Configuración de acciones para dispositivos no compatibles en Intune

  • Artículo

Como parte de una directiva de cumplimiento que protege los recursos de la organización de los dispositivos que no cumplen los requisitos de seguridad, las directivas de cumplimiento también incluyen Acciones en caso de incumplimiento. Las acciones en caso de incumplimiento son una o varias acciones ordenadas cronológicamente que realiza una directiva para ayudar a proteger los dispositivos y la organización. Por ejemplo, una acción de incumplimiento puede bloquear de forma remota un dispositivo para asegurarse de que está protegido o enviar una notificación a los dispositivos o usuarios para ayudarles a comprender y resolver el estado no conforme.

Importante

Microsoft Intune está finalizando la compatibilidad con la administración del administrador de dispositivos Android en dispositivos con acceso a Google Mobile Services (GMS) el 30 de agosto de 2024. Después de esa fecha, la inscripción de dispositivos, el soporte técnico, las correcciones de errores y las correcciones de seguridad no estarán disponibles. Si actualmente usa la administración del administrador de dispositivos, se recomienda cambiar a otra opción de administración de Android en Intune antes de que finalice el soporte técnico. Para obtener más información, consulte Finalización de la compatibilidad con el administrador de dispositivos Android en dispositivos GMS.

Información general

De forma predeterminada, cada directiva de cumplimiento incluye la acción de incumplimiento de Marcar el dispositivo no compatible con una programación de cero días (0). El resultado de este valor predeterminado es que cuando Intune detecta un dispositivo que no es compatible, lo marca inmediatamente como tal. Una vez que un dispositivo se marca como no compatible, Microsoft Entra acceso condicional puede bloquear el dispositivo.

Al configurar Acciones para no cumplimiento , obtiene flexibilidad para decidir qué hacer con los dispositivos no conformes y cuándo hacerlo. Por ejemplo, puede elegir no bloquear el dispositivo inmediatamente y conceder al usuario un período de gracia para convertirlo en compatible.

Para cada acción que establezca, puede configurar una programación que determine cuándo surte efecto la acción. La programación debe indicar el número de días pasados los cuales el dispositivo se marcará como no compatible. También se pueden configurar varias instancias de una acción. Cuando se establecen varias instancias de una acción en una directiva, la acción se ejecutará de nuevo en esa hora programada más tarde en caso de que el dispositivo siga siendo no compatible.

No todas las acciones están disponibles para todas las plataformas.

Nota:

El centro de administración de Microsoft Intune muestra la programación (días después del incumplimiento) en días. Sin embargo, es posible especificar un intervalo más granular (horas), usando fracciones decimales como 0,25 (6 horas), 0,5 (12 horas), 1,5 (36 horas), etc. Aunque otros valores son posibles, solo se pueden configurar mediante Microsoft Graph y no a través del centro de administración. Si intenta usar otros valores en el centro de administración, como 0,33 (8 horas), se producirá un error al intentar guardar la directiva.

Acciones disponibles en caso de incumplimiento

A continuación se muestran las acciones disponibles en caso de incumplimiento:

  • Marcar dispositivo como no compatible: de forma predeterminada, esta acción se establece para cada directiva de cumplimiento y tiene una programación de cero (0) días, marcando los dispositivos como no compatibles inmediatamente.

    Al cambiar la programación predeterminada, se proporciona un período de gracia en el que un usuario puede corregir incidencias o hacerse compatible sin que se marque como no compatible.

    Esta acción se admite en todas las plataformas compatibles con Intune.

  • Enviar correo electrónico al usuario final: esta acción envía una notificación por correo electrónico al usuario. Al habilitar esta acción, se ha de hacer lo siguiente:

    • Seleccione una plantilla de mensaje de notificación que envíe esta acción. Cree una plantilla de mensaje de notificación para poder asignar una a esta acción. Al crear la notificación personalizada, se personaliza la configuración regional, el asunto y el cuerpo del mensaje, y puede incluir el logotipo, el nombre de la empresa y otra información de contacto.
    • Elija enviar el mensaje a más destinatarios seleccionando uno o varios de los grupos de Microsoft Entra.

    Intune usa la dirección de correo electrónico definida en el perfil del usuario final y no su nombre principal de usuario (UPN). Si no hay ninguna dirección de correo electrónico definida en el perfil del usuario, Intune no envía un correo electrónico de notificación. Cuando se envía el correo electrónico, Intune incluye información sobre los dispositivos no compatibles en la notificación de este correo.

    Esta acción se admite en todas las plataformas compatibles con Intune.

