Tutorial: Uso de la nube para configurar la directiva de grupo en dispositivos Windows 10/11 con plantillas ADMX y Microsoft Intune

  • Artículo

Nota:

Este tutorial se creó como un taller técnico para Microsoft Ignite. Tiene más requisitos previos que los tutoriales típicos, ya que compara el uso y la configuración de directivas ADMX en Intune y en el entorno local.

Las plantillas administrativas de directiva de grupo, también conocidas como plantillas ADMX, incluyen la configuración que puede configurar en los dispositivos cliente windows, incluidos los equipos. La configuración de la plantilla ADMX está disponible en diferentes servicios. Estos valores los usan los proveedores de mobile Administración de dispositivos (MDM), incluidos los Microsoft Intune. Por ejemplo, puede activar Ideas de diseño en PowerPoint, establecer una página principal en Microsoft Edge y mucho más.

Sugerencia

Para obtener información general sobre las plantillas de ADMX en Intune, incluidas las plantillas ADMX integradas para Intune, vaya a Uso de plantillas ADMX Windows 10/11 en Microsoft Intune.

Para obtener más información sobre las directivas de ADMX, vaya a Descripción de las directivas respaldadas por ADMX.

Estas plantillas están integradas en Microsoft Intune y están disponibles como perfiles de plantillas administrativas. En este perfil, configurará los valores que desea incluir y, a continuación, "asignará" este perfil a los dispositivos.

En este tutorial, hará lo siguiente:

  • Introducción al centro de administración de Microsoft Intune.
  • Cree grupos de usuarios y cree grupos de dispositivos.
  • Compare la configuración de Intune con la configuración de ADMX local.
  • Cree diferentes plantillas administrativas y configure los valores que tienen como destino los distintos grupos.

Al final de este laboratorio, puede usar Intune y Microsoft 365 para administrar los usuarios e implementar plantillas administrativas.

Esta característica se aplica a:

  • Windows 11
  • Windows 10 versión 1709 y posteriores

Sugerencia

Hay dos maneras de crear una plantilla administrativa: usar una plantilla o usar el catálogo de configuración. Este artículo se centra en el uso de la plantilla Plantillas administrativas. El catálogo de configuración tiene más opciones de configuración de plantillas administrativas disponibles. Para conocer los pasos específicos para usar el catálogo de configuración, vaya a Usar el catálogo de configuración para configurar la configuración.

Requisitos previos

  • Una suscripción Microsoft 365 E3 o E5, que incluye Intune y Microsoft Entra ID P1 o P2. Si no tiene una suscripción A3 o E5, pruébelo de forma gratuita.

    Para obtener más información sobre lo que obtiene con las distintas licencias de Microsoft 365, vaya a Transformación de su empresa con Microsoft 365.

  • Microsoft Intune se configura como la entidad de MDM Intune. Para obtener más información, vaya a Establecer la entidad de administración de dispositivos móviles.

    Captura de pantalla que muestra cómo establecer la entidad de MDM en Microsoft Intune en el estado del inquilino.

  • En un controlador de dominio Active Directory local (DC):

    1. Copie las siguientes plantillas de Office y Microsoft Edge en el Almacén central (carpeta sysvol):

    2. Cree una directiva de grupo para insertar estas plantillas en un equipo administrador de enterprise Windows 10/11 en el mismo dominio que el controlador de dominio. En este tutorial:

      • La directiva de grupo que hemos creado con estas plantillas se denomina OfficeandEdge. Verá este nombre en las imágenes.
      • El equipo de administrador de Windows 10/11 Enterprise que usamos se denomina equipo Administración.

      En algunas organizaciones, un administrador de dominio tiene dos cuentas:

      • Una cuenta de trabajo de dominio típica
      • Una cuenta de administrador de dominio diferente que solo se usa para tareas de administrador de dominio, como la directiva de grupo.

      El propósito de esta Administración equipo es que los administradores inicien sesión con su cuenta de administrador de dominio y las herramientas de acceso diseñadas para administrar la directiva de grupo.

