Establecimiento de reglas en los dispositivos para permitir el acceso a recursos de su organización con IntuneSet rules on devices to allow access to resources in your organization using Intune

Muchas soluciones de administración de dispositivos móviles (MDM) ayudan a proteger los datos de la organización exigiendo a los usuarios y dispositivos que cumplan algunos requisitos.Many mobile device management (MDM) solutions help protect organizational data by requiring users and devices to meet some requirements. En Intune, esta característica se denomina "directivas de cumplimiento".In Intune, this feature is called "compliance policies". Las directivas de cumplimiento definen las reglas y la configuración que los usuarios y los dispositivos deben cumplir para ser conformes.Compliance policies define the rules and settings that users and devices must meet to be compliant. Cuando se combinan con el acceso condicional, los administradores pueden bloquear a los usuarios y dispositivos que no cumplan las reglas.When combined with Conditional Access, administrators can block users and devices that don't meet the rules.

Por ejemplo, un administrador de Intune puede exigir:For example, an Intune administrator can require:

  • Que los usuarios finales usen una contraseña para acceder a los datos de la organización en dispositivos móvilesEnd users use a password to access organizational data on mobile devices
  • Que el dispositivo no esté descodificado o descifradoThe device isn't jail-broken or rooted
  • Una versión máxima o mínima del sistema operativo en el dispositivoA minimum or maximum operating system version on the device
  • Que el dispositivo esté en un nivel de amenaza o bajo el mismoThe device to be at, or under a threat level

También puede usar esta característica para supervisar el estado del cumplimiento de los dispositivos de su organización.You can also use this feature to monitor the compliance status on devices in your organization.

Importante

Intune sigue el programa de inserción en el repositorio del dispositivo para todas las evaluaciones de cumplimiento del dispositivo.Intune follows the device check-in schedule for all compliance evaluations on the device. En el artículo sobre ciclos de actualización de directivas y perfiles se indican los tiempos de actualización estimados.Policy and profile refresh cycles lists the estimated refresh times.

Funcionamiento de las directivas de cumplimiento de dispositivos con Azure ADDevice compliance policies work with Azure AD

Intune usa el acceso condicional de Azure Active Directory (AD) (abre otro sitio web de documentación) para ayudar a aplicar el cumplimiento.Intune uses Azure Active Directory (AD) Conditional Access (opens another docs web site) to help enforce compliance. Cuando un dispositivo se inscribe en Intune, se inicia el proceso de registro de Azure AD y la información del dispositivo se actualiza en Azure AD.When a device enrolls in Intune, the Azure AD registration process starts, and device information is updated in Azure AD. Una parte clave de la información es el estado de cumplimiento del dispositivo.One key piece of information is the device compliance status. Este estado de cumplimiento lo usan las directivas de acceso condicional para bloquear o permitir el acceso al correo electrónico y otros recursos de la organización.This compliance status is used by Conditional Access policies to block or allow access to e-mail and other organization resources.

Formas de usar las directivas de cumplimiento de dispositivosWays to use device compliance policies

Con acceso condicionalWith Conditional Access

Para los dispositivos que cumplan las reglas de directiva, puede concederles acceso al correo electrónico y a otros recursos de la organización.For devices that comply to policy rules, you can give those devices access to email and other organization resources. Si los dispositivos no cumplen las reglas de directiva, no obtendrán acceso a los recursos de la organización.If the devices don't comply to policy rules, then they don't get access to organization resources. Se trata del acceso condicional.This is Conditional Access.

Sin acceso condicionalWithout Conditional Access

También puede usar las directivas de cumplimiento de dispositivos sin ningún acceso condicional.You can also use device compliance policies without any Conditional Access. Cuando se usan directivas de cumplimiento de forma independiente, los dispositivos de destino se evalúan y su estado se cumplimiento se notifica.When you use compliance policies independently, the targeted devices are evaluated and reported with their compliance status. Por ejemplo, puede obtener un informe sobre cuántos dispositivos no están cifrados o qué dispositivos están descodificados o descifrados.For example, you can get a report on how many devices aren't encrypted, or which devices are jail-broken or rooted. Cuando se usan directivas de cumplimiento sin acceso condicional, no hay ninguna restricción de acceso a los recursos de la organización.When you use compliance policies without Conditional Access, there aren't any access restrictions to organization resources.