    Nota:

    Los correos electrónicos de notificación se envían desde: microsoft-noreply@microsoft.com

    Asegúrese de que no tiene directivas de buzón que impidan la entrega de correos electrónicos desde estas direcciones. De lo contrario, puede que los usuarios finales no reciban la notificación por correo electrónico.

    Antes de diciembre de 2022, se enviaron correos electrónicos de notificación en la nube comercial desde: IntuneNotificationService@microsoft.com

  • Bloquear de forma remota el dispositivo no compatible : use esta acción para emitir un bloqueo remoto de un dispositivo. Después se pide al usuario un PIN o una contraseña para desbloquear el dispositivo. Más información sobre la característica Bloqueo remoto.

    Las siguientes plataformas admiten esta acción:

    • Administrador de dispositivos Android
    • Android (AOSP)
    • Android Enterprise:
      • Totalmente administrado
      • Dedicado
      • Perfil de trabajo de propiedad corporativa
      • Perfil de trabajo de propiedad personal
      • Dispositivos de quiosco de Android Enterprise
    • iOS/iPadOS
    • macOS

  • Agregar dispositivo a la lista de retirada: cuando se realiza esta acción en un dispositivo, el dispositivo se agrega a una lista de dispositivos retirados y no conformes en el centro de administración de Intune. Puede ir aCumplimiento dedispositivos> y seleccionar la pestaña Retirar dispositivos no conformes para ver la lista. Sin embargo, el dispositivo no se retira hasta que un administrador inicia explícitamente el proceso de retirada. Cuando un administrador retira el dispositivo de esa lista, la retirada quita todos los datos de la empresa del dispositivo y quita ese dispositivo de Intune administración.

    Las siguientes plataformas admiten esta acción:

    • Administrador de dispositivos Android
    • Android (AOSP)
    • Android Enterprise:
      • Totalmente administrado
      • Dedicado
      • Perfil de trabajo de propiedad corporativa
      • Perfil de trabajo de propiedad personal
    • iOS/iPadOS
    • macOS
    • Windows 10/11

    Nota:

    Solo los dispositivos a los que se ha desencadenado la acción Agregar dispositivo para retirar la lista aparecen en la pestaña Retirar dispositivos seleccionados . Para ver una lista de todos los dispositivos que no son compatibles, consulte el informe Dispositivos no compatibles mencionado en Supervisión de la directiva de cumplimiento de dispositivos.

    Para retirar uno o varios dispositivos de la lista, seleccione dispositivos para retirar y, a continuación, seleccione Retirar los dispositivos seleccionados. Cuando seleccione una acción que retire dispositivos, se le mostrará un cuadro de diálogo para confirmar la acción. Solo después de confirmar la intención de retirar los dispositivos, se borran los datos de la empresa y se quitan de la administración de Intune.

    Otras opciones son Retirar todos los dispositivos, Borrar el estado de retirada de todos los dispositivos y Borrar el estado de retirada de dispositivos seleccionados. Al borrar el estado de retirada de un dispositivo, se quita el dispositivo de la lista de dispositivos que se pueden retirar hasta que la acción agregar dispositivo a la lista de retirada se aplique de nuevo a ese dispositivo.

    Más información sobre la retirada de los dispositivos.

  • Enviar notificaciones de inserción al usuario final: configure esta acción para enviar una notificación de inserción acerca del no cumplimiento de un dispositivo a través de la aplicación Portal de empresa o de la aplicación de Intune en el dispositivo.

    Las siguientes plataformas admiten esta acción:

    • Administrador de dispositivos Android
    • Android Enterprise:
      • Totalmente administrado
      • Dedicado
      • Perfil de trabajo de propiedad corporativa
      • Perfil de trabajo de propiedad personal
    • iOS/iPadOS

    La notificación de inserción se envía la primera vez que un dispositivo se registra con Intune y se detecta que no es compatible con la directiva de cumplimiento. Cuando un usuario selecciona la notificación, se abre la aplicación Portal de empresa o de Intune y muestra información acerca de por qué no son compatibles. Después, el usuario puede tomar medidas para resolver la incidencia. Intune genera la información del mensaje sobre la no compatibilidad y no se puede personalizar.

    Importante

    Intune, la aplicación Portal de empresa y la de Microsoft Intune, no pueden garantizar la entrega de una notificación de inserción. Las notificaciones pueden aparecer después de varias horas de retraso, en caso de que se produzcan. Esto incluye la desactivación de las notificaciones de inserción por parte de los usuarios.