  • En este equipo Administración:

    • Inicie sesión con una cuenta de administrador de dominio.

    • Agregue RSAT: herramientas de administración de directiva de grupo:

      1. Abra la aplicación >ConfiguraciónSistema>Características opcionales>Agregar característica.

        Si usa una versión anterior a Windows 10 22H2, vaya a Aplicaciones de configuración>>& características Características>opcionales>Agregar característica.

      2. Seleccione RSAT: agregar herramientas> de administración de directiva de grupo.

        Espere mientras Windows agrega la característica. Cuando se completa, finalmente se muestra en la aplicación Herramientas administrativas de Windows .

        Captura de pantalla que muestra las aplicaciones de Herramientas administrativas de Windows, incluida la aplicación de administración de directiva de grupo.

    • Asegúrese de que tiene acceso a Internet y derechos de administrador para la suscripción de Microsoft 365, que incluye el centro de administración de Intune.

Abra el centro de administración de Intune

  1. Abra un explorador web chromium, como Microsoft Edge versión 77 y posteriores.

  2. Vaya al centro de administración de Microsoft Intune. Inicie sesión con la siguiente cuenta:

    Usuario: escriba la cuenta de administrador de su suscripción de inquilino de Microsoft 365.
    Contraseña: escriba su contraseña.

Este centro de administración se centra en la administración de dispositivos e incluye servicios de Azure, como Microsoft Entra ID y Intune. Es posible que no vea el Microsoft Entra ID y la personalización de marca de Intune, pero los usa.

También puede abrir el centro de administración de Intune desde el Centro de administración de Microsoft 365:

  1. Ve a https://admin.microsoft.com.

  2. Inicie sesión con la cuenta de administrador de su suscripción de inquilino de Microsoft 365.

  3. Seleccione Mostrar todos los>centros de administraciónAdministración de puntos> de conexión. Se abre el centro de administración de Intune.

    Captura de pantalla que muestra todos los centros de administración de la Centro de administración de Microsoft 365.

Crear grupos y agregar usuarios

Las directivas locales se aplican en el orden LSDOU: local, sitio, dominio y unidad organizativa (OU). En esta jerarquía, las directivas de unidad organizativa sobrescriben las directivas locales, las directivas de dominio sobrescriben las directivas de sitio, etc.

En Intune, las directivas se aplican a los usuarios y a los grupos que se crean. No existe ninguna jerarquía. Por ejemplo:

  • Si dos directivas actualizan el mismo valor, este se muestra como un conflicto.
  • Si hay dos directivas de cumplimiento en conflicto, se aplica la directiva más restrictiva.
  • Si hay dos perfiles de configuración en conflicto, no se aplica la configuración.

Para obtener más información, vaya a Preguntas comunes, problemas y soluciones con directivas y perfiles de dispositivo.

En estos pasos siguientes, creará grupos de seguridad y agregará usuarios a estos grupos. Puede agregar un usuario a varios grupos. Por ejemplo, es normal que un usuario tenga varios dispositivos, como un Surface Pro para el trabajo y un dispositivo móvil Android para personal. Además, es normal que una persona acceda a los recursos de la organización desde estos varios dispositivos.

  1. En el centro de administración de Intune, seleccione Grupos>Nuevo grupo.

  2. Escriba los valores siguientes:

    • Tipo de grupo: seleccione Seguridad.
    • Nombre del grupo: escriba Todos los dispositivos Windows 10 alumnos.
    • Tipo de pertenencia: seleccione Asignado.

  3. Seleccione Miembros y agregue algunos dispositivos.

    Agregar dispositivos es opcional. El objetivo es practicar la creación de grupos y saber cómo agregar dispositivos. Si usa este tutorial en un entorno de producción, tenga en cuenta lo que está haciendo.

  4. Seleccione>Cree para guardar los cambios.

    ¿No ves tu grupo? Seleccione Actualizar.

