciones:

    • Nombre: asigne un nombre descriptivo a la plantilla para ayudarle a identificarla.
    • Encabezado de correo electrónico: incluir logotipo de la empresa (valor predeterminado = Habilitar). El logotipo que se carga como parte de la personalización de marca del Portal de empresa se usa para las plantillas de correo electrónico. Para obtener más información sobre la personalización de marca del Portal de empresa, vea Personalización de marca de la identidad de empresa.
    • Pie de página de correo electrónico: incluir nombre de la empresa (valor predeterminado = Habilitar).
    • Pie de página de correo electrónico: incluir información de contacto (valor predeterminado = Habilitar).
    • Vínculo del sitio web de Portal de empresa (valor predeterminado = Deshabilitar): cuando se establece en Habilitar, el correo electrónico incluye un vínculo al sitio web de Portal de empresa.

    Ejemplo de la página Aspectos básicos de un mensaje de notificación en Intune

    Seleccione Siguiente para continuar.

  4. En la página Plantillas de mensaje de notificación, configure uno o varios mensajes. Para cada mensaje, especifique los detalles siguientes:

    • Locale
    • Asunto
    • Cuerpo del mensaje (texto)

    Nota

    El número máximo de caracteres para el asunto es 78 y el número máximo de caracteres para el texto del cuerpo del mensaje es 2 000.

    Antes de continuar, debe activar la casilla Es predeterminado de uno de los mensajes. Solo se puede establecer un mensaje como predeterminado. Para eliminar un mensaje, seleccione los puntos suspensivos (...) y, luego, Eliminar.

    Ejemplo de la página Plantilla de mensaje de notificación en Intune

    Seleccione Siguiente para continuar.

  5. En Revisar y crear, revise las configuraciones para asegurarse de que la plantilla de mensaje de notificación está lista para usarse. Seleccione Crear para terminar de crear la notificación.

Visualización y edición de notificaciones

Las notificaciones que se han creado están disponibles en la página Directivas de cumplimiento > Notificaciones. En la página puede seleccionar una notificación para ver su configuración y:

  • Seleccionar Enviar una vista previa del correo electrónico para enviar una vista previa del correo electrónico de notificación a la cuenta que ha usado para iniciar sesión en Intune.

    Para enviar correctamente el correo electrónico de vista previa, la cuenta debe tener permisos iguales a los de los siguientes grupos de Azure AD o roles de Intune: administrador global de Azure AD, administrador de Intune (administrador del servicio de Intune de Azure AD) o administrador de directivas y perfiles de Intune.

  • Seleccionar Editar para Conceptos básicos o Etiquetas de ámbito para hacer un cambio.

Adición de acciones en caso de incumplimiento

Cuando se crea una directiva de cumplimiento de dispositivos, Intune crea automáticamente una acción en caso de incumplimiento. Si un dispositivo no cumple la directiva de cumplimiento, esta acción marca el dispositivo como no conforme. Puede personalizar cuánto tiempo se marca el dispositivo como no conforme. Esta acción no se puede suprimir.

Puede agregar acciones opcionales al crear una directiva de cumplimiento o bien actualizar una directiva existente.

  1. Inicie sesión en el Centro de administración del Microsoft Endpoint Manager.

  2. Seleccione Dispositivos > Directivas de cumplimiento > Directivas, seleccione una de las directivas y, luego, Propiedades.

    ¿Aún no tiene una directiva? Cree una directiva de Android, iOS, Windows o de otra plataforma.

    Nota

    Los dispositivos administrados por asociados de cumplimiento de dispositivos de terceros que están destinados a grupos de dispositivos no pueden recibir acciones de cumplimiento en este momento.

  3. Seleccione Acciones en caso no conformidad > Agregar.

  4. Seleccione la Acción:

    • Enviar correo electrónico a los usuarios finales: cuando el dispositivo no sea conforme, elija que se envíe un correo electrónico al usuario. Además:

      • Elija la Plantilla de mensaje que ha creado antes
      • Escriba los Destinatarios adicionales mediante la selección de grupos

    • Bloquear de forma remota los dispositivos no compatibles: cuando el dispositivo no es compatible, se bloquea el dispositivo. Esta acción obliga al usuario a escribir un PIN o una contraseña para desbloquear el dispositivo.

    • Retirar el dispositivo no compatible: cuando el dispositivo no es compatible, quite todos los datos de empresa del dispositivo y quítelo de la administración de Intune.

    • Enviar notificaciones de inserción al usuario final: configure esta acción para enviar una notificación de inserción acerca del no cumplimiento de un dispositivo a través de la aplicación Portal de empresa o de la aplicación de Intune en el dispositivo.

  5. Configurar una Programación: escriba el número de días (de 0 a 365) después del incumplimiento para desencadenar la acción en los dispositivos de los usuarios. Después de este período de gracia, puede aplicar una directiva de acceso condicional. Si escribe 0 (cero) para el número de días, el acceso condicional surte efecto inmediatamente. Por ejemplo, si un dispositivo no es compatible, use el acceso condicional para bloquear el acceso al correo electrónico, SharePoint y otros recursos de la organización inmediatamente.

    Al crear una directiva de cumplimiento, se crea automáticamente la acción Marcar el dispositivo como no conforme y se establece también automáticamente en 0 días (inmediatamente). Con esta acción, cuando el dispositivo se registra en Intune y evalúa la directiva, si no es compatible con esa directiva, Intune marca inmediatamente ese dispositivo como no conforme. Si el cliente se registra en un momento posterior una vez corregidos los problemas que eran la causa de la incompatibilidad, su estado se actualizará a su nuevo estado de cumplimiento. Si usa el acceso condicional, esas directivas también se aplican en cuanto un dispositivo se marca como no conforme. Para establecer un período de gracia que permita la corrección de una condición de incumplimiento antes de que el dispositivo se marque como no conforme, cambie la Programación en la acción Marcar el dispositivo como no conforme.

    En la directiva de cumplimiento, por ejemplo, también desea notificar al usuario. Puede agregar la acción Enviar correo electrónico a usuario final. En la acción Enviar correo electrónico, debe establecer el valor de Programación en dos días. Si el dispositivo o el usuario final se siguen evaluando como no conformes el día 2, su correo electrónico se enviará dicho día. Si quiere volver a enviar al usuario un correo electrónico de incumplimiento el día 5, agregue otra acción y establezca Programación en cinco días.

    Para obtener más información sobre el cumplimiento y las acciones integradas, consulte la información general de cumplimiento.

  6. Cuando termine, haga clic en Agregar > Aceptar para guardar los cambios.

Siguientes pasos

Supervise las directivas.