    No confíe en este método de notificación para mensajes urgentes.

    Cada instancia de la acción envía una notificación una sola vez. Para volver a enviar la misma notificación desde una directiva, configure más instancias de la acción en esa directiva, cada una con una programación distinta.

    Por ejemplo, se puede programar la primera acción a los cero días y, después, agregar una segunda instancia de la acción establecida a los tres días. Este retraso antes de la segunda notificación proporciona al usuario unos días para resolver la incidencia y evita la segunda notificación.

    Para evitar el envío de correo no deseado a los usuarios que tengan demasiados mensajes duplicados, revise y optimice las directivas de cumplimiento que incluyan una notificación de inserción de incumplimiento. Revise también las programaciones a fin de evitar que se envíen notificaciones de repetición para la misma incidencia con demasiada frecuencia.

    Considere:

    • En el caso de una sola directiva que incluya varias instancias de un conjunto de notificaciones de inserción para el mismo día, solo se envía una notificación única para ese día.

    • Cuando hay varias directivas de cumplimiento que incluyen las mismas condiciones de cumplimiento y la acción de notificación de inserción con la misma programación, Intune envía varias notificaciones al mismo dispositivo en el mismo día.

Nota:

Los dispositivos administrados por un asociado de administración de cumplimiento de dispositivos no admiten las siguientes acciones de incumplimiento:

  • Enviar correo electrónico al usuario final
  • Bloquear de forma remota el dispositivo no compatible
  • Agregar dispositivo a la lista de retirada
  • Enviar notificación push al usuario final

Antes de empezar

Se pueden agregar acciones en caso de incumplimiento cuando se configure la directiva de cumplimiento de dispositivos o, más adelante, editando la directiva. Se pueden agregar acciones adicionales a cada directiva para satisfacer sus necesidades. Tenga en cuenta que cada directiva de cumplimiento incluye automáticamente la acción predeterminada para el incumplimiento que marca los dispositivos como no conformes, con una programación establecida en cero días.

Para usar directivas de cumplimiento de dispositivos para bloquear dispositivos de recursos corporativos, se debe configurar Microsoft Entra acceso condicional. Consulte Acceso condicional en Microsoft Entra ID o formas comunes de usar el acceso condicional con Intune para obtener instrucciones.

A fin de crear una directiva de cumplimiento de dispositivos, vea la guía siguiente específica para plataformas:

Creación de una plantilla de mensaje de notificación

Para enviar un correo electrónico a los usuarios, cree una plantilla de mensaje de notificación y asóciela a la directiva de cumplimiento como una acción en caso de incumplimiento. Cuando un dispositivo no es compatible, los detalles que especifica en la plantilla se muestran en el correo electrónico enviado a los usuarios.

Una plantilla de mensaje de notificación puede incluir varios mensajes que son cada uno para una configuración regional diferente. Cuando se especifican varios mensajes y configuraciones regionales, los usuarios finales no compatibles reciben el mensaje localizado adecuado en función de su idioma preferido de O365.

Agregue variables al mensaje para crear un correo electrónico personalizado con contenido dinámico. En la tabla siguiente se describen las variables que puede usar en la línea y el cuerpo del asunto del mensaje.

Nombre de la variable Token que se va a usar Descripción
Nombre de usuario {{UserName}} Agregue el nombre del usuario principal para el dispositivo no compatible.
Ejemplo: John Doe
Nombre del dispositivo {{DeviceName}} Agregue el nombre del dispositivo no compatible tal como se registra en Microsoft Intune.
Ejemplo: John's iPad
Id. de dispositivo {{DeviceId}} Agregue el identificador de dispositivo Intune que pertenece al dispositivo no compatible.
Ejemplo: 12ab345c-6789-def0-1234-000000000000
Versión de SO del dispositivo {{OSAndVersion}} Agregue el sistema operativo y la versión del dispositivo no compatible.
Ejemplo: Android 12

Creación de la plantilla

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Seleccione Seguridad de punto de conexión>Conformidad de dispositivos>Notificaciones>Crear notificación.

  3. En la página Aspectos básicos , asigne a la plantilla un nombre descriptivo que le ayude a identificarla. Después, seleccione Siguiente.

  4. En la página Configuración de encabezado y pie de página , agregue los detalles y el logotipo de la empresa.

    Captura de pantalla que muestra el ejemplo de la página configuración de encabezado y pie de página de un mensaje de notificación en Intune.