  5. Seleccione Nuevo grupo y escriba la siguiente configuración:

    • Tipo de grupo: seleccione Seguridad.

    • Nombre del grupo: escriba Todos los dispositivos Windows.

    • Tipo de pertenencia: seleccione Dispositivo dinámico.

    • Miembros del dispositivo dinámico: seleccione Agregar consulta dinámica y configure la consulta:

      • Propiedad: seleccione deviceOSType.
      • Operador: seleccione Igual.
      • Valor: escriba Windows.

      1. Seleccione Agregar expresión. La expresión se muestra en la sintaxis rule:

        Captura de pantalla que muestra cómo crear una consulta dinámica y agregar expresiones en una plantilla administrativa de Microsoft Intune.

        Cuando los usuarios o dispositivos cumplen los criterios especificados, se agregan automáticamente a los grupos dinámicos. En este ejemplo, los dispositivos se agregan automáticamente a este grupo cuando el sistema operativo es Windows. Si usa este tutorial en un entorno de producción, tenga cuidado. El objetivo es practicar la creación de grupos dinámicos.

      2. Salvar>Cree para guardar los cambios.

  6. Cree el grupo Todos los profesores con la siguiente configuración:

    • Tipo de grupo: seleccione Seguridad.

    • Nombre del grupo: escriba Todos los profesores.

    • Tipo de pertenencia: seleccione Usuario dinámico.

    • Miembros de usuario dinámicos: seleccione Agregar consulta dinámica y configure la consulta:

      • Propiedad: seleccione departamento.

      • Operador: seleccione Igual.

      • Valor: escriba Profesores.

        1. Seleccione Agregar expresión. La expresión se muestra en la sintaxis rule.

          Cuando los usuarios o dispositivos cumplen los criterios especificados, se agregan automáticamente a los grupos dinámicos. En este ejemplo, los usuarios se agregan automáticamente a este grupo cuando su departamento es Profesores. Puede especificar el departamento y otras propiedades cuando se agreguen usuarios a su organización. Si usa este tutorial en un entorno de producción, tenga cuidado. El objetivo es practicar la creación de grupos dinámicos.

        2. Salvar>Cree para guardar los cambios.

Puntos de conversación

  • Los grupos dinámicos son una característica de Microsoft Entra ID P1 o P2. Si no tiene Microsoft Entra ID P1 o P2, tiene licencia para crear solo grupos asignados. Para obtener más información sobre los grupos dinámicos, vaya a:

  • Microsoft Entra ID P1 o P2 incluye otros servicios que se usan normalmente al administrar aplicaciones y dispositivos, como la autenticación multifactor (MFA) y el acceso condicional.

  • Muchos administradores preguntan cuándo usar grupos de usuarios y cuándo usar grupos de dispositivos. Para obtener algunas instrucciones, vaya a Grupos de usuarios frente a grupos de dispositivos.

  • Recuerde que un usuario puede pertenecer a varios grupos. Tenga en cuenta algunos de los otros grupos de dispositivos y usuarios dinámicos que puede crear, por ejemplo:

    • Todos los estudiantes
    • Todos los dispositivos Android
    • Todos los dispositivos iOS/iPadOS
    • Marketing
    • Recursos humanos
    • Todos los empleados de Charlotte
    • Todos los empleados de Redmond
    • Administradores de TI de la costa oeste
    • Administradores de TI de la costa este

Los usuarios y grupos creados también se ven en el Centro de administración de Microsoft 365, Microsoft Entra ID en el Azure Portal y Microsoft Intune en el Azure Portal. Puede crear y administrar grupos en todas estas áreas para la suscripción de inquilino. Si el objetivo es la administración de dispositivos, use el centro de administración de Microsoft Intune.