Formas de implementar las directivas de cumplimiento de dispositivosWays to deploy device compliance policies

Puede implementar directivas de cumplimiento en los usuarios de grupos de usuarios o en dispositivos de grupos de dispositivos.You can deploy compliance policy to users in user groups or devices in device groups. Cuando se implementa una directiva de cumplimiento en un usuario, se comprueba el cumplimiento de todos los dispositivos del usuario.When a compliance policy is deployed to a user, all of the user's devices are checked for compliance. En Windows 10 versión 1803 y dispositivos más recientes, se recomienda realizar la implementación en grupos de dispositivos si el usuario primario no ha inscrito el dispositivo.On Windows 10 version 1803 and newer devices, it's recommended to deploy to device groups if the primary user didn't enroll the device. El uso de grupos de dispositivos en este escenario ayuda con los informes de cumplimiento.Using device groups in this scenario helps with compliance reporting.

Intune también incluye un conjunto de configuraciones de directivas de cumplimiento integradas.Intune also includes a set of built-in compliance policy settings. Las directivas integradas siguientes se evalúan en todos los dispositivos inscritos en Intune:The following built-in policies get evaluated on all devices enrolled in Intune:

  • Marcar los dispositivos que no tienen asignada una directiva de cumplimiento como: esta propiedad tiene dos valores:Mark devices with no compliance policy assigned as: This property has two values:

    • Compatible (valor predeterminado): característica de seguridad desactivadaCompliant (default): security feature off
    • No compatible: característica de seguridad activadaNot compliant: security feature on

    Si un dispositivo no tiene asignada una directiva de cumplimiento, se considerará compatible de forma predeterminada.If a device doesn't have a compliance policy assigned, then this device is considered compliant by default. Si se usa el acceso condicional con directivas de cumplimiento, se recomienda cambiar la configuración predeterminada a No compatible.If you use Conditional Access with compliance policies, we recommended you change the default setting to Not compliant. Si un usuario final no es compatible porque no se asignó ninguna directiva, en la aplicación Portal de empresa de Intune se muestra No compliance policies have been assigned.If an end user isn't compliant because a policy isn't assigned, then the Company Portal app shows No compliance policies have been assigned.

  • Detección de jailbreak mejorada: cuando se habilita este valor de configuración, hace que los dispositivos iOS se registren en Intune con mayor frecuencia.Enhanced jailbreak detection: When enabled, this setting causes iOS devices to check in with Intune more frequently. Para habilitar esta propiedad se usan los servicios de ubicación del dispositivo, que afectan al uso de la batería.Enabling this property uses the device’s location services, and impacts battery usage. Intune no almacena los datos de ubicación del usuario.The user location data isn't stored by Intune.

    Para habilitar esta configuración, los dispositivos deben:Enabling this setting requires devices to:

    • Habilitar los servicios de ubicación en el nivel de sistema operativo.Enable location services at the OS level.
    • Permitir que el Portal de empresa use los servicios de ubicación.Allow the company portal to use location services.
    • Evaluar y notificar su estado de jailbreak a Intune al menos una vez cada 72 horas.Evaluate and report its jailbreak status to Intune at least once every 72 hours. En caso contrario, el dispositivo se marcará como no compatible.Otherwise, the device is marked not compliant. La evaluación se desencadena al abrir la aplicación Portal de empresa de Intune o al mover físicamente los 500 medidores o más del dispositivo.Evaluation is triggered by opening the Company Portal app or physically moving the device 500 meters or more. Si el dispositivo no se mueve 500 metros en 72 horas, el usuario tiene que abrir la aplicación Portal de empresa para la evaluación de jailbreak mejorada.If the device doesn't move 500 meters in 72 hours, the user needs to open the Company Portal app for enhanced jail break evaluation.
  • Período de validez del estado de cumplimiento (días) : especifique el período en que los dispositivos informan del estado de todas las directivas de cumplimiento recibidas.Compliance status validity period (days): Enter the time period that devices report the status for all received compliance policies. Los dispositivos que no proporcionen el estado dentro de este período se tratarán como no conformes.Devices that don't return the status within this time period are treated as noncompliant. El valor predeterminado es 30 días.The default value is 30 days.

Puede usar estas directivas integradas para supervisar estas configuraciones.You can use these built-in policies to monitor these settings. Intune también se actualiza o comprueba si hay actualizaciones en distintos intervalos, dependiendo de la plataforma del dispositivo.Intune also refreshes or checks for updates at different intervals, depending on the device platform. Preguntas comunes, problemas y su solución con perfiles y directivas de dispositivos en Microsoft Intune es un recurso útil.Common questions, issues, and resolutions with device policies and profiles in Microsoft Intune is a good resource.