    Sus opciones:

    • encabezado Email: mostrar el logotipo de la empresa (valor predeterminado = Habilitar): cargue un logotipo para agregar la personalización de marca de su organización a las plantillas de correo electrónico. Para más información sobre la personalización de marca del Portal de empresa, vea Personalización de la marca de empresa.
    • pie de página de Email: mostrar el nombre de la empresa (valor predeterminado = Habilitar): habilite esta opción para mostrar el nombre de la empresa en el correo electrónico. Consulte Valor del inquilino para revisar el nombre de la empresa en el registro.
    • pie de página de Email: mostrar información de contacto (valor predeterminado = Habilitar): habilite esta opción para mostrar la información de contacto de su organización, como el nombre, el número de teléfono y la dirección de correo electrónico, en el correo electrónico. Consulte Valor del inquilino para revisar la información de contacto en el registro.
    • pie de página de Email: mostrar el vínculo al sitio web del portal de empresa (valor predeterminado = Deshabilitar): habilite esta opción para incluir un vínculo al sitio web de Portal de empresa en el correo electrónico. Consulte Valor del inquilino para revisar el vínculo del sitio web que se muestra a los usuarios.

    Seleccione Siguiente para continuar.

  5. En la página Plantillas de mensaje de notificación, configure uno o varios mensajes. Para cada mensaje, especifique los detalles siguientes:

    • Configuración regional: seleccione el idioma que se correlaciona con la configuración regional del usuario del dispositivo.
    • Asunto: agregue la línea de asunto para el correo electrónico. Puede escribir hasta 78 caracteres.
    • Editor HTML sin formato: active el editor HTML para obtener sugerencias al agregar formato HTML y vínculos al mensaje. Puede usar el href atributo para agregar un vínculo (debe ser una dirección URL HTTPS). Entre las etiquetas HTML admitidas se incluyen: , , , , <u><ol>, <ul><li>, , <p>, <br>, <thead><tr><code><table><tbody><td><th>. <b><strong><a> No es necesario usar el editor HTML y puede agregar HTML compatible sin activar el editor.
    • Mensaje: cree un mensaje que explique el motivo del incumplimiento. Puede escribir hasta 2000 caracteres.

    Para crear una plantilla con contenido dinámico, inserte el token de una variable admitida en la línea de asunto o el mensaje. Para obtener una lista de las variables admitidas, consulte la tabla en Crear una plantilla de mensaje de notificación en este artículo.

    Importante

    Asegúrese de usar solo etiquetas y atributos HTML compatibles con Intune en el cuerpo del mensaje. Intune enviará mensajes que contengan otros tipos de etiquetas, elementos o estilos como texto no cifrado en lugar de formato HTML. Esto incluye los mensajes que contienen:

    • CSS
    • Etiquetas y atributos no enumerados en este artículo

    Nota:

    Intune convierte los nuevos caracteres de línea de estilo windows en <br> Etiquetas HTML, pero omite todos los demás tipos de caracteres de línea nuevos, incluidos los de macOS y Linux. Para garantizar que los saltos de línea se representen correctamente en las plantillas, se recomienda usar la <br> etiqueta para indicar el final de una línea.

  6. Active la casilla Es predeterminado para uno de los mensajes. Intune envía el mensaje predeterminado a los usuarios que no han establecido un idioma preferido o cuando la plantilla no incluye un mensaje específico para su configuración regional. Solo se puede establecer un mensaje como predeterminado. Para eliminar un mensaje, seleccione los puntos suspensivos (...) y, luego, Eliminar.

    Seleccione Siguiente para continuar.

  7. En la página Etiquetas de ámbito, seleccione etiquetas para limitar la visibilidad y la administración de este mensaje a grupos de administradores de Intune específicos, como US-NC IT Team o JohnGlenn_ITDepartment. Para obtener más información sobre las etiquetas de ámbito, vea Usar control de acceso basado en rol (RBAC) y etiquetas de ámbito.

    Seleccione Siguiente para continuar.

  8. En la página Revisar y crear , revise las configuraciones para asegurarse de que la plantilla de mensaje de notificación está lista para usarse. Seleccione Crear para terminar de crear la notificación.

Visualización y edición de notificaciones

Las notificaciones que se han creado están disponibles en la página Directivas de cumplimiento>Notificaciones. En la página puede seleccionar una notificación para ver su configuración y:

  • Seleccionar Enviar una vista previa del correo electrónico para enviar una vista previa del correo electrónico de notificación a la cuenta que ha usado para iniciar sesión en Intune.