Revisión de la pertenencia a grupos

  1. En el centro de administración de Intune, seleccione Usuarios>Todos los usuarios> y seleccione el nombre de cualquier usuario existente.
  2. Revise parte de la información que puede agregar o cambiar. Por ejemplo, examine las propiedades que puede configurar, como Job Title, Department, City, Office location, etc. Puede usar estas propiedades en las consultas dinámicas al crear grupos dinámicos.
  3. Seleccione Grupos para ver la pertenencia de este usuario. También puede quitar el usuario de un grupo.
  4. Seleccione algunas de las otras opciones para ver más información y lo que puede hacer. Por ejemplo, examine la licencia asignada, los dispositivos del usuario y mucho más.

¿Qué acabo de hacer?

En el centro de administración de Intune, ha creado nuevos grupos de seguridad y ha agregado usuarios y dispositivos existentes a estos grupos. Usamos estos grupos en los pasos posteriores de este tutorial.

Creación de una plantilla en Intune

En esta sección, se crea una plantilla administrativa en Intune, se examinan algunas opciones de directiva de grupo Management y se compara la misma configuración en Intune. El objetivo es mostrar una configuración en la directiva de grupo y mostrar la misma configuración en Intune.

  1. En el centro de administración de Intune, seleccioneCreaciónde configuración de>dispositivos>.

  2. Escriba las propiedades siguientes:

    • Plataforma: seleccione Windows 10 y posteriores.
    • Tipo de perfil: seleccione Plantillas administrativas.

  3. Seleccione Crear.

  4. En Básico, escriba las propiedades siguientes:

    • Nombre: escriba un nombre descriptivo para el perfil. Asígnele un nombre a los perfiles para que pueda identificarlos de manera sencilla más adelante. Por ejemplo, escriba Administración plantilla: Windows 10 dispositivos de alumnos.
    • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.

  5. Seleccione Siguiente.

  6. En Configuración, Todas las opciones muestran una lista alfabética de todas las opciones. También puede filtrar la configuración que se aplica a los dispositivos (configuración del equipo) y la configuración que se aplica a los usuarios (configuración de usuario):

    Captura de pantalla que muestra cómo aplicar la configuración de la plantilla ADMX a los usuarios y dispositivos de Microsoft Intune.

  7. Expanda Configuración> del equipoMicrosoft Edge> seleccione Configuración de SmartScreen. Observe la ruta de acceso a la directiva y toda la configuración disponible:

    Captura de pantalla que muestra cómo ver la configuración de directiva de SmartScreen de Microsoft Edge en plantillas ADMX en Microsoft Intune.

  8. En la búsqueda, escriba descargar. Observe que la configuración de la directiva se filtra:

    Captura de pantalla que muestra cómo filtrar la configuración de directiva de SmartScreen de Microsoft Edge en una plantilla Microsoft Intune ADMX.

Abrir administración de directiva de grupo

En esta sección, se muestra una directiva en Intune y su directiva de coincidencia en directiva de grupo Management Editor.

Comparación de una directiva de dispositivo

  1. En el equipo Administración, abra la aplicación administración de directiva de grupo.

    Esta aplicación se instala con RSAT: herramientas de administración de directiva de grupo, que es una característica opcional que se agrega en Windows. Requisitos previos (en este artículo) enumera los pasos para instalarlo.

  2. Expanda Dominios> y seleccione el dominio. Por ejemplo, seleccione contoso.net.

  3. Haga clic con el botón derecho en OfficeandEdge policyEdit (Editar directiva > de OfficeandEdge). Se abre la aplicación Editor administración de directiva de grupo.

    Captura de pantalla que muestra cómo hacer clic con el botón derecho en la directiva de grupo ADMX de Office y Microsoft Edge local y seleccionar Editar.

    OfficeandEdge es una directiva de grupo que incluye las plantillas ADMX de Office y Microsoft Edge. Esta directiva se describe en requisitos previos (en este artículo).

  4. ExpandaDirectivas> de configuración> del equipoPlantillas> administrativas Panel de control>Personalización. Observe la configuración disponible.

    Captura de pantalla que muestra cómo expandir configuración del equipo en directiva de grupo administración local Editor y vaya a Personalización.