Los informes de cumplimiento son una excelente manera de comprobar el estado de los dispositivos.Compliance reports are a great way to check the status of devices. Supervisión de las directivas de cumplimiento incluye algunas instrucciones.Monitor compliance policies includes some guidance.

Incumplimiento y acceso condicional en las distintas plataformasNon-compliance and Conditional Access on the different platforms

En la tabla siguiente se describe cómo administrar la configuración de no conformidad cuando se usa una directiva de cumplimiento con una directiva de acceso condicional.The following table describes how noncompliant settings are managed when a compliance policy is used with a Conditional Access policy.


Configuración de directivaPolicy setting PlataformaPlatform
Configuración de PIN o contraseñaPIN or password configuration - Android 4.0 y versiones posteriores: En cuarentena- Android 4.0 and later: Quarantined
- Samsung Knox Standard 4.0 y versiones posteriores: En cuarentena- Samsung Knox Standard 4.0 and later: Quarantined
- Android Enterprise: En cuarentena- Android Enterprise: Quarantined

- iOS 8.0 y versiones posteriores: Corregido- iOS 8.0 and later: Remediated
- macOS 10.11 y versiones posteriores: Corregido- macOS 10.11 and later: Remediated

- Windows 8.1 y versiones posteriores: Corregido- Windows 8.1 and later: Remediated
- Windows Phone 8.1 y versiones posteriores: Corregido- Windows Phone 8.1 and later: Remediated
Cifrado del dispositivoDevice encryption - Android 4.0 y versiones posteriores: En cuarentena- Android 4.0 and later: Quarantined
- Samsung Knox Standard 4.0 y versiones posteriores: En cuarentena- Samsung Knox Standard 4.0 and later: Quarantined
- Android Enterprise: En cuarentena- Android Enterprise: Quarantined

- iOS 8.0 y versiones posteriores: Corregido (estableciendo PIN)- iOS 8.0 and later: Remediated (by setting PIN)
- macOS 10.11 y versiones posteriores: Corregido (estableciendo PIN)- macOS 10.11 and later: Remediated (by setting PIN)

- Windows 8.1 y versiones posteriores: No disponible- Windows 8.1 and later: Not applicable
- Windows Phone 8.1 y versiones posteriores: Corregido- Windows Phone 8.1 and later: Remediated
Dispositivo liberado o modificadoJailbroken or rooted device - Android 4.0 y versiones posteriores: En cuarentena (no es una configuración)- Android 4.0 and later: Quarantined (not a setting)
- Samsung Knox Standard 4.0 y versiones posteriores: En cuarentena (no es una configuración)- Samsung Knox Standard 4.0 and later: Quarantined (not a setting)
- Android Enterprise: En cuarentena (no es una configuración)- Android Enterprise: Quarantined (not a setting)

- iOS 8.0 y versiones posteriores: En cuarentena (no es una configuración)- iOS 8.0 and later: Quarantined (not a setting)
- macOS 10.11 y versiones posteriores: No disponible- macOS 10.11 and later: Not applicable

- Windows 8.1 y versiones posteriores: No disponible- Windows 8.1 and later: Not applicable
- Windows Phone 8.1 y versiones posteriores: No disponible- Windows Phone 8.1 and later: Not applicable
Perfil de correo electrónicoEmail profile - Android 4.0 y versiones posteriores: No disponible- Android 4.0 and later: Not applicable
- Samsung Knox Standard 4.0 y versiones posteriores: No disponible- Samsung Knox Standard 4.0 and later: Not applicable
- Android Enterprise: No disponible- Android Enterprise: Not applicable

- iOS 8.0 y versiones posteriores: En cuarentena- iOS 8.0 and later: Quarantined
- macOS 10.11 y versiones posteriores: En cuarentena- macOS 10.11 and later: Quarantined

- Windows 8.1 y versiones posteriores: No disponible- Windows 8.1 and later: Not applicable
- Windows Phone 8.1 y versiones posteriores: No disponible- Windows Phone 8.1 and later: Not applicable
Versión de SO mínimaMinimum OS version - Android 4.0 y versiones posteriores: En cuarentena- Android 4.0 and later: Quarantined
- Samsung Knox Standard 4.0 y versiones posteriores: En cuarentena- Samsung Knox Standard 4.0 and later: Quarantined
- Android Enterprise: En cuarentena- Android Enterprise: Quarantined

- iOS 8.0 y versiones posteriores: En cuarentena- iOS 8.0 and later: Quarantined
- macOS 10.11 y versiones posteriores: En cuarentena- macOS 10.11 and later: Quarantined