    Para enviar correctamente el correo electrónico de vista previa, la cuenta debe tener permisos iguales a los de los siguientes grupos de Microsoft Entra o roles de Intune: Microsoft Entra administrador global, administrador de Intune (Intune Microsoft Entra Intune Administrador de servicios) o Intune Administrador de perfiles y directivas.

  • Seleccionar Editar para Conceptos básicos o Etiquetas de ámbito para hacer un cambio.

Nota:

El correo electrónico de vista previa no contiene las variables de dispositivo especificadas en la plantilla de mensaje de notificación.

Adición de acciones en caso de incumplimiento

Cuando se crea una directiva de cumplimiento de dispositivos, Intune crea automáticamente una acción en caso de incumplimiento. Si un dispositivo no cumple la directiva de cumplimiento, esta acción marca el dispositivo como no compatible. Puede personalizar cuánto tiempo se marca el dispositivo como no conforme. Esta acción no se puede suprimir.

Puede agregar acciones opcionales al crear una directiva de cumplimiento o bien actualizar una directiva existente.

  1. Inicie sesión en el Centro de administración de Microsoft Intune.

  2. Vaya aCumplimiento dedispositivos>.

  3. Seleccione una directiva y, a continuación, propiedades.

    ¿Aún no tiene una directiva? Cree una directiva de Android, iOS, Windows o de otra plataforma.

    Nota:

    Los dispositivos administrados por asociados de cumplimiento de dispositivos de terceros que están destinados a grupos de dispositivos no pueden recibir acciones de cumplimiento en este momento.

  4. Seleccione Acciones para editar no conformidad>.

  5. Seleccione la Acción:

    • Enviar correo electrónico a los usuarios finales: cuando el dispositivo no es compatible, elija que se envíe un correo electrónico al usuario. Además:

      • Elija la Plantilla de mensaje que ha creado antes
      • Escriba los Destinatarios adicionales mediante la selección de grupos

    • Bloquear de forma remota los dispositivos no compatibles: cuando el dispositivo no es compatible, se bloquea el dispositivo. Esta acción obliga al usuario a escribir un PIN o una contraseña para desbloquear el dispositivo.

    • Agregar dispositivo para retirar la lista: cuando el dispositivo no sea compatible, quite todos los datos de la empresa del dispositivo y quite el dispositivo de Intune administración.

    • Enviar notificaciones de inserción al usuario final: configure esta acción para enviar una notificación de inserción acerca del no cumplimiento de un dispositivo a través de la aplicación Portal de empresa o de la aplicación de Intune en el dispositivo.

  6. Configurar unaProgramación: escriba el número de días (de 0 a 365) después del incumplimiento para desencadenar la acción en los dispositivos de los usuarios. Después de este período de gracia, puede aplicar una directiva de acceso condicional. Si escribe 0 (cero) para el número de días, el acceso condicional surte efecto inmediatamente. Por ejemplo, si un dispositivo no es compatible, use el acceso condicional para bloquear el acceso al correo electrónico, SharePoint y otros recursos de la organización inmediatamente.

    Al crear una directiva de cumplimiento, se crea automáticamente la acción Marcar el dispositivo como no conforme y se establece también automáticamente en 0 días (inmediatamente). Con esta acción, cuando el dispositivo se registra en Intune y evalúa la directiva, si no es compatible con esa directiva, Intune marca inmediatamente ese dispositivo como no conforme. Si el cliente se registra en un momento posterior una vez corregidos los problemas que eran la causa de la incompatibilidad, su estado se actualizará a su nuevo estado de cumplimiento. Si usa el acceso condicional, esas directivas también se aplican en cuanto un dispositivo se marca como no conforme. Para establecer un período de gracia que permita la corrección de una condición de incumplimiento antes de que el dispositivo se marque como no conforme, cambie la Programación en la acción Marcar el dispositivo como no conforme.

    En la directiva de cumplimiento, por ejemplo, también desea notificar al usuario. Puede agregar la acción Enviar correo electrónico a usuario final. En la acción Enviar correo electrónico, debe establecer el valor de Programación en dos días. Si el dispositivo o el usuario final se siguen evaluando como no conformes el día 2, su correo electrónico se enviará dicho día. Si quiere volver a enviar al usuario un correo electrónico de incumplimiento el día 5, agregue otra acción y establezca Programación en cinco días.

    Para obtener más información sobre el cumplimiento y las acciones integradas, consulte la información general de cumplimiento.

  7. Cuando termine, haga clic en Agregar>Aceptar para guardar los cambios.

Siguientes pasos

Supervise las directivas.