    Haga doble clic en Impedir la habilitación de la cámara de pantalla de bloqueo y vea las opciones disponibles:

    Captura de pantalla que muestra cómo ver las opciones de configuración de equipo local en la directiva de grupo.

  5. En el centro de administración de Intune, vaya a la plantilla de Administración: Windows 10 plantilla de dispositivos de alumnos.

  6. Seleccione Configuración> del equipo Panel de control>Personalización. Observe la configuración disponible:

    Captura de pantalla que muestra la ruta de acceso de configuración de directiva de personalización en Microsoft Intune.

    El tipo de configuración es Device y la ruta de acceso es /Control Panel/Personalization. Esta ruta de acceso es similar a la que acaba de ver en directiva de grupo Management Editor. Si abre la opción Impedir la habilitación de la cámara de pantalla de bloqueo, verá las mismas opciones No configuradas, Habilitadas y Deshabilitadas que se ven en directiva de grupo Administración Editor.

Comparación de una directiva de usuario

  1. En la plantilla de administrador, seleccione Configuración >del equipoTodas las opciones y busque inprivate browsing. Observe la ruta de acceso.

    Haga lo mismo con configuración de usuario. Seleccione Toda la configuración y busque inprivate browsing.

  2. En directiva de grupo Management Editor, busque la configuración de usuario y dispositivo coincidente:

    • Dispositivo: expandaDirectivasde configuración> del > equipoPlantillas> administrativasComponentes> de WindowsPrivacidad> deInternet Explorer>Desactivar exploración inprivate.
    • Usuario: expandaDirectivas> de configuración> de usuarioPlantillas> administrativasComponentes> de WindowsPrivacidad> deInternet Explorer>Desactivar exploración de InPrivate.

    Captura de pantalla que muestra cómo desactivar la exploración de InPrivate en Internet Explorer mediante la plantilla ADMX.

Sugerencia

Para ver las directivas de Windows integradas, también puedes usar GPEdit (Editar aplicación de directiva de grupo ).

Comparación de una directiva de Microsoft Edge

  1. En el centro de administración de Intune, vaya a la plantilla de Administración: Windows 10 plantilla de dispositivos de alumnos.

  2. Expanda Configuración> del equipoInicio de Microsoft Edge>, página principal y nueva página de pestaña. Observe la configuración disponible.

    Haga lo mismo con configuración de usuario.

  3. En directiva de grupo Management Editor, busque esta configuración:

    • Dispositivo: expandaDirectivasde configuración> del > equipoPlantillas> administrativasInicio de Microsoft Edge>, página principal y página de nueva pestaña.
    • Usuario: ExpandaDirectivasde configuración> de > usuarioPlantillas> administrativasInicio de Microsoft Edge>, página principal y página de nueva pestaña

¿Qué acabo de hacer?

Ha creado una plantilla administrativa en Intune. En esta plantilla, hemos examinado algunas configuraciones de ADMX y hemos examinado la misma configuración de ADMX en directiva de grupo Management.

Adición de la configuración a la plantilla de administrador students

En esta plantilla, configuramos algunas opciones de Internet Explorer para bloquear los dispositivos compartidos por varios alumnos.

  1. En la plantilla de Administración: Windows 10 dispositivos de alumnos, expanda Configuración del equipo, seleccione Todas las opciones y busque Desactivar exploración de InPrivate:

    Captura de pantalla que muestra cómo desactivar la directiva de dispositivo de exploración de InPrivate en una plantilla administrativa en Microsoft Intune.

  2. Seleccione la opción Desactivar exploración de InPrivate . En esta ventana, observe la descripción y los valores que puede establecer. Estas opciones son similares a las que se ven en la directiva de grupo.

  3. Seleccione Habilitado>Aceptar para guardar los cambios.

  4. Configure también los siguientes valores de Internet Explorer. Asegúrese de seleccionar Aceptar para guardar los cambios.