- Windows 8.1 y versiones posteriores: En cuarentena- Windows 8.1 and later: Quarantined
- Windows Phone 8.1 y versiones posteriores: En cuarentena- Windows Phone 8.1 and later: Quarantined
Versión de SO máximaMaximum OS version - Android 4.0 y versiones posteriores: En cuarentena- Android 4.0 and later: Quarantined
- Samsung Knox Standard 4.0 y versiones posteriores: En cuarentena- Samsung Knox Standard 4.0 and later: Quarantined
- Android Enterprise: En cuarentena- Android Enterprise: Quarantined

- iOS 8.0 y versiones posteriores: En cuarentena- iOS 8.0 and later: Quarantined
- macOS 10.11 y versiones posteriores: En cuarentena- macOS 10.11 and later: Quarantined

- Windows 8.1 y versiones posteriores: En cuarentena- Windows 8.1 and later: Quarantined
- Windows Phone 8.1 y versiones posteriores: En cuarentena- Windows Phone 8.1 and later: Quarantined
Atestación de estado de WindowsWindows health attestation - Android 4.0 y versiones posteriores: No disponible- Android 4.0 and later: Not applicable
- Samsung Knox Standard 4.0 y versiones posteriores: No disponible- Samsung Knox Standard 4.0 and later: Not applicable
- Android Enterprise: No disponible- Android Enterprise: Not applicable

- iOS 8.0 y versiones posteriores: No disponible- iOS 8.0 and later: Not applicable
- macOS 10.11 y versiones posteriores: No disponible- macOS 10.11 and later: Not applicable

- Windows 10 y Windows 10 Mobile: En cuarentena- Windows 10 and Windows 10 Mobile: Quarantined
- Windows 8.1 y versiones posteriores: En cuarentena- Windows 8.1 and later: Quarantined
- Windows Phone 8.1 y versiones posteriores: No disponible- Windows Phone 8.1 and later: Not applicable

Corregido: el sistema operativo del dispositivo exige compatibilidad.Remediated: The device operating system enforces compliance. (Por ejemplo, se obliga al usuario a configurar un PIN).For example, the user is forced to set a PIN.

En cuarentena: el sistema operativo del dispositivo no exige cumplimiento.Quarantined: The device operating system doesn't enforce compliance. Por ejemplo, los dispositivos Android y Android Enterprise no obligan al usuario a cifrar el dispositivo.For example, Android and Android Enterprise devices don't force the user to encrypt the device. Si el dispositivo no es conforme, se emprenden las acciones siguientes:When the device isn't compliant, the following actions take place:

  • El dispositivo se bloquea si se aplica una directiva de acceso condicional al usuario.If a Conditional Access policy applies to the user, the device is blocked.
  • La aplicación Portal de empresa de Intune notifica al usuario sobre cualquier problema de cumplimiento.The Company Portal app notifies the user about any compliance problems.

Portal clásico de Azure y Portal de AzureAzure classic portal vs. Azure portal

La diferencia principal al usar las directivas de cumplimiento de dispositivos en Azure Portal es la siguiente:The main difference when using device compliance policies in the Azure portal:

  • En Azure Portal, las directivas de cumplimiento se crean por separado para cada plataforma compatibleIn the Azure portal, the compliance policies are created separately for each supported platform
  • En el portal clásico de Azure hay una directiva de cumplimiento de dispositivos común a todas las plataformas compatiblesIn the Azure classic portal, one device compliance policy is common to all supported platforms

Las directivas de cumplimiento de dispositivos creadas en el portal clásico no aparecen en Azure Portal.Device compliance policies created in the classic portal don't appear in the Azure portal. Pero todavía se destinan a los usuarios y pueden administrarse mediante el portal clásico.However, they’re still targeted to users and manageable using the classic portal.

Para usar las características relacionadas con el cumplimiento de dispositivos en Azure Portal, debe crear directivas de cumplimiento de dispositivos en Azure Portal.To use the device compliance-related features in the Azure portal, you must create new device compliance policies in the Azure portal. Si asigna una directiva de cumplimiento de dispositivos en Azure Portal a un usuario al que también se ha asignado una directiva de cumplimiento de dispositivos desde el portal clásico, las directivas de cumplimiento de dispositivos de Azure Portal tendrán prioridad sobre las directivas creadas en el portal clásico.If you assign a device compliance policy in the Azure portal to a user who is also assigned a device compliance policy from the classic portal, then the device compliance policies from the Azure portal take precedence over the policies created in the classic portal.

Pasos siguientesNext steps