    • Permitir arrastrar y colocar o copiar y pegar archivos

      • Tipo: Dispositivo
      • Ruta de acceso: \Componentes de Windows\Internet Explorer\Internet Panel de control\Página seguridad\Zona internet
      • Valor: Deshabilitado

    • Evitar omitir errores de certificado

      • Tipo: Dispositivo
      • Ruta de acceso: \Componentes de Windows\Internet Explorer\Internet Panel de control
      • Valor: Activado

    • Deshabilitar el cambio de la configuración de la página principal

      • Tipo: Usuario
      • Ruta de acceso: \Componentes de Windows\Internet Explorer
      • Valor: Activado
      • Página principal: escriba una dirección URL, como contoso.com.

  5. Borre el filtro de búsqueda. Observe que la configuración que ha configurado aparece en la parte superior:

    Captura de pantalla que muestra que la configuración de ADMX configurada se muestra en la parte superior de Microsoft Intune.

Asignación de la plantilla

  1. En la plantilla, seleccione Siguiente hasta que llegue a Asignaciones. Elija Seleccionar grupos para incluir:

    Captura de pantalla que muestra cómo seleccionar el perfil de plantilla administrativa en la lista Perfiles de configuración de dispositivos de Microsoft Intune.

  2. Se muestra una lista de usuarios y grupos existentes. Seleccione el grupo Todos los dispositivos Windows 10 alumnos que creó anteriormente >Seleccione.

    Si usa este tutorial en un entorno de producción, considere la posibilidad de agregar grupos vacíos. El objetivo es practicar la asignación de la plantilla.

  3. Seleccione Siguiente. En Revisar y crear, seleccione Crear para guardar los cambios.

En cuanto se guarda el perfil, se aplica a los dispositivos cuando se comprueban con Intune. Si los dispositivos están conectados a Internet, puede ocurrir inmediatamente. Para obtener más información sobre los tiempos de actualización de directivas, vaya a Cuánto tiempo tardan los dispositivos en obtener una directiva, un perfil o una aplicación.

Al asignar directivas y perfiles estrictos o restrictivos, no se bloquee. Considere la posibilidad de crear un grupo que se excluya de las directivas y perfiles. La idea es tener acceso a la solución de problemas. Supervise este grupo para confirmar que se usa según lo previsto.

¿Qué acabo de hacer?

En el centro de administración de Intune, ha creado un perfil de configuración de dispositivo de plantilla administrativa y ha asignado este perfil a un grupo que ha creado.

Creación de una plantilla de OneDrive

En esta sección, creará una plantilla de administrador de OneDrive en Intune para controlar algunas opciones de configuración. Estas configuraciones específicas se eligen porque las usan normalmente las organizaciones.

  1. Cree otro perfil (Creaciónde configuración de>dispositivos>).

  2. Escriba las propiedades siguientes:

    • Plataforma: seleccione Windows 10 y posteriores.
    • Tipo de perfil: seleccione Plantillas administrativas.

  3. Seleccione Crear.

  4. En Básico, escriba las propiedades siguientes:

    • Nombre: escriba Administración plantilla: directivas de OneDrive que se aplican a todos los usuarios Windows 10.
    • Descripción: escriba una descripción para el perfil. Esta configuración es opcional pero recomendada.

  5. Seleccione Siguiente.

  6. En Configuración, configure las siguientes opciones. Asegúrese de seleccionar Aceptar para guardar los cambios:

    • Configuración del equipo:

      • Registra a usuarios silenciosamente en el Cliente de sincronización de OneDrive con sus credenciales de Windows
        • Tipo: Dispositivo
        • Valor: Activado
      • Usar Archivos a petición de OneDrive
        • Tipo: Dispositivo
        • Valor: Activado

    • Configuración del usuario:

      • Impedir que los usuarios sincronicen cuentas de OneDrive personales
        • Tipo: Usuario
        • Valor: Activado

Su configuración tiene un aspecto similar a la siguiente configuración:

Captura de pantalla que muestra cómo crear una plantilla administrativa de OneDrive en Microsoft Intune.

Para obtener más información sobre la configuración de cliente de OneDrive, vaya a Usar directiva de grupo para controlar Sincronización de OneDrive configuración de cliente.

Asignación de la plantilla

  1. En la plantilla, seleccione Siguiente hasta que llegue a Asignaciones. Elija Seleccionar grupos para incluir:

  2. Se muestra una lista de usuarios y grupos existentes. Seleccione el grupo Todos los dispositivos Windows que creó anteriormente >Seleccione.

    Si usa este tutorial en un entorno de producción, considere la posibilidad de agregar grupos vacíos. El objetivo es practicar la asignación de la plantilla.

  3. Seleccione Siguiente. En Revisar y crear, seleccione Crear para guardar los cambios.

En este momento, ha creado algunas plantillas administrativas y las ha asignado a los grupos que ha creado. El siguiente paso consiste en crear una plantilla administrativa mediante Windows PowerShell y microsoft Graph API para Intune.

Opcional: cree una directiva mediante PowerShell y Graph API

En esta sección se usan los siguientes recursos. Instalamos estos recursos en esta sección.

  1. En el equipo Administración, abra Windows PowerShell como administrador:

    1. En la barra de búsqueda, escriba powershell.
    2. Haga clic con el botón derecho en Windows PowerShell>Ejecutar como administrador.

    Captura de pantalla que muestra cómo ejecutar Windows PowerShell como administrador.

  2. Obtenga y establezca la directiva de ejecución.

    1. Entrar: get-ExecutionPolicy

      Anote en qué se establece la directiva, que podría ser Restringido. Cuando termine con el tutorial, vuelva a establecerlo en su valor original.

    2. Entrar: Set-ExecutionPolicy -ExecutionPolicy Unrestricted

    3. Escriba Y para cambiarlo.

    La directiva de ejecución de PowerShell ayuda a evitar la ejecución de scripts malintencionados. Para obtener más información, vaya a Acerca de las directivas de ejecución.

  3. Entrar: Install-Module -Name Microsoft.Graph.Intune

    Escriba Y si:

    • Se le pidió que instalara el proveedor de NuGet.
    • Se le pide que instale los módulos desde un repositorio que no es de confianza.

    Puede tardar varios minutos en completarse. Cuando termine, se muestra un mensaje similar al siguiente:

    Captura de pantalla que muestra el símbolo del sistema de Windows PowerShell después de instalar un módulo.

  4. En el explorador web, vaya a https://github.com/Microsoft/Intune-PowerShell-SDK/releasesy seleccione el archivo Intune-PowerShell-SDK_v6.1907.00921.0001.zip .

    1. Seleccione Guardar como y seleccione una carpeta que recuerde. c:\psscripts es una buena opción.

    2. Abra la carpeta y haga clic con el botón derecho en el archivo > .zip Extraer todo>extraer. La estructura de carpetas es similar a la siguiente carpeta:

      Captura de pantalla que muestra la estructura de carpetas del SDK de PowerShell Intune después de extraerla.

  5. En la pestaña Ver , active Extensiones de nombre de archivo:

    Captura de pantalla que muestra cómo seleccionar extensiones de nombre de archivo en la pestaña vista del Explorador de archivos de Windows.

  6. En la carpeta y vaya a c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471. Haga clic con el botón derecho en cada .dll >Propiedades>Desbloquear.

    Captura de pantalla que muestra cómo desbloquear los archivos DLL.

  7. En la aplicación de Windows PowerShell, escriba lo siguiente:

    Import-Module c:\psscripts\Intune-PowerShell-SDK_v6.1907.00921.0001\drop\outputs\build\Release\net471\Microsoft.Graph.Intune.psd1

    Escriba R si se le pide que se ejecute desde el publicador que no es de confianza.

  8. Intune plantillas administrativas usan la versión beta de Graph:

    1. Entrar: Update-MSGraphEnvironment -SchemaVersion 'beta'

    2. Entrar: Connect-MSGraph -AdminConsent

    3. Cuando se le solicite, inicie sesión con la misma cuenta de administrador de Microsoft 365. Estos cmdlets crean la directiva en la organización del inquilino.

      Usuario: escriba la cuenta de administrador de su suscripción de inquilino de Microsoft 365.
      Contraseña: escriba su contraseña.

    4. Seleccione Aceptar.

  9. Cree el perfil de configuración configuración de prueba . Entrar:

    $configuration = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations -Content '{"displayName":"Test Configuration","description":"A test configuration created through PS"}' -HttpMethod POST

    Cuando estos cmdlets se ejecutan correctamente, se crea el perfil. Para confirmarlo, vaya a laconfiguración de dispositivos> del centro > de administración de Intune. Debe aparecer el perfil de configuración de prueba .

  10. Obtenga todas las opciones SettingDefinitions. Entrar:

    $settingDefinitions = Invoke-MSGraphRequest -Url https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions -HttpMethod GET

  11. Busque el identificador de definición mediante el nombre para mostrar de la configuración. Entrar:

    $desiredSettingDefinition = $settingDefinitions.value | ? {$_.DisplayName -Match "Silently sign in users to the OneDrive sync app with their Windows credentials"}

  12. Configure una configuración. Entrar:

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues" -Content ("{""enabled"":""true"",""configurationType"":""policy"",""definition@odata.bind"":""https://graph.microsoft.com/beta/deviceManagement/groupPolicyDefinitions('$($desiredSettingDefinition.id)')""}") -HttpMethod POST

    Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -Content ("{""enabled"":""false""}") -HttpMethod PATCH

    $configuredSetting = Invoke-MSGraphRequest -Url "https://graph.microsoft.com/beta/deviceManagement/groupPolicyConfigurations('$($configuration.id)')/definitionValues('$($configuredSetting.id)')" -HttpMethod GET

Ver la directiva

  1. En el centro de administración > de Intune Actualizaciónde configuración de>dispositivos>.
  2. Seleccione la configuración del perfil >de configuración de prueba.
  3. En la lista desplegable, seleccione Todos los productos.

Verá que los usuarios de inicio de sesión silencioso en el cliente de Sincronización de OneDrive con su configuración de credenciales de Windows están configurados.

Procedimientos recomendados de directiva

Al crear directivas y perfiles en Intune, hay algunas recomendaciones y procedimientos recomendados que se deben tener en cuenta. Para obtener más información, vaya a Procedimientos recomendados de directiva y perfil.

Limpie los recursos

Cuando ya no sea necesario, puede hacer lo siguiente:

  • Elimine los grupos que ha creado:

    • Todos los dispositivos Windows 10 alumnos
    • Todos los dispositivos Windows
    • Todos los profesores

  • Elimine las plantillas de administración que ha creado:

    • plantilla de Administración: dispositivos de Windows 10 alumnos
    • plantilla de Administración: directivas de OneDrive que se aplican a todos los usuarios Windows 10
    • Configuración de prueba

  • Vuelva a establecer la directiva de ejecución de Windows PowerShell en su valor original. En el ejemplo siguiente se establece la directiva de ejecución en Restringido:

    Set-ExecutionPolicy -ExecutionPolicy Restricted

Pasos siguientes

En este tutorial, está más familiarizado con el centro de administración de Microsoft Intune, ha usado el generador de consultas para crear grupos dinámicos y ha creado plantillas administrativas en Intune para configurar la configuración de ADMX. También ha comparado el uso de plantillas de ADMX en el entorno local y en la nube con Intune. Como ventaja, ha usado cmdlets de PowerShell para crear una plantilla administrativa.

Para obtener más información sobre las plantillas administrativas en Intune, vaya a:

Use plantillas de Windows 10/11 para configurar la directiva de grupo en